Auteur Sujet: Communiquer entre Freebox Pop et 2 routeurs OpenWRT sous 2 réseaux différents (Lu 2130 fois)

bluesteel · « **le:** 02 octobre 2023 à 21:18:35 »

Bonjour,

Je ne trouve pas de soution à mon problème.
Je possède la freebox pop en 192.168.1.X
J'ai mis au cul de la freebox, un routeur sous openwrt en adressage 192.168.0.X
La communication se fait très bien entre les 2 réseaux.
Depuis mon wifi en 192.168.0.X, j'accède bien aux périphériques connectés à ma freebox en 192.168.1.X

Je souhaite installer un nouveau routeur OpenWRT pour gérer un autre adressage en 10.0.0.X
(configuration du nouveau routeur openwrt OK)

J'ai tenté d'y connecter un serveur proxmox, mais impossible d'y accèder.

Je suis à la limite de mes connaissances réseaux.
Ci joint un schéma pour représenter au mieux...

Quelqu'un peut il me donner des pistes pour solutionner ce problème ?
J'aimerais pouvoir communiquer entre mes 3 réseaux : 192.168.1.X, 192.168.0.X, 10.0.0.X

Merci

Catalyst · « **Réponse #1 le:** 02 octobre 2023 à 22:14:22 »

Bonsoir,

quelle est l'adresse IP de l'interface WAN (celle vers la Pop) de chacun des routeurs OpenWrt ?

bluesteel · « **Réponse #2 le:** 02 octobre 2023 à 22:30:37 »

192.168.1.254

Catalyst · « **Réponse #3 le:** 02 octobre 2023 à 23:01:17 »

Citation de: bluesteel le 02 octobre 2023 à 22:30:37

192.168.1.254

C'est l'adresse de la Pop.

C'est celles là qu'il faudrait :

bluesteel · « **Réponse #4 le:** 02 octobre 2023 à 23:10:44 »

Openwrt à l'ip 192.168.1.95
Openwrt 2 à l'ip 192.168.1.88

Catalyst · « **Réponse #5 le:** 02 octobre 2023 à 23:41:46 »

D'accord.
Il y a bien une redirection de port dans OPW2 vers son serveur Promox ?
Tu ping bien OPW2 depuis OPW1 ?

kgersen · « **Réponse #6 le:** 03 octobre 2023 à 01:55:47 »

Citation de: bluesteel le 02 octobre 2023 à 21:18:35

J'aimerais pouvoir communiquer entre mes 3 réseaux : 192.168.1.X, 192.168.0.X, 10.0.0.X

sur chaque routeur il faut indiquer les routes vers les autres réseaux qui ne sont pas connus:

sur le routeur openwrt (192.168.1.95): ajouter une route 10.0.0.0/24 -> 192.168.1.88
sur le routeur openwrt2 (192.168.1.88): ajouter une route 192.168.0/24 -> 192.168.1.95
pour ajouter une route sur openwrt, ca se fait par l'interface web ou directement dans le fichier de config. cd la doc.

Cela va permettre aux machines derriere chaque routeur openwrt de communiquer entre elles.

Par contre on ne peut ajouter de route dans la freebox donc pour les machines directement derriere la freebox comme par exemple le serveur 3, il y 2 solutions pour joindre les 2 autres réseaux:
- changer sa passerelle par défaut pour pointer sur openwrt ou openwrt2 au lieu de la freebox (reco)
- ou ajouter aussi les 2 routes directement dans le serveur 3. (pas reco)

Idéalement il faudrait désactiver le dhcp pour 192.168.1.0/24 sur la freebox et le faire sur openwrt (coté wan) ou openwrt2 (coté wan) comme ca toutes les machines en 192.168.1.X sauront toutes joindre les 2 autres réseaux (donc meme les pc, smartphones, etc en wifi pourront joindre les 2 autres réseaux).

une autre solution est de faire de la redirection de ports dans openwrt et openwrt2 mais c'est pas l'idéal.

bluesteel · « **Réponse #7 le:** 03 octobre 2023 à 07:57:54 »

Alors :

Sur OpenWRT (192.168.1.95 adresse déclarée par la freebox > mis en statique) > j'acède à l'interface d'admin OpenWRT via l'ip 192.168.0.1

Sur OpenWRT 2 (192.168.1.88 adresse déclarée par la freebox > mis en statique) > j'accède à l'interface d'admin OpenWRT via l'ip 10.0.0.1

Voir les captures ci-jointe pour le routage
Après reboot des 2 OpenWRT je ne parviens pas à accéder à l'interface admin OpenWRT 2 depuis mon réseau OpenWRT
Ping KO

kgersen · « **Réponse #8 le:** 03 octobre 2023 à 13:54:40 »

il faut regarder les configs firewall de chaque routeur. il y a surement du blocage et/ou du NAT (masquerad en jargon openwrt) qui doit bloquer.

Il y a dans le réglage avancé du firewall une zone^* pour empêcher le NAT entre les 2 réseaux qui sont derriere les openwrt.
dans chaque il faut mettre l'ip du lan de l'autre avec un ! devant (! = ne pas faire de NAT). Dans la partie "rules" il faut aussi permettre les flux entre les 2 réseaux.

* menu "network", choix "firewall" puis bouton 'edit' de la ligne "wan->reject", puis l'onglet advanced settings. la zone est "Restrict Masquerading to given destination subnets". Alternativement on peut aussi ajouter une regle dans "NAT Rules".

Fuli10 · « **Réponse #9 le:** 03 octobre 2023 à 14:07:05 »

Bonjour,
Je suppose que tu fais du NAT entre ton interface LAN et l'interface WAN sur les 2 routeurs openwrt. C'est la configuration par défaut. Et si tu ne le fais pas, les machines derrières tes routeurs n'ont plus accès au net.
Du coup cela explique pourquoi tu ne peut pas faire communiquer tes réseaux derrière les routeurs.
En reprenant ta configuration. Je résume:
Sur le réseau LAN de la Freebox en 192.168.1.0/24 tu as:
- la pop: 192.168.1.254
- owrt: 192.168.1.95
- owrt2: 192.168.1.88
Sur l'interface WAN d'oWRT en 192.168.0.0/24 tu as:
- owrt LAN: 192.168.0.1
- pleins de machines en 192.168.0.X
Sur l'interface WAN d'oWRT2 en 10.0.0.0/?? tu as:
- owrt2 LAN: 10.0.0.1
- pleins de machines en 10.0.0.X
Maintenant, parlons route.

Sur la POP il n'est pas possible de créer des routes. Tu ne disposes que d'une seule route vers le LAN et une route par défaut:
- accès vers 192.168.1.0/24 via l'interface 192.168.1.254
- accès par défaut (c'est à dire toute IP != 192.168.1.0/24) via l'interface WAN.

Tu dis que tes machines derrières owrt ping le net. Cela signifie qu'une machine ayant une IP 192.168.0.X peut envoyer un paquet qui passe à travers oWRT, passe à travers ta Freebox, puis le net. Puis le paquet retour reviens vers la freebox, puis revient vers owrt, et enfin finit par être redirigé vers la machine avec IP 192.168.0.X.
Cela signifie que ton ping quand il est passé à travers owrt a "changer son IP source" de 192.168.0.X à l'IP d'owrt (192.168.1.95). Puis quand il passé à travers la freebox a encore changé son IP source de 192.168.1.95 à ton IPv4 sur internet. Le paquet retour reviens vers ton IPv4 sur internet. La freebox ayant "retenu" qu'un ping vers internet est parti depuis 192.168.1.95 va accepter le paquet retour, et changer son IP destination par 192.168.1.95. Ton routeur owrt recevant le retour d'un ping de 192.168.0.X va faire la même opération, et ton paquet retour de ping va finir avec comme IPv4 destination 192.168.0.X. C'est cela le masquerading.

Dans ton cas il faut désactiver le masquerading car sinon, recevoir une IPv4 destination 192.168.0.X ou 10.0.0.Y sur les interface WAN des routeurs owrt2 n'aura aucune signification pour eux.
Le problème c'est que si tu désactives le masquerading tu perdras ta connexion internet derrière les routeurs car la freebox ne saura pas à qui il doit envoyer un paquet retour ayant comme IP 192.168.0.X: il faudrait ajouter une route 192.168.0.X/?? via 192.168.1.95 dans la freebox, ce qui n'est pas possible.

Je n'ai pas la solution à ton problème, mais je peux toujours essayer de proposer un truc. Je ne suis pas sûr que cela peut fonctionner.

Essaye de créer une nouvelle interface LAN2LAN sur owrt avec une configuration en IP statique:
- 192.168.1.96/24 sur le même device que WAN.
- surtout pas de route (ni même par défaut) défini.
- désactive le masquerading complètement sur cette interface.
- dans le rules firewall crée LAN->LAN2LAN complètement ouvert (tout en autorisé)
- crée une route 192.168.1.89/32 via LAN2LAN (via 192.168.1.96)
- crée une route 10.0.0.X via 192.168.1.89
Dans le même temps sur owrt2 essaye de créer une nouvelle interface LAN2LAN avec une configuration en IP statique:
- 192.168.1.89/24 sur le même device que WAN.
- surtout pas de route (ni même par défaut) défini.
- désactive le masquerading complètement sur cette interface.
- dans le rules firewall crée LAN->LAN2LAN complètement ouvert (tout en autorisé)
- crée une route 192.168.1.96/32 via LAN2LAN (via 192.168.1.89)
- crée une route 192.168.0.X via 192.168.1.96
L'idée derrière tout ça c'est que pour toutes tes machines derrières les routeurs owrt/owrt2, quand ils accèdent au net (c'est à dire tout réseau différent du leur et de celui en face, including 192.168.1.X/24) cela passe par le masquerading/NAT. Et que dés qu'il s'agit d'accéder à une machine de l'autre réseau (192.168.0.X <-> 10.0.0.Y) il n'y ait pas de masquerading/NAT, et que cela passe par les addresses des routeurs dans le réseau 192.168.1.X/24 (d'ou le besoin des routes entre LAN2LAN owrt et LAN2LAN owrt2).

Cela reste une suggestion. Je ne sais pas si elle est juste ou fonctionnelle mais en tout cas c'est ma proposition pour contourner les NAT.

Fuli10 · « **Réponse #10 le:** 03 octobre 2023 à 14:08:35 »

Citation de: kgersen le 03 octobre 2023 à 13:54:40

il faut regarder les configs firewall de chaque routeur. il y a surement du blocage et/ou du NAT (masquerad en jargon openwrt) qui doit bloquer.

Il y a dans le réglage avancé du firewall une zone^* pour empêcher le NAT entre les 2 réseaux qui sont derriere les openwrt.
dans chaque il faut mettre l'ip du lan de l'autre avec un ! devant (! = ne pas faire de NAT). Dans la partie "rules" il faut aussi permettre les flux entre les 2 réseaux.

* menu "network", choix "firewall" puis bouton 'edit' de la ligne "wan->reject", puis l'onglet advanced settings. la zone est "Restrict Masquerading to given destination subnets". Alternativement on peut aussi ajouter une regle dans "NAT Rules".

Ah oui, c'est pas mal ça aussi d'avoir une règle firewall pour ne pas faire de NAT. Auquel cas oui c'est plus propre que ce que je propose.

Catalyst · « **Réponse #11 le:** 03 octobre 2023 à 18:00:00 »

La proposition de Kgersen de remplacer le DHCP de la Box est intéressante. A voir, je ne connais pas la Pop, l'impact sur ~~le tel et~~ le décodeur TV si ils sont utilisés.

Sinon il y a-t-il possibilité, dans ton cas d'usage, de brancher le LAN 10.0.0.X directement sur le 1er openwrt et se passer du 2° ? Tu as des contraintes particulières ?