Auteur Sujet: Routeur OpenWRT - Gestion règles DHCP et NAT (Lu 1089 fois)

waldhari · « **le:** 19 février 2024 à 14:38:53 »

Bonjour,

Je suis équipé d'un Flint 2 (GL-MT6000) de GL-iNet, je voudrais y gérer mes règles de redirections de ports et éviter le double NAT.
Etant chez Sosh j'ai une Livebox, qui ne peut pas être mise en mode bridge. L'IP de mon routeur Flint est donc passée en DMZ dans ma box.
Néanmoins je suis obligé de créer les règles de redirections des ports 80 et 443 (pour mon utilisation) depuis ma Livebox :

Dans l'idéal je voudrais que ces règles soient gérées depuis mon Flint qui est bien en mode routeur, et plus du tout côté box.
Pourquoi ? Parce que je souhaite pouvoir changer de FAI simplement sans avoir à me retaper toute la configuration pour mes différents équipements.
Mais pour le moment, en plus de ces règles côté box, j'ai également celles-ci côté routeur pour accéder à mes équipements depuis l'extérieur en HTTP/HTTPS par exemple :

Je n'ai pas forcément envie de retirer totalement la box, car je veux que la TV puisse continuer à fonctionner également.
Mais surtout je veux qu'en cas de changement d'opérateur, il n'y ait que la box à changer, sans avoir à reconfigurer mes équipements sur le réseau. Avec ma Livebox j'ai ce problème d'IP Publique qui est fournie par cette dernière et pas par mon routeur. Comment puis-je faire autrement, l'idéal serait bien que l'IP Publique soit attribuée au niveau du routeur pour y gérer les NAT/PAT ?

Donc pour le moment, avec ma Livebox je n'atteins pas mon objectif, à moins qu'il y ait qqchose que je loupe ?
Et demain, si je passe chez Free (hypothèse la plus probable pour le moment) et que je remplace ma Livebox par une Freebox en mode bridge, est-ce que tout continuera à fonctionner sur le réseau sous mon routeur Flint ou aurais-je besoin de reconfigurer qqchose (autre qu'indiquer à la box quel est le routeur sur le réseau) ?

Mes équipements sont branchés de cette façon : Box Internet > Routeur Flint > Equipements en Ethernet ou Wifi

Je vous remercie pour vos éclaircissements

Kana-chan · « **Réponse #1 le:** 19 février 2024 à 16:55:26 »

Bonjour,

Si votre routeur est en DMZ de la Livebox, alors vos deux règles ne servent à rien.
Cherchez aussi le transfert des protocoles dans la LB sinon.

waldhari · « **Réponse #2 le:** 19 février 2024 à 17:09:26 »

Clairement en l'état actuel mes règles sont merdiques.
C'est le passage du pare-feu de la box en personnalisé ton screen ? Il te permet de gérer les règles NAT/PAT depuis ton routeur du coup ?

Merci de ton retour

Kana-chan · « **Réponse #3 le:** 19 février 2024 à 18:02:42 »

Ah non, mon pare-feu est en mode faible.
Cette image provient de l'onglet NAT de la Livebox.
Et en effet, je gère toutes mes règles PAT depuis mon routeur.

waldhari · « **Réponse #4 le:** 19 février 2024 à 18:46:29 »

J'ai vu ça dans l'onglet NAT effectivement, merci.

En revanche quand j'y ajoute mon routeur, si je désactive mes règles ports 80 et 443, je n'accède plus à mes équipements depuis l'extérieur.
Je n'ai donc pas l'impression que les règles soient gérées niveau routeur. Du moins mon IP publique vers laquelle mon ndd pointe n'est pas accessible via les règles du routeur :/

basilix · « **Réponse #5 le:** 19 février 2024 à 19:20:25 »

Bonsoir !

J'avais déjà fait une configuration en plaçant mon serveur en pseudo-DMZ. Le pare-feu était positionné au niveau moyen.
Je pense que la Livebox ouvre les ports 80 et 443 du pare-feu et fasse le NAPT afin que la traduction de ports soit transparente.
Il me semble qu'en spécifiant les ports 80 et 443 dans votre routeur après traduction de ports (changer les ports 8123), cela fonctionnera.
Mais cela ne peut fonctionner que pour un serveur (x1)[1]. Ne pas oublier d'ouvrir les ports 80 et 443 dans le pare-feu de votre routeur.

[1] La redirection de ports dans le NAPT transforme les numéros de ports liés aux processus sur l'hôte source. Les paquets sont filtrés
par le pare-feu de la Livebox sur les ports associés à la redirection de ports lorsque ces ports ne sont pas ouverts dans le pare-feu.
~~Dans votre cas, les paquets sortants de votre routeur provenant du serveur auront un port source 8123 pour la Livebox.~~

Aarf, les choses sont inversées !

waldhari · « **Réponse #6 le:** 19 février 2024 à 20:18:04 »

Merci pour le retour

En étant terre à terre, je peux supprimer mes règles NAT de la Livebox et côté routeur il faut qu’en source je spécifie 80 et 443 vers 8123 ?
Que ça me limite à un appareil pour le moment ne me gêne pas.

basilix · « **Réponse #7 le:** 19 février 2024 à 20:27:52 »

Il me semble car le routeur se trouve en pseudo-DMZ. Sur le routeur, par simplicité, j'aurais d'abord testé 80 --> 80 et 443 --> 443.

Rectification : on peut probablement faire plusieurs redirections de ports, mais c'est pas standard et c'est manuel. Donc, on revient
plus ou moins au même NAPT que dans la configuration originale, c'est-à-dire, sans solliciter la pseudo-DMZ et en faisant les
redirections de ports (NAT) et l'ouverture desdits ports dans le pare-feu de la Livebox. Ce qui pourrait être plus avisé !

waldhari · « **Réponse #8 le:** 19 février 2024 à 21:20:56 »

Si je comprends bien, dans le cas de la Livebox le mieux est donc d’y gérer les règles NAT même si on a un routeur pouvant gérer ces règles ?
Si je redirige mes ports dans la Livebox je suis aussi obligé d’ajouter des règles dans le routeur pour réussir à accéder à mon équipement de l’extérieur, comme dans les images du premier message. Je trouve ça bof et je trouve dommage de ne pas pouvoir exploiter mon routeur.

Dans le cas d’une box en mode bridge en revanche, il est bien possible de gérer le NAT directement sur le routeur perso et de confiner la box au rôle de modem ? Si oui mon changement de FAI pourrait se faire plus rapidement que prévu.

basilix · « **Réponse #9 le:** 20 février 2024 à 09:17:02 »

Bonjour !

On doit faire des redirections de ports dans la Livebox et le routeur. Puisque ces deux équipements fonctionnent avec du NAPT.
La pseudo-DMZ des routeurs CPE a pour rôle de rendre le NAT/PAT transparent pour l'utilisateur.

Par exemple, le port 80 est redirigé vers le port 80 dans la table interne du NAT pour la machine spécifiée comme pseudo-DMZ et
ce port est ouvert dans le pare-feu. Ainsi, le navigateur Web d'un hôte externe au réseau géré par la Livebox (e.g. un internaute)
pourra se connecter au serveur Web en écoute sur le port 80 standard sur la machine définie en pseudo-DMZ.

Dans votre cas, c'est votre routeur qui est placé en pseudo-DMZ. Vous pouvez avoir plusieurs serveurs Web sur des machines distinctes
dans le réseau de votre routeur qui écoutent sur le port 80. Il faut alors définir explicitement une redirection de port mais un seul serveur
Web pourra « conserver » le port 80 après redirection de port dans le routeur. Les autres serveurs Web seront accessibles à l'extérieur
du réseau géré par votre routeur via d'autres ports (à cause de la redirection de ports permettant ainsi d'associer plusieurs IPv4 privées à
une seule adresse IPv4 publique : NAPT).

Édition : Pour répondre plus directement, vous avez finalement deux routeurs dans votre réseau local. Le problème c'est le NAPT IPv4
(double NAT en l'occurrence) et la Livebox domestique qui a des fonctionnalités restreintes par rapport à l'expérience l'utilisateur. Je ne
suis pas assez compétent pour savoir si cela pose des problèmes insurmontables.

Kana-chan · « **Réponse #10 le:** 20 février 2024 à 12:37:53 »

Bonjour,

Citation de: waldhari le 19 février 2024 à 21:20:56

Si je comprends bien, dans le cas de la Livebox le mieux est donc d’y gérer les règles NAT même si on a un routeur pouvant gérer ces règles ?
Si je redirige mes ports dans la Livebox je suis aussi obligé d’ajouter des règles dans le routeur pour réussir à accéder à mon équipement de l’extérieur, comme dans les images du premier message. Je trouve ça bof et je trouve dommage de ne pas pouvoir exploiter mon routeur.

Dans le cas d’une box en mode bridge en revanche, il est bien possible de gérer le NAT directement sur le routeur perso et de confiner la box au rôle de modem ? Si oui mon changement de FAI pourrait se faire plus rapidement que prévu.

Non, si vous voulez ne pas être tributaire du FAI, il faut que ce soit votre routeur qui fasse le NAT/PAT et non la Livebox.
Dans la Livebox, attribuer une IP statique au routeur par le DHCP avec son adresse MAC, mettre le routeur en DMZ, ajouter la règle des protocoles et ne s'occuper de tout le reste que sur votre routeur.

waldhari · « **Réponse #11 le:** 20 février 2024 à 13:27:52 »

Bonjour,

Citation de: basilix le 20 février 2024 à 09:17:02

Bonjour !

On doit faire des redirections de ports dans la Livebox et le routeur. Puisque ces deux équipements fonctionnent avec du NAPT.
La pseudo-DMZ des routeurs CPE a pour rôle de rendre le NAT/PAT transparent pour l'utilisateur.

Par exemple, le port 80 est redirigé vers le port 80 dans la table interne du NAT pour la machine spécifiée comme pseudo-DMZ et
ce port est ouvert dans le pare-feu. Ainsi, le navigateur Web d'un hôte externe au réseau géré par la Livebox (e.g. un internaute)
pourra se connecter au serveur Web en écoute sur le port 80 standard sur la machine définie en pseudo-DMZ.

Dans votre cas, c'est votre routeur qui est placé en pseudo-DMZ. Vous pouvez avoir plusieurs serveurs Web sur des machines distinctes
dans le réseau de votre routeur qui écoutent sur le port 80. Il faut alors définir explicitement une redirection de port mais un seul serveur
Web pourra « conserver » le port 80 après redirection de port dans le routeur. Les autres serveurs Web seront accessibles à l'extérieur
du réseau géré par votre routeur via d'autres ports (à cause de la redirection de ports permettant ainsi d'associer plusieurs IPv4 privées à
une seule adresse IPv4 publique : NAPT).

Édition : Pour répondre plus directement, vous avez finalement deux routeurs dans votre réseau local. Le problème c'est le NAPT IPv4
(double NAT en l'occurrence) et la Livebox domestique qui a des fonctionnalités restreintes par rapport à l'expérience l'utilisateur. Je ne
suis pas assez compétent pour savoir si cela pose des problèmes insurmontables.

Merci encore du retour.
Si je résume (pour ma bonne compréhension) les règles à définir :

LiveBox : Passer mon routeur en DMZ (c'est fait) ; rediriger mes ports 80 vers 80 et 443 vers 443 (faits aussi)
Routeur : Ouvrir les ports 80 et 443
Routeur : Rediriger mon port source 80 vers mon IP:8123 en destination (idem pour 443)
Routeur : Rediriger mon port source 80 vers mon IP:8006 en destination (idem pour 443)

Est-ce que j'ai correctement compris ? Désolé si ce n'est pas le cas.

Citation de: Kana-chan le 20 février 2024 à 12:37:53

Bonjour,Non, si vous voulez ne pas être tributaire du FAI, il faut que ce soit votre routeur qui fasse le NAT/PAT et non la Livebox.
Dans la Livebox, attribuer une IP statique au routeur par le DHCP avec son adresse MAC, mettre le routeur en DMZ, ajouter la règle des protocoles et ne s'occuper de tout le reste que sur votre routeur.

C'est bien ce que je cherche à faire, mais je me trompais sur le fait de ne pas avoir à gérer de règle depuis la box.
Les règles des protocoles côté livebox que j'ai renseignées dans mon premier message sont donc correctes ?