Comment ouvrir des ports sur une Box 4G ?

Morgane PIERARD

Morgane PIERARD

Vous possédez un routeur 4G et vous souhaitez savoir comment ouvrir des ports sur une box 4G ? Vous avez pourtant suivi un tutoriel et tout vous paraît correct mais ça ne fonctionne pas !?
Réseau

Vous possédez un routeur 4G et vous souhaitez savoir comment ouvrir des ports sur une box 4G ? Vous avez pourtant suivi un tutoriel et tout vous paraît correct. Mais alors, comment faire pour accéder à vos équipements depuis l’extérieur ? De nombreux utilisateurs hébergent de plus en plus de services chez eux (serveurs, solutionsdomotique) et il est tout de même bien pratique de pouvoir les piloter depuis n’importe quels emplacements.

De plus en plus d’abonnements avec une box 4G

Les opérateurs proposent de plus en plus d’abonnements 4G à des prix de plus en plus attractifs. Pour les personnes n’ayant pas besoin de téléphonie, ni de télévision, ces abonnements ont de plus en plus leurs places dans les catalogues des opérateurs.

Ces derniers peuvent également s’adresser aux zones encore aujourd’hui non desservies en ADSL avec des débits décent.

Sur le papier, cela peut grandement vous séduire, cependant, un point très important bloque un certain nombre d’utilisateurs qui se retrouve le bec dans l’eau. En effet, suite à la mise en place d’une box 4G, les utilisateurs hébergeant des services chez eux, peuvent dans certains cas ne plus accéder à leurs services depuis l’extérieur ! NAS, Serveurs, Boitiers domotique, Caméras se retrouvent alors enfermés dans votre réseau local, sans moyen d’y accéder depuis l’extérieur…

Mais alors, comment ouvrir des ports sur une box 4G ?

Pourquoi cette restriction pour ouvrir des ports sur une box 4G ?

Alors on peut se poser la question, pourquoi les opérateurs brident-ils l’ouverture de port sur les box 4G ?

Tout simplement à cause de la pénurie des adresses IPv4…

Le 25 Novembre 2019, le RIPE a annoncé officiellement être à court d’adresses IPv4.

ouvrir des ports sur une box 4G

Source : arcep.fr

Les opérateurs doivent donc « économiser » un maximum l’utilisation des adresses IPv4 publiques, et ont donc mis en place ce qu’on appelle le CG-NAT.

Le CG-NAT, c’est quoi ?

Le CGNAT est le CarrierGrade NAT, cela consiste à distribuer des IP privées à la place d’adresses IP publiques.

Lorsque vous avez un abonnement ADSL, votre opérateur fournit à votre routeur une adresse IP publique. Cette adresse IP est routable (accessible) sur internet et permet à vos équipements de surfer sur le net, vous n’avez alors aucun problème à accéder à vos équipements depuis l’extérieur dans ce type de configuration.

Votre IP publique peut être dynamique ou statique. Dans le premier cas, il s’agit d’une IP qui change et dans le second cas vous avez toujours la même IP publique.

Dans le cas des routeurs 4G, les opérateurs distribuent à votre routeur une IP privée, c’est-à-dire une IP non routable sur internet. C’est pour cela que lorsque vous essayez d’ouvrir un port sur votre box 4G, vous n’arrivez jamais à atteindre votre équipement.

Routeur 4G CG-NAT

Dans le schéma ci-dessus, on voit bien que les clients possédant des routeurs 4G, possèdent chacun leur LAN privée, et lorsqu’ils souhaitent surfer sur internet, ils passent par le routeur de l’opérateur qui fournit une adresseIP privée (bleue) et c’est ensuite ce même routeur qui va leur permettre de surfer sur Internet avec l’IP Publique du routeur de l’opérateur qui est partagée avec plusieurs box 4G…

Comment vérifier si votre routeur 4G utilise du CG-NAT ?

Pour vérifier si votre routeur utilise le CG-NAT, il faut tout simplement vérifier son IP attribuée dans l’interface de la box.

Si vous possédez une IP présente dans ces IP, cela signifie que vous êtes bien derrière un autre routeur et que l’ouverture de port est possible mais d’une autre manière.

10.0.0.0/8 10.0.0.0 – 10.255.255.255
172.16.0.0/12 172.16.0.0 – 172.31.255.255
192.168.0.0/16 192.168.0.0 – 192.168.255.255

Si vous possédez une adresse qui n’est pas dans ces tranches-là, cela signifie que l’IP de votre routeur est bien publique, et si l’ouverture de port ne fonctionne pas c’est qu’il y a un autre problème ailleurs, mais que ce n’est pas le CG-NAT le problème.

Comment contourner le CG-NAT

Le premier contournement possible est de souscrire à un autre type d’abonnement dans lequel l’opérateur vous fournira une IP publique, le problème c’est que souvent ces abonnements sont très cher.

C’est pour cette raison que chez les clients, je mets en place deux types de contournement :

  • Mise en place d’un tunnel SSH
  • Mise en place d’un serveur VPN

Dans les deux cas, je recommande l’utilisation dans votre réseau d’un ordinateur dédié qui servira de passerelle. Dans de nombreux cas nous mettons en place un Rasbperry pi par exemple, qui répond très bien à ce type de besoin, les serveurs NAS peuvent également servir de passerelle. Si votre routeur le supporte, il peut également être connecté au serveur VPN qui sera à l’extérieur.

Dans tous les cas, il faut garder en tête que l’ordinateur chez vous qui va servir de passerelle, doit être toujours allumé, car s’il est éteint votre tunnel n’est plus opérationnel et par conséquent votre accès depuis l’extérieur non plus.

Un autre prérequis sera de louer un VPS chez un opérateur, ne vous inquiétez pas ce n’est pas très cher ! ( moins de 3 euros par mois). A noter, qu’il est également possible de placer un équipement ailleurs, chez un ami par exemple qui possède une IP publique fixe et de mettre en place le même contournement.

Si l’infrastructure vous paraît un peu floue ne vous inquiétez pas, nous allons détailler avec des schémas dans la section suivante.

Avant d’expliquer en détail les deux types de contournement, vous vous demandez peut-être pourquoi il y a besoin d’un VPS ?

En fait, l’abonnement 4G vous prive d’une IP routable sur internet et justement le VPS va vous permettre de disposer d’une IP Publique sur laquelle on va pouvoir ouvrir des ports et rediriger le trafic sur vos équipements.

ouvrir des ports routeur 4G

Tunnel SSH

Dans cette architecture, nous allons mettre un place un tunnel SSH entre le VPS extérieur et le PC derrière la box 4G. Une connexion est initiée de base depuis le PC afin de monter le tunnel SSH et des arguments dans la ligne de commande spécifient les numéros de ports que nous allons rediriger.

Dès lors que le tunnel SSH est monté, il va alors être possible en activant sur le VPS l’option GatewayPorts, d’atteindre nos équipements derrière la box 4G, comme si nous avions réalisé l’opération directement sur le routeur 4G.

Afin que ce soit le plus transparent possible et qu’on n’est même plus besoin d’y penser, je place pour ma part, un script de connexion dans un répertoire et je l’exécute à chaque démarrage de l’équipement afin que le tunnel soit en permanence actif.

Serveur VPN

Dans le cas d’un serveur VPN, la théorie est la même : un tunnel VPN sera monté entre le VPS et un PC derrière la box 4G. Par contre, en pratique, c’est plus complexe à mettre en œuvre qu’un simple tunnel SSH car il va falloir paramétrer le serveur et le client VPN afin qu’ils puissent communiquer ensemble via le réseau local du client.

En effet, l’objectif est que le VPS redirige le trafic sur un PC chez vous, donc le VPS doit pouvoir atteindre le réseau du routeur 4G.

Cette configuration est tout à fait possible via le VPN mais il faut bien comprendre les notions de routage réseau pour s’en sortir et ne pas oublier certains pré-requis comme l’activation de l’ip forwarding par exemple.

Une fois que tout communique, il va falloir mettre encore les mains dans le cambouis et mettre en place des règles iptables qui vont rediriger notre flux vers le PC derrière la box 4G.

Contournement CG-NAT : Combien ça coute ?

Pour la Partie VPS :

  • Amazon LightSail

Nous pouvons vous conseiller Amazon LightSail qui coute à l’heure où j’écris cet article 2,95€/mois, et qui possède l’avantage d’être beaucoup plus réactif en termes de mise à disposition.

Il y a également OVH par exemple dans la même fourchette de prix.

  • Rasbperry Pi

Pour la passerelle :

Vous trouverez sur Amazon des Rasbperry Pi neuf très abordables :

Il est également possible d’acheter un Rasbperry Pi d’occasion (entre 30€ et 50€) suivant le modèle.

Et la sécurité dans tout ça ?

Avant de conclure cet article il me parait important de vous sensibiliser sur la sécurité de vos équipements.

Il y a malheureusement trop d’équipements accessibles sur internet avec des mots de passe bien trop facile à deviner. Alors n’oubliez pas d’être vigilant, et de choisir des mots de passe robustes sur vos systèmes accessibles depuis l’extérieur. Il faut également veiller à ne pas ouvrir plus que ce qu’il ne faut, si vous n’êtes pas sûr de ce que vous faites, Morgane de DIGICOM-IT reste à votre disposition pour vous aider et vous conseiller.

Conclusion

Dans cet article nous avons vu pourquoi il n’est pas possible d’ouvrir des ports sur une box 4G, et nous avons énuméré deux moyens de contourner cette limitation via la mise en place de tunnel SSH ou de tunnel VPN.

Si vous avez d’autres solutions pour contourner le CG-NAT ou que vous avez des questions n’hésitez pas à nous en faire part en commentaires.

L’équipe DIGICOM-IT reste à votre écoute.

Partager sur facebook
Facebook
Partager sur twitter
Twitter
Partager sur linkedin
LinkedIn

Nos derniers articles