Rediriger des connexions vers un appareil donné avec la fonction DMZ

La fonction DMZ ne peut pas être activée sur Internet Box, est grisée.

Pour la fonction DMZ, vous avez besoin d’une adresse IPv4 publique pour votre connexion individuelle, qui n’est plus attribuée par défaut pour de nombreuses connexions Swisscom en raison de la pénurie mondiale.

Vous devez donc appeler le support et demander que « CGNAT » soit désactivé sur votre Anschluss.

Si le support de premier niveau ne se sent pas responsable ou n’est pas assez compétent, vous devez vous connecter à myService puis signaler à myService que vous supposez que la libération d’une adresse IP publique dynamique pour votre Anschluss est vraiment gratuite prend lieu.

Le terme DMZ est absolument faux. Swisscom ne propose pas de zone démilitarisée mais plutôt un accès à un ordinateur sur votre propre LAN. Pour une vraie DMZ, vous devez vous en occuper vous-même. Je trouve embarrassant qu’un fournisseur d’accès Internet propose quelque chose comme ça.

@Tux0ne (l’un des clients ayant les meilleures connaissances en réseau ici) a écrit il y a longtemps sur le forum : "La fonction DMZ sur la Box Internet n’est pas une DMZ, mais simplement le transfert de tout ce qui ne vient pas de la Box Internet Vous pourrez ensuite y connecter les ports dont vous avez besoin à une IP interne pour générer votre propre DMZ. Vous et tous ceux qui ne comprennent pas l’interprétation que Swisscom donne au terme DMZ dans le secteur de la clientèle privée n’êtes donc certainement pas seuls. Que cela vous embarrasse ou non est probablement une question de savoir-faire personnel en matière de DMZ dans le secteur professionnel. Dans le domaine d’activité de Swisscom (par exemple avec le routeur CB2), le terme est utilisé de la même manière que les administrateurs LAN.

Il ne semble y avoir aucune instruction réelle pour DMZ nulle part. L’article ci-dessus n’est qu’une description superficielle de l’utilisation prévue, en précisant que des connaissances spécialisées seraient alors nécessaires pour utiliser réellement la DMZ. C’est bien et vrai, mais où l’expert peut-il trouver les détails techniques réels afin de faire fonctionner réellement la DMZ ? Devriez-vous essayer de comprendre comment y parvenir par essais et erreurs ? Pourquoi ne pas proposer un petit PDF expliquant comment procéder pour Centro Business Router ? Malheureusement, il n’y a pas non plus d’instructions pour la DMZ.

@Andreas F

Il n’y a en fait rien à décrire, car la DMZ sur une box Internet n’est rien d’autre qu’un transfert groupé de ports vers un périphérique en aval.

Donc, si vous savez ce qu’est la redirection de port et quand il est judicieux de l’utiliser, vous savez déjà tout.

Merci. Bien sûr, c’est vrai et je l’ai déjà compris. Mais ce que je veux aussi savoir, ce sont les conséquences que cela entraîne.

(i) Par exemple, je ne comprends pas clairement ce qui arrive au port 80 lorsque j’allume la DMZ. Par exemple, sur le WAN, les collaborateurs de Swisscom ont toujours ou non accès à l’IB via le port 80. Important si vous souhaitez mettre un serveur web dans la DMZ (mon cas).

(ii) Qu’arrive-t-il à la redirection de port en général ? Est-ce que celui-ci sera désactivé ou peut-il encore être utilisé, par exemple pour rediriger certains ports vers des serveurs autres que celui qui se trouve dans la DMZ (j’ai toujours des serveurs FileMaker et éventuellement des serveurs de musique sur le LAN).

(iii) Qu’en est-il de DynDNS ? Est-il éteint en mode DMZ ou non ? Parce que les descriptions/instructions DMZ chez Swisscom semblent n’exister que pour les IP statiques. Mais je veux pouvoir utiliser DynDNS.

(iv) Qu’en est-il d’un numéro IP public, car je pense avoir compris que les numéros IP attribués par Swisscom via DHCP ne sont publics que dans certains modes. Le mode DMZ joue-t-il un rôle ici ou non ?

(v) Enfin, qu’en est-il de la sécurité et des pare-feu si je mets un serveur dans la DMZ.

Je suis désolé, mais je dois avoir répondu à toutes ces questions pour décider si je veux ou non mettre un serveur (ou plusieurs) dans la DMZ. C’est ce que j’attends des instructions, car après tout, le mode DMZ est proposé pour tous les IB, pas seulement pour les box Business Centro.

Je serais heureux de recevoir des suggestions quant aux réponses possibles ou peut-être même aux réponses à ces questions. Merci.

@Andreas F

vers (i) : le port 80 est transféré au périphérique dans la DMZ si aucune redirection de port 80 n’est définie autrement. Une décision doit alors être prise dans la DMZ quant au sort réservé à cette demande.

à (ii) : non, il ne sera pas éteint, mais continuera à fonctionner comme d’habitude.

à (iii) : exactement comme d’habitude : avec DynDNS, vous accédez soit à la box Internet (avec les informations de port correspondantes, qui sont ensuite transmises via la redirection de port à un appareil configuré en conséquence. Cet appareil a de préférence une adresse IP fixe, sinon la redirection de port interviendra à un moment donné Vide), soit dans la DMZ si aucune redirection de port n’est configurée sur la box Internet. Quoi qu’il arrive sur l’appareil dans la DMZ, vous devez ensuite le reconfigurer là-bas.

à (iv) : bien sûr, vous ne pouvez accéder à votre routeur de l’extérieur (avec DynDNS) que si vous n’êtes pas en “cgnat”. L’accès à un appareil dans la DMZ depuis l’extérieur nécessite également une adresse IP publique. Appeler la hotline devrait* suffire pour obtenir une IP publique (* il y a des expériences où ils ne peuvent pas le faire et veulent vous rediriger vers un support payant. Cela devrait alors être rapide et gratuit 😉 )

à (v) : cela relève alors de la responsabilité de celui qui met un appareil dans la DMZ. En gros, tout y est ouvert. Généralement, l’adresse IP dans la DMZ pointe vers un routeur avec un pare-feu, ou vers un pare-feu avec une fonction de routeur (selon la façon dont vous le définissez 😉), et ce n’est qu’après cela que d’autres appareils arrivent.

Ce sont mes expériences avec ces questions. Les ajouts et corrections sont bien sûr les bienvenus !

@kaetho : Merci beaucoup pour ces réponses précises et très, très utiles à mes questions. Super! D’autres, comme moi, ne pouvaient qu’espérer que ces informations se retrouveraient également dans les documents de Swisscom.

Bonjour,

Petite question, est ce que la fonction DMZ Swisscom permet d’éviter un double NAT. Je souhaitais passer ma swisscom box 3 en mode Bridge mais cela n’est pas possible.

Est ce que l’utilisation de la fonction DMZ peut être un équivalemment?

Merci d’avance et bonne soirée

@Mïsterfreeze

Pour la fonction DMZ, il faut une adresse IPv4 publique de ton raccordement individuel, qui n’est plus attribuée par défaut sur de nombreux raccordements Swisscom en raison de la pénurie mondiale.

Appeler le support et demander que “CGNAT” soit désactivé sur le raccordement utilisé:

Clients privés: contact par hotline, chat, message | Swisscom

Tél. gratuit 0800 800 800

Si le support de premier niveau ne se sent pas compétent ou n’est pas assez compétent, faire mettre en relation avec My Service et ensuite indiquer à My Service que partir du principe que la libération d’une adresse IP publique dynamique pour le raccordement utilisé est vraiment gratuite:

Swisscom My Service–assistance ordinateur & smartphone | Swisscom

Informations complémentaires:

Il n’y a en fait rien à décrire, car la DMZ sur une box Internet n’est rien d’autre que la redirection par paquets de ports vers un appareil en aval. Si l’on sait ce qu’est une redirection de port et quand il est judicieux de l’utiliser, on sait déjà tout.

La fonction DMZ de l’Internet Box n’est pas une DMZ, mais simplement la redirection de tous les ports non utilisés par l’Internet Box elle-même vers une IP interne. On peut ensuite y connecter un routeur / pare-feu pour générer soi-même une DMZ. Donc, il est difficile de comprendre l’interprétation de Swisscom du terme DMZ dans le domaine de la clientèle privée, et certainement pas les seuls. Que l’on trouve cela gênant ou non, c’est probablement une question de savoir-faire personnel en matière de DMZ dans le domaine professionnel. Dans le domaine professionnel de Swisscom (par ex. pour le routeur CB2), le terme est d’ailleurs utilisé de la même manière que les administrateurs de réseaux locaux en ont l’habitude.

Le port 80 est redirigé vers l’appareil dans la DMZ si aucune autre redirection du port 80 n’est définie. Il faut alors décider dans la DMZ ce qu’il advient de cette demande.

Avec DynDNS, on accède soit à l’Internet Box (avec l’indication de port correspondante, qui est ensuite transmise par redirection de port à un terminal configuré en conséquence. Ce terminal a de préférence une IP fixe, sinon la redirection de port ne fonctionne pas à un moment donné), ou bien dans la DMZ, si aucune redirection de port n’est configurée sur l’Internet Box. Ce qui se passe sur l’appareil dans la DMZ doit ensuite être configuré à cet endroit.

On peut en principe accéder de l’extérieur à ton routeur (avec DynDNS) que si l’on n’est pas dans le “CGNAT”. Même l’accès de l’extérieur à un appareil dans la DMZ nécessite une adresse IP publique. Un appel à la Hotline de Swisscom devrait suffire pour obtenir une IP publique ( il y a des expériences où ils ne peuvent pas le faire et veulent rediriger la demande vers le support payant. Là, cela doit être rapide et sans frais.

Placer un appareil dans la DMZ: en principe, tout est ouvert. Typiquement, l’IP dans la DMZ pointe à nouveau vers un routeur avec pare-feu ou vers un pare-feu avec fonction de routeur (selon la manière dont on le définit), et ce n’est qu’ensuite que viennent d’autres appareils.