La Fibre
Datacenter et équipements réseaux => Routeurs => 
Remplacer la Bbox par un routeur => Discussion démarrée par: gtrhaychou le 22 mars 2025 à 15:50:10
-
Bonjour,
Je deviens fou... lol !
Du coup, je viens demander de l'aide.
Merci à ceux qui prendront le temps de lire et de m'aider !
Mes redirections depuis l'extérieur blabla.domaine.ovh ne renvoient pas vers l'IP du LAN.
J'arrive à me connecter à mon VPN (qui est dans un LXC) mais je n'ai pas accès aux IP du LAN.
J'ai depuis des années mis mes box opérateurs en mode le plus simple soit bridge, soit DMZ vers mon routeur ASUS.
Ce dernier fait du load balancing avec un modem 4G qui doit être accessible pour que je puisse l'utiliser via la domotique.
Ce n'est pas lié sur ce point.
Sauf que depuis que j'ai quitté Orange puis Free et arrivé chez Bouygues avec la box noire 10G avec l'ONT intégré, la DMZ et/ou la redirection vers l'ASUS ne semble pas fonctionner correctement ou peut-être y a t'il quelque chose qui m'échappe. Cela "bloque" sur la page d'administration de la BBOX (voir plus bas).
J'ai ce modèle :
https://i.imgur.com/jwlyhhE.png
Pour résumer :
- BBOX FTTH qui a tout de désactivé (pare-feu IPV4, IPV6, pas de DHCP) et adresse IP fixe pour le routeur ASUS - l'équipement est bien vu par la BBOX
- Sur la BBOX, DMZ vers le routeur ASUS.
L'interface de la BBOX est dispo sur 192.168.1.254 et est accessible depuis mon LAN 192.168.2.X
Mon ASUS est sur l'IP 192.168.1.100 et accessible depuis mon LAN 192.168.2.1
Mon modem 4G est sur le port LAN4 du routeur ASUS en IP auto (DHCP sur le routeur) et est accessible en 192.168.0.1 car j'utilise une astuce pour "merger" les 2 réseaux.
Cela me permet d'avoir l'adresse 192.168.0.1 accessible sur mon 2.X et à ma domotique de s'interfacer avec de modem pour l'envoi de SMS par exemple. En cas de défaillance fibre, une seule IP (la 2.90) passe par ce réseau secondaire.
https://i.imgur.com/oWPSL7j.png
Côté configuration, routeur ASUS :
* port WAN la BBOX en statique, j'ai mis les DNS de Bouygues.
https://i.imgur.com/juWdFxy.png
* port LAN4, le modem 4G, tout en auto car il a son DHCP.
Tout fonctionne et j'ai bien internet sur mes machines que ce soit par wifi ou filaire.
https://i.imgur.com/c7fWRn2.png
Comme les plus avertis l'auront compris l'ASUS gère mon DHCP, WIFI (avec d'autres mailleurs Aimesh) et la redirection de ports. Et c'est là que j'ai un souci...
Par exemple, j'ai un port VPN qui renvoie vers mon container LXC qui gère OpenVPN server ; port 5000 par exemple ; configuré sur l'ASUS.
Quand je suis à l'extérieur, je peux me connecter au VPN via un certificat OpenVPN sauf que je n'arrive pas à atteindre les adresses en 192.168.X.X (que ce soit 0.X, 1.X ou 2.X).
J'ai renvoyé le port 443 sur un serveur Apache qui gère les sous-domaines (type blabla.domaine.ovh ; blabla2.domaine.ovh etc)
Et là encore aucun ne marche ! Cela me renvoie sur la page d'administration de la BBOX ! La bonne blague...
Bref je n'avais pas ce souci avant de passer de Free à Bouygues il y a quelques jours.
J'ai essayé d'être complet, n'hésitez pas s'il manque qlqchose !
J'ai connecté le port 10G au port WAN de mon routeur ASUS - même constat.
J'ai testé aussi avec un port 1G LAN au port WAN de mon routeur ASUS, même constat.
J'ai essayé avec le DHCP de la BBOX ça ne marche pas non plus ; IP Fixe pareil.
-
Je ne sais pas si je suis dans la bonne section.
Après réflexion, je pense que j'aurai dû le mettre dans cette section, si un admin peut le déplacer ?
https://lafibre.info/materiel-informatique/
-
c'est la bonne section vu qu' on dirait un souci de config de la bbox et ton install marchait chez Free.
J'ai renvoyé le port 443 sur un serveur Apache qui gère les sous-domaines (type blabla.domaine.ovh ; blabla2.domaine.ovh etc)
Et là encore aucun ne marche ! Cela me renvoie sur la page d'administration de la BBOX ! La bonne blague...
Tu ne montres pas comment tu as configuré la bbox au niveau redirection des ports/dmz.
-
Salut,
Merci pour ton message.
J'ai fait au plus simple, peut-être est-ce l'erreur ?
Aucun pare-feu IPV4 ou IPV6 activé.
Une DMZ qui va sur le routeur Asus.
Rien d'autre.
https://i.imgur.com/gfwvGRT.png
https://i.imgur.com/dqj7g5l.png
EDIT : j'ai tenté de faire une règle 443 vers 443 vers l'asus, ça ne change rien.
-
Quel équipement désigne "IP du LAN" ?
J'imagine que le port 443 vers le routeur Asus mène à l'interface d'administration, ça ne résoudra pas ton problème d'accès au reste des ports.
-
aucun port n'arrive sur l'asus ? ou juste que 80 et 443 ?
pourquoi as tu coupé le dhcp coté bbox si y'a que l'asus derriere elle ?
as tu essayé:
bbox config par défaut, wifi off
coté asus, port wan en dhcp
dans la bbox redirection d'un port vers l'ip de l'asus
test du port depuis l'extérieur
c'est la config minimal qui 'devrait' marcher. si ca fonctionne tu peux ensuite ajouter la dmz vers l'asus. ou tester un resa dhcp statique pour l'asus, etc.
bref l'idée est de tester étape par étape pour voir ou ca coince a un moment.
-
@Paul,
Je ne comprends pas la question.
Pour le port, non. Comme expliqué plus haut, le 443 renvoie vers un serveur Apache qui gère les redirections en fonction du sousdomaine. Comme cela fonctionnait avant.
Justement le routeur ASUS est en 8443 de mémoire. C'est justement là que j'ai l'impression qu'il y a un souci.
@Kgersen,
Pourtant, j'ai accès à mon NAS en utilisant un port HTTPS que j'ai routé sur la table de redirection. Donc on dirait que certains marchent et que c'est plus lié à l'apache qui ne gère plus le renvoi. Mais le fait que quand je me connecte au VPN, je ne puisse pas accéder à un IP du réseau, ça non plus je ne comprends pas !
Pour te répondre, ma première config à réception de la BBOX était :
- Wifi off, DHCP sur la bbox, IP fixe pour l'ASUS 1.100, DMZ vers l'ASUS point et là je n'avais rien, même pas le VPN.
Dans l'idéal, il faudrait que je route port à port, les ports redirigés dans l'ASUS de la BBOX vers l'ASUS c'est ça ?
-
t'as bien une IPv4 dédiée ? (cf IP PRIVEE dans l'espace client bouygues).
sinon appele le 1064 et demande une IPv4 dédié.
-
J'aurai dit que oui, j'ai bien un IP fixe. Je l'ai eu dès le début. Ma domotique fait sa remontée via OVH et DynDNS.
D'ailleurs, j'y accède bien car quand je fais XXX.YYY.OVH je tombe sur la BBOX.
Elle est du format 62.35.XX.XX. Elle n'a jamais changé malgré les reboots ou autre (je l'historise).
Mais par contre, je n'en ai jamais fait la demande.
Je n'ai pas trouvé l'option ou IPV4 dans les options de l'espace client bouygues bbox. Cela se trouve où ?
Je n'ai pas eu le temps de tester les ports hier soir, je regarde dans la semaine et vous tiens au courant.
-
Salut,
si tu n'as pas l'option c'est que tu es en ip fixe.
pour moi tu as une DMZ vers un équipement, donc TOUS les ports sont dirigés vers cet équipement par défaut.
Il faut voir plus loin comment sont aussi redirigé tes ports. sur ton Asus tu rediriges les ports comment ? (car la Bbox ne peut pas rediriger directement des ports sur les plages différentes de 192.168.1.0/24)
ton conteneur VPN, il a une IP dans quelle plage ?
Tes différents sites internes ils sont sur quelle plage réseau aussi ?
-
Tout ce petit monde est en 192.168.2.X
DHCP donné par l'ASUS.
Je suis resté simple.
Je vais tenter de mettre un service VPN serveur sur l'ASUS et voir si différence.
Puis je vais creuser Apache. J'ai cru voir que Let's Encrypt fermait ses portes aussi, peut-être y a t'il un sujet là dessus.
-
Tu as plusieurs soucis si je comprends bien.
1. Quand tu accès en 443 sur l'IP wan du FTTH, tu obtiens l'interface d'administration de la BBOX.
C'est bien ça ? Ca voudrait dire que ton interface d'admin de la BBOX est accessible de tout internet ? Ou alors j'ai mal compris.
Ca voudrait dire que le mode DMZ redirige pas tous les ports. Comme Kgersen voulait te faire tester, c'est de voir si certain ports sont bien redirigés
2. Quand tu es connecté en VPN tu n'accèdes pas aux IP LAN.
Ca ressemble à un problème de routage ou de filtrage.
Ta terminaison VPN est un container, ce container contient bien les routes vers tes différents LAN (2.X 1.X 0.X ) ?
Aucun firewall qui filtre ?
J'ai cru voir que Let's Encrypt fermait ses portes aussi,
?????
-
Oui pour 1.
Je vais tester dès que j'ai du temps de dispo chez moi, désactiver la DMZ et router les ports VPN, 443 (etc) vers l'ASUS à la mano.
Oui pour 2.
Comment on vérifie cela ? Rien de très compliqué pour le serveur openvpn c'est basé sur ça : https://github.com/Nyr/openvpn-install
Pas de filtrage ajouté ou autre.
les seules commandes ajoutées sont
lxc.cgroup2.devices.allow: c 10:200 rwm
lxc.mount.entry: /dev/net dev/net none bind,create=dir
-
Pour vérifier que les routes sont bien présente, tu pourrais nous donner le retour des commandes
ip route
ou
netstat -rn
?
Il faut que tes clients route correctement dans le VPN, que la passerelle route correctement vers les LAN et que ton routeur route correctement ton range VPN en direction de ton container (à moins que tu fasses un NAT ?). Tu nous as pas donné le range IP des client du VPN.
De plus, vu que ça à l'air d'être un linux, il faut bien activer le forwarding des paquets vu que tu agis en passerelle.
Que donne :
# cat /proc/sys/net/ipv4/ip_forward
? Cela doit renvoyer "1"
-
J'ai cru voir que Let's Encrypt fermait ses portes aussi, peut-être y a t'il un sujet là dessus.
Il ne ferme pas leur porte, juste ils arretent de te dire quand ton certificat va expirer. c'est à toi de le monitorer et de vérifier que le renouvellement a bien été fait à temps.
-
Déjà, je tenais à vous remercier, chacun pour prendre le temps de me répondre de manière détaillée, j'apprécie.
Ensuite, j'ai fait plusieurs tests.
Merci pour la précision de Let's Encrypt. Je suis rassuré, je n'avais pas compris.
Le premier, j'ai regardé si en adressant mon domaine de l'extérieur (que ce soit avec l'IP ou le sousdomaine.domaine.ovh) + numéro du port, je tapais sur des équipements.
A ce stade, je suis en DMZ.
Pour faire le point :
DMZ vers Asus
443 => ip apache port 443
80 => ip apache port 80
8443 => HTTPS de mon NAS
1194 => OpenVPN
Donc j'ai pris celui du NAS par exemple et là j'y accède ! Donc la DMZ marcherait ? (que ce soit avec sousdomaine.domaine.ovh ou IP:8443) je tombe dessus.
Maintenant, je veux essayer
https://sousdomaine1.domaine.ovh qui a sa redirection (apache) vers ma domotique
https://sousdomaine2.domaine.ovh qui a sa redirection (apache) vers l'administration asus
A chaque fois je tombe sur l'interface de la BBOX.
Aux questions de nicox11, je ne suis pas sûr d'où je dois exécuter les commandes.
Dans le LXC du VPN, ça donne :
root@OpenVPN-Server:~# ip route
default via 192.168.2.1 dev eth0
10.8.0.0/24 dev tun0 proto kernel scope link src 10.8.0.1
192.168.2.0/24 dev eth0 proto kernel scope link src 192.168.2.143
root@OpenVPN-Server:~# cat /proc/sys/net/ipv4/ip_forward
1
D'une machine Linux sur le LAN :
└──╼ #cat /proc/sys/net/ipv4/ip_forward
0
ip route
default via 192.168.2.1 dev vmbr0 proto kernel onlink
192.168.2.0/24 dev vmbr0 proto kernel scope link src 192.168.2.80
En creusant sur l'ASUS, je vois ça dans Relais Nat...
https://i.imgur.com/YYyNCfa.png
Je passe en désactivé et là magie !
J'ai accès aux IP du VPN.
Par contre, j'ai gardé le NAT sur l'Ethernet4 (Modem4G) et NAT sur le WAN (BBOX) sinon je n'ai plus de VPN.
https://i.imgur.com/WqipDEP.png
Allez un point de clôturé, merci !
-
J'ai repris à tête reposée ensuite Apache.
Je tente un renew et là paf...
je commence à me demander si les redirections ne sont pas KO.
certbot renew && /etc/init.d/apache2 restart
Donne :
Cert is due for renewal, auto-renewing...
Plugins selected: Authenticator apache, Installer apache
Renewing an existing certificate
Performing the following challenges:
http-01 challenge for YYYY.XXXX.ovh
http-01 challenge for YYYY.XXXX.ovh
http-01 challenge for YYYY.XXXX.ovh
http-01 challenge for YYYY.XXXX.ovh
http-01 challenge for YYYY.XXXX.ovh
http-01 challenge for XXXX.ovh
Waiting for verification...
Cleaning up challenges
Attempting to renew cert (XXXX.ovh) from /etc/letsencrypt/renewal/XXXX.ovh.conf produced an unexpected error: Failed authorization procedure. XXXX.ovh (http-01): urn:ietf:params:acme:error:dns :: XX.XXX.33.5: Fetching http://www.XXXX.ovh/.well-known/acme-challenge/XXXX_XXX: no valid A records found for www.XXXX.ovh; no valid AAAA records found for www.XXXX.ovh. Skipping.
All renewal attempts failed. The following certs could not be renewed:
/etc/letsencrypt/live/www.XXXX.ovh/fullchain.pem (failure)
/etc/letsencrypt/live/XXXX.ovh/fullchain.pem (failure)
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
The following certs are not due for renewal yet:
/etc/letsencrypt/live/YYYY.XXXX.ovh-0001/fullchain.pem expires on 2025-06-21 (skipped)
/etc/letsencrypt/live/YYYY.XXXX.ovh-0002/fullchain.pem expires on 2025-05-07 (skipped)
All renewal attempts failed. The following certs could not be renewed:
/etc/letsencrypt/live/www.XXXX.ovh/fullchain.pem (failure)
/etc/letsencrypt/live/XXXX.ovh/fullchain.pem (failure)
Additionally, the following renewal configurations were invalid:
/etc/letsencrypt/renewal/YYYY.XXXX.ovh.conf (parsefail)
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
2 renew failure(s), 1 parse failure(s)
IMPORTANT NOTES:
- The following errors were reported by the server:
Domain: XXXX.ovh
Type: None
Detail: 213.186.33.5: Fetching
http://www.XXXX.ovh/.well-known/acme-challenge/YYYY_PuZyDl52k4GaElX73QSE:
no valid A records found for www.XXXX.ovh; no valid AAAA records
found for www.XXXX.ovh
- The following errors were reported by the server:
Domain: XXXX.ovh
Type: None
Detail: 213.186.33.5: Fetching
http://www.XXXX.ovh/.well-known/acme-challenge/yXj-bmSMOD-mV0ZdhO75hJfU91d1r7c6D1UcTzHldMQ:
no valid A records found for www.XXXX.ovh; no valid AAAA records
found for www.XXXX.ovh
Domain: www.XXXX.ovh
Type: None
Detail: no valid A records found for www.XXXX.ovh; no valid AAAA
records found for www.XXXX.ovh
Quelque chose me dit que c'est côté apache et redirection le souci.
Par contre, je ne comprends pas pourquoi j'ai pas une page KO plutôt que l'interface de la BBOX.
A l'époque, j'avais mis en place avec 2 fichiers conf pour chaque sous-site.
Un premier pour le port 80 qui renvoie vers le HTTPS ; un second pour le 443.
Pour le 80 :
<VirtualHost *:80>
ProxyPreserveHost On
ServerName XXXX.YYY.ovh
ProxyRequests Off
ProxyPreserveHost On
ProxyPass / http://192.168.2.90 keepalive=On retry=5
ProxyPassReverse / https://192.168.2.90
ErrorLog /var/log/apache2/XXXXX_error.log
CustomLog /var/log/apache2/XXXXX_access.log combined
RewriteEngine on
RewriteCond %{SERVER_NAME} =XXXX.YYYY.ovh
RewriteRule ^ https://%{SERVER_NAME}%{REQUEST_URI} [END,NE,R=permanent]
</VirtualHost>
Pour le 443 :
<IfModule mod_ssl.c>
<VirtualHost *:443>
ProxyPreserveHost On
ServerName XXXXX.YYYYY.ovh
ProxyRequests Off
ProxyPreserveHost On
ProxyPass / http://192.168.2.90/ keepalive=On retry=5
ProxyPassReverse / http://192.168.2.90/
ErrorLog /var/log/apache2/XXX_error.log
CustomLog /var/log/apache2/XXXX_access.log combined
Include /etc/letsencrypt/options-ssl-apache.conf
RewriteEngine on
#SSLCertificateFile /etc/letsencrypt/live-ecdsa/www.YYYY.ovh/LE/fullchain.pem
#SSLCertificateKeyFile /etc/letsencrypt/live-ecdsa/www.YYYY.ovh/privkey-p384.pem
SSLEngine on
<IfModule mod_headers.c>
<FilesMatch "\.(css|js|png|jpeg|jpg|ttf|woff)$">
Header set Cache-Control "max-age=7200"
</FilesMatch>
<FilesMatch ".*(getResources.php)">
Header set Cache-Control "max-age=7200"
</FilesMatch>
<FilesMatch ".*(getJS.php)">
Header set Cache-Control "max-age=7200"
</FilesMatch>
</IfModule>
SSLCertificateFile /etc/letsencrypt/live/XXXX.YYYY.ovh-0002/fullchain.pem
SSLCertificateKeyFile /etc/letsencrypt/live/XXX.YYYY.ovh-0002/privkey.pem
</VirtualHost>
</IfModule>
J'ai regardé les 2 logs au cas où. _error est vide.
Le _access a 2 lignes qui date de 7:55 ce matin... d'une IP, Mozilla etc. Rien de très probant.
Pour lever tout doute, je suis allé voir l'interface OVH, l'IP bouygues est bien cible du domaine. Ras :).