hairpinning et debian

[jeanclaude]

Bonjour a tous.
J'ai serveur sous Debian, et j'ai un soucis de hairpinning d'après me recherche.
Mais maintenant je bloque.

J'ai a présent accès en interne : FTP/SSH et page admin via l'ip LOCAL du serveur

Mais si je souhaite avoir accès a mon nom de domaine/IP fixe pour l'extérieur ca ne marche pas tant que je ne suis pas connecté hors du réseau local.

J'ai fouillé partout su internet mais je ne trouve pas la solution malgré avoir trouvé des utilisateurs avec le meme probleme que moi. J'ai aussi réinitialisé ma livebox6.

Merci de votre aide :)

JC

[PascalHambourg]

j'ai un soucis de hairpinning

Jamais entendu parler. Qu'est-ce que c'est ?

Mais si je souhaite avoir accès a mon nom de domaine/IP fixe pour l'extérieur ca ne marche pas

Décrire "ça ne marche pas". Action, résultat attendu, résultat obtenu.

[jeanclaude]

Le hairpinning, aussi appelé NAT loopback ou NAT reflection, est une fonctionnalité de certains routeurs qui permet à un appareil situé à l'intérieur d'un réseau local (LAN) d'accéder à un autre appareil dans le même LAN via l'adresse IP publique du réseau. Ce processus est nécessaire car, normalement, les requêtes à l'adresse IP publique sont transmises (routées) hors du réseau local et vers l'internet.

En contexte simple, voici comment fonctionne le hairpinning :

Un appareil sur le réseau local (par exemple, un ordinateur) envoie une requête à l'adresse IP publique du réseau (le même IP que les appareils extérieurs utiliseraient pour accéder au réseau).
Le routeur reconnaît que l'adresse IP publique est en fait son adresse et "réfléchit" la requête (comme un éping à cheveux, d'où le terme "hairpinning") de retour dans le réseau local.
La requête est ensuite redirigée vers l'adresse IP locale de l'appareil cible dans le réseau (par exemple, un serveur web local).
La communication peut ainsi se produire comme si l'appareil extérieur communiquait avec le serveur, même si la requête est originaire et destinée au réseau local.
Cette fonctionnalité est particulièrement utile dans les situations où vous hébergez un service (tel qu'un site Web ou un serveur de jeu) sur votre réseau local et souhaitez y accéder par son nom de domaine ou adresse IP publique même lorsque vous êtes sur le même réseau LAN.

ca ne marche pas = pas d'accès : "Désolé, impossible d’accéder à cette page."

J'espère que c'est plus clair... :)

[PascalHambourg]

NAT loopback ou NAT reflection

Il suffisait d'écrire ça, c'est beaucoup plus clair. Pas besoin d'écrire tout un roman approximatif.

normalement, les requêtes à l'adresse IP publique sont transmises (routées) hors du réseau local et vers l'internet.

N"importe quoi. Si un paquet est destiné à l'adresse IP publique de la box, celle-ci n'a aucune raison de le router vers l'internet.

comme un éping à cheveux, d'où le terme "hairpinning"

Je ne vois pas le rapport avec une épingle à cheveux...

Si la box ne fait pas le NAT correctement, il ne reste que les solutions de contournement.
- pour les machines fixes ou non nomades, associer l'adresse IP locale du serveur au nom d'hôte externe dans le fichier /etc/hosts
- si la box permet de définir des noms d'hôtes complets avec le domaine (fqdn), y associer le nom d'hôte exerne du serveur avec l'adresse IP locale
- sinon, si les options DHCP de la box permettent de définir le serveur DNS, mettre en place un serveur DNS faisant autorité pour le nom d'hôte externe sur le LAN

[jeanclaude]

désolé pour le roman, je t'avoue que je ne savais pas comment expliquer la chose, puisque moi même je ne saisi pas tout ahaha
vive internet pour trouver les mots qui vont bien :)
merci beaucoup de ta réponse.
J'ai déjà modifier le fichier hosts mais hélas ca ne change rien.
Sur la LB6 j'ai aussi associé cela... mais pareil rien ne change.
pour le serveur DCHP je ne vois que le serveur DHCP est activé, avec l IP de la box, le masque, puis adresse IP de début et de Fin....
Je ne comprends pas comment modifier cette partie la...

[PascalHambourg]

J'ai déjà modifier le fichier hosts mais hélas ca ne change rien

Des postes clients ? Vérifié avec un ping ?

Sur la LB6 j'ai aussi associé cela... mais pareil rien ne change.

Vérifié avec un ping ?

pour le serveur DCHP je ne vois que le serveur DHCP est activé, avec l IP de la box,

L'adresse IP de la box dans quelle option ?

[jeanclaude]

si je ping depuis mon ordi en reseau local vers mondomaine.com ca fonctionne 0% de perte.
mais par contre en effet si je ping vers l'IP public qui est sensé etre lié a mon serveur je n'arrive pas a joindre l'hote que ce soit en local ou hors du local!

[PascalHambourg]

Le test avec ping ne consiste pas à attendre une réponse ni à cibler l'adresse IP publique mais à cibler le nom de domaine et vérifier quelle est l'adresse IP (locale ou externe) utilisée.
Il vaudrait mieux indiquer les commandes et réponses complètes plutôt que de vagues descriptions.

[lol]

Salut,
Oui, le plus simple comme le dit PascalHambourg c'est de compléter les fichiers /etc/hosts (Sur toutes le machines qui doivent communiquer entre elles) qui normalement par défaut à la priorité sur les DNS.
Comme il le demande:

Il vaudrait mieux indiquer les commandes et réponses complètes plutôt que de vagues descriptions.

Si possible formaté (Commande + retour) comme ceci:

Code : Tout sélectionner

laurent@lda:~$ ping -c 3 xxx.xxxxxx.org
PING xxx.xxxxxx.org (10.1.1.8) 56(84) bytes of data.
64 bytes from xxx.xxxxxx.org (10.1.1.8): icmp_seq=1 ttl=64 time=6.59 ms
64 bytes from xxx.xxxxxx.org (10.1.1.8): icmp_seq=2 ttl=64 time=4.31 ms
64 bytes from xxx.xxxxxx.org (10.1.1.8): icmp_seq=3 ttl=64 time=4.69 ms

--- xxx.xxxxxx.org ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2003ms
rtt min/avg/max/mdev = 4.313/5.196/6.586/0.994 ms

[jeanclaude]

Vous voulez mes ping du coup?

[PascalHambourg]

Sérieusement, il te faut un carton d'invitation ?

[loicmtp]

N"importe quoi. Si un paquet est destiné à l'adresse IP publique de la box, celle-ci n'a aucune raison de le router vers l'internet.

RFC5128: "2.10. Hairpinning

Hairpinning is defined in [BEH-UDP] as follows:

If two hosts (called X1 and X2) are behind the same NAT and
exchanging traffic, the NAT may allocate an address on the
outside of the NAT for X2, called X2':x2'. If X1 sends traffic
to X2':x2', it goes to the NAT, which must relay the traffic
from X1 to X2. This is referred to as hairpinning."

[piratebab]

loicmtp,
on est un forum francophone, merci d'écrire tes messages en français.
L'anglais n'est utiliser que pour citer une page du manuel, ou un extrait de rapport de bug par exemple (si pas disponible en fr)

[dezix]

Surtout que pour des gens rompus à la technologie,
ça ne coûte pas cher de fournir une traduction :

Le Hairpinning est défini dans [BEH-UDP] comme suit :

Si deux hôtes (appelés X1 et X2) sont derrière le même NAT et échangent du trafic, le NAT peut allouer une adresse sur le réseau de l'hôte.
et échangent du trafic, le NAT peut allouer une adresse à l'extérieur du NAT pour X2, appelée X2':x2'.
à l'extérieur du NAT pour X2, appelée X2':x2'. Si X1 envoie du trafic
à X2':x2', il est transmis au NAT, qui doit relayer le trafic de X1 à X2.
de X1 à X2. C'est ce que l'on appelle le hairpinning (épinglage)".

Traduit avec www.DeepL.com/Translator (version gratuite)

[tony]

Surtout que pour des gens rompus à la technologie,
ça ne coûte pas cher de fournir une traduction :

salut ,

il ne reste plus qu'à traduire en un langage compréhensible par un non initié et ça n'est certainement pas la partie la plus facile . On me répondra que le non-initié n'est pas censé se préoccuper de ce genre de problème très technique et que ça ne lui apportera rien de plus pour son utilisation quotidienne de l'outil informatique . Argument recevable et reçu .

[dezix]

@tony Pour le coup, ce n'est pas trop "hermétique"
et ça dit juste ce que c'est et pas comment le mettre pratiquement en œuvre ...

Maintenant avoir à disposition une info qui dépasse largement notre niveau
peut tout de même être utile pour trouver des pistes à notre portée.

[lol]

PascalHambourg a surtout donné une solution très simple à mettre en place.
Je ne comprend pas pourquoi on avance pas sur cette proposition...

[piratebab]

Pascal à même fourni , non pas une, non pas 2, mais 3 solutions!
Et j'en rajouterai une 4eme: changer de routeur/ box pour quelque chose qui fait correctement son travail, c'est à dire reroute automatiquement vers le NAT lorsque l'IP/port publique demandée correspond à une machine du LAN.

[jeanclaude]

J'ai des difficultés à participer au forum pour plusieurs raisons. Premièrement, je ressens un malaise à l'idée de paraître ignorant - n'ayons pas peur des mots. De plus, je perçois une certaine apathie. Veuillez m'excuser si je n'atteins pas votre niveau d'expertise.

Je suis confronté à ce problème pour la première fois ; je suis un amateur passionné par la configuration de mon serveur, malgré ses avantages et inconvénients. Pour vous, les solutions semblent évidentes, mais elles ne le sont pas pour moi.

En tant que formateur, je comprends qu'il faille parfois s'adapter à des personnes qui assimilent moins rapidement ou qui ont un niveau de connaissance moindre. Je sais m'ajuster en conséquence. La proposition de changer de routeur, je la comprends, cela dit.

Je n'ai jamais rencontré ce problème auparavant et je ne saisis pas ce qui a pu se passer. Je crains de ne pas comprendre sans une explication simplifiée, peut-être pourriez-vous m'éclairer ? Je pensais rechercher l'information moi-même, puis, en cas d'incompréhension, me tourner vers un forum. Ma déception est grande !

Je m'excuse, non, en fait je ne m'excuse pas de ne pas saisir la situation. Un forum est supposé être un lieu d'entraide. Si un certain niveau de connaissance est requis, cela devrait être spécifié. Existe-t-il un forum pour les débutants sur Debian ? Car je me sens quelque peu dépassé.

J'aimerais vous voir participer à l'une de mes formations pour vous montrer ce qu'est la patience, l'acte de répéter sans faire sentir à l'élève qu'il est inférieur.

Mes mots peuvent paraître durs, mais vous ne me connaissez pas. Je suis un homme avec une vie chargée, des problèmes à résoudre et de nombreuses questions sur l'avenir, tant personnel que professionnel. S'occuper de mon serveur est pour moi une évasion, une manière de me distraire, mais cette situation m'a ôté toute envie de continuer. Je vous remercie pour le temps accordé et pour vos réponses, même si je ne les ai pas comprises.

[piratebab]

Jean Claude,
la remarque de Pascal porte principalement sur ton manque de précision dans les réponses. Comme tu le dis, tu ne maîtrises pas certains concepts. Or tes réponses sont des interprétation personnelles de résultats de tests qui te sont demandés, pas des résultats bruts et factuels.On a besoin de ces résultats bruts et factuels pour en tirer nous même des conclusions, sans biais d'interprétation.
Si tu ne comprends pas une des solutions proposée, n'hésite pas à demander des précisions, ou a faire reformuler.
Parfois, contourner un problème est bien plus complexe que d'en supprimer la cause.
Les 3 solutions proposées par Pascal sont des moyens de contourner la faiblesse de ton routeur, mais leur mise en oeuvre demande une certaine connaissance en réseau informatique.
Je te donnerai un autre exemple: nous rechignons toujours a proposer le reformatage ou la réinstallation car avec une debian, il y a toujours moyen de réparer. Mais pour réparer, il faut rentrer parfois profondément dans son système. et si la personne en difficulté n'a pas encore les connaissances suffisantes, on fait réinstaller, ça fait gagner du temps à tout le monde.