Depuis que je suis chez Bouygues je peux débloquer le port 25 sortant et donc envoyer des mails depuis mon serveur sans passer par un relai smtp. Tout se déroule bien jusqu'à ce qu'un de mes contacts m'avertisse qu'il ne reçoit pas mes mails. Un petit coup d’œil dans les logs Postfix me donne ceci :

"[...]status=deferred (host mx01.gmx.net[213.165.67.97] refused to talk to me: 554-gmx.net (mxgmx106) Nemesis ESMTP Service not available 554-No SMTP service 554-IP address is black listed. 554 For explanation visit http://postmaster.gmx.com/en/error-messages?ip=x.x.x.x)"

Diantre ! Un petit tour sur l'URL indiquée m'apprend que le destinataire (gmx) utilise son propre filtre antispam basé sur des bases de données telles que Spamhaus. Quel foutoir, déjà qu'il est difficile de suivre un mail sur internet, mais si en plus des antispam maison s'en mêlent on n'en sortira jamais.

mxtoolbox m'apprend que mon IP est OK sur toutes les bases de données antispam sauf Spamhaus. Je me rends alors sur ce site qui indique que je suis blacklisté en me citant plusieurs causes possibles mais sans vraiment me dire laquelle est juste. Apparemment il ne s'agit pas de mon adresse IP mais de la plage d'adresses. Soit quelqu'un dans cette plage a émis du spam et a provoqué le blacklistage, soit c'est par précaution.

J'ai donc envoyé une requête à spamhaus pour retirer mon adresse IP de leur base de données et être enfin tranquille. A l'heure où j'écris l'article c'est fait, et l'envoi de messages vers GMX est possible.

Après 3 semaines d'abstinence du net, mon nouvel accès est maintenant en place ! Il s'agit de FTTLA, en gros une fibre optique arrive dans la rue jusqu'à un boitier, et le logement est ensuite raccordé par câble coaxial (utilisé aussi pour la télévision). Les débits théoriques promis sont de 100Mbps ou 200Mbps selon éligibilité.

Après avoir fait une recherche sur le web j'en suis arrivé à la conclusion que tous les FAI sont pires que les autres, les SAV incompétents, et que rien ne marche, ce qui ne facilite pas les choses pour choisir. Et oui, le web est inondé par ceux qui ont rencontré des problèmes. Désirant profiter du FTTLA je n'avais que deux possibilités : Numericable ou Bouygues. Une nouvelle recherche sur le web m'indique que leurs box sont nulles et que rien ne marche non plus. Donc mon choix fut guidé par les prix (les offres sont pratiquement identiques). J'ai retenu Bouygues en espérant ne pas avoir les mêmes ennuis que Bluetouff.

L'inconvénient du FTTLA et du coaxial c'est que ça ne marche pas en claquant des doigts, l'opérateur doit envoyer sur place un technicien pour vérifier ou mettre en place les raccordements. Et les délais sont longs, presque 3 semaines pour ma part :/ Tout ce temps à admirer une BBox posée sur le meuble faisant office de presse-papier...

Après le passage du technicien ma BBox se mit enfin à fonctionner et ma première action fut de lancer un téléchargement d'ISO de ubuntu afin d'évaluer le débit : 10,0 Mo/s. C'est plutôt alléchant puisqu'on s'approche des performances d'un réseau local. Par contre l'upload est à la ramasse, "seulement" 5Mbps, ce qui permet 600ko/s au maximum. On a donc un ratio download/upload de 20. Vive l'internet asymétrique.

Un défaut majeur de la BBox est le bruit. En effet la ventilation est plutôt silencieuse mais ne s'arrête jamais, même lorsque l'appareil est en veille. Bien que discret il est donc audible la nuit si vous dormez dans la même pièce... Il est étrange de voir que les *box multimédia font appel à des processeur Atom qui chauffent alors qu'on fait mieux chez ARM (un Nexus 4 dispose de 4 coeurs à 1,5GHz et ne nécessite pas de ventilation...). Je dois tout de même noter que suite à l'installation d'une mise à jour sur la BBox, le bruit s'est réduit, je ne l'entend plus la nuit

Je n'ai pas encore branché mon serveur dessus, mais je compte le faire bientôt, ce qui me permettra de tester les aspects suivants :

• Blocage ou non du port 25 tcp sortant
• Redirection de ports (PAT)
• Uptime de la connexion

A bientôt pour de nouvelles aventures.

Etant équipé d'un serveur accessible sur internet chez moi j'ai eu l'envie de mettre en place une DMZ. Bien entendu je ne voulais pas d'une pseudo-DMZ fournie par les *box qui sont en fait une simple redirection de ports, mais bien un vrai réseau isolé du reste du lan. J'ai donc opté pour la mise en place d'un solution propre à base de routages mais aussi de VLANs.

Après l'achat d'un switch administrable voici l'infrastructure mise en place :

(Oui, c'est fait avec Visio)

Cela m'a permis aussi d'apprendre beaucoup de choses au sujet des VLANs mais aussi du routage.

Le Routeur

Le routeur est un Alix 1.d, format Mini-ITX, équipé de pfSense, un système d'exploitation basé sur NanoBSD gérant les fonctionnalités de routage, firewalling, et bien d'autres encore. Il ne dispose que d'une interface réseau, mais il supporte le 8021q ce qui lui permet de travailler avec 3 VLANs.

Les switches

Pour le switch core j'ai investi dans un modèle Cisco pour un peu moins d'une centaine d'euros afin de disposer du support des VLANs. On peut les distribuer sur les ports de la manière désirée (tag ou pas...). Je précise que ce switch est un modèle "small business", il est tout petit, n'a pas de ventilateur, et consomme quelques watts seulement.

Pour le switch LAN c'est un netgear le plus basique possible, puisqu'il n'aura pas à gérer de VLAN (le switch core lui distribue le vlan30 non taggué).

Le serveur

Il sera détaillé dans un prochain article, mais il fournit notamment au réseau le rôle de DNS. Le prochain article parlera de LXC donc restez branchés :)

Évolutions futures

Comme le schéma l'indique je compte ajouter un point d'accès wifi afin de placer mon ordinateur portable et mon smartphone dans le VLAN30. Le switch core dispose de fonctions de QoS et peut optimiser le trafic SIP, ce qui ouvre donc la voie à mon imaginaire dans ce sens (VoIP, asterisk...).

A bientôt pour de nouvelles aventures !

Orange et tout un tas d'autres FAI bloquent le port 25 TCP sortant sur les connexions à internet des particuliers. Par conséquent il est impossible d'héberger un serveur mail qui envoie lui-même son courrier.

Les "solutions de contournement" que l'on trouve sur les blogs n'en sont pas, elles consistent à passer par un SMTP relais sur port 465 ou 587, mais le problème de base est toujours là : notre port 25 n'est pas débloqué, et on dépend toujours de quelqu'un d'autre. Ces pratiques constituent à mon sens une violation de la neutralité d'internet. Si l'explication technique est valable, c'est à dire bloquer le spam, je ne comprends pas pourquoi ça n'est pas fait à travers une option (désactivable) dans le routeur.

Ce soir j'ai tenté avec etenil de mettre en place un backup mx. C'est tout simplement impossible. Si le serveur principal est en rade, c'est moi qui reçoit le message car je suis le secondaire. Mon serveur le réexpédie immédiatement donc via le relay, mais celui-ci me le renvoie car le serveur principal n'est pas disponible. On entre donc dans une boucle, le message rebondit entre deux serveurs jusqu'à ce que l'hôte principal revienne en ligne. Si l'explication n'est pas claire je vous invite à essayer, quand on aura des boucles faisant crasher leurs serveurs, peut-être qu'ils accepteront de nous débloquer le port 25...

Après la box qui n'autorise pas le PAT vers une IP personnalisée, l'IP dynamique qui vous casse les pieds et qui permet aux commerciaux de vendre l'option IP fixe à 19 euros / mois, voici l'internet Orange plus propre pour mieux nous servir, parce que de toutes manières nous devrions rester passifs et utiliser le web 2.0 comme tout le monde au lieu de faire de l'auto-hébergement.

Voilà mon besoin : parfois je ne suis pas chez moi, mais j'aimerais quand même accéder à mon bureau kubuntu, pour pouvoir lire mes mails, retrouver mon firefox avec ses favoris, etc. VNC est loin d'être satisfaisant en raison de la difficulté de trouver un serveur et un client qui sont fiables, mais aussi pour sa très mauvaise qualité d'affichage. Pour avoir une solution équivalente à RDP, il existe NoMachine NX.

Il s'installe sur votre poste Linux, et ne nécessite aucune configuration puisqu'il s'appuie sur SSH. Ensuite, côté client, Windows ou Linux, vous pouvez établir une session distante et retrouver votre bureau. La simplicité de mise en place et les possibilités sont intéressantes, si vous configurez l'écoute sur le port 443 vous pouvez même y accéder depuis votre entreprise à travers le proxy. NoMachine NX n'est pas libre, mais il existe un équivalent qui l'est : FreeNX. Seulement ce dernier ne semble plus supporté depuis 2008, et de mémoire il était plus difficile à configurer (utilisation d'un système de clés...)

Installation (ubuntu)

Commencer par installer OpenSSH sur votre ordinateur :

$ sudo apt-get install openssh-server

Pour pouvoir accéder à votre ordinateur depuis internet, assurez-vous d'avoir redirigé le bon port sur votre routeur ou *box. Je vous conseille de rediriger le 443 TCP de la box vers le 22 TCP de votre ordinateur. Pourquoi ? Simplement car si vous voulez vous connecter depuis votre entreprise, souvent il n'y aura que le 80 (HTTP) et le 443 (HTTPS) accessibles. Or SSH écoute sur le port 22. Cette redirection (PAT, Port Address Translation) est donc intéressante.

Récupérez ensuite la version Linux 32 ou 64 bits chez NoMachine Il y a DEB, RPM ou tarball. Nous allons prendre la version DEB. Prenez les 3 paquets (client, node, serveur). Téléchargez-les dans un répertoire.

$ ls
nxclient_3.5.0-7_amd64.deb  nxnode_3.5.0-7_amd64.deb  nxserver_3.5.0-9_amd64.deb
$ sudo dpkg -i *.deb
$ sudo apt-get -f install

Et voilà, c'est tout !

Connexion (Windows)

Rendez-vous sur la page de téléchargements de NoMachine NX et récupérez le "NX client for Windows". Installez-le. Vous allez ensuite avoir un assistant vous permettant de configurer l'accès à votre machine. Il y a peu de choses à compléter, et rien n'est compliqué.

En utilisant le bouton "Configure" il est possible de modifier pas mal d'options, comme la résolution que l'on souhaite, ou alors l'utilisation d'un Proxy (notamment HTTP avec authentification, ce qui est très pratique). Notez que ce bouton est grisé si vous lancez NoMachineNX avec le raccourci pointant directement sur votre session. Il faut alors utiliser le lanceur "générique" qui devrait lui aussi être sur le bureau.

Sur l'exemple ci-dessus, mon bureau kubuntu dans un Windows Seven. La connexion est très stable et complètement fiable même via internet (ligne ADSL). La qualité d'affichage varie selon la vitesse du réseau, mais l'intégration avec le système actuel est meilleure que VNC. Le bureau reste assez fluide, mais cela dépend bien sûr des décorations et éléments à charger. Le mieux est d'avoir une interface minimaliste comme Windows 98 avec fond d'écran uni. Mais ça n'est pas obligatoire.

Conclusion

NoMachine NX est un excellent produit pour accéder à son bureau de n'importe où, sans devoir emmener son ordinateur personnel avec soit. Il est facile à mettre en place, rapide, stable, que demander de plus ?