Aller au contenu
pepite

Redirection port 443 Freebox Revolution

Recommended Posts

Bonjour tout le monde,

 

GROS BOULET ON de ma part concernant une redirection de port pour atteindre la HC2 en https depuis un sous domaine. J'y arrive tres bien en http mais va savoir pourquoi je buggue fort tout à coup.

 

contexte :

 - un sous domaine d'un domaine qui m'appartient :  en hc2.domaine.com

 - ip WAN de la hc2 : 78.X.X.X:port

 - ip LAN de la HC2 : 192.168.X.X:80

 

Je cree depuis le gestionnaire du domaine un sous domaine que je redirige sur IP WAN : OK ca fonctionne en http://hc2.domaine.com

J'ai une regle sur la freebox qui me permet d'attaquer depuis la HC2 depuis son IP WAN, nickel, là OK

 

En https, je buggue, je voudrais atteindre la HC2 en https://hc2.domaine.com

Je cree la regle sur la box :

  -- WAN 443 vers IP LAN HC2 :80

Depuis le gestionnaire du domaine, je cree l'alias vers IP WAN HC2, j'ai essaye en IPWANHC2:443 ou IPWANHC2:portexterne mais rien n'y fait.

 

Heuu les experts svp ;-) merciiii de m'expliquer lol

 

PS : j'oubliais, evidemment le domaine est bien accessible en https

https://www.domaine.com

 

GROS BOULET OFFF

 

Modifié par pepite

Partager ce message


Lien à poster
Partager sur d’autres sites

Euh mais la HC2 ne fait pas de HTTPS... Comment veux tu tester ça ?

Partager ce message


Lien à poster
Partager sur d’autres sites

Oui oui je sais. L idee c'était de l atteindre en https depuis le sous domaine je me suis dit qu il y avait pe moyen :-)

Envoyé de mon Nexus 5X en utilisant Tapatalk

Partager ce message


Lien à poster
Partager sur d’autres sites

Hum, je ne sais pas si cela est faisable, pour moi cela ne fonctionne pas, ce serait trop simple.

Partager ce message


Lien à poster
Partager sur d’autres sites

Sécurisé l'accès. Cela ne fonctionnera pas. La seule solution, c'est la méthode de Lazer en root qui réinstalle toute la partie HTTPS au niveau Debian.

Partager ce message


Lien à poster
Partager sur d’autres sites

Bah c'est assez sécurisé nan ?
Il faut connaître l'ip public, le port, le login et le mot de passe...

C'est pas suffisant ?


Envoyé de mon iPhone en utilisant Tapatalk Pro

Partager ce message


Lien à poster
Partager sur d’autres sites

Pour moi si, mais pour les geek de sécurité du fofo, non :):)

  • Upvote 1

Partager ce message


Lien à poster
Partager sur d’autres sites

pour moi aussi c'est largement suffisant
en plus si on me pirate pour faire clignoté une lumière ou me fermer un volet c'est que le gars n'a pas grand chose à faire

Envoyé de mon SM-G901F en utilisant Tapatalk

Partager ce message


Lien à poster
Partager sur d’autres sites

Clairement :)

Partager ce message


Lien à poster
Partager sur d’autres sites

Ah c'est pas pour la sécu moi :-)
Au boulot le proxy laisse passer le 443. Je voulais voir si c'était plus rapide par le 443 que par home.fibaro :-)


Envoyé de mon Nexus 5X en utilisant Tapatalk

Partager ce message


Lien à poster
Partager sur d’autres sites

Si tu tapes http://ipwanhc2:443 (avec ta regle de rootage ipwanhc2:443 vers iplanhc2:80) ca ne marche pas ? Le proxy de ton taf check si l'adresse attaqué via le 443 commence bien par httpS ?

Envoyé via Tapatalk

Partager ce message


Lien à poster
Partager sur d’autres sites

si tu veux accéder a ta hc2 en HTTPS, il faut configurer un proxy qui récupère le HTTPS (avec exposition d'un certificat) et reroute la requête vers ta HC2 en http.

pour le HTTPS, let's encrypt permet d'obtenir un certificat gratuit et valable.

 

personnellement, je le fait avec mon synology : 

- PC distant <=> WAN en 443 <=> synology en 443 <=> HC2 en 80

  • Upvote 2

Partager ce message


Lien à poster
Partager sur d’autres sites

Merci messieurs.

@Fanou

 non cela ne fonctionne pas, pas folle les guepes ;-)

 

@Cmoi20

Merci, donc pas le choix que de monter un proxy/reverse proxy à la maison ;-). TO DO pour plus tard ;-)

Modifié par pepite

Partager ce message


Lien à poster
Partager sur d’autres sites

@pepite. Moi au taf c'est pas 80 mais 8080 qu'ils ont ouvert. Donc quand j'ai besoin je vais dans l'appli freebox de mon tel et je bascule le 8080 vers les differentes ip lan en 80 selon le besoin... d'ou l'idee.. ;). Apres je trouve que c'est pas si long que ca avec le home.fibaro..

Envoyé via Tapatalk

Partager ce message


Lien à poster
Partager sur d’autres sites

ah bien vu ;-)

 

je suis d'accord avec toi, ca fonctionne bien le home.fibaro, rien a redire. mais c'etait pour la beaute du geste ;-) avec le sous.domaine. ;-)

Partager ce message


Lien à poster
Partager sur d’autres sites

Je confirme ce qui a été dis plus haut :

- méthode de @Nico : rooter la box et activer le https sur Apache (je l'ai testé, ça fonctionne, mais je ne l'utilise pas)

- méthode de @Cmoi20 : installer un reverse proxy, qui se charge de chiffrer les communications. C'est ce que j'utilise, car ça apporte plein d'avantages : accéder à pleins de machines en interne, utiliser un certificat approuvé Let's Encrypt, permet de sécuriser n'importe quel appareil non sécurisé (HC2, mais aussi les modules GCE, etc), bypasser les proxy d'entreprise un peu trop regardants, etc...

 

Le must, c'est coupler haproxy avec sslh, afin de cacher OpenVPN derrière le port 443, et monter un tunnel VPN avec accès open-bar au web entier. Et là tu rigoles devant les mecs de la sécurité réseau de ton client qui ne comprennent pas comment tu fais :P

 

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonjour messieurs,

 

Bon, ben ca sera HAPROXY sslh sur le portable qui heberge Jeedom ;-).

Attendez vous à des questions ;-) mais bon c'est pas pour tout de suite ;-)

Partager ce message


Lien à poster
Partager sur d’autres sites

×