onfigurer dynDNS, Inadyn, NAT et la sécurité pour accéder à sa Dreambox depuis le web
Bonjour,
Voici comment accéder à sa Dreambox depuis le web, si le streaming* est compromis, envoyer un message, une programmation, un enregistrement, … ça peut être sympa et utile.
Situation de départ
Configurer dynDNS (SERVEUR)
Configurer InaDyn (CLIENT)
Translation d’adresses NAT (routeur)
L’accès à la Dreambox
Sécuriser l’accès
Et pour Enigma¹ ?
Transfert des favoris à distance
*pas de transcodage pour le web
Avertissement :
Avec toutes ces manipulations, il faut bien sûr réfléchir à la question de la sécurité, car toutes ces ouvertures de ports sont autant de portes exploitables par un hacker. :!:
________________________________________
1. Situation de départ:
En général, on a son l’adresse IP sur internet du type 85.5.25.XX. : http://www.adresseip.com/
On souhaite accéder à sa Dreambox (généralement connectée sur un routeur) depuis le Web. D’une part se souvenir d’une telle adresse n’est pas facile, mais d’autre part si elle est variable (cela dépendra du FAI) c’est la galère.
Il restera dans le réseau domestique à rediriger les ports NAT (Network Address Translation) pour orienter l’accès vers un PC, serveur ou par exemple une Dreambox. Cela dépendra de l’application.
Sur l’image ci-dessous le PC Toto souhaite accéder facilement, via internet, à la DM800:
Cliquez pour agrandir l'Image
On distingue dans ce réseau domestique une configuration courante : le modem(adsl/câble) et le routeur (souvent un même appareil fait les deux) et deux ordinateurs: PC1, PC2 et une Dreambox DM800.
________________________________________
2. Configurer dynDNS (SERVEUR)
Pour traduire son adresse IP 85.5.25.XX en un synonyme du type mon_nom.dyndns.org et avoir la possibilité de la mettre à jour automatiquement, le serveur dynDNS http://www.dyndns.com/ va nous permettre de le faire gratuitement.
Il faut ouvrir un compte (Create Account) : https://www.dyndns.com/account/
Ne pas oublier son choix du : mon_nom_login et mon_mot_de_passe
N.B. Ils serviront plus tard également pour le client InaDyn !
Cliquez pour agrandir l'Image
Une fois le compte validé, on va y ajouter un service:
Cliquez pour agrandir l'Image
Plus précisément le nom d’hôte, par exemple : mon_nom.dyndns.org
De nombreux autres choix sont possibles (mon_nom.dyndns.tv pourquoi pas). Ne pas oublier d’indiquer l’adresse IP qui peut être placée automatiquement avec « use auto detect IP ».
Cliquez pour agrandir l'Image
Si le nom est disponible c’est tout ce qu’il y a à faire du côté du serveur dynDNS.
On retient : mon_nom.dyndns.org avec mon_nom_login et mon_mot_de_passe
________________________________________
3. Configurer InaDyn (CLIENT)
Cette partie n’a de l’intérêt que si l’adresse IP de la maison est variable (cela dépend du FAI) !
Certains routeurs disposent d’un Client permettant d’actualiser son adresse IP avec dynDNS, un PC peut également le faire avec un logiciel client (par exemple http://www.dyndns.com/support/clients/ ) mais il doit être constamment allumé (ce qui n’est pas très écolo).
:idea: La dreambox qui dispose aussi d’un client linux Inadyn. :idea:
Pour la DM800 avec la Gemini 4.1 on va activer ce client et le configurer. Pour cela avec le bouton bleu on passe par le Blue Pannel:
Cliquez pour agrandir l'Image
Ensuite, on accède au menu Services / Deamons :
Cliquez pour agrandir l'Image
On va paramétrer Inadyn (Client dynamique DNS). Le bouton bleu permet le paramétrage. Compléter en fonction des choix faits plus haut chez dynDNS.org : délai, nom, mot de passe, … comme sur l’image ci-dessous :
Cliquez pour agrandir l'Image
Ici la DM800 est cliente et toutes les 60 minutes elle actualisera l’adresse IP.
Remarque :
NouNours à écrit :
inadyn.conf n’existe plus sous enigma²
tout se passe dans /usr/script/inadyn_script.sh
Astuce :
modifier les lignes de 6 à 13 dans inadyn_script.sh ,
c’est moins fastidieux qu’écrire avec la télécommande.
EDIT 5.01.2011
La édition manuelle du script inadyn.sh avec le GP3-BluePanel est possible ici :
/etc/init.d/inadyn.sh
On va activer Inadyn (Client dynamique DNS) :
- Le bouton OK permet l’activation ou non du service InaDyn.
- Le bouton jaune permettra de vérifier que tout est fonctionnel.
Cliquez pour agrandir l'Image
A ce stade mon_nom.dyndns.org est mon adresse sur internet et me permettra plus tard d’accéder à ma Dreambox. Il reste encore un petit travail à faire du côté du routeur.
________________________________________
4. Translation d’adresses NAT (routeur)
Dès l’instant que l’on a un PC et une Dreambox, il y a fort à parier que l’on a un routeur. Pour décider quel port va être diriger vers quelle machine, il faut l’indiquer spécifiquement. Le port le plus courant est le port 80 qui permet par exemple d’accéder à l’Interface Web (WebIf) de votre Dreambox.
Une dreambox Enigma² utilise conjointement les ports 80 et 8001 pour WebIf et le streaming avec VLC.
Je suppose que l’adresse IP (locale) de la Dreambox est configurée comme fixe et par exemple : 192.168.1.21
Dans MENU / Paramétrage / Système / Réseau /… :
Cliquez pour agrandir l'Image
Généralement on accède au routeur avec son navigateur Web et l’adresse de la passerelle est couramment : 192.168.1.1 (voir son manuel pour le login)
Cliquez pour agrandir l'Image
Dans le mode expert on a plus d’options :
Cliquez pour agrandir l'Image
Il faut configurer le NAT (Network Address Translation).
Cliquez pour agrandir l'Image
Pour cela il faut créer le SERVICE pour le port 8001, que j’ai appelé VLC media player pour permettre le streaming :
Cliquez pour agrandir l'Image
Il faut en particulier créer, ou s’assurer qu’il existe, le SERVICE pour le port 80 couramment porteur du nom HTTP
Cliquez pour agrandir l'Image
Ensuite on spécifie que le service VCL est dirigé vers la Dreambox 192.168.1.21, de même pour le service HTTP : :
Cliquez pour agrandir l'Image
Cliquez pour agrandir l'Image
—————————————————————————————————
Remarque importante et choix du rédacteur :
Concrètement, on peut renoncer au port 8001 car le streaming sur le web n’est pas possible à moins d’avoir du très, très haut débit.
On peut également renoncer au port 80 pour des raisons de sécurité. On utilisera par exemple le port 81 que l’on sécurisera (voir plus loin) et reroutera vers port 81 de la Dreambox. Ce sera finalement mon choix :
Cliquez pour agrandir l'Image
Cliquez pour agrandir l'Image
Je réserve, comme on verra plus loin, le port 80 (non securiés) pour la connexion locale.
________________________________________
5. L’accès à la Dreambox DM800
Toto peut maintenant accéder à la Dreambox avec l’interface WebIf depuis n’importe où, en saisissant ,dans son navigateur préféré.
Si on utilise le port 80 : http://mon_nom.dyndns.org
Si on utilise le port 81 : http://mon_nom.dyndns.org:81
Cliquez pour agrandir l'Image
A ce stade, l’accès n’est pas sécurisé et pour remédier à cela la démarche est écrite juste plus bas.
________________________________________
6. Sécuriser la WebInterface
Il faut se rendre dans les extensions (plugins) :
Cliquez pour agrandir l'Image
WebIf est installé par défaut et peut être, quelque peu, paramétré :
Cliquez pour agrandir l'Image
Au passage je choisi d’autoriser l’accès au disque-dur :
Cliquez pour agrandir l'Image
Le bouton jaune, Interfaces me donne l’accès au paramétrage des ports et de la sécurité :
Cliquez pour agrandir l'Image
Je laisse le port 80 non sécurisé, pour l’utilisation sur le réseau local. Par contre j’ajoute un port 81 sécurisé !
Cliquez pour agrandir l'Image
Cliquez pour agrandir l'Image
Pour les paranos, il y a encore la possibilité d’activer le protocole : :arrow: Secure Socket Layer (SSL) :mrgreen:
Choix du login et du mot de passe :
En Telnet, utiliser la commande :
passwd
Via le Blue Panel:
Cliquez pour agrandir l'Image
Dans paramètres, on trouve l’option pour choisir le mot de passe :
Cliquez pour agrandir l'Image
Cliquez pour agrandir l'Image
On saisit son login et mot de passe personnel :
Cliquez pour agrandir l'Image
Finalement on a le résultat :
Cliquez pour agrandir l'Image
L’utilisation de WebIf nécessite maintenant un mot de passe choisi pas vos soins :
Cliquez pour agrandir l'Image
LOGIN : root
PASS : mon mot de passe
N.B. ce mot passe devient également celui de l’accès “FTP”.
Remarque:
Il est également possible de changer le mot de passe root en ligne de commande avec : passwd
Bonjour,
Voici comment accéder à sa Dreambox depuis le web, si le streaming* est compromis, envoyer un message, une programmation, un enregistrement, … ça peut être sympa et utile.
Situation de départ
Configurer dynDNS (SERVEUR)
Configurer InaDyn (CLIENT)
Translation d’adresses NAT (routeur)
L’accès à la Dreambox
Sécuriser l’accès
Et pour Enigma¹ ?
Transfert des favoris à distance
*pas de transcodage pour le web
Avertissement :
Avec toutes ces manipulations, il faut bien sûr réfléchir à la question de la sécurité, car toutes ces ouvertures de ports sont autant de portes exploitables par un hacker. :!:
________________________________________
1. Situation de départ:
En général, on a son l’adresse IP sur internet du type 85.5.25.XX. : http://www.adresseip.com/
On souhaite accéder à sa Dreambox (généralement connectée sur un routeur) depuis le Web. D’une part se souvenir d’une telle adresse n’est pas facile, mais d’autre part si elle est variable (cela dépendra du FAI) c’est la galère.
Il restera dans le réseau domestique à rediriger les ports NAT (Network Address Translation) pour orienter l’accès vers un PC, serveur ou par exemple une Dreambox. Cela dépendra de l’application.
Sur l’image ci-dessous le PC Toto souhaite accéder facilement, via internet, à la DM800:
Cliquez pour agrandir l'Image
On distingue dans ce réseau domestique une configuration courante : le modem(adsl/câble) et le routeur (souvent un même appareil fait les deux) et deux ordinateurs: PC1, PC2 et une Dreambox DM800.
________________________________________
2. Configurer dynDNS (SERVEUR)
Pour traduire son adresse IP 85.5.25.XX en un synonyme du type mon_nom.dyndns.org et avoir la possibilité de la mettre à jour automatiquement, le serveur dynDNS http://www.dyndns.com/ va nous permettre de le faire gratuitement.
Il faut ouvrir un compte (Create Account) : https://www.dyndns.com/account/
Ne pas oublier son choix du : mon_nom_login et mon_mot_de_passe
N.B. Ils serviront plus tard également pour le client InaDyn !
Cliquez pour agrandir l'Image
Une fois le compte validé, on va y ajouter un service:
Cliquez pour agrandir l'Image
Plus précisément le nom d’hôte, par exemple : mon_nom.dyndns.org
De nombreux autres choix sont possibles (mon_nom.dyndns.tv pourquoi pas). Ne pas oublier d’indiquer l’adresse IP qui peut être placée automatiquement avec « use auto detect IP ».
Cliquez pour agrandir l'Image
Si le nom est disponible c’est tout ce qu’il y a à faire du côté du serveur dynDNS.
On retient : mon_nom.dyndns.org avec mon_nom_login et mon_mot_de_passe
________________________________________
3. Configurer InaDyn (CLIENT)
Cette partie n’a de l’intérêt que si l’adresse IP de la maison est variable (cela dépend du FAI) !
Certains routeurs disposent d’un Client permettant d’actualiser son adresse IP avec dynDNS, un PC peut également le faire avec un logiciel client (par exemple http://www.dyndns.com/support/clients/ ) mais il doit être constamment allumé (ce qui n’est pas très écolo).
:idea: La dreambox qui dispose aussi d’un client linux Inadyn. :idea:
Pour la DM800 avec la Gemini 4.1 on va activer ce client et le configurer. Pour cela avec le bouton bleu on passe par le Blue Pannel:
Cliquez pour agrandir l'Image
Ensuite, on accède au menu Services / Deamons :
Cliquez pour agrandir l'Image
On va paramétrer Inadyn (Client dynamique DNS). Le bouton bleu permet le paramétrage. Compléter en fonction des choix faits plus haut chez dynDNS.org : délai, nom, mot de passe, … comme sur l’image ci-dessous :
Cliquez pour agrandir l'Image
Ici la DM800 est cliente et toutes les 60 minutes elle actualisera l’adresse IP.
Remarque :
NouNours à écrit :
inadyn.conf n’existe plus sous enigma²
tout se passe dans /usr/script/inadyn_script.sh
Astuce :
modifier les lignes de 6 à 13 dans inadyn_script.sh ,
c’est moins fastidieux qu’écrire avec la télécommande.
EDIT 5.01.2011
La édition manuelle du script inadyn.sh avec le GP3-BluePanel est possible ici :
/etc/init.d/inadyn.sh
On va activer Inadyn (Client dynamique DNS) :
- Le bouton OK permet l’activation ou non du service InaDyn.
- Le bouton jaune permettra de vérifier que tout est fonctionnel.
Cliquez pour agrandir l'Image
A ce stade mon_nom.dyndns.org est mon adresse sur internet et me permettra plus tard d’accéder à ma Dreambox. Il reste encore un petit travail à faire du côté du routeur.
________________________________________
4. Translation d’adresses NAT (routeur)
Dès l’instant que l’on a un PC et une Dreambox, il y a fort à parier que l’on a un routeur. Pour décider quel port va être diriger vers quelle machine, il faut l’indiquer spécifiquement. Le port le plus courant est le port 80 qui permet par exemple d’accéder à l’Interface Web (WebIf) de votre Dreambox.
Une dreambox Enigma² utilise conjointement les ports 80 et 8001 pour WebIf et le streaming avec VLC.
Je suppose que l’adresse IP (locale) de la Dreambox est configurée comme fixe et par exemple : 192.168.1.21
Dans MENU / Paramétrage / Système / Réseau /… :
Cliquez pour agrandir l'Image
Généralement on accède au routeur avec son navigateur Web et l’adresse de la passerelle est couramment : 192.168.1.1 (voir son manuel pour le login)
Cliquez pour agrandir l'Image
Dans le mode expert on a plus d’options :
Cliquez pour agrandir l'Image
Il faut configurer le NAT (Network Address Translation).
Cliquez pour agrandir l'Image
Pour cela il faut créer le SERVICE pour le port 8001, que j’ai appelé VLC media player pour permettre le streaming :
Cliquez pour agrandir l'Image
Il faut en particulier créer, ou s’assurer qu’il existe, le SERVICE pour le port 80 couramment porteur du nom HTTP
Cliquez pour agrandir l'Image
Ensuite on spécifie que le service VCL est dirigé vers la Dreambox 192.168.1.21, de même pour le service HTTP : :
Cliquez pour agrandir l'Image
Cliquez pour agrandir l'Image
—————————————————————————————————
Remarque importante et choix du rédacteur :
Concrètement, on peut renoncer au port 8001 car le streaming sur le web n’est pas possible à moins d’avoir du très, très haut débit.
On peut également renoncer au port 80 pour des raisons de sécurité. On utilisera par exemple le port 81 que l’on sécurisera (voir plus loin) et reroutera vers port 81 de la Dreambox. Ce sera finalement mon choix :
Cliquez pour agrandir l'Image
Cliquez pour agrandir l'Image
Je réserve, comme on verra plus loin, le port 80 (non securiés) pour la connexion locale.
________________________________________
5. L’accès à la Dreambox DM800
Toto peut maintenant accéder à la Dreambox avec l’interface WebIf depuis n’importe où, en saisissant ,dans son navigateur préféré.
Si on utilise le port 80 : http://mon_nom.dyndns.org
Si on utilise le port 81 : http://mon_nom.dyndns.org:81
Cliquez pour agrandir l'Image
A ce stade, l’accès n’est pas sécurisé et pour remédier à cela la démarche est écrite juste plus bas.
________________________________________
6. Sécuriser la WebInterface
Il faut se rendre dans les extensions (plugins) :
Cliquez pour agrandir l'Image
WebIf est installé par défaut et peut être, quelque peu, paramétré :
Cliquez pour agrandir l'Image
Au passage je choisi d’autoriser l’accès au disque-dur :
Cliquez pour agrandir l'Image
Le bouton jaune, Interfaces me donne l’accès au paramétrage des ports et de la sécurité :
Cliquez pour agrandir l'Image
Je laisse le port 80 non sécurisé, pour l’utilisation sur le réseau local. Par contre j’ajoute un port 81 sécurisé !
Cliquez pour agrandir l'Image
Cliquez pour agrandir l'Image
Pour les paranos, il y a encore la possibilité d’activer le protocole : :arrow: Secure Socket Layer (SSL) :mrgreen:
Choix du login et du mot de passe :
En Telnet, utiliser la commande :
passwd
Via le Blue Panel:
Cliquez pour agrandir l'Image
Dans paramètres, on trouve l’option pour choisir le mot de passe :
Cliquez pour agrandir l'Image
Cliquez pour agrandir l'Image
On saisit son login et mot de passe personnel :
Cliquez pour agrandir l'Image
Finalement on a le résultat :
Cliquez pour agrandir l'Image
L’utilisation de WebIf nécessite maintenant un mot de passe choisi pas vos soins :
Cliquez pour agrandir l'Image
LOGIN : root
PASS : mon mot de passe
N.B. ce mot passe devient également celui de l’accès “FTP”.
Remarque:
Il est également possible de changer le mot de passe root en ligne de commande avec : passwd