Relais se coupent 2 secondes de manière régulière IPX800 V5

Bonjour,

Les jours ce sont raccourcis et avec la lumière allumée, je me rends compte que plusieurs fois par jour, les relais présent uniquement sur mon IPX (version 5.5.8) se coupent plusieurs fois par jour.
L’alimentation a été changée par une X-PSU + batterie, cela ne change rien.
Les extensions ne rencontre pas ce pb.
L’IPX a été acheté et mis en service cet été. j’ai le code « 0x00 - 0xf104 » qui apparait dans les log a chaque fois que cela se produit.

Quelqu’un à un avis ?

Bonjour qben,

ça ressemble à un redémarrage de la V5.

Si vous avez éliminé l’option alimentation, il peut y avoir un souci coté internet.
Testez de la débrancher du réseau pendant une journée pour voir si les relais se coupent toujours.

Bonne journée

Bonjour,
est-ce que tous les relais sont concernés ou seulement certains d’entre eux ?
est-ce que votre éclairage est commandé par des capteurs de luminosité ? quid des hystérésis ?
bonne journée

L’ensemble des relais On passe à Off quelques instant de manière synchrone.
Il n’y a pas de capteur de luminosité. Uniquement des poussoirs.

Un soucis coté internet ne devrait pas impacté les extensions ?

Merci.

en principe non.

Bonne journée

avez-vous changé le port 80 par défaut ?

Bonjour @qben

Si il y a une attaque sur le port ouvert de l’ipx800v5 cela peut faire redémarrer l’IPX

Vérifier aussi si il y a pas un « http://ip-ipx800v5/api/system/ipx?ApiKey= » qui traine

Par contre un reboot provoque ce code

image

Merci pour vos réponses.

Je vais commencer par débrancher le câble. Ca mettra de coté l’idée d’un pb réseau comme ca.
Je devrait être fixé assez vite vu le nbre de coupure.

Petit retour a 24h sans reseau sur l ipx :
pas de coupure dans les logs !
Ce n est pas assez long pour etre sur que c est bien ca, mais le chaiffage ne demarre pas quand je coupe le reseau.

J ai desactivé toutes les redirections de port sur ma freebox. On verra si ca tient.

Les redirections qui etaient en place :

Xxxxx vers 80 pour l Ipx
Yyyyy vers 80 pour un Jeedom
Zzzzzz vers 443 pour l ipx

Quelqu un peut m en dire plus sur les soucis reseau lié a ces coupures ?

@qben

Bah c’est simple, tu as mis en place de la redirection de port sur les ports…les plus scannés
par les hackers ! :slight_smile:

Ce qu’il faut faire au niveau de la box

50080 vers 80 pour l Ipx

50443 vers 443 pour l ipx

50081 vers 8080 pour un Jeedom

Donc si tu veux ensuite te connecter c’est

  • ip_dyndns:port cible de la machine ici 50080 pour l’ipx
    etc

tu ne peux pas utiliser de la redirection de port avec un même port destination vers 2 machines sinon la box ne peut pas déterminer vers quelle destination router les paquets tcp

En utilisant les port au-dessus de 50000-65536 (ports libres pour usage perso) tu limite les scans les plus commun

L’idéal étant de passer via un vpn pour accéder au réseau local…

1 « J'aime »

Bonsoir,
Comme écrit plus haut, je vous invite à changer le port 80 sur l’ipx800. Certes vous devrez préciser le port même en local, mais vous augmenterez grandement l’immunité de l’ipx800 aux attaques.

@cce66
Pourtant je suis en 4xxxx pour tous les ports entrant

@fgtoul
Ok pour changement du port de destination

@qben

Au temps pour moi, c’était pas clairement précisé :slightly_smiling_face:

Mais il est préférable d’utiliser les ports dans la plage 49152-65535

Ports enregistrés

La plage de numéros de port à partir de 1024 à 49151 sont les ports enregistrés. Ils sont attribués par l’IANA pour le service spécifique à la suite d’une demande de l’entité.

Ports dynamiques, privés ou éphémères

La gamme 49152-65535 contient des ports dynamiques ou privés qui ne peuvent pas être enregistrés auprès de l’IANA. Cette gamme est utilisée à des fins privées ou des services sur mesure, pour des besoins temporaires, et pour l’allocation automatique de ports éphémères.

Bonjour cce66,
les FAI partagent le plus souvent les adresses IP sur Fibre optique avec 4 clients, sauf si demande d’IP Full stack, donc il est très difficile aujourd’hui de respecter les nomenclatures de ports en résidentiel. Un client doit alors utiliser les ports dans la plage qui lui est attribuée.
Bonne journée

Merci pour vos réponses.
Je suis en full stack. Je vais pousser dans les 50K

Bien à vous

bonjour @fgtoul

Effectivement on l’oublie parfois !!! :roll_eyes: Chez moi en Free c’est la 2d tranche (Ports 16384 à 32767) !

@qben

Il faudrait regarder sur ta box quels est la plage de ports autorisés, je sais pas si le fait de mettre un port ouvert en dehors de la plage l’ouvre réellement et si l’accès est possible, faudra que je teste à l’occase ! Si c’est positif, cela pourrait entrainer des tentatives de traffic à répétition si une ip partagée a le même port ouvert !

Ca manque de log sur la freebox pour voir le trafic. C est dommage. J ai pas envie d ajouter un routeur supplémentaire sur le long terme pour voir ce qui se passe.

Je ne vois pas trop l’intérêt de changer le port coté réseau local ? Ça n’apporte rien en terme de sécurité. A moins que ce soit juste pour une question d’homogénéité entre l’accès depuis l’extérieur et à la maison ?

Également d’un point de vue sécurité, le fait de changer le port par défaut ne change pas grand chose, à part limiter les scans automatiques sur les ports standard. Et si en effet l’IPX n’aime pas être titillée sur son port HTTP(S)…
L’idéal serait une petite fonction style jailbreak qui bloque les IP après un nombre donnée de connexions échouées. Mais l’OS n’est peut être pas adapté pour ce genre de choses.
Le VPN reste la solution idéale et certaines box internet le propose il me semble. Chez moi c’est OpenVPN, mais le serveur est installé sur un Raspberry Paille. Du coup j’ai pas testé l’OpenVPN de la Freebox. Seul contrainte, il faut penser à l’activer et le désactiver (mais peut être que je pourrais le laisser connecté tout le temps. Je n’ai pas regardé s’il pouvait y avoir des inconvénients à ça).

Bonjour,
changer le port 80 permet d’isoler l’ipx sur le LAN, elle a moins de trames à écouter.

  • Attaque intérieure
    En cas d’attaque sur le LAN via un dispositif plus exposé (port externe standard, malware, …) , l’IPX est également moins vulnérable. Il existe de nombreuses méthodes d’attaques par saturation de services (flood [syn, udp, http]) qui ont pour but de planter les systèmes. L’IPX est moins visible pour les attaquants, souvent automatisés, qui ciblent spécifiquement les ports standards (scans, …).

  • trafic local
    Changer le port 80 préserve également l’ipx des dispositifs présents sur le LAN (on a déjà vu une ipx rebooter lors des broadcast d’un NVR Hikvision qui cherchait les caméras ) , sans forcément parler d’attaque.

Bref, en cas de reboot ou blocages intempestifs, les raisons de ne pas laisser le port 80 sont nombreuses. Cette solution a dépanné beaucoup d’IPX qui redémarraient apparemment sans raison. Il y a plusieurs exemples sur le forum.
Il est également préférable de modifier le port par défaut du M2M qui utilise aussi les services de connexions sur TCP. Tout protocole ou système d’exploitation a ses failles, elles sont connues et exploitées.
Certains utilisateurs avertis créeront un VLAN, d’autres changeront plus simplement le port local.

Changer le port local aide donc à réduire les risques de plantages d’origines diverses, extérieures ou intérieures, mais n’est cependant pas une solution ultime contre les attaques depuis internet. Il faut aussi installer des pare-feux et des IDS pour réellement préserver un LAN.

Bonne journée

Bien. Merci a vous.
Ipx isolé ou ports fermé depuis 3 jours et plus aucun redémarrage.

Il faut se rendre a l evidence et ecouter votre retour d expérience.

Bonne soirée

3 « J'aime »