Problème de restriction d'accès à certains services depuis le WAN

E

electroger

Apprenti
27 Mai 2023
56
19
8
Hello !

J'ai un serveur avec OMV6 et Docker / Portainer. J'ai installé en conteneur plusieurs services : SWAG, Authelia, Nextcloud, Jellyfin etc. Ces services sont accessibles par des sous-domaines de mon nom de domaine (IONOS). Certains de ces services sont accessibles depuis le WAN avec une authentification à 2 facteurs et d'autres sont accessibles seulement depuis le LAN.
Pour interdire l'accès depuis le WAN, j'ai 2 solutions : le internal.conf de Nginx à inclure dans les proxy-conf des applications et l'access_control de Authelia. Pour bien faire il faudrait indiquer qu'une plage d'adresse (192.168.1.0/24) correspond au LAN, c'est ce qui est indiqué dans toutes les docs.

Par exemple internal.conf :


Code :
  1. allow 192.168.1.0/24; #Replace with your LAN subnet
  2. deny all;


Ou configuration.yml de authelia :


Code :
  1. networks:
  2. - name: internal
  3. networks:
  4. - 192.168.1.0/24

  6. rules:
  7. ## Rules applied to everyone
  8. - domain: nextcloud.ndd.fr
  9. policy: bypass
  10. networks:
  11. - internal
  12. - domain: nextcloud.ndd.fr
  13. policy: deny


Avec cette plage d'IP, ça ne fonctionne pas, l'accès aux applications concernées est refusé depuis le LAN et le WAN. Par contre si je mets l'adresse IP fixe de ma Livebox dans internal.conf ou l'access_control Authelia, tout fonctionne comme attendu, l'accès est refusé depuis le WAN et autorisé depuis le LAN. D'ailleurs dans les logs d'accès Nginx c'est bien l'IP publique de la Livebox qui apparait.
J'imagine que c'est lié au fait que mon poste, au travers la Livebox et avec son IP publique, interroge un DNS externe.

En l'état c'est pas très satisfaisant, même si peut marcher : Ca ne correspond pas aux documentations que j'ai trouvé sur le sujet et ça démontre qu'il y a une erreur quelque part sur ma machine. Et comme la Livebox n'a pas d'IP fixe, ça posera des problèmes un jour ou l'autre.

Est ce que vous avez des pistes pour corriger ça ?

A+
 
Bonjour,

La solution serait de crée un dns sur ton NAS, sauf si tu as une option de route statique sur ta box.
 
Bonjour Neo974 et merci pour ta réponse.
Sauf erreur de ma part, il n'y a pas d'option de route statique sur une Livebox 5 (non-pro).

Il faudrait donc créer un DNS sur mon NAS. Est qu'il y a une procédure à privilégier sur OMV / Debian ?
Est ce que c'est habituel de devoir créer un DNS dans ce genre de cas ? Sur les différents tuto que j'ai vu ils ne semblent pas passer pour cette étape, pourtant l'accès réservé au LAN est un sujet fréquent.
 
Hello !

J'ai installé Adguard Home en espérant que ça répondra à mes besoins. L'installation est faite et ça semble fonctionnel. Pour l'instant il ne remplace pas le DHCP et le serveur DNS de ma Livebox. Si je comprends bien pour utiliser Adguard comme serveur DNS je dois désactiver le DHCP de la Livebox parce que sur cette box les 2 services sont liés.
Pour faire mes tests j'ai juste modifié la configuration réseau de mon poste et j'ai indiqué l'adresse IP de Adguard Home pour le DNS. Je vois bien les requêtes émises depuis mon poste dans le tableau de bord Adguard.
Pour rappel, mon problème est que lorsque j'accède depuis le LAN à une application sur mon serveur NAS, l'IP du client est l'IP publique de ma box et donc les filtrages nginx ou authelia sur la plage IP 192.168.1.0/24 ne sont pas pris en compte.
Pour corriger ça, j'imagine que ça se passe dans la partie "Réécritures DNS" de Adguard ? J'ai essayé en mettant nextcloud.ndd.fr vers l'IP locale de mon serveur mais c'est sans effet, c'est toujours l'IP publique de la box que je vois dans les logs d'accès nginx.
Est ce que vous avez une idée ?
 
electroger a dit:
Sur les différents tuto que j'ai vu ils ne semblent pas passer pour cette étape, pourtant l'accès réservé au LAN est un sujet fréquent.
Cliquez pour agrandir...
Corrigez-moi si je dis une bêtise, mais je pense que cela est lié la LiveBox. Quand tu te connectes a sous.ndd.fr ta connexion va sur internet et revient donc pour Authelia ta requête ne vient pas d'une IP locale mis bien de ton IP public. En Ajoutant l'IP public de ta box dans les domaines autoirisés dans ta la config Authelia, les requêtes envoyées par ta live box sont bien reconnue en public. Ce problème semble être seulement présent chez Orange/Sosh, peut-être lié au problème de Loopback mais je n'en suis pas sûr.

Par contre, niveau sécurité, je ne sais pas ce que cela implique.

La solution comme mentionné au-dessus et d'utiliser un DNS qui te redirige directement vers la bonne IP sans envoyer ta demande sur internet.
 
Bonjour,

Oui tu as très bien compris le problème et effectivement c'est lié à la Livebox. Pour plusieurs raisons je voulais changer de FAI et j'ai donc une Freebox depuis quelques jours. Ca a instantanément corrigé mon problème, sans modification supplémentaire et sans serveur DNS local.

Je me trompe peut être, mais je pense que ça ne présentait pas de risque de sécurité, à part le fait que l'ip publique de mon ancienne Livebox n'étant pas fixe, elle aurait pu être réattribuée à une personne malveillante.
 
  • J'aime
Réactions: McFlyPartages
Vous devez vous connecter ou vous enregistrer pour répondre ici.
Haut Bas
Retour