Connexion à mon alarme impossible

[Papipio (Auteur du topic)]

Bonjour,
J’ai une alarme SOMFY que je paramètre / pilote avec mon PC. Elle est connectée en Ethernet à ma Freebox Revolution.
Depuis quelques jours, je ne peux plus me connecter à mon alarme. Je l’ai réinstallée / reconfigurée 4 fois, le résultat est toujours le même : je peux me connecter après la configuration, mais je me retrouve quelque temps après dans l’impossibilité de me connecter.
L’alarme utilise les ports 80 et 443.
J’ai réinitialisé ma Freebox, j’ai changé le DNS mettant les 2 DNS de Free, les ports 80 et 443 sont bien redirigés vers l’alarme, … : le résultat est toujours le même.
Comment puis-je résoudre mon problème ?
Pierre

[Alpha1]

[BreizhBOX]

Il a probablement besoin du port forwarding pour accéder à son alarme depuis l'extérieur, notamment depuis une application Android ou iOS, si ce n'est pas le cas en effet il vaut mieux laisser ça fermé, mais c'est assez classique sur un système d'alarme. Dans cette alarme il y a peut-être aussi un système vidéo.....

En revanche il faut en effet changer les ports comme 20443, 20080 (ca va dépendre de la plage de port attribuée si IP partagée), ça doit être tout à fait possible sur le serveur SOMFY

Il y a de toute évidence un conflit de port, soit une application qui écoute déjà sur les ports 80, 443 (ou "éventuellement" un serveur qui tombe face à un défonçage en règle via attaque DDOS, vu que les connexions privées ne sont pas des prestation d'hébergement, il n'y a pas de protection anti DDOS, donc les pirates peuvent facilement faire tomber un serveur Web privé sans trop d'effort)

L'une des causes possibles c'est un accès distant Freebox activé (alors que je le déconseille formellement), qui se fait aussi par défaut sur ces ports 80 / 443. Dans ce cas la Freebox génère une seconde règle de forwarding qui vient en conflit avec la règle créée pour l'alarme.

Au demeurant en IP local, le système d'alarme doit toujours être accessible vu qu'elle a une adresse IP locale différente de la Freebox, c'est sur un accès externe qu'il doit y avoir problème

Si l'accès via IP local n'est même pas/plus actif le problème semble localisé sur le système SOMFY lui-même.
Il suffit de pinger dessus en local pour voir déjà si le serveur répond. Comme visiblement il y a un accès HTTPS ce peut être aussi un problème de certificat

Si on tient absolument à activer l'accès distant à Freebox OS, même chose IL FAUT CACHER CES PUT..AIN DE PORTS 80 / 443 A LA C ON en paramétrant des ports alternatifs. Ces ports standards ne doivent être utilisés qu'en cas d'absolue nécessité comme un serveur à large diffusion publique... auquel cas il est en général plus sage d'aller se faire héberger si on ne veut pas se faire régulièrement défoncer la connexion

On accède à Freebox OS de l'extérieur : https://mondomaine.Freebox OS.fr:20543 (exemple de ports alternatifs)
Idem pour SOMFY, en ce qui concerne l'application Android / iOS il doit y avoir une zone pour paramétrer le port du serveur local


NOTE : il ne faut pas activer le parefeu IPv6 de la Freebox. Si le serveur d'aventure fonctionne en IPv6, la box va bloquer tous les flux entrants sans possibilité actuellement d'ouvrir des ports IPv6 manuellement. C'est une demande de fonctionnalité faite aux développeurs depuis très longtemps mais ils ont l'air de s'en foutre.

[Papipio (Auteur du topic)]

Bonjour,
Merci pour vos réponses.
Je ne comprends pas tout ce que vous dites … !
La configuration établie est celle qui a fonctionné des années.
Que ce soit par l’adresse locale 192.168.1.30 attribuée par un bail statique, ou par l’adresse pseudo.alarmesomfy.net , la connexion est possible après réinitialisation et devient impossible après quelque temps.
Comment désactiver l’accès distant à la Freebox ?
Je pense maintenant que la carte interface Ethernet est HS (???)
Pierre

[BreizhBOX]

1) Vérification DNS

Vous semblez confirmer que l'accès local ne pose pas problème, donc ce peut-être un problème DNS, ou un problème lié à l'ouverture de port qui serait déjà utilisé par un autre service

Vérifiez sous Windows avec "nslookup pseudo.somfy.net" si la DNS renvoie bien l'adresse de votre Freebox (l'adresse IPv4 externe a priori)

Si la requête tombe en échec, pas la peine d'aller chercher plus loin c'est un problème lié à SOMFY
C'est SOMFY qui gère le domaine en question, donc à la demande des utilisateurs SOMFY enregistre les sous domaines (ou pseudo) avec l'adresse IP

Le pseudo que vous utilisez a été radié ou est inactif pour une raison à déterminer
- Abonnement suspendu suite à impayé
- votre alarme requiert une mise à jour de sécurité impérative (mise à jour du firmware) que vous n'avez pas effectué
- Le pseudo doit a priori correspondre à votre identifiant utilisateur SOMFY, vérifier que votre compte n'a pas été hacké
- pour l'accès HTTPS le serveur SOMFY doit générer un certificat, si il y a un souci à ce niveau il faut accéder en HTTP (ce qui n'est pas recommandé de nos jours)

2) Hypothèse du conflit de port lié à une activation volontaire ou accidentelle de l'accès distant à la Freebox

Dans Freebox OS, mode avancé, configuration.... ce n'est quand même pas très compliqué

- sur la case "activer l'authentification par mot de passe", veiller à ce que la case ne soit pas cochée
Cette case n'a d'effet que sur une tentative d'accès externe, l'accès à Freebox OS en réseau local reste toujours actif

- dans tous les cas dans les zones ports d'accès distant http et https, changer les numéro de ports qui sont par défaut 80 et 443. La Freebox génère en effet des règles d'ouverture de port qui viennent ici en conflit avec les vôtres.

Si vous êtes en IP partagée choisissez des ports dans la zone qui vous a été attribuée, port supérieur à 10000 (en dessous vous risquez de tomber sur des ports réservés)

3) Port d'accès extérieur à l'alarme

Je le répète encore une fois ON NE FOUT PAS SON ALARME SUR LES PORTS 80 / 443, arrêtez de vous entêter et écoutez un peu les conseils qu'on vous donne.

Ces ports doivent rester fermés sur l'extérieur sauf cas d'usages particuliers, aux risques de l'utilisateur.
Ces ports sont MASSIVEMENT scannés et font l'objet des attaques prioritaires des hackeurs.

En fait petite correction. vous n'avez pas forcément besoin de changer la configuration du serveur SOMFY
Dans la règle de port vous faites une redirection au lieu de faire une simple ouverture

Par exemple vous ouvrez le port extérieur 20443 et vous le redirigez vers l'adresse IP local de votre serveur SOMFY sur son port 443
Idem pour le port 80, vous pouvez mapper 20080 (extérieur) vers IP local SOMFY port 80

Au niveau local, vous accéderez toujours au serveur SOMFY via les port 80/443 en utilisant l'adresse IP

De l'extérieur vous y accédez via : https://pseudo.somfy.net:20443, et il faudra répercuter ce paramètre sur votre application Android ou iOS qui par défaut va chercher à accéder au serveur via les ports standards

Que ça marchait avant n'est pas la question, il s'agit d'une mauvaise pratique qui peut vous attirer des gros problèmes, notamment une coupure pure et simple d'Internet si Free faisait face à une attaque d'une ampleur inhabituelle.

4) Problème d'IP partagée

Vous êtes peut-être en IP partagée, ce qui est la situation par défaut.
Il est possible que suite à des évolutions le serveur SOMFY change de comportement et répondent "hors plage"

En effet... on initie une authentification sur le port 443 par exemple, mais les données vont transiter sur un autre port généralement aléatoire et qui peut répondre "hors plage". Si on vous a attribué la plage 20000 / 40 000 et que le serveur communique sa data sur le port 41 000, il est hors plage car les flux entrant sur le port 41 000 sont redirigés chez votre coallocataire.

Dans ce cas, il faut faire une demande d'IP Full Stack pour avoir une adresse IP avec tous les ports attribués
Ca prend 24 h, une nouvelle adresse IPv4 ainsi qu'un nouveau préfixe IPv6 vous sera attribué, il faudra le cas échéant répercuter ces modifications dans vos applications.

Pour le Prefixe IPv6 il est possible qu'il demeure le même, je ne me rappelle plus, l'IP Full Stack ne concernant en fait que l'IPv4, en IPv6 il n'y a pas d'IP partagée, c'est donc hors sujet. Mais comme cela induit un changement physique de routeur, a priori IPv4 et prefixe IPv6 changent.