Clarence Posté(e) le 2 mai 2018 Signaler Posté(e) le 2 mai 2018 (modifié) Bonjour, Au cas ou cela fonctionne il faut juste - Mettre sur la passerelle en 172.24.X.X refixer l'IP etc - Aller ensuite sur son mobile dans son appli Bitdefender central pour paramétrer l'IP et les ports wan / lan. Est ce que cela va sécuriser plus ma HC2 je ne sais pas mais ca me fait plaisir de vous dire que cela marche. Possesseur de Livebox Orange attention la bitdefender veut absolument remplacer le DHCP s est embêtant avec les décodeurs TV. Modifié le 2 mai 2018 par Daktari59
CaptainIgloo Posté(e) le 22 mai 2018 Signaler Posté(e) le 22 mai 2018 Voici mon évaluation du produit : http://www.domotique-info.fr/2018/05/bitdefender-box-2-cyber-securite-residentielle/
Lazer Posté(e) le 22 mai 2018 Signaler Posté(e) le 22 mai 2018 Comme je te disais @CaptainIgloo je lirai ça dès que j'ai suffisamment de temps pour lire sérieusement... surement jeudi et du coup @Daktari59 tu en es content ?
CaptainIgloo Posté(e) le 22 mai 2018 Signaler Posté(e) le 22 mai 2018 La session en reverse SSH (maintenue) du HC2 n’est même pas considérée comme dangereuse. Pourquoi maintenir cette session ?
Lazer Posté(e) le 22 mai 2018 Signaler Posté(e) le 22 mai 2018 C'est pour l'accès distant via home.fibaro.com ou l'appli mobile en mode remote (sans ouverture/forward de port sur le routeur) Tu peux le désactiver dans les options, depuis un firmware sorti il y a quelques mois. C'est quand même ultra pratique quand tu as un Dual WAN Failover sur 4G, car en l'absence d'IP publique, l'accès SSH remonte au bout de quelques secondes/minutes, et tu retrouves l'accès à ta box grâce au cloud Fibaro. C'est une excellente utilisation intelligente du Cloud. Apport pratique, sans être imposé ni indispensable. Utile aussi pour les non geeks qui ne savent pas ouvrir/forwarder un port sur le routeur, ou ceux qui ne veulent pas le faire pour des raison de sécurité sans mettre en place de lourdes solutions de reverse proxy.
CaptainIgloo Posté(e) le 22 mai 2018 Signaler Posté(e) le 22 mai 2018 Ben cela ne serait pas plus simple d'avoir un APN avec IP publique sur ta 4G ?
Lazer Posté(e) le 22 mai 2018 Signaler Posté(e) le 22 mai 2018 A ma connaissance, dispo que sur les abonnements pros dits "M2M", hors de prix A moins que tu connaissances une astuce secrète ?
CaptainIgloo Posté(e) le 22 mai 2018 Signaler Posté(e) le 22 mai 2018 Oui cela doit être de l'option pro probablement. Mais si tu t'appuies sur un serveur vpn externe que tu gères tu peux contourner le problème du point d'entrée.
Lazer Posté(e) le 22 mai 2018 Signaler Posté(e) le 22 mai 2018 Ah oui tout à fait, on avait déjà évoqué cette possibilité sur le forum, mais ça veut dire se payer un serveur dédié chez OVH/Online/autre ou offre style OVH Over the Box, donc on en revient à des considérations de budget et/ou de complexité de mise en œuvre. Puisqu'on en est à parler des solutions de Nerd, bien loin des BitDefender grand public, j'ai monté un reverse proxy en DMZ avec HAproxy + Let's Encrypt + Apache mod_security qui fait office de WAF. En clair : - double reverse-proxy (HAProxy + Apache) - quadruple Firewall (celui du routeur en entrée de la DMZ + celui de la VM Linux en entrée, celui de la VM Linux en sortie + celui du routeur vers le LAN) - analyse applicative avec le Web Application Firewall mod_security d'Apache - chiffrement forcé avec HSTS au plus haut niveau avec certificats TLS 1.2 - accessible seulement en connaissant le FQDN du site à visiter, de sorte qu'un scan simple soit poubellisé - accessoirement cette VM fait aussi serveur VPN avec OpenVPN (idem, chiffrement maximum) En bonus, j'ai gagné en performances par rapport à une ouverture de ports directe sur les équipements, car HAproxy 1.8 supporte le protocole HTTP v2, il permet de booster les performances devant un vieux serveur Web (celui de la HC2 au hasard, mais pas que) En réflexion future, la mise en place d'un mode hautement disponible, avec une seconde machine identique en VRRP (keelalive sous Linux) Je prépare un tuto prochainement, mais ça va me demander beaucoup de travail de mise en forme.... pas mal d'étapes 1
Clarence Posté(e) le 22 mai 2018 Auteur Signaler Posté(e) le 22 mai 2018 (modifié) il y a 39 minutes, Lazer a dit : Comme je te disais @CaptainIgloo je lirai ça dès que j'ai suffisamment de temps pour lire sérieusement... surement jeudi et du coup @Daktari59 tu en es content ? Pas trop... En fait sur la livebox avec TV obligation de garder un DHCP minimum pour le decodeur TV et ca la BitdefenderBox 2 aime pas du tout... Comme moi en plus j'ai un débit caca j'ai deux accès internet à la maison avec donc deux DHCP (et donc deux décodeurs tv) et ca la bitdefender 2 aime pas du tout du tout. Donc du coup ca plante aléatoirement, mes décodeurs TV rejoignent (si reboot de l'une ou l'autre livebox) la plage 172.24.1X au lieu de la plage 192.168.1.X J'ai du remettre aussi mon synology en plage 192.168.1.X car une fois (peut être à raison mais bon) la bitdefenderbox 2 m'indiquait qu'elle présentait une faille de sécurité (c'est embêtant quand vous avez l'appli surveillance station qui enregistre dessus une caméra...). J'ai aussi mon Google home qui se perd des fois, mes netatmos (Thermostat et station météo) qui ne répondent plus aléatoirement obligation de rebooter (électriquement) la bitdefender box 2 pour retrouver mes petits. J'attends la fibre la ou je suis mais même j'aurai toujours le problème du DHCP obligatoire via Orange (même si il y a des tutos via Synology ou autre) car j'ai aussi des boitiers cpl qui ne sont pas paramétrable en ip fixes de fait même si je "resserre" la plage ip il y a des risques que les baux TV soient repris par des devices qui sont aussi en DHCP. J'ai gambergé sur du Vlan, des ports sécurity, Exclure leurs adresses mac etc (changer mon Netgear GS 108 V2 pour un 24 ports manageable pour y manager l'ensemble) rien à faire la/les décodeurs (UHD86, 86 liveplay etc) reste(nt) propriétaires/prioritaires en broadcast des flux donc elles accrochent le premier qui lui dit oui et ca part en couille... Ah aussi j'ai contacté le support chez BItdefender ils sont au courant pour le problème Orange /tv / dhcp... Modifié le 22 mai 2018 par Daktari59
Lazer Posté(e) le 22 mai 2018 Signaler Posté(e) le 22 mai 2018 mmmhhh galère, tu touches aux limites de cette box "magique" (je me garde de commentaire pour le moment, je lirai l'article de Captain pour en savoir plus) Toujours compliqué d'avoir 2 serveurs DHCP sur un réseau... Pour la fibre Orange, je sais qu'avec un routeur qui gère les VLANs (Ubiquiti et Mikrotik certains, pour Synology je ne sais pas), on peut isoler les boitiers TV dans un VLANs dédié, donc isolé du LAN interne. Reste à gérer le multicast du flux TV avec IGMP Snooping, il faut un switch manageable. Tout cela est bien expliqué sur le forum lafibre et le blog de Sébastien Warin. Les boitiers CPL risquent de poser problème par contre.... Perso j'ai de la chance, pas "besoin" de TV, et j'ai réussi à virer mes boitiers CPL il y a une 15zaine de jours.
Clarence Posté(e) le 22 mai 2018 Auteur Signaler Posté(e) le 22 mai 2018 il y a une heure, CaptainIgloo a dit : Voici mon évaluation du produit : http://www.domotique-info.fr/2018/05/bitdefender-box-2-cyber-securite-residentielle/ Je lis dedans que tu dis que l'on peut : Changer l’étendue DHCP via bitdefender central ??? Cf mon post du dessus "ouin ouin ca marche po bien" tu fais ca comment via bitdefender central ?
CaptainIgloo Posté(e) le 22 mai 2018 Signaler Posté(e) le 22 mai 2018 Pour moi si tu as deux accès FAI tu dois monter un multiwan [forme d’agrégation](Loadbalancing + sticky). Mais ça c’est un réflexe pour moi.Ensuite oui comme le dit Lazer, tu pourrais gérer tes ADSL en bridge ATM puis exploiter le VLAN de broadcast IPTV derrière un routeur avancé qui peut aussi gérer le multiwan et un seul DHCP multi étendues.Sinon vu que la BB2 ne fait pas de DHCP relay. Tu fais une DMZ pour ton décodeur et tu ajoutes ta BB2 en sous réseau (cœur de réseau) ou tu mets tous le reste de tes appareils.Dans BitD central tu vas dans appareils et en haut tu as un engrenage pour gérer la BB2 (Étendue DHCP / Firmware / DNS...).
Clarence Posté(e) le 22 mai 2018 Auteur Signaler Posté(e) le 22 mai 2018 (modifié) Plutot que toutes ces usines à gaz le plus simple et que je trouve un firewall ou un switch qui permet de bannir des adresses macs j'ai un netgear gs 108 V2 qui est censé le faire mais je ne trouve pas la manip. l'idée Je mets mes deux DHCP à 2 adresses Genre 192.168.1.2 jusque 192.168.1.3 livebox 1 et Gateway LB1 = 192.168.1.1 et genre 192.168.1.250 jusque 192.168.1.251 livebox 2 et Gateway LB2 192.168.1.254 1 cable BB2 vers livebox 1 1 cable BB2 vers le switch / firewall 1 cable livebox 1 vers Decodeur TV 1 1 cable livebox 2 vers Decodeur TV2 1 cable livebox 1 vers le switch /firewall 1 cable livebox 2 vers le switc / firewall J'interdis les adresses mac de Decodeur TV1 et decodeur TV2 sur le swicth / firewall je ne regle pas mon probleme de DHCP mais au moins je pense que je n'aurai plus de plantage de mes décodeurs Quand tu parles de Bitcentral je viens de percuter tu parles via Android ou Iphone car pas possible via PC et donc pour ma part je trouve cela merdique chiant / nul en fait..... Autre truc pas fun la camera Logicircle 2 (ma femme l'a gagné à son travail je ne pouvais pas ne pas la mettre sur le réseau ) en wifi via BB2 mode clonage si reboot de la livebox et bien plus de video en cloud non plus (pas de panique Monique je l'ai mise sur le Wifi de la livebox 2 mais bon coté sécu vla le drame...). Enfin pour ton histoire de sous réseau si j'isole pas mes décodeurs quoi qu'il arrive je t'assure que cela passe au travers soit mes devices qui réclament un DHCP se retrouvent sur le DHCP de la livebox (1 ou 2) soit c'est l'inverse (ah vi pour ceux qui se demande comment je fais cohabiter mes deux livebox sur la meme plage IP avec même masque de sous réseau c'est archi simple j'ai mis netsetman sur chaque PC (mes enfants moi etc) et un boitier Abix manuel A / B (http://www.abix.fr/commutateur-manuel-rj45-2-voies-reversibles-014521.html) j'ai réparti les pcs LB1 et LB2 quand ca galère trop (genre ma femme regarde la TV, ou un des enfants a lancé netflix...) on appuie sur le bouton A( la ou je ne bloque pas le fait que les deux livebox se voient (ben oui comme les forfaits tv sont pas les mêmes elles s'auto plantent entre elles en plus au reboot si elles ne sont pas isolées ...) et hop on passe d'une box à l'autre via netsetman (https://www.netsetman.com/fr/freeware). Le but du jeu étant de ne pas avoir un reboot d'une des deux livebox quand le bouton A est mis Ma config via BB2 étant avec une isolement des deux Box donc pas sur bouton A. Bon je sais certains vont lire mon post est en tant qu'ingénieur informatique vont s'évanouir mais au moins ca marche.... De toutes les façons même si je vire un des deux acces adsl (un jour la fibre sera la et adieu les 6 Mbps par box à moi le 500 Mbps....) la problématique du DHCP + decodeur TV (si possible Multi TV) restera entier et reviendra au même avec la BB2... J'ai été idiot car j'ai eu le tour avec une Fingbox il y a peu de temps j'aurai du voir le tour arriver avec la BB2. Modifié le 22 mai 2018 par Daktari59
CaptainIgloo Posté(e) le 22 mai 2018 Signaler Posté(e) le 22 mai 2018 (modifié) Ah ! L'usine a gaz ? Ta technique tu veux dire ? Ma proposition est on ne peut plus logique et évidente en archi réseau. Mais vu comment tu abordes le sujet, il est possible que ton réseau bagotte encore après cette archi. 2 accès web isolés dans une maison me parait pas du tout logique ... Après la bidouille réseau n'est pas aussi simple que la bidouille domotique... Après l'app sur mobile est bien plus avancée que sur l'IHM web. Donc pourquoi insister sur le Web ? Modifié le 22 mai 2018 par CaptainIgloo
Lazer Posté(e) le 22 mai 2018 Signaler Posté(e) le 22 mai 2018 Il y a 1 heure, Daktari59 a dit : Bon je sais certains vont lire mon post est en tant qu'ingénieur informatique vont s'évanouir Ouais je suis comme captain, au final je trouve que c'est plutôt toi qui a une archi réseau usine à gaz, et instable en plus. Il serait plus propre au sens "ingénieur réseau informatique" de faire ce qui est documenté sur les tutos, même si ça impose d'avoir un routeur compatible et un switch manageable. En tout cas, avec la Fibre Orange (et apparemment aussi avec la Fibre Free). Dans ce cas il faut bien demander au technicien de poser un ONT externe et surtout pas le SFP interne à la Livebox 4. Au final ça donne une config réseau complexe, mais propre et qui respecte les standards. Donc maintenable et évolutif. Après tout la Fibre Orange, ce n'est que de l'IP, du DHCP, et des VLANs. C'est simple et efficace, merci Orange, pour une fois qu'ils font bien les choses ! (par contre avec l'ADSL on est obligé de conserver la Livebox, ne serait-ce que pour le modem xDSL interne).
Clarence Posté(e) le 22 mai 2018 Auteur Signaler Posté(e) le 22 mai 2018 Oula un petit combo Captain+Lazer oh oui oh oui encooorrreeeee Bon plus sérieusement A) le BB2 pour moi n'est pas convaincante et demande un profil "type" pour ne pas rentrer en conflit avec x ou y device. B ) Vous pouvez monter toutes les soluces possibles une simple mise a jour coté FAI (maj livebox ou Decodeur (y en a quand même 2 / 3 par an hein) ) et paf le chat plus rien ne marche donc bof. J'attends que la fibre soit déployée pour me remettre en question sur mon usine à gaz et je dénoncerai mon BB2 à la première mise à jour annuelle si pas de solution pour les détenteurs de Internet + TV d'orange en natif (tout en évitant d'expliquer à madame que j'ai brûlé un billet de 200 € à la gloire du dieu Geek). Bonne soirée.
CaptainIgloo Posté(e) le 22 mai 2018 Signaler Posté(e) le 22 mai 2018 Pour info et de source certaine garde la BB2 sous le coude car : 1 - il y a des mises à jour régulières, oui le produit est jeune.2 - il va y avoir de nouvelles features régulièrement. Par exemple le multi SSID (pour segmenter ton réseau WiFi ou un réseau invité).De ce que j’ai compris de tes galères, c’est plutôt ton réseau que la BB2 qui chie dans ton cas.
Clarence Posté(e) le 22 mai 2018 Auteur Signaler Posté(e) le 22 mai 2018 (modifié) Pas d'accord Captain désolé même si mon lan est super exotique (je vous le concède) beaucoup de gens ont : - Les box de FAI ont toutes leur petits caprices... - Des produits qui sont en auto DHCP non paramétrables (et je ne parle pas des cameras auto paramétrables via un tag / cloud du constructeur (ca rend dingue une BB2)). - Pas de switch à mettre entre leur box et leur lan domestique. - Un decodeur TV qui se moque de la source, il se connecte point barre (bon cela revient au point 1 mais je le mets en exergue). Le problème de la Bitdefender Box 2 elle te veut dans son équipe et non pas l'inverse... Ton Syno, Tes caméras, ton imprimante, ta domotique elle les veut ou elle te spamme d'alerte DHCP (ou alors tu les mets en ip fixes mais vla l'intérêt d'exclure des devices qui sont censés être protégés par la couche BB2) . pour que les lecteurs comprennent bien quand vous paramétrez votre Bitdefender box 2 à un moment elle vous demande de mettre en DHCP vos devices (avant de les mettre en IP fixes) et de couper le DHCP de votre Box une fois que l'appairage de la bête est terminé si vous remettez le dhcp de votre box en route la BB2 est pas contente... Je pense que tu as du me lire en diagonale (ou je me suis mal exprimé) j'ai dit à la prochaine mise a jour annuelle (les 90 € annuels) donc la c'est d'ici début avril 2019 ca laisse à Bitdefender du temps pour effectivement trouver des solutions mais la moi ca me fait pas rêver. Modifié le 22 mai 2018 par Daktari59
Lazer Posté(e) le 22 mai 2018 Signaler Posté(e) le 22 mai 2018 Les mises à jour annuelles sont payantes ? Mince alors.... je comprends pour la société le besoin de pérenniser son business, mais j'ai du mal à voir quel profil de clientèle pourrait être séduite : Mme Michu n'ira jamais payer 200€ + un abonnement annuel pour un produit qui ne sert à rien (puisqu'elle ne se pose pas de question de sécurité), tandis que le Nerd trouvera le produit trop limité et préfèrera monter son usine à gaz dans son coin. Au milieu, il reste qui ? Les Geeks comme toi Dakrati50, mais qui sont le cul entre 2 chaises, et se demandent si le produit est vraiment fait pour eux, et risquent de le balancer à tout moment, tout en lui faisant de la mauvaise publicité. Bref, il faut que je lise cet article pour mieux cerner le produit, jeudi j'ai du TGV prévu, ça me laisse du temps 1
CaptainIgloo Posté(e) le 22 mai 2018 Signaler Posté(e) le 22 mai 2018 Je te retourne aussi la remarque. Car si tu as bien lu l'article, je ne conseille pas la BB2 à un informaticien. Perso c'était gratuit de la part de la relation presse de Bitdefender France et je pourrais là jeter sans que cela pique. Mais non je trouve toujours un usage au chose. Ou sans que cela me préoccupe je l'installerais dans la famille. Je n'installerais pas les suites TS2018 car je n'ai pas vraiment besoin de cela pour mes 70 devices à la maison et que ma plateforme réseau est très performante sans les chaos erratique à la sauce "ingénieur informatique". C'est quoi d'ailleurs comme métier ingénieur informatique. Ingé réseau je connais, ingé sys je connais, mais ingénieur informatique c'est quoi la spéc ?
Clarence Posté(e) le 22 mai 2018 Auteur Signaler Posté(e) le 22 mai 2018 il y a 2 minutes, Lazer a dit : Les mises à jour annuelles sont payantes ? Mince alors.... je comprends pour la société le besoin de pérenniser son business, mais j'ai du mal à voir quel profil de clientèle pourrait être séduite : Mme Michu n'ira jamais payer 200€ + un abonnement annuel pour un produit qui ne sert à rien (puisqu'elle ne se pose pas de question de sécurité), tandis que le Nerd trouvera le produit trop limité et préfèrera monter son usine à gaz dans son coin. Au milieu, il reste qui ? Les Geeks comme toi Dakrati50, mais qui sont le cul entre 2 chaises, et se demandent si le produit est vraiment fait pour eux, et risquent de le balancer à tout moment, tout en lui faisant de la mauvaise publicité. Bref, il faut que je lise cet article pour mieux cerner le produit, jeudi j'ai du TGV prévu, ça me laisse du temps Cher Lazer.... Je n'ai rien dit sur la bataillon de pigeons qui ont payé pour le portier Fibaro à 800 € tu seras gentil de me laisser dans ma douleur de mon BB2 huhuhu 1
Lazer Posté(e) le 22 mai 2018 Signaler Posté(e) le 22 mai 2018 Désolé Et le portier.... euh.... joker espérons qu'ils arrivent à le fiabiliser. @Seb "ingénieur informaticien" c'est le truc qu'il ne faut surtout pas dire dans ta famille ou tes amis, sinon tu te retrouves à dépanner des Windows XP vérolés au lieu de profiter de l'apéro. L'inconvénient c'est quand tu expliques vraiment ton métier, tu passes pour un nerd et plus personne ne veut te parler Sinon moi ça me fait toujours penser à ça (souvenirs...c'est vieux) : 2
Clarence Posté(e) le 22 mai 2018 Auteur Signaler Posté(e) le 22 mai 2018 (modifié) il y a 11 minutes, CaptainIgloo a dit : Je te retourne aussi la remarque. Car si tu as bien lu l'article, je ne conseille pas la BB2 à un informaticien. Perso c'était gratuit de la part de la relation presse de Bitdefender France et je pourrais là jeter sans que cela pique. Mais non je trouve toujours un usage au chose. Ou sans que cela me préoccupe je l'installerais dans la famille. Je n'installerais pas les suites TS2018 car je n'ai pas vraiment besoin de cela pour mes 70 devices à la maison et que ma plateforme réseau est très performante sans les chaos erratique à la sauce "ingénieur informatique". C'est quoi d'ailleurs comme métier ingénieur informatique. Ingé réseau je connais, ingé sys je connais, mais ingénieur informatique c'est quoi la spéc ? Combo assist encore !!!! Capitain ton article est excellemment bien fait par contre moi j'aurai mis la fin au début. Et je reste dubitatif quant au devenir en l'état de ce produit. @Lazer oui ma référence à l'ingé c'était bien cette vidéo bon sauf que moi à mon époque y avait pas internet et les mecs fantasmés sur un zx spectrum ou un futur commodore 64 (a K7 faut pas deconner). Modifié le 22 mai 2018 par Daktari59
CaptainIgloo Posté(e) le 22 mai 2018 Signaler Posté(e) le 22 mai 2018 Oui j'aurais pu ! Je pourrais aussi arrêter de rédiger des articles de fond que personne ne lie intégralement. Cet article a un temps de lecture moyen de 3'40'' pour presque 6000 mots d'après Google Analytics. Et il faut en réalité 30' pour le lire. Par contre, maintenant, tout mon travail et mon analyse et très appréciée de BitD Fr. Ils ont même prévu d'intégrer un certain nombre de mes propositions.
Messages recommandés