La Fibre
Datacenter et équipements réseaux => Routeurs => 
OpenWrt => Discussion démarrée par: waldhari le 19 février 2024 à 14:38:53
-
Bonjour,
Je suis équipé d'un Flint 2 (GL-MT6000) de GL-iNet, je voudrais y gérer mes règles de redirections de ports et éviter le double NAT.
Etant chez Sosh j'ai une Livebox, qui ne peut pas être mise en mode bridge. L'IP de mon routeur Flint est donc passée en DMZ dans ma box.
Néanmoins je suis obligé de créer les règles de redirections des ports 80 et 443 (pour mon utilisation) depuis ma Livebox :
(https://i.imgur.com/sMWh93Z.jpeg)
Dans l'idéal je voudrais que ces règles soient gérées depuis mon Flint qui est bien en mode routeur, et plus du tout côté box.
Pourquoi ? Parce que je souhaite pouvoir changer de FAI simplement sans avoir à me retaper toute la configuration pour mes différents équipements.
Mais pour le moment, en plus de ces règles côté box, j'ai également celles-ci côté routeur pour accéder à mes équipements depuis l'extérieur en HTTP/HTTPS par exemple :
(https://i.imgur.com/y0l1J8b.jpeg)
Je n'ai pas forcément envie de retirer totalement la box, car je veux que la TV puisse continuer à fonctionner également.
Mais surtout je veux qu'en cas de changement d'opérateur, il n'y ait que la box à changer, sans avoir à reconfigurer mes équipements sur le réseau. Avec ma Livebox j'ai ce problème d'IP Publique qui est fournie par cette dernière et pas par mon routeur. Comment puis-je faire autrement, l'idéal serait bien que l'IP Publique soit attribuée au niveau du routeur pour y gérer les NAT/PAT ?
Donc pour le moment, avec ma Livebox je n'atteins pas mon objectif, à moins qu'il y ait qqchose que je loupe ?
Et demain, si je passe chez Free (hypothèse la plus probable pour le moment) et que je remplace ma Livebox par une Freebox en mode bridge, est-ce que tout continuera à fonctionner sur le réseau sous mon routeur Flint ou aurais-je besoin de reconfigurer qqchose (autre qu'indiquer à la box quel est le routeur sur le réseau) ?
Mes équipements sont branchés de cette façon : Box Internet > Routeur Flint > Equipements en Ethernet ou Wifi
Je vous remercie pour vos éclaircissements :)
-
Bonjour,
Si votre routeur est en DMZ de la Livebox, alors vos deux règles ne servent à rien.
Cherchez aussi le transfert des protocoles dans la LB sinon.
-
Clairement en l'état actuel mes règles sont merdiques.
C'est le passage du pare-feu de la box en personnalisé ton screen ? Il te permet de gérer les règles NAT/PAT depuis ton routeur du coup ?
Merci de ton retour
-
Ah non, mon pare-feu est en mode faible.
Cette image provient de l'onglet NAT de la Livebox.
Et en effet, je gère toutes mes règles PAT depuis mon routeur.
-
J'ai vu ça dans l'onglet NAT effectivement, merci.
En revanche quand j'y ajoute mon routeur, si je désactive mes règles ports 80 et 443, je n'accède plus à mes équipements depuis l'extérieur.
Je n'ai donc pas l'impression que les règles soient gérées niveau routeur. Du moins mon IP publique vers laquelle mon ndd pointe n'est pas accessible via les règles du routeur :/
-
Bonsoir !
J'avais déjà fait une configuration en plaçant mon serveur en pseudo-DMZ. Le pare-feu était positionné au niveau moyen.
Je pense que la Livebox ouvre les ports 80 et 443 du pare-feu et fasse le NAPT afin que la traduction de ports soit transparente.
Il me semble qu'en spécifiant les ports 80 et 443 dans votre routeur après traduction de ports (changer les ports 8123), cela fonctionnera.
Mais cela ne peut fonctionner que pour un serveur (x1)[1]. Ne pas oublier d'ouvrir les ports 80 et 443 dans le pare-feu de votre routeur.
[1] La redirection de ports dans le NAPT transforme les numéros de ports liés aux processus sur l'hôte source. Les paquets sont filtrés
par le pare-feu de la Livebox sur les ports associés à la redirection de ports lorsque ces ports ne sont pas ouverts dans le pare-feu.
Dans votre cas, les paquets sortants de votre routeur provenant du serveur auront un port source 8123 pour la Livebox.
Aarf, les choses sont inversées !
-
Merci pour le retour :)
En étant terre à terre, je peux supprimer mes règles NAT de la Livebox et côté routeur il faut qu’en source je spécifie 80 et 443 vers 8123 ?
Que ça me limite à un appareil pour le moment ne me gêne pas.
-
Il me semble car le routeur se trouve en pseudo-DMZ. Sur le routeur, par simplicité, j'aurais d'abord testé 80 --> 80 et 443 --> 443.
Rectification : on peut probablement faire plusieurs redirections de ports, mais c'est pas standard et c'est manuel. Donc, on revient
plus ou moins au même NAPT que dans la configuration originale, c'est-à-dire, sans solliciter la pseudo-DMZ et en faisant les
redirections de ports (NAT) et l'ouverture desdits ports dans le pare-feu de la Livebox. Ce qui pourrait être plus avisé !
-
Si je comprends bien, dans le cas de la Livebox le mieux est donc d’y gérer les règles NAT même si on a un routeur pouvant gérer ces règles ?
Si je redirige mes ports dans la Livebox je suis aussi obligé d’ajouter des règles dans le routeur pour réussir à accéder à mon équipement de l’extérieur, comme dans les images du premier message. Je trouve ça bof et je trouve dommage de ne pas pouvoir exploiter mon routeur.
Dans le cas d’une box en mode bridge en revanche, il est bien possible de gérer le NAT directement sur le routeur perso et de confiner la box au rôle de modem ? Si oui mon changement de FAI pourrait se faire plus rapidement que prévu.
-
Bonjour !
On doit faire des redirections de ports dans la Livebox et le routeur. Puisque ces deux équipements fonctionnent avec du NAPT.
La pseudo-DMZ des routeurs CPE a pour rôle de rendre le NAT/PAT transparent pour l'utilisateur.
Par exemple, le port 80 est redirigé vers le port 80 dans la table interne du NAT pour la machine spécifiée comme pseudo-DMZ et
ce port est ouvert dans le pare-feu. Ainsi, le navigateur Web d'un hôte externe au réseau géré par la Livebox (e.g. un internaute)
pourra se connecter au serveur Web en écoute sur le port 80 standard sur la machine définie en pseudo-DMZ.
Dans votre cas, c'est votre routeur qui est placé en pseudo-DMZ. Vous pouvez avoir plusieurs serveurs Web sur des machines distinctes
dans le réseau de votre routeur qui écoutent sur le port 80. Il faut alors définir explicitement une redirection de port mais un seul serveur
Web pourra « conserver » le port 80 après redirection de port dans le routeur. Les autres serveurs Web seront accessibles à l'extérieur
du réseau géré par votre routeur via d'autres ports (à cause de la redirection de ports permettant ainsi d'associer plusieurs IPv4 privées à
une seule adresse IPv4 publique : NAPT).
Édition : Pour répondre plus directement, vous avez finalement deux routeurs dans votre réseau local. Le problème c'est le NAPT IPv4
(double NAT en l'occurrence) et la Livebox domestique qui a des fonctionnalités restreintes par rapport à l'expérience l'utilisateur. Je ne
suis pas assez compétent pour savoir si cela pose des problèmes insurmontables.
-
Bonjour,
Si je comprends bien, dans le cas de la Livebox le mieux est donc d’y gérer les règles NAT même si on a un routeur pouvant gérer ces règles ?
Si je redirige mes ports dans la Livebox je suis aussi obligé d’ajouter des règles dans le routeur pour réussir à accéder à mon équipement de l’extérieur, comme dans les images du premier message. Je trouve ça bof et je trouve dommage de ne pas pouvoir exploiter mon routeur.
Dans le cas d’une box en mode bridge en revanche, il est bien possible de gérer le NAT directement sur le routeur perso et de confiner la box au rôle de modem ? Si oui mon changement de FAI pourrait se faire plus rapidement que prévu.
Non, si vous voulez ne pas être tributaire du FAI, il faut que ce soit votre routeur qui fasse le NAT/PAT et non la Livebox.
Dans la Livebox, attribuer une IP statique au routeur par le DHCP avec son adresse MAC, mettre le routeur en DMZ, ajouter la règle des protocoles et ne s'occuper de tout le reste que sur votre routeur.
-
Bonjour,
Bonjour !
On doit faire des redirections de ports dans la Livebox et le routeur. Puisque ces deux équipements fonctionnent avec du NAPT.
La pseudo-DMZ des routeurs CPE a pour rôle de rendre le NAT/PAT transparent pour l'utilisateur.
Par exemple, le port 80 est redirigé vers le port 80 dans la table interne du NAT pour la machine spécifiée comme pseudo-DMZ et
ce port est ouvert dans le pare-feu. Ainsi, le navigateur Web d'un hôte externe au réseau géré par la Livebox (e.g. un internaute)
pourra se connecter au serveur Web en écoute sur le port 80 standard sur la machine définie en pseudo-DMZ.
Dans votre cas, c'est votre routeur qui est placé en pseudo-DMZ. Vous pouvez avoir plusieurs serveurs Web sur des machines distinctes
dans le réseau de votre routeur qui écoutent sur le port 80. Il faut alors définir explicitement une redirection de port mais un seul serveur
Web pourra « conserver » le port 80 après redirection de port dans le routeur. Les autres serveurs Web seront accessibles à l'extérieur
du réseau géré par votre routeur via d'autres ports (à cause de la redirection de ports permettant ainsi d'associer plusieurs IPv4 privées à
une seule adresse IPv4 publique : NAPT).
Édition : Pour répondre plus directement, vous avez finalement deux routeurs dans votre réseau local. Le problème c'est le NAPT IPv4
(double NAT en l'occurrence) et la Livebox domestique qui a des fonctionnalités restreintes par rapport à l'expérience l'utilisateur. Je ne
suis pas assez compétent pour savoir si cela pose des problèmes insurmontables.
Merci encore du retour.
Si je résume (pour ma bonne compréhension) les règles à définir :
- LiveBox : Passer mon routeur en DMZ (c'est fait) ; rediriger mes ports 80 vers 80 et 443 vers 443 (faits aussi)
- Routeur : Ouvrir les ports 80 et 443
- Routeur : Rediriger mon port source 80 vers mon IP:8123 en destination (idem pour 443)
- Routeur : Rediriger mon port source 80 vers mon IP:8006 en destination (idem pour 443)
Est-ce que j'ai correctement compris ? Désolé si ce n'est pas le cas.
Bonjour,Non, si vous voulez ne pas être tributaire du FAI, il faut que ce soit votre routeur qui fasse le NAT/PAT et non la Livebox.
Dans la Livebox, attribuer une IP statique au routeur par le DHCP avec son adresse MAC, mettre le routeur en DMZ, ajouter la règle des protocoles et ne s'occuper de tout le reste que sur votre routeur.
C'est bien ce que je cherche à faire, mais je me trompais sur le fait de ne pas avoir à gérer de règle depuis la box.
Les règles des protocoles côté livebox que j'ai renseignées dans mon premier message sont donc correctes ?
-
LiveBox : rediriger mes ports 80 vers 80 et 443 vers 443 (faits aussi)
Ceci n'est pas utile du tout, et ne sert à rien car votre routeur est en DMZ de la box.
Le reste est OK.
-
Bonjour,Merci encore du retour.
Si je résume (pour ma bonne compréhension) les règles à définir :
- LiveBox : Passer mon routeur en DMZ (c'est fait) ; rediriger mes ports 80 vers 80 et 443 vers 443 (faits aussi)
- Routeur : Ouvrir les ports 80 et 443
- Routeur : Rediriger mon port source 80 vers mon IP:8123 en destination (idem pour 443)
- Routeur : Rediriger mon port source 80 vers mon IP:8006 en destination (idem pour 443)
Est-ce que j'ai correctement compris ? Désolé si ce n'est pas le cas.
C'est bien ce que je cherche à faire, mais je me trompais sur le fait de ne pas avoir à gérer de règle depuis la box.
Les règles des protocoles côté livebox que j'ai renseignées dans mon premier message sont donc correctes ?
En IPv4 NAPT, cela ne me paraît pas correct. On ne peut rediriger un port dans le boîtier faisant NAT qu'une seule fois.
Je reformule à nouveau les choses mais sous forme de tableaux.
Cela varie également en fonction du nombre de serveurs écoutant sur les même ports.
Dans le NAT du routeur :
IP P_SRC P_DST
--------------------------------
SRV1 80 8080
SRV1 443 8443
SRV2 80 9080
SRV2 443 9443
Dans le pare-feu du routeur : les paquets entrants auront tous l'adresse IPv4 privée du routeur comme IP_DST. On ne peut donc pas filtrer avec l'IP_DST de l'hôte cible (destinataire). Ce que je
pensais n'était pas logique (sinon, le pare-feu ne pourrait pas véritablement filtrer les paquets). Mais je n'ai jamais eu l'occasion de configurer un pare-feu. Vive IPv6, au revoir NAPT !
Édition (20/02) : je me suis mélangé les pinceaux.
IP_DST P_SRC P_DST
--------------------------------
SRV1 80 *
SRV1 443 *
SRV2 80 *
SRV2 443 *
Dans le NAT de la Livebox :
IP P_SRC P_DST
--------------------------------
SRV1 8080 8080
SRV1 8443 8443
SRV2 9080 9080
SRV2 9443 9443
Dans le pare-feu de la Livebox : Ies paquets entrants auront tous l'adresse IPv4 publique de la Livebox comme IP_DST. On ne peut donc pas filtrer avec l'IP_DST de l'hôte cible (destinataire).
Édition (20/02) : je me suis mélangé les pinceaux.
Édition (21/02) Autres erreurs trouvées / La Livebox reçoit des paquets avec des adresses transport dont les ports ont été modifié par le NAPT du routeur.
IP_DST P_SRC P_DST
--------------------------------
SRV1 8080 *
SRV1 8443 *
SRV2 9080 *
SRV2 9443 *
Lorsque des serveurs écoutent sur des ports différents, alors c'est transparent au niveau de la traduction des ports.
Dans le NAT du routeur :
IP P_SRC P_DST
--------------------------------
SRV1 80 80
SRV1 443 443
Dans le pare-feu du routeur :
IP_DST P_SRC P_DST
--------------------------------
SRV1 80 *
SRV1 443 *
Dans le NAT de la Livebox :
IP P_SRC P_DST
--------------------------------
SRV1 80 80
SRV1 443 443
Dans le pare-feu de la Livebox :
Édition (20/02) : je me suis mélangé les pinceaux.
IP_DST P_SRC P_DST
--------------------------------
SRV1 80 *
SRV1 443 *
Note : La Livebox réalise des redirections de ports ainsi que des ouvertures dans le pare-feu lorsqu'on utilise la pseudo-DMZ, mais je ne sais pas lesquelles.
Les tableaux servent à illustrer le principe d'une configuration de routeurs NAPT.
-
Merci beaucoup pour vos retours, je vais tester dès que possible et je vous tiendrai informé du résultat.
basilix: Je crois pouvoir passer en ipv6 sur ma box + routeur + ndd, pourrais-tu m'indiquer comment ça se gère ? :)
-
@waldhari : Désolé, je fais encore trop d'erreurs (du coup, ce serait catastrophique !). J'ai modifié mon post précédent.
-
Alors pour ta box, une Livebox, dans la section Réseau tu as un onglet IPv6.
Il faut que celui-ci soit activé (une coche orange).
Dans ton routeur, tu dois avoir une section IPv6, et la Livebox va lui envoyer le préfixe en /64 (la délégation de préfixe).
Exemple d'un serveur ASUS ci-dessous pour la configuration.
Après chaque équipement capable de prendre en charge l'IPv6 aura une adresse avec le préfixe que le routeur va leur envoyer.
-
Je préfère configurer le pare-feu de OpenWrt dans la configuration de firewall4 (fw4).
config rule
option src 'wan'
option proto 'tcp'
option dest 'lan'
option dest_ip '2001:db8:42::1337'
option dest_port '80'
option family 'ipv6'
option target 'ACCEPT'
Dans l'exemple ci-dessus (https://openwrt.org/docs/guide-user/firewall/fw3_configurations/fw3_ipv6_examples), je trouve qu'il est beaucoup plus simple de visualiser comment les paquets sont filtrés. On voit clairement que la règle s'applique à un paquet entrant dans réseau local.
-
Ceci n'est pas utile du tout, et ne sert à rien car votre routeur est en DMZ de la box.
Le reste est OK.
Alors ce que je ne comprends pas c’est que lorsque je désactive ma redirection de ports 80>80 au niveau de la Livebox, l’accès extérieur ne fonctionne plus.
Y compris avec la redirection des protocoles vers mon routeur, j’ai besoin des deux pour que ça fonctionne.
IPv6 est bien activé partout.
-
C'est étrange car chez moi, je n'ai pas ces règles et j'accès bien à mes serveurs.
Et c'est le principe de la DMZ ! :D
Le pare-feu de la Livebox est sur faible ?
-
Ah punaise je suis désolé, je viens de voir que mon routeur n'était plus en DMZ dans la Livebox, là ça fonctionne effectivement :)
Si jamais ça peut servir ou me resservir, et même si c'est écrit dans les messages précédents, côté Livebox :
- Serveur DHCP activé, IP statique attribuée à mon routeur (seul équipement connecté à la box)
- NATPAT : Règle de redirection de tous les protocoles vers mon routeur
- DMZ : Déclarer l'IP du routeur
Côté routeur :
- Ouverture des ports 80 et 443
- Redirection WAN 80 TCP > LAN IP:8123 (idem 443)
Et je fais pointer mon ndd vers mon IP statique publique attribuée par la Livebox.
Merci à vous pour vos explications
-
@waldhari : Je suis content pour vous !
J'avais proposé des redirections de ports dans le mauvais sens : 8080 (WAN_Orange) --> 80 (LAN_Livebox). :o