box 8 : permettre un routeur avec client VPN (monip sfr / DMZ)

Bonjour @stephaneta06 

---

Même si ma demande a l'air détaillée, je suis une chêvre en informatique, il faut donc des réponses simples si possible

---

Disons qu'on n'est pas des magiciens non plus.

Là il y a peu d'éléments qui permettent de comprendre vraiment, et honnêtement, pour ma part je n'ai pas vraiment d'idées à te suggérer vu ce que tu as déjà fait.

Peut-être seulement des commentaires :

Pouvez-vous m'aider, ou me conseillez vous de changer d'opérateur et d'aller chez Orange car SFR ne pourra rien faire pour moi ??

---

Ce qui est pratiquement certain c'est que le service client de SFR ne pourra pas spécialement t'épauler dans cette configuration très personnelle et qu'ils n'assisteront sans doute pas.

Je pense d'ailleurs que l'aide sera du même niveau (c'est-à-dire quasi rien) si ça ne marche pas non plus par toi-même sur une bon d'un FAI concurrent.

Pour que tous les appareils soient derrière un VPN sans configuration particulière, j'ai voulu rajouter un routeur TP-Link avec serveur VPN et surtout CLIENT VPN (NordVPN) entre la box 8 et les PC, NAS, Tablettes, GSM, TV et caméras de surveillance IP de la maison (un compte pour appareils multiples).

---

J'imagine que ce client VPN tu ne l'as pas sorti du chapeau et que c'est un logiciel prévu et bien destiné à être installé sur ton routeur TP-Link pour que ce soit ton routeur qui intercale ce VPN entre tous ton réseau local et internet, c'est bien ça ?

- ça doit relativement marcher car quand j'essaie d'ouvrir l'interface de la box8 avec le client VPN du routeur activé, l'adresse est introuvable
1) Si je désactive le Client VPN du routeur, alors j'accède à l'interface de controle de la box8.

---

Disons plutôt qu'en vérité cet accès qui apparait/disparaît vers l'interface de la Box 8 ne démontre pas que "ça doit relativement marcher", mais pour être rigoureux que ça démontre :

1. que sans activer ce client VPN, ta connexion ne passe pas par NordVPN
2. mais que quand il est activé, tu ne peux que conclure qu'il a traficoté quelque chose dans ton routage, mais ça ne démontre pas qu'il l'a bien fait... Juste qu'il a chamboulé la situation normale fonctionnelle...

Bref on ne peut absolument pas conclure qu'il marche à peu près bien, ni qu'il est bien installé/configuré.

quand le client vpn du routeur est activé et que j'interroge mon-ip(.)com j'ai en retour une IP SFR et non une ip publique

---

Tu l'interroges depuis ton PC j'imagine ? En effet c'est étrange que tu sois vu avec une IP SFR si le VPN est censé être fonctionnel : donc ça démontre qu'il ne l'est pas (et donc au lieu de "à peu près marcher", peut-être "qu'il ne marche pas du tout").

N.B. les IP des clients SFR, tout comme les IP des autres internautes sont forcément des IP publiques sinon elles ne seraient pas routables et accessibles sur internet. Les adressés IP privées ce sont des adresses non routables (comme 192.168.1.1, ou celles démarrant par 10, etc. qui sont forcément des adresses destinées à un sous-réseau privé pour communiquer uniquement sur ce sous-réseau) : cf. https://www.avira.com/fr/blog/adresse-ip-publique-vs-privee

---

j'ai donc activé la case DMZ avec l'IP réseau de mon routeur 

---

Et je suppose que tu as redémarré la box SFR pour qu'elle prenne bien en compte cette modification ?

---

et là je m'attendais à ce que la box laisse passer les infos, mais quand je questionne mon-ip(.)com, c'est toujours l'adresse ip de la box8 SFR qui apparait et non une IP anonyme

---

En fait IP anonyme, ça n'est pas vraiment le bon terme non plus :

• D'un certain côté "toutes les IP" sont anonymes au sens où seul ton FAI sait en vérité à quelle personne (et donc à quelle adresse) elle est affectée.
• Ainsi, les services de "géolocalisation" d'IP, sans être le FAI qui la possède, ne peuvent pas être sûr de bien te localiser :
  • Ils peuvent déterminer avec exactitude (sauf si par malheur ils consultent des versions obsolètes de ces informations publiques liées à une IP) l'entreprise propriétaire de l'IP (par exemple SFR) et donc le PAYS de l'IP (celle du fournisseur, France ici), 
  • En revanche déterminer plus précisément la géolocalisation (en particulier la ville) c'est de la divination, dont certains services se révèlent très bon, en accumulant des bases de données d'informations permettant, avec un taux d'erreur non négligeable, de savoir que telle IP a eu par le passé une activité dans telle ville, observée des moyens indirects... Ce qui est un "indice" pour penser que l'IP est toujours dans la même ville, mais ce n'est pas rigoureusement exact, et la preuve c'est que selon le service, il pourra te localiser dans des villes très différentes (Brest ou Marseille pour la même IP peuvent sortir, notamment via cet agrégateur de multiples réponses de bases différentes : https://www.iplocation.net/ip-lookup ))
    • Me concernant cela fait des années que mon adresse IP est souvent localisée au bon endroit par certains de ces services, et que d'autres me localisent à plus de 1000 km de chez moi, à l'autre bout de la France (bref certains ont des erreurs non rectifiées dans leurs bases de tables inversées pour localiser l'IP°.
  • Ainsi ni la ville et encore moins l'identité du client n'est connue sur internet où il est anonyme et seul son opérateur sait vraiment dans quelle ville il est sans erreur possible.

=> (lire très bonne synthèse ICI) on chiffre entre 25% et 50% le taux d'erreur sur la bonne ville... Mais on s'en fiche un peu puisque c'est le pays qui compte en général.

---

non une IP anonyme, ou d'un autre pays me permettant d'accéder à des contenus spécifiques (abonnement streaming international pour mon amie).

---

Vu ma remarque plus haut, tu n'auras en réalité pas spécialement une IP plus anonyme qu'une autre via ton VPN, mais assurément une IP qui n'est pas la tienne (c'est le contrat) mais celle possédée par le VPN (et d'ailleurs connu pour cela) qui en possède dans plusieurs pays via ses serveurs.

Ainsi, vu d'internet :

• tu auras l'adresse d'un des serveurs VPN de NordVPN (l'une de celles dans le pays que tu auras choisi, y compris en France)
• ce qui a pour effet bien sûr que c'est "identifiable" (que c'est une IP de NordVPN) et des services qui veulent lutter contre cet accès illégal à leur contenu (comme MyCanal depuis un autre pays que la France par exemple) de te couper le flux (ce qui se fait maintenant fréquemment sur pas mal de services, SFR TV aussi, etc. etc.)

Et à ce propos j'ajoute qu'un abonnement "streaming international", légal, ça n'existe pas vraiment. 😂

• Ce qui existe légalement ce sont des services de streaming associé à UNE zone nationale de visionnage (car les droits légaux sont par pays)
  Et donc il existe des services de streaming étrangers, mais pas internationaux (exemple : tu peux avoir un abonnement Netflix canadien, des USA, ou du brésil, mais pas international (sauf service de streaming illégal). 
• Et du coup, en effet, avec un VPN tu peux donc exploiter ce service de streaming réservé à un pays, même en étant en France en travestissant ton IP via le VPN pour prétendre que tu es en Italie, en Allemagne, en amérique, etc. (mais ce n'est pas légal pour truander un service vidéo soit dit en passant).

---

3) par moments mon NAS est accessible depuis l'extérieur, à d'autres il est injoignable ?? (avec ou sans le DMZ !?!)

---

Que veux-tu dire quand tu écris "par moments"

1. vraiment que ça dépend juste de l'heure du moment, mais sans rien changer d'autre (même réseau, même ville, même connexion)
2. ou bien te veux dire que selon la box où tu es connecté, ou selon l'endroit où tu utilises le réseau mobile comme connexion internet, parfois tu vois ton NAS, parfois tu ne le vois pas.

=> si c'est le second cas, il se peut que ce soit tout simplement les effets d'être parfois en IPv4 et parfois en IPv6 selon là où tu es connecté. Et que ta connexion SFR serait en fibre avec du CGNAT : cf. bonne synthèse en 1re page de cette excellente discussion https://lafibre.info/sfr-la-fibre/ipv4-cgnat/?PHPSESSID=qm0cl3hr8iqkf5vqjr26ogmhc1

=> et du coup ça me donne une toute petite idée pour toi et ton VPN :

• peut-être es-tu en CGNAT
• et si oui, peut-être que ce sont les limitations qu'il induit (notamment sur les ports) qui empêche ton VPN de fonctionner correctement.

Pour savoirs tu es en CGNAT, tu dois avoir cet avertissement sur fond jaune dans l'interface de ta box 8 : voir

Et comme tu le constateras en lisant les messages de la discussion ci-dessus, SFR peut te sortir du CGNAT si tu arrives à faire comprendre que tu veux "un rollback vers une IPv4 fullstack" (jargon) car ton serveur perso est inaccessible depuis internet, mais cette demande est parfois facile à faire comprendre, parfois tu tombes sur des interlocuteurs moins compétents là-dessus.

À+

Merci beaucoup pour tous ces éléments qui m'aident un peu.
Désolé pour les approximations entre ip publique - ip anonyme
(oui je voulais parler d'ip pas sfr mais celles du vpn quand je ne précisais pas "ip sfr")

- pour parametrer le client vpn du routeur, j'ai été prendre un fichier de configuration spécifique chez NordVPN pour ce routeur tp-link
dans ma logique : sans routeur : pc sans vpn : monIP renvoie une ip sfr, si je lance mon vpn, monIP renvoie une ip de nordVPN
- je rajoute un routeur avec un client vpn allumé et configuré entre mon pc et la box, ca devrait faire pareil, alors que ca renvoie une ip sfr
- je regarde dans la doc sfr qui dit que le DMZ est supposé faire "disparaitre" la box sfr8 au profit du routeur une fois la box redémarrée (avec 10 minutes débranchée complètement pour être sur d'un "vrai" redémarrage), mais ça semble ne rien changer...

j'espère au moins que si depuis internet on peut voir ma box, grace au client VPN du routeur, on ne peut voir aucun des appareils reliés derrière. ce qui est le minimum que je demande pour éviter ransomware ou équivalents.

Bonjour @stephaneta06 

dans ma logique : sans routeur : pc sans vpn : monIP renvoie une ip sfr, si je lance mon vpn, monIP renvoie une ip de nordVPN

---

Oui, et c'est ce qui se passe.

- je rajoute un routeur avec un client vpn allumé et configuré entre mon pc et la box, ca devrait faire pareil, alors que ca renvoie une ip sfr
- je regarde dans la doc sfr qui dit que le DMZ est supposé faire "disparaitre" la box sfr8 au profit du routeur une fois la box redémarrée (avec 10 minutes débranchée complètement pour être sur d'un "vrai" redémarrage), mais ça semble ne rien changer...

---

C'est pourquoi je pensais pour ma part que la configuration de ton routeur et/ou de sa partie VPN sur le routeur n'était donc pas bonne.

Car justement

• d'une part si ton routeur établissait correctement un tunnel VPN, ça devrait fonctionner sans même passer en DMZ (car une fois chiffré dans le tunnel VPN, la box ne joue plus qu'un rôle de figurant)
• mais d'autre part, comme tu l'indiques, avec la DMZ on devrait être encore plus confiant (cela dit il se peut que ça ne change rien si la fonction DMZ de SFR est bugguée sur la Box 8, ce qui est possible puisqu'on l'a souvent vu reprocher dans des discussions à ce propos).

Mais comme déjà dit, je n'ai vraiment pas beaucoup d'idées pour t'aider sur cette question... Je sèche...

à+