IPv6 + CGNAT, Box SFR 8 DMZ défectueuse.
Le soir de mon retour, je me jette sur l'administration de mon tout nouveau modem SFR. L'interface est épurée, ça me convient parfaiement, c'est ergonomique, je ne me perds nulle part.
Je regarde la configuration, je ne comprends pas d'ou vient mon impossibilité d'accèder à mes services depuis le monde extérieur.
Je rentre bien en DMZ l'adresse ip de mon parefeu qui lui s'occupe du filtrage et du natage.
Je tente des requêtes depuis mon LAN en sortant bien et en rentrant à nouveau depuis internet mais rien, aucun service ne répond, les journaux du parefeu ne font même pas mention de la moindre tentative de connexion, rejetée ou accpetée ?
Je prends mon téléphone, je le connecte à un pc portable et j'accède à internet via ce modem USB, je tente d'accéder à mes services. Côté LAN le parefeu ne voit aucune requête entrante. Ce n'est donc pas lui qui bloque.
Je comprends que la DMZ renseignée dans le modem fibre ne fonctionne pas.
Et puis ... Quelque chose m'interpelle dans la configuration IP du modem.
Une résolution de nom sur mon domaine ramène une adresse IP en 72.x.x.x, c'est bien ce qu'annonce le modem.
Sauf que .. il est ensuite fait mention d'une ip en 10.x.x.x ???
De plus certaines opérations de configuration ne sont pas permises, comme la redirection de ports en IPv4 car un message assène que la configurarion WAN IPv6 ne le permet pas ???
Houla ! J'avais lu quelque chose là dessus il y a des années déjà. Je cherche sur internet et très rapidement je trouve l'information : SFR fait de la translation d'adresse IPv4 pour faire face à la pénurie.
Le client moyen s'en fiche, il accède à internet parfaitement, mais celui qui auto héberge quelques service est impacté.
Je vous laisse chercher sur les forums d'entraide "IPv6 + CGNAT SFR" et vous comprendrez rapidement.
La solution est de contacter le service technique (1023) et de demander à repasser en full IPv4. Cela se fait mais à priori au terme de longs et fastidieux/douloureux appels. Je n'ai pas le choix, je tente.
Pas de chance, le 1023 me dit qu'en tant que nouveau client je dois contacter le 08......... et raccroche (le serveur vocal).
J'appelle donc ce service, je suis sur une hotline au Magrheb et il est dur de se faire comprendre mais j'y étais préparé, la hotlineuse me dit d'ailleurs qu'elle ne comprend pas ma demande et me transfère rapidement au service technique (1023 ^^).
Là on me dit qu'il n'y a aucune problème.
J'avais lu sur les forums qu'il fallait placer certains mots clés comme "rollback ipv4 full stack" et bien insister sur le fait qu'on est un geek en disant "je ne peux pas accéder à mes serveurs/services depuis internet". Et il semble en effet que cela fonctionne, je sens le service technique très réactif, on me dit :
"attention, le rollback vers une ipv4 est une opération lourde qui entraine une coupre allant de 3 à 8h".
Bien évidemment je donne mon accord et je suis confiant, certain d'avoir été compris.
Bien avant le délais, en surveillant plusieurs choses, je vois que l'ip de mon nom de domaine a de nouveau changé :) C'est bon signe je suis passé sur une nouvelle plage IP. Mais pour autant aucun service n'est encore accessible. Je dois attendre la fin de ma journée de travail et lorsque j'arrive à mon domicile je me connecte au modem. j'ai confirmation du changement d'adresse IP, plus la moindre mention à un réseau en 10.x.x.x et plus d'avertissement concernant le WAN ipv6.
la DMZ est bien déclarée vers mon parefeu, mais rien ne passe. Je retire cette information et la réactive, pas mieux.
Je tente alors de faire une redirection de port pour le 443 et ... bingo, le HTTPS est accessible depuis l'extérieur. Mais QUE lui ?
Très rapidement, à force de tests, je constate indéniablement que la fonction DMZ de cette SFR BOX 8 ne fonctionne pas.
Une recherche sur internet me confirme que je ne suis pas le seul et visiblement ça date de la Box v6.
Il faut donc faire une double déclaration, sur mon parefeu c'était déjà renseigné mais il me faut déclarer tous les ports/proto de nouveau sur le modem. Fastidieux mais au moins cela fonctionne.
En revanche quand j'aurais besoin de faire une nouvelle déclaration depuis le monde extérieur ça sera compliqué (mais faisable, mais compliqué).
Nous sommes mardi, j'en suis à mon 4è jour chez RED et malgré quelques excentricités de leur part, je suis satisfait.
D'autant plus que je me suis résigné à prendre leur décodeur TV pour +3€ mensuels et que la qualité est au rendez-vous.
Lorsque j'ai débalé ce petit décodeur TV et l'ai mis en service j'ai bien rigolé, il s'agit ni plus ni moins d'un terminal Google, pas un Chromecast mais un autre produit (Connect il me semble).
A l'allumage on voit une mention "Android" et "Google" et puis on arrive sur une interface "RED" avec du vert dans la charte graphique.
c'est un très bon produit qui fonctionne très bien et permet d'obtenir la TV en THD.
Je suis tout de même dérangé par le fait que RED/SFR fasse tout pour que son appli ne soit pas disponble sur les Stores ou fait en sorte que cela ne fonctionne pas, mais si on paye encore en plus, on pourra avoir quelque chose qui fonctionne.
Pour rappel un Chromecast c'est 39€, en 14 mois de location dudit décodeur je dépasserai ce prix, malins chez SFR.
Mais "pas grave", je paye 30€ d'internet, 7€ de location du modem, 3€ de location du décodeur soit 40€ contre 72 avant.
Dans la nuit de jeudi à vendredi, dans mon secteur il y a une panne ENEDIS vers 4h du matin. Le réseau ne sera rétabli que vers 10h30.
Mais je n'ai plus internet.
