Acceder à sa tima capsule par mobileme

[babas123]

Bonjour,

Je suis souvent en déplacement et j'aimerais avoir acces à ma time capsule (située chez moi, branchée sur une neufbox de sfr) depuis n'importe où. Je me suis donc tourné vers MobileMe et back to my mac.
Problème : partout ou je vais, je vois mas TC dans les appareils partagés mais je ne peux pas m'y connecter. Quand je vais voir dans le panneau de configuration, je lis : "Accès à mon mac ne peut fournir d'accès distant aux services partagés car il nécessite un routeur prenant en charge le protocole NAT-PmP ou Upnp..."
Sauriez-vous me dire ce que ça signifie et surout commet je peux régler le probleme?

Pour info, ma TC est branchée sur une neuf box de SFR, elle diffuse un réseau wifi privé et un réseau d'invité. J'ai activé Upnp sur la neuf box.

Merci infiniment

---------- Nouveau message ajouté à 02h05 ---------- Le message précédent a été envoyé à 00h36 ----------

Personne....?

Vraiment si vous pouviez m'aider ce serait super. J'an ai réellement besoin.... merci

 

[Dramis]

Tu as un double NAT dans ton reseaux.

Il faut configurer le modem neuf en gateway, brancher ta time capsule dessus.

Une fois configurer corectement, tu peux vérifier que l'adresse ip du wan de la time capsule est routable sur le net.

 

[babas123]

merci pour ta réponse,

effectivement je suis en double nat.... ùais j'avoue que je suis un peu perdu avec toutes ces notions.

Bref, il faut donc que je configure la neuf box en mode bridge c'est ça?

par contre, peut-tu m'expliquer ce que tu veux dire par vérifier que l'adresse ip du wan est routable?

merci

 

[babas123]

toujours personne?

 

[r e m y]

Le problème n'est pas uniquement chez toi..... c'est aussi là depuis où tu essaies de te connecter à distance (un hôtel, un lieu de vacances, le boulot...) qu'il faut un routeur UpnP

Moi j'ai réussi UNE fois à utiliser Back to my Mac en étant chez un ami équipé d'une borne Airport....

Mais où que j'aille ailleurs, impossible de me connecter (et sans possibilité d'accéder à la box pour la reconfigurer en routeur UPnP bien sûr...)

 

[babas123]

oui donc en gros on peut rien faire, sauf attendre que tous les routeurs supportent le uPnP!

C'est bien dommage, ça aurait été vraiment pratique...

Il y aurait une autre méthode que mobile me pour accéder à la TC par internet?
j'imagine que si ça existe c'est une opération compliquée et périlleuse.. (enfin pour moi!)

En tout cas merci

 

[Dramis]

toujours personne?

Calme toi...

 

[babas123]

Calme toi...

Je suis très calme.....

 

[Dramis]

Bref, il faut donc que je configure la neuf box en mode bridge c'est ça?

Oui et ta time capsule sera branché direct sur le net sans nat.

par contre, peut-tu m'expliquer ce que tu veux dire par vérifier que l'adresse ip du wan est routable?

Pour l'ip du wan, tu vas dans utilitaire airport connection manuel, dans airport, résumé, tout en bas: connexion via: Ethernet Adresse IP: xx.xx.xx.xx cette adresse ip doit être routable sur le net

Les adresses non routable sont les suivantes:
192.168.x.x
10.x.x.x
172.x.x.x

Pour que ca fonctionne il faut qu'un seul routeur upnp, ou que la time capsule soit branché direct sur le net (box en mode bridge) et que le port 4500 en udp ne soit pas bloqué par un firewall (dans les hotels ils ouvrent que le 80/443)

 

[babas123]

ok je vais voir ça.

Mais j'avais déjà essayer et du coup la capsule n'arrivée pas à se connecter à internet. Il faut rentrer manuellement l'adresse ip, le routeur et les serveurs DNS?

 

[Dramis]

Il faut que tu configures le pppoe:

Ils explique comment faire pour windows ici

Tu fais la meme choses dans utilitaire airpot / internet / connexion a internet

tu prends connexion viai PPPoE

 

[babas123]

Super! merci effectivement ça fonctionne, je n'ai plus le problème de double NAT et j'arrive a me connecter au net sans problème! Merci c'est déjà un grand pas!

Par contre, je ne peux toujours pas acceder à la TC de l'exterieur....

Merci en tout cas

---------- Nouveau message ajouté à 15h22 ---------- Le message précédent a été envoyé à 15h19 ----------

Pourtant l'adresse IP est routable, elle est de type 93.26.xxx.xxx

 

[Dramis]

Back to my mac fonctionne avec une connexion IPSEC, depuis l'extérieur ou tu te connectes si il y a un firewall qui bloque le port 4500 en udp ca ne fonctionnera pas.

Tu te connectes depuis ou quand tu es a l'extérieur? 3g, wifi public, neufbox partagé?

 

[babas123]

je me connecte souvent à des hotspots neufs ou a des réseau fournis WIFI (fac, laboratoire, hotels) et j'ai toujours le même message "ne parvient pas à se connecter car upnp...."

C'est vraiment dommage que ce service ne soit pas plus généralisé ce serait pourtant partique...

 

[Dramis]

C'est vraiment dommage que ce service ne soit pas plus généralisé

Ce n'est pas un problème de service mais d'infrastructure et même de neutralité du réseaux.

Il faut savoir que sur un canal crypter, les administrateurs réseaux peuvent voir le canal mais pas son contenu. Il est donc très facile de faire sortir des données confidentiels d'une organisation par se moyen tout en étant discret.

Pour hotspot neufbox, les ports ouvert sont les suivant:
HTTP TCP 80, 8080
HTTPS TCP 443
MAIL TCP 25,110,143,220
SIP UDP 5060
IPSEC TCP 50,51
IPSEC UDP 500

Le port 4500 en udp est fermé, le tunel ipsec pour back to my mac ne pourra pas être créé.

Tu ne pourras pas utiliser back to my mac.

Le port 443 est jamais blocqué (web sécurisé). Tu peux utiliser openvpn pour te créer un tunnel sécurisé sur se port et avoir accès a ta time capsule depuis n'importe qu'elle connecxion.

 

[babas123]

oui ça peut être interressant, je vais essayer de voir comment ça marche.
Il faut télécharger openvpn c'est ça?

Vraiment merci pour tout tes éclaircissements

---------- Nouveau message ajouté à 16h44 ---------- Le message précédent a été envoyé à 16h39 ----------

Je viens de penser à autre chose....

Ce n'est pas possible de joindre la TC par AFP?

Avec Openvpn on peut joindre la TC sans qu'elle soit connectée à un ordinateur?

 

[Dramis]

C'est plus compliqué que ca, mais en gros ca te prends un serveur vpn a la maison et un client vpn sur le mac....

Moi j'utilise pfsence dans mon routeur qui contient le serveur vpn.
Tu peux aussi regarder dd-wrt qui a le serveur vpn dans le logiciel du routeur.

 

[zags]

Si je peux me permettre de deterrer ce topic .....

1) est-ce que le fait que la Time Capsule soit directement visible depuis internet avec une IP publique ne pose pas des probleme de sécurité par rapport au réseau ?
Y a t il eu des failles connues ?

2) est-ce que le besoin de babas123 a été solutionné depuis ? (ça pourrait m'intéresser de savoir comment il a fait)


3) le probleme avec telle ou telle solution "normalisée" c'est que ça utilise des ports spécifique (443 pour HTTPS, 4500 UDP pour IPSec, etc..). Une premiere idée est de modifier le port du serveur IPSec (ou autre, on s'en fout c'est un exemple). Par exemple : le port 21 (FTP) est bloqué par le firewall, alors je mets chez moi un serveur FTP qui répond sur le port 80 (meme port qu'un serveur web).
MAIS ...
Mais il existe des firewalls de différents "niveaux" (au sens "couches réseau"). Les firewall classique s'occupe des couches 3 (IP) et 4 (TCP/UDP/ICMP). Manque de bol il peut y avoir un proxy qui lui s'occupe des couches supérieures (5, 6, 7 .... mes connaissances sont loin et presques oubliées ) . Et pour peu que ce soit un joli firewall matériel d'une grande marque, ils l'appeleront pompeusement "firewall intelligent".
Bref ce dernier il va regarder si les trames (paquet réseau) HTTP sont bel et bien au format HTTP à l'intérieur (et non une trame FTP ou autre qui passerait sur le port 80 )

* _LA_ solution pour contourner ce probleme s'appelle alors : HTTPTUNNEL
http://http-tunnel.sourceforge.net/
(ça existe pour MAC OS X évidemment)

En gros sur le réseau il va passer des paquets sur le port 80 (HTTP) et dont le contenu (format, entete, flags, ...) sera exactement comme un vrai paquet HTTP. Sauf que le contenu contiendra les trames adéquats pour la TimeCapsule (pfiou !). On appelle ce procédé "l'encapsulage".

En résumé :
* Chez soi :
- la Time Capsule reliée comme si de rien était à la Box (neufbox, Freebox, etc)
- la box (qui permet de faire du routage TCP/IP ... ou du NAT si vous préférez)
- un serveur (un vieux PC) constament allumé lors de vos déplacement

* sur son MAC portable :
- le logiciel adequat pour le tunneling

=> explication simplifiée :
*notre ami babas123 est à distance en déplacement,
* il se connecte à internet auprès de n'importe quel point WiFi,
* il ouvre et modifie un de ses fichiers persos,
* il enregistre,
* sur son mac le time Machine va confectionner le petit paquet adequat pour l'envoyer à Time Capsule,
* HTTP TUNNEL va créer des paquets tout bien formés au format HTTP (on peut meme faire de l'HTTPS au moins le contenu est crypté) et mettre dedans les morceaux (fragments) de ce que TimeMachine lui a préparé, et envoyer le tout à destination de l'IP de la neufbox chez Babas123, bien évidemment sur le port 80 (HTTP) ou 443 (HTTPS)
* la neufbox reçoit les paquets sur le port 80 (HTTP) ou 443 (HTTPS) et se dit "ah tiens ça c'est pour le serveur HTTP TUNNEL, tiens" et redirige
* le serveur HTTP TUNNEL reçoit ces paquets, il l'ouvre (démaillotage, enlevement du paquet cadeau ;-) ) et envoie le contenu (qui se trouvait dans le paquet HTTP) à la TimeCapsule
CQFD !

Bon, forcément ça ralenti le réseau, et ça dépend des performance de l'ordinateur mobile et du serveur httptunnel à la maison.
C'est un peu la solution "tank pour écraser une mouche", mais ça a le mérite de fonctionner de maniere sûre et certaine et PARTOUT. Les administrateurs réseaux (et sécurité) ne peuvent pas contrer ce procédé. On peut imaginer une solution pour contrer ça, mais je n'en connais vraiment pas à ce jour.

Donc en résumer on encapsule un protocole initialement pas autorisé (TimeCapsule) dans un autre protocole 'ami' (HTTP).

En espérant avoir pu aider un ptit peu ...

 

[geraldmarseille]

Bjr
je pensais trouver des réponses... long est le chemin qui mène à la vérité...
je repars avec des questions !!!!
il n'existe donc pas un moyen simple d'accéder à cette TC depuis l'exterieur de mobile me??
qu'elle ressorte donc un disque dur externe ?
je trouve ca tres tres compliqué....