Auteur Sujet: Routeur OpenWRT - Gestion règles DHCP et NAT (Lu 1071 fois)

Kana-chan · « **Réponse #12 le:** 20 février 2024 à 14:25:20 »

Citation de: waldhari le 20 février 2024 à 13:27:52

LiveBox : rediriger mes ports 80 vers 80 et 443 vers 443 (faits aussi)

Ceci n'est pas utile du tout, et ne sert à rien car votre routeur est en DMZ de la box.
Le reste est OK.

basilix · « **Réponse #13 le:** 20 février 2024 à 16:45:15 »

Citation de: waldhari le 20 février 2024 à 13:27:52

Bonjour,Merci encore du retour.
Si je résume (pour ma bonne compréhension) les règles à définir :
LiveBox : Passer mon routeur en DMZ (c'est fait) ; rediriger mes ports 80 vers 80 et 443 vers 443 (faits aussi)
Routeur : Ouvrir les ports 80 et 443
Routeur : Rediriger mon port source 80 vers mon IP:8123 en destination (idem pour 443)
Routeur : Rediriger mon port source 80 vers mon IP:8006 en destination (idem pour 443)

Est-ce que j'ai correctement compris ? Désolé si ce n'est pas le cas.
C'est bien ce que je cherche à faire, mais je me trompais sur le fait de ne pas avoir à gérer de règle depuis la box.
Les règles des protocoles côté livebox que j'ai renseignées dans mon premier message sont donc correctes ?

~~En IPv4 NAPT, cela ne me paraît pas correct. On ne peut rediriger un port dans le boîtier faisant NAT qu'une seule fois.~~

Je reformule à nouveau les choses mais sous forme de tableaux.

Cela varie également en fonction du nombre de serveurs écoutant sur les même ports.

Dans le NAT du routeur :

Code: [Sélectionner]

 IP         P_SRC         P_DST
--------------------------------

SRV1         80          8080
SRV1        443          8443

SRV2         80          9080
SRV2        443          9443

Dans le pare-feu du routeur : ~~les paquets entrants auront tous l'adresse IPv4 privée du routeur comme IP_DST. On ne peut donc pas filtrer avec l'IP_DST de l'hôte cible (destinataire).~~ Ce que je
pensais n'était pas logique (sinon, le pare-feu ne pourrait pas véritablement filtrer les paquets). Mais je n'ai jamais eu l'occasion de configurer un pare-feu. Vive IPv6, au revoir NAPT !

Édition (20/02) : je me suis mélangé les pinceaux.

Code: [Sélectionner]

 IP_DST        P_SRC       P_DST
--------------------------------
 SRV1           80         *
 SRV1          443         *
 SRV2           80         *
 SRV2          443         *

Dans le NAT de la Livebox :

Code: [Sélectionner]

 IP           P_SRC         P_DST
--------------------------------

SRV1         8080          8080
SRV1         8443          8443

SRV2         9080          9080
SRV2         9443          9443

Dans le pare-feu de la Livebox : ~~Ies paquets entrants auront tous l'adresse IPv4 publique de la Livebox comme IP_DST.~~ ~~On ne peut donc pas filtrer avec l'IP_DST de l'hôte cible (destinataire).~~

Édition (20/02) : je me suis mélangé les pinceaux.

Édition (21/02) Autres erreurs trouvées / La Livebox reçoit des paquets avec des adresses transport dont les ports ont été modifié par le NAPT du routeur.

Code: [Sélectionner]

 IP_DST         P_SRC        P_DST
--------------------------------
 SRV1          8080          *
 SRV1          8443          *
 SRV2          9080          *
 SRV2          9443          *

Lorsque des serveurs écoutent sur des ports différents, alors c'est transparent au niveau de la traduction des ports.

Dans le NAT du routeur :

Code: [Sélectionner]

 IP         P_SRC         P_DST
--------------------------------

SRV1         80            80
SRV1        443           443

Dans le pare-feu du routeur :

Code: [Sélectionner]

 IP_DST        P_SRC        P_DST
--------------------------------
SRV1             80          *
SRV1            443          *

Dans le NAT de la Livebox :

Code: [Sélectionner]

 IP         P_SRC         P_DST
--------------------------------

SRV1         80            80
SRV1        443           443

Dans le pare-feu de la Livebox :

Édition (20/02) : je me suis mélangé les pinceaux.

Code: [Sélectionner]

 IP_DST        P_SRC        P_DST
--------------------------------
SRV1           80            *
SRV1          443            *

Note : La Livebox réalise des redirections de ports ainsi que des ouvertures dans le pare-feu lorsqu'on utilise la pseudo-DMZ, mais je ne sais pas lesquelles.
Les tableaux servent à illustrer le principe d'une configuration de routeurs NAPT.

waldhari · « **Réponse #14 le:** 20 février 2024 à 18:22:56 »

Merci beaucoup pour vos retours, je vais tester dès que possible et je vous tiendrai informé du résultat.

basilix: Je crois pouvoir passer en ipv6 sur ma box + routeur + ndd, pourrais-tu m'indiquer comment ça se gère ?

basilix · « **Réponse #15 le:** 20 février 2024 à 19:49:25 »

@waldhari : Désolé, je fais encore trop d'erreurs (du coup, ce serait catastrophique !). J'ai modifié mon post précédent.

Kana-chan · « **Réponse #16 le:** 20 février 2024 à 20:47:20 »

Alors pour ta box, une Livebox, dans la section Réseau tu as un onglet IPv6.
Il faut que celui-ci soit activé (une coche orange).

Dans ton routeur, tu dois avoir une section IPv6, et la Livebox va lui envoyer le préfixe en /64 (la délégation de préfixe).
Exemple d'un serveur ASUS ci-dessous pour la configuration.

Après chaque équipement capable de prendre en charge l'IPv6 aura une adresse avec le préfixe que le routeur va leur envoyer.

basilix · « **Réponse #17 le:** 20 février 2024 à 21:11:25 »

Je préfère configurer le pare-feu de OpenWrt dans la configuration de firewall4 (fw4).

Code: [Sélectionner]

config rule
	option src 'wan'
	option proto 'tcp'
	option dest 'lan'
	option dest_ip '2001:db8:42::1337'
	option dest_port '80'
	option family 'ipv6'
	option target 'ACCEPT'

Dans l'exemple ci-dessus, je trouve qu'il est beaucoup plus simple de visualiser comment les paquets sont filtrés. On voit clairement que la règle s'applique à un paquet entrant dans réseau local.

waldhari · « **Réponse #18 le:** 20 février 2024 à 22:01:43 »

Citation de: Kana-chan le 20 février 2024 à 14:25:20

Ceci n'est pas utile du tout, et ne sert à rien car votre routeur est en DMZ de la box.
Le reste est OK.

Alors ce que je ne comprends pas c’est que lorsque je désactive ma redirection de ports 80>80 au niveau de la Livebox, l’accès extérieur ne fonctionne plus.
Y compris avec la redirection des protocoles vers mon routeur, j’ai besoin des deux pour que ça fonctionne.

IPv6 est bien activé partout.

Kana-chan · « **Réponse #19 le:** 20 février 2024 à 22:08:45 »

C'est étrange car chez moi, je n'ai pas ces règles et j'accès bien à mes serveurs.
Et c'est le principe de la DMZ !

Le pare-feu de la Livebox est sur faible ?

waldhari · « **Réponse #20 le:** 21 février 2024 à 07:52:00 »

Ah punaise je suis désolé, je viens de voir que mon routeur n'était plus en DMZ dans la Livebox, là ça fonctionne effectivement

Si jamais ça peut servir ou me resservir, et même si c'est écrit dans les messages précédents, côté Livebox :

Serveur DHCP activé, IP statique attribuée à mon routeur (seul équipement connecté à la box)
NATPAT : Règle de redirection de tous les protocoles vers mon routeur
DMZ : Déclarer l'IP du routeur

Côté routeur :

Ouverture des ports 80 et 443
Redirection WAN 80 TCP > LAN IP:8123 (idem 443)

Et je fais pointer mon ndd vers mon IP statique publique attribuée par la Livebox.

Merci à vous pour vos explications

basilix · « **Réponse #21 le:** 21 février 2024 à 08:17:52 »

@waldhari : Je suis content pour vous !

J'avais proposé des redirections de ports dans le mauvais sens : 8080 (WAN_Orange) --> 80 (LAN_Livebox).