Passer au contenu principalPasser à la recherchePasser au pied de page
Réponse certifiée par SFR Question résolue

Passage SFR Box 7 en DMZ ne fonctionne pas

Dagobu
Contributeur en Herbe

‎25/10/2024 18h26

bonjour,

je viens d'acheter un routeur Unifi Cloud Gateway max.

Du coup j'ai choisi de passer ma box SFR 7 en DMZ pour pouvoir utiliser les services de l'extérieur. 

Si je ne fais rien d'autre que la configuration en DMZ, je n'accède a rien de l'extérieur.

Pour que ca fonctionne il faut que je fasse aussi les redirections de ports sur la box SFR en plus de mon routeur.

Ce fonctionnement n'est pas normal, car sauf erreur de la part, quand on configure la DMZ ca renvoi tout sur l'ip configurée et pas besoin de redirection sur le box Operateur.

avez vous une idée pourquoi la dmz ne fonctionne pas ?

merci d'avance 

cordialement

 

 

 

0 Likes
Répondre
1 RÉPONSE RECOMMANDÉE

Solutions approuvées
Réponse certifiée par SFR
Ryry
Client Top Contributeur

‎26/10/2024 12h03

Bonjour @Dagobu 

 

Si je ne fais rien d'autre que la configuration en DMZ, je n'accède a rien de l'extérieur.

Pour que ca fonctionne il faut que je fasse aussi les redirections de ports sur la box SFR en plus de mon routeur.

Ce fonctionnement n'est pas normal, car sauf erreur de la part, quand on configure la DMZ ca renvoi tout sur l'ip configurée et pas besoin de redirection sur le box Operateur.

Non ça ne renvoie pas "tout le traffic reçu" sur l'IP configurée en DMZ (pour être équivalent à une "prise directe" sur internet, seul le mode bridge le garantit à 100% mais il n'existe pas sur ta box contrairement à la mienne).

Dans le cas de la mise en DMZ d'une adresse IP

  • oui elle est censée ne plus être autant derrière un tas de protection du réseau interne local qu'avant
  • mais techniquement la box reste l'élément qui reçoit en premier les données venant d'internet PUIS la box fait le filtre pour envoyer le trafic vers les autres machines du réseau et les données spécifique pour celle place en DMZ
    (et en particulier on voit sur la figure Wikipédia (ICI) que le firewall n'est pas court-circuité, il sert encore d'intermédiaire, et donc tout dépend de comment il se comporte)

=> et hélas,

  1. même si je suis d'accord avec toi certaines box font (comme tu l'espères) un tri non sélectif vers la DMZ
  2. d'autres modèles (comme la tienne) font un tri sélectif et n'orientent vers la machine laissée "sans protection" dans la DMZ uniquement le trafic qu'on souhaite lui voir recevoir (par exemple un site web sur le port 8080, un serveur truc sur le port machin, etc. etc.). Ça permet tout simplement de limiter l'exposition et les attaques sur la machine se retrouvant "toute nue" en DMZ.

Donc oui, il y a "2 écoles" : les box qui ne filtrent rien vers la DMZ, d'autres qui filtrent uniquement sur la base des ports ouverts (manuellement ou éventuellement automatiquement par déclenchement de port)

Je ne sais pas te dire si, conformément à la "définition" de DMZ, l'une des attitudes est anormale, il faudrait creuser la théorie. Mais la pratique est ainsi.

 

C'est aussi pourquoi les gens qui veulent placer leur propre routeur recherchent idéalement une box qui dispose d'un mode bridge, et ne sont qu'à moitié satisfaits de devoir composer avec la DMZ qui n'est qu'un pis-aller quand on veut mettre son propre routeur.

À+

Digiclient NC → parti de sa planète disparue, pour une nouvelle terre d'accueil ♥
LaBox THD 4K (V3) - Connexion FttLA à 1000↓↑40 Mbit/s

0 Likes
Répondre
3 RÉPONSES 3
Yann
Contributeur Elite

‎25/10/2024 18h53

Bonsoir @Dagobu
Sur votre problématique, je me permets de taguer @Valentech et @Eyeid qui pourront sans doute vous suggérer une piste. 
Bonne soirée. 

Yann, Community Manager

Un mot inconnu ? Rendez-vous sur le Lexique de la Communauté SFR !
0 Likes
Répondre
Réponse certifiée par SFR
Ryry
Client Top Contributeur

‎26/10/2024 12h03

Bonjour @Dagobu 

 

Si je ne fais rien d'autre que la configuration en DMZ, je n'accède a rien de l'extérieur.

Pour que ca fonctionne il faut que je fasse aussi les redirections de ports sur la box SFR en plus de mon routeur.

Ce fonctionnement n'est pas normal, car sauf erreur de la part, quand on configure la DMZ ca renvoi tout sur l'ip configurée et pas besoin de redirection sur le box Operateur.

Non ça ne renvoie pas "tout le traffic reçu" sur l'IP configurée en DMZ (pour être équivalent à une "prise directe" sur internet, seul le mode bridge le garantit à 100% mais il n'existe pas sur ta box contrairement à la mienne).

Dans le cas de la mise en DMZ d'une adresse IP

  • oui elle est censée ne plus être autant derrière un tas de protection du réseau interne local qu'avant
  • mais techniquement la box reste l'élément qui reçoit en premier les données venant d'internet PUIS la box fait le filtre pour envoyer le trafic vers les autres machines du réseau et les données spécifique pour celle place en DMZ
    (et en particulier on voit sur la figure Wikipédia (ICI) que le firewall n'est pas court-circuité, il sert encore d'intermédiaire, et donc tout dépend de comment il se comporte)

=> et hélas,

  1. même si je suis d'accord avec toi certaines box font (comme tu l'espères) un tri non sélectif vers la DMZ
  2. d'autres modèles (comme la tienne) font un tri sélectif et n'orientent vers la machine laissée "sans protection" dans la DMZ uniquement le trafic qu'on souhaite lui voir recevoir (par exemple un site web sur le port 8080, un serveur truc sur le port machin, etc. etc.). Ça permet tout simplement de limiter l'exposition et les attaques sur la machine se retrouvant "toute nue" en DMZ.

Donc oui, il y a "2 écoles" : les box qui ne filtrent rien vers la DMZ, d'autres qui filtrent uniquement sur la base des ports ouverts (manuellement ou éventuellement automatiquement par déclenchement de port)

Je ne sais pas te dire si, conformément à la "définition" de DMZ, l'une des attitudes est anormale, il faudrait creuser la théorie. Mais la pratique est ainsi.

 

C'est aussi pourquoi les gens qui veulent placer leur propre routeur recherchent idéalement une box qui dispose d'un mode bridge, et ne sont qu'à moitié satisfaits de devoir composer avec la DMZ qui n'est qu'un pis-aller quand on veut mettre son propre routeur.

À+

Digiclient NC → parti de sa planète disparue, pour une nouvelle terre d'accueil ♥
LaBox THD 4K (V3) - Connexion FttLA à 1000↓↑40 Mbit/s

0 Likes
Répondre
Dan921
Contributeur Confirmé

‎24/01/2025 15h25

Bonjour,

 

Oui une configuration DMZ enverra automatiquement la majorité du trafic vers l'IP dédié sans aucune configuration sur la box hormis d'indiquer l'IP de votre routeur.

 

Certes on a une une différence avec un bridge et une DMZ en terme de fonctionnement mais sauf exception le DMZ suffira à la majorité des utilisateurs qui veut gérer le trafic et sa sécurité uniquement avec son routeur.

 

Votre routeur est une bonne machine à condition qu'elle soit bien configurée.

 

En IPv4 j'ai abandonné le fonctionnement avec DMZ et je préfère simplement mettre de simples règles de nat de la box vers l'IP de mon routeur. A partir du moment où on connait les ports à ouvrir cela fonctionne parfaitement.

 

Concernant IPv4 les installations sont en cgnat (adresse extérieure commence par 10......), si on veut pouvoir joindre une machine de l'extérieur il faut demander au service technique un "rollback IPv4 full stack", sans IPv4 fullstack impossible de joindre (simplement) une machine à partir de l'extérieur.

 

L'IPv6 permet d'accéder de l'extérieur mais SFR n'a pas simplifié la tâche si vous souhaitez gérer avec votre routeur votre réseau. Dans ce cas il faut passer avec la DMZv6 de la box (attention dans mon cas une configuration DHCPv6-**bleep** prend 20% de CPU sur mon Edgemax suite à un bug), oublier la délégation de Préfix qui ne marche pas mais configurer directement Router Advert sur l'interface LAN du routeur.

 

Autre solution qui fonctionne en IPv6 et IPv4 est de mettre directement sur le ONT. Avec les bons paramètres votre routeur remplacera la box, sur le WAN du routeur vous aurez l'IPv4 et IPv6 publics, par contre je déconseille cette solution si vous utilisez le téléphone et tv avec la box.

 

 

0 Likes
Répondre

FAQ SFR EN RAPPORT AVEC VOTRE QUESTION

Assistance SFR

FAQ SFR EN RAPPORT AVEC VOTRE QUESTION

Assistance SFR

Poser une question

Poser ma question à la communauté

Comment gagner des badges

Badges En savoir plus