La Fibre
Datacenter et équipements réseaux => Routeurs => 
Remplacer la Freebox par un routeur => Discussion démarrée par: Philibert le 05 décembre 2025 à 15:25:55
-
Bonjour à tous,
j'ai configuré ma Freebox Ultra en mode bridge et y ai connecté un UCG Fiber à l'aide d'un AOC, et tout fonctionne à merveille excepté:
- la télévision (erreur RASH, mais à priori connu du mode bridge)
- le ping depuis le WAN, malgré des règles de firewall l'autorisant à la fois en IPV4 et IPV6
Est-ce que vous avez également ces problèmes de réponse au ping sur d'autres routeurs ? ou est-ce la Freebox qui ne laisse pas passer l'ICMP en mode bridge jusqu'à l'UCG Fiber ?
Merci pour vos retours.
-
Bonjour à tous,
j'ai configuré ma Freebox Ultra en mode bridge et y ai connecté un UCG Fiber à l'aide d'un AOC, et tout fonctionne à merveille excepté:
- la télévision (erreur RASH, mais à priori connu du mode bridge)
- le ping depuis le WAN, malgré des règles de firewall l'autorisant à la fois en IPV4 et IPV6
Est-ce que vous avez également ces problèmes de réponse au ping sur d'autres routeurs ? ou est-ce la Freebox qui ne laisse pas passer l'ICMP en mode bridge jusqu'à l'UCG Fiber ?
Merci pour vos retours.
Si pas IP Full stack, le ping entrant on oublie...
-
J'ai oublié ce détail, mais je suis bien-sûr en IP Full Stack.
et dans tous les cas, cela ne devrait pas gêner le ping IPv6 :)
-
Salut,
J'ai une autre freebox, mais je vois pas pourquoi ce serait différent ( sauf bug bien sur ).
En mode bridge, la freebox est transparente en ipv4 mais reste un routeur ipv6.
Cad, elle tjs a la première ip du premier réseau ipv6. Et elle répond au ping ipv6, meme si le firewall ipv6 freebox est activé.
Vous pinguez bien depuis l'extérieur de votre réseau ?
-
Justement, depuis l'intérieur du réseau, les machines que j'ai configurées pour répondre au ping ainsi que la gateway répondent bel-et-bien sur leurs IPv6 respectives (et IPv4 pour la gateway)
En revanche depuis l'extérieur, rien ne répond... donc je me demandais si d'autres personnes avaient le ping qui ne marche pas (en IPv4 à minima)
-
Pas d'idée technique à vous proposez :(
la freebox repond au ping ipv6 ?
-
Vous avez bien tous cochés "Réponse au ping" dans vos Freebox ?
EDIT : ca passe pas quand même Sont même pas vu dans les journaux de l'UCG... ni block ni allow. Aucune idée de qui les bouffe et pas envie de chercher ˆˆ
EDIT2 : Pas d'idée technique à vous proposez :(
la freebox repond au ping ipv6 ?
Oui je viens de vérifier et bien l'IPv6 de la Freebox. l'UCG Fiber bouffe les ping6 sur son interface WAN malgré la règle de firewall sur la zone "gateway"
=> ça pue le bug Unifi.
-
Bon c'est plus subtil.
Quand j'ai passé ma règle en blocage des pings pour tenter de le monter dans les journaux, l'UCG a couiné sur une détection de perte de paquet.
Je suppose qu'il y a une règle cachée de ping externe depuis qqpart sur la gateway autorisé pour Unifi. Et elle doit être en collision avec une règle perso. Et l'ordre de prise en compte fait que c'est la cachée qui marche...
-
Bonjour à tous,
j'ai configuré ma Freebox Ultra en mode bridge et y ai connecté un UCG Fiber à l'aide d'un AOC, et tout fonctionne à merveille excepté:
- la télévision (erreur RASH, mais à priori connu du mode bridge)
- le ping depuis le WAN, malgré des règles de firewall l'autorisant à la fois en IPV4 et IPV6
Est-ce que vous avez également ces problèmes de réponse au ping sur d'autres routeurs ? ou est-ce la Freebox qui ne laisse pas passer l'ICMP en mode bridge jusqu'à l'UCG Fiber ?
Merci pour vos retours.
Tu as quoi en règle icmpv4 et icmpv6 ?
-
Hello,
Après avoir longuement investigué, j'ai mieux compris (et "résolu") le problème, mais je ne m'attendais pas à ce comportement.
IPv6 : tout fonctionne comme attendu avec les bonnes règles dans l'interface de l'Unifi, à savoir, laisser passer ICMPv6 vers les bon périphériques.
IPv4 : là, c'est le bazar.
j'ai repassé la box en mode routeur, et le ping depuis l'extérieur ne marchait toujours pas, malgré la réponse au ping d'activé dans l'interface.
Dubitatif, j'ai regardé tous les paramètres et il y en a un qui m'a interpellé : la DMZ était activée sur une adresse du réseau local de la freebox (192.168.1.1, l'IP portée par l'UCG quand je l'ai branché la première fois.
J'ai désactivé la DMZ, et là, le ping s'est mis à marcher.
J'ai ensuite remis la box en mode bridge, le ping marchait toujours
Mais, si je débranche l'UCG, le ping... marche encore et toujours !
On dirait que la partie ICMP est boiteuse entre mode bridge, mode routeur et DMZ... mais au final, la réponse au ping fonctionne.
-
IPv6 : tout fonctionne comme attendu avec les bonnes règles dans l'interface de l'Unifi, à savoir, laisser passer ICMPv6 vers les bon périphériques.
Y a pas de pb la dessus. Mais la gateway Unifi ne répond pas au ping sur son IPv6 WAN
IPv4 : là, c'est le bazar.
j'ai repassé la box en mode routeur, et le ping depuis l'extérieur ne marchait toujours pas, malgré la réponse au ping d'activé dans l'interface.
Dubitatif, j'ai regardé tous les paramètres et il y en a un qui m'a interpellé : la DMZ était activée sur une adresse du réseau local de la freebox (192.168.1.1, l'IP portée par l'UCG quand je l'ai branché la première fois.
J'ai désactivé la DMZ, et là, le ping s'est mis à marcher.
J'ai ensuite remis la box en mode bridge, le ping marchait toujours
Mais, si je débranche l'UCG, le ping... marche encore et toujours !
On dirait que la partie ICMP est boiteuse entre mode bridge, mode routeur et DMZ... mais au final, la réponse au ping fonctionne.
on comprend pas trop ce que tu pingues mais si le truc est débranché et que ça répond au ping tu pingues pas ce que tu crois.
-
Techniquement la gateway Unifi n'a pas d'IPv6 sur son wan, donc ce n'est pas étonnant.
En revanche les interfaces LAN portent une IPv6 du subnet qui leur a été affecté, et avec les bonnes règles de firewall, elles répondent au ping elles-aussi sans problème, mais ce n' est pas mon objectif.
Côté IPv4, il n'y a pas grand chose à ping depuis l'extérieur d'autre que... L'IP publique.
Je m'attendais à ce :
- qu'en mode routeur, ce soit la box qui réponde quoiqu'il arrive, or ce n'est pas le cas si une DMZ est activée
- qu'en mode bridge, ce soit l'UCG fiber. Or d'après les tests, si une DMZ était définie en mode routeur, rien ne répond, et s'il n'y en avait pas, c'est la box qui répond quand même quoiqu'il arrive, même si la réponse au ping est désactivée dans l'interface.
Après on a toujours été au courant que le mode bridge en IPv4 est bien plus complexe qu'une simple attribution d'IP, mais je m'attendais à ce que cela respecte un peu plus le fonctionnel proposé
-
Faut juste mettre les règles FW ? Montre ce que tu as fait
-
Question bête: Dans les règles du FW, l'Icmp peut aller jusqu'à sa cible, mais est-ce que la réponse peut retourner au demandeur?
-
Alor pour le Ping IPv6 de l'UCG Fiber, une règle firewall External -> Gateway, avec les réglages suivants :
- Source : Any
- Action : Allow
- destination Zone : Gateway - Any (ou les adresses spécifiques de l'UCG qui doivent pouvoir répondre)
- IP version IPv6 (évidemment)
- Protocol : custom, sélectionner ICMPv6
- IPv6 ICMP Type name : Echo Request suffit pour un ping, mais d'autres options sont possibles (dont Any) selon les usages
- Connection State : All (bien que je ne pense pas que cela soit valable pour ICMP, mais je laisserai les vrais experts répondre)
Enfin, l'adresse de l'interface LAN est la première du subnet qui lui est attribuée : si le subnet est xxxx:xxxx:xxxx:xxx::/64, l'adresse sera xxxx:xxxx:xxxx:xxx::
Un ifconfig sur l'UCG m'a permis de mieux comprendre comment le tout était assigné.
@fansat70, tout dépend de la règle qui est mise en place, et surtout si je comprends bien, il y a une règle sur la section External -> Gateway qui est générique et qui s'appelle "Allow Return", et telle que je la comprends, elle permet justement de répondre à ce qui est rentré auparavant.
-
Ne connaissant pas particulièrement l'Unifi, je me pose simplement la question en lisant ceci https://help.ui.com/hc/en-us/articles/27699646208279-UniFi-Gateway-Advanced-Firewall-Rules (https://help.ui.com/hc/en-us/articles/27699646208279-UniFi-Gateway-Advanced-Firewall-Rules) de savoir si la Gateway ne représenterait pas l'Unifi lui même, et non pas le LAN. Ce qui ferait que le fameux "allow return" ne fonctionnerait pas pour ce qui est "derrière" la gateway... Mais là, l'hypothèse est gratuite! :-[
-
Ne connaissant pas particulièrement l'Unifi, je me pose simplement la question en lisant ceci https://help.ui.com/hc/en-us/articles/27699646208279-UniFi-Gateway-Advanced-Firewall-Rules (https://help.ui.com/hc/en-us/articles/27699646208279-UniFi-Gateway-Advanced-Firewall-Rules) de savoir si la Gateway ne représenterait pas l'Unifi lui même, et non pas le LAN. Ce qui ferait que le fameux "allow return" ne fonctionnerait pas pour ce qui est "derrière" la gateway... Mais là, l'hypothèse est gratuite! :-[
Cet article est obsolète car depuis plusieurs versions, Unifi est passé en ZBF (Zone Based Firewall) et donc tout à changé. Sur le nouveau Firewall, Gateway = traffic destiné a la gateway/routeur Unifi lui même. Sauf certaines exceptions, toutes les règles crées ont une case a coché "Allow Return Traffic" pour justement automatiquement créer une règle automatique qui autorise le traffic retour.
La configuration ci-dessus me semble correct à première vue. Je n'ai pas essayé car je n'autorise aucun traffic entrant sauf VPN, mais cela devrait fonctionner sans soucis.
-
Cet article est obsolète car depuis plusieurs versions, Unifi est passé en ZBF (Zone Based Firewall) et donc tout à changé. Sur le nouveau Firewall, Gateway = traffic destiné a la gateway/routeur Unifi lui même. Sauf certaines exceptions, toutes les règles crées ont une case a coché "Allow Return Traffic" pour justement automatiquement créer une règle automatique qui autorise le traffic retour.
La configuration ci-dessus me semble correct à première vue. Je n'ai pas essayé car je n'autorise aucun traffic entrant sauf VPN, mais cela devrait fonctionner sans soucis.
Donc vérifier que pour chaque règle, la case à cocher l'est bien...
-
[...] Ce qui ferait que le fameux "allow return" ne fonctionnerait pas pour ce qui est "derrière" la gateway... Mais là, l'hypothèse est gratuite! :-[
Y a une chiée d'Allow Return par défaut. En particulier External -> Gateway
En dehors des regles d'ouverture du port pour un service y a pas de case "Auto Allow Return Traffic"
Je répète : je penche qu'il y a une règle cachée qui autorise les ping et ping6 depuis "Unifi" sur la gateway et bloque tous les autres. Les ping6 vers des devices internes passent sans soucis. Si tu mets une règle qui les bloque explicitement ça fait cuiner l'UCG qu'il y a des pertes de paquets sur le WAN. Et on sait que cette regle existe parce qu'il n'y a -aucun- journaux "allow" ou "block" pour les ping sur la gateway.