Auteur Sujet: [RESOLU]Configuration LAN EdegRouter ? (Lu 3311 fois)

ochbob · « **Réponse #12 le:** 03 juillet 2018 à 09:30:59 »

Merci Mark pour ton retour.

Ouais ok, c'est bien ce qui me semblait après coup.
Du coup j'ai changer l'interface ETH2 en 192.168.3.1 pour écarter tout problème.
J'ai passer ETH3 en 192.168.1.254 en changeant la config du DHCP aussi et en modifiant correctement les IP d'écoute pour la GUI;

Reboot, c'est OK, tout remonte bien du premier coup.

par contre toujours des soucis sur le LAN avec des temps de réponse super long aléatoirement et des accès possible quand ça veut depuis l’extérieur et LAN...
Par contre aucun soucis pour internet, ça marche bien depuis mon PC fixe relié en cable sur le switch

Mark5 · « **Réponse #13 le:** 03 juillet 2018 à 09:57:41 »

Faut faire péter la conf (expurgée des infos confidentielles).
Sans voir la conf, on risque de tourner en rond pendant 107 ans.

ochbob · « **Réponse #14 le:** 03 juillet 2018 à 10:46:37 »

Voici la conf actuel:

Code: [Sélectionner]

firewall {
    all-ping enable
    broadcast-ping disable
    ipv6-receive-redirects disable
    ipv6-src-route disable
    ip-src-route disable
    log-martians enable
    name WAN_IN {
        default-action drop
        description "WAN to internal"
        rule 1 {
            action accept
            description "Allow established/related"
            log disable
            protocol all
            state {
                established enable
                invalid disable
                new disable
                related enable
            }
        }
        rule 2 {
            action drop
            description "Drop invalid state"
            log disable
            protocol all
            state {
                established disable
                invalid enable
                new disable
                related disable
            }
        }
    }
    name WAN_LOCAL {
        default-action drop
        description "WAN to router"
        rule 1 {
            action accept
            description "Allow established/related"
            log enable
            protocol all
            state {
                established enable
                invalid disable
                new disable
                related enable
            }
        }
        rule 2 {
            action drop
            description "Drop invalid state"
            log disable
            protocol all
            state {
                established disable
                invalid enable
                new disable
                related disable
            }
        }
    }
    receive-redirects disable
    send-redirects enable
    source-validation disable
    syn-cookies enable
}
interfaces {
    ethernet eth0 {
        description ISP
        duplex auto
        speed auto
        vif 832 {
            address dhcp
            description ISP_DATA
            dhcp-options {
                client-option "send vendor-class-identifier &quot;sagem&quot;;"
                client-option "send user-class &quot;\053FSVDSL_livebox.Internet.softathome.Livebox3&quot;;"
                client-option "send rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:;"
                client-option "request subnet-mask, routers, domain-name-servers, domain-name, broadcast-address, dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, rfc3118-auth;"
                default-route update
                default-route-distance 210
                global-option "option rfc3118-auth code 90 = string;"
                name-server update
            }
            egress-qos "0:0 1:0 2:0 3:0 4:0 5:0 6:6 7:0"
            firewall {
                in {
                    name WAN_IN
                }
                local {
                    name WAN_LOCAL
                }
            }
            mtu 1500
        }
        vif 838 {
            address dhcp
            description ISP_TV_VOD
            dhcp-options {
                client-option "send vendor-class-identifier &quot;sagem&quot;;"
                client-option "send user-class &quot;\047FSVDSL_livebox.MLTV.softathome.Livebox3&quot;;"
                client-option "send dhcp-client-identifier 1:F0:82:61:E6:B3:7C;"
                client-option "request subnet-mask, routers, rfc3442-classless-static-routes;"
                default-route no-update
                default-route-distance 210
                name-server update
            }
            egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
            mtu 1500
        }
        vif 840 {
            address 192.168.255.254/32
            description ISP_TV_STREAM
            egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
        }
    }
    ethernet eth1 {
        address 192.168.2.1/24
        description LAN_ETH1
        duplex auto
        speed auto
    }
    ethernet eth2 {
        address 192.168.3.1/24
        duplex auto
        speed auto
    }
    ethernet eth3 {
        address 192.168.1.254/24
        description LAN_ETH3
        duplex full
        speed 1000
    }
    loopback lo {
    }
}
port-forward {
    auto-firewall enable
    hairpin-nat enable
    lan-interface eth3
    rule 1 {
        description Teamspeak
        forward-to {
            address 192.168.1.100
            port 9987
        }
        original-port 9987
        protocol udp
    }
    rule 2 {
        description Plex
        forward-to {
            address 192.168.1.100
            port 32400
        }
        original-port 32400
        protocol tcp
    }
    rule 3 {
        description "Teamspeak 1"
        forward-to {
            address 192.168.1.100
            port 10011
        }
        original-port 10011
        protocol tcp
    }
    rule 4 {
        description "Teamspeak 2"
        forward-to {
            address 192.168.1.100
            port 30033
        }
        original-port 30033
        protocol tcp
    }
    rule 5 {
        description SSH
        forward-to {
            address 192.168.1.100
            port 22
        }
        original-port 5022
        protocol tcp
    }
    rule 6 {
        description "Haproxy Secure"
        forward-to {
            address 192.168.1.100
            port 5443
        }
        original-port 443
        protocol tcp
    }
    rule 7 {
        description Haproxy
        forward-to {
            address 192.168.1.100
            port 5080
        }
        original-port 80
        protocol tcp
    }
    rule 8 {
        description FTP
        forward-to {
            address 192.168.1.100
            port 21
        }
        original-port 21
        protocol tcp
    }
    rule 9 {
        description "FTP Passive"
        forward-to {
            address 192.168.1.100
            port 60000-60010
        }
        original-port 60000-60010
        protocol tcp
    }
    rule 10 {
        description "IMAP Secure"
        forward-to {
            address 192.168.1.100
            port 993
        }
        original-port 993
        protocol tcp
    }
    rule 11 {
        description Pyload
        forward-to {
            address 192.168.1.100
            port 8000
        }
        original-port 8000
        protocol tcp
    }
    wan-interface eth0.832
}
protocols {
    igmp-proxy {
        disable-quickleave
        interface eth0 {
            role disabled
            threshold 1
        }
        interface eth0.832 {
            role disabled
            threshold 1
        }
        interface eth0.838 {
            role disabled
            threshold 1
        }
        interface eth0.840 {
            alt-subnet 0.0.0.0/0
            role upstream
            threshold 1
        }
        interface eth1 {
            alt-subnet 0.0.0.0/0
            role downstream
            threshold 1
        }
        interface eth2 {
            role disabled
            threshold 1
        }
        interface eth3 {
            role disabled
            threshold 1
        }
    }
}
service {
    dhcp-server {
        disabled false
        hostfile-update disable
        shared-network-name LAN_ETH0_DHCP {
            authoritative enable
            subnet 192.168.2.0/24 {
                default-router 192.168.2.1
                dns-server 192.168.2.1
                lease 86400
                ntp-server 192.168.2.1
                start 192.168.2.100 {
                    stop 192.168.2.200
                }
            }
        }
        shared-network-name LAN_ETH3_DHCP {
            authoritative enable
            subnet 192.168.1.0/24 {
                default-router 192.168.1.254
                dns-server 8.8.8.8
                dns-server 4.4.4.4
                lease 86400
                ntp-server 192.168.1.254
                start 192.168.1.55 {
                    stop 192.168.1.95
                }
            }
        }
        static-arp disable
        use-dnsmasq disable
    }
    dns {
        forwarding {
            cache-size 1024
            listen-on lo
            listen-on eth1
            listen-on eth3
            name-server 80.10.246.3
            name-server 81.253.149.10
        }
    }
    gui {
        http-port 80
        https-port 443
        listen-address 192.168.1.254
        older-ciphers disable
    }
    nat {
        rule 5001 {
            description "MASQ: WAN"
            log disable
            outbound-interface eth0.832
            protocol all
            type masquerade
        }
        rule 5002 {
            description "MASQ: ORANGE"
            log disable
            outbound-interface eth0.838
            protocol all
            type masquerade
        }
    }
    ssh {
        allow-root
        listen-address 192.168.1.254
        port 22
        protocol-version v2
    }
    unms {
        disable
    }
    upnp2 {
        listen-on eth3
        nat-pmp enable
        port 34651
        secure-mode enable
        wan eth0.832
    }
}
system {
    host-name EdgeRouter4
    login {
        user root {
            authentication {
                encrypted-password 
                plaintext-password ""
            }
            level admin
        }
        user ubnt {
            authentication {
                encrypted-password 
                plaintext-password ""
            }
            full-name ""
            level admin
        }
    }
    name-server 127.0.0.1
    ntp {
        server 0.ubnt.pool.ntp.org {
        }
        server 1.ubnt.pool.ntp.org {
        }
        server 2.ubnt.pool.ntp.org {
        }
        server 3.ubnt.pool.ntp.org {
        }
    }
    offload {
        hwnat disable
        ipsec enable
        ipv4 {
            forwarding enable
            gre enable
            vlan enable
        }
        ipv6 {
            forwarding enable
            vlan enable
        }
    }
    syslog {
        global {
            facility all {
                level notice
            }
            facility protocols {
                level warning
            }
        }
    }
    time-zone Europe/Paris
    traffic-analysis {
        dpi enable
        export enable
    }
}


/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@5:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-udapi-server@1:ubnt-unms@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.10.5.5098942.180622.1611 */

ETH0 = ONT
ETH1 = Décodeur TV
ETH2 = non utilisé
ETH3 = LAN

Mark5 · « **Réponse #15 le:** 03 juillet 2018 à 15:53:49 »

Bon, y'a rien qui me saute vraiment aux yeux, mais :

1) J'aime pas du tout le port forwarding. Rien ne vaut un bon vieux DNAT avec la règle de FW qui va bien
2) Tous tes port forwarding atterrissent sur 192.168.1.100. Normal ? Elle fait tout cette machine ?
3) Penser à vérifier les règles upnp2 "show upnp2 rules". Si ça se trouve, tes ports ont été "attrapés" par une autre machine/device.
4) De mémoire, le DPI bypass l'offload, donc pas d'offload dans ton cas...
5) Le hairpin nat, j'aime pas non plus. Je préfère (et de loin) un split horizon DNS.

ochbob · « **Réponse #16 le:** 03 juillet 2018 à 16:25:47 »

Citation de: Mark5 le 03 juillet 2018 à 15:53:49

Bon, y'a rien qui me saute vraiment aux yeux, mais :

1) J'aime pas du tout le port forwarding. Rien ne vaut un bon vieux DNAT avec la règle de FW qui va bien

Je ne connais malheureusement que très peu DNAT/IPTable, il faudrait que je me penche sérieusement dessus.

2) Tous tes port forwarding atterrissent sur 192.168.1.100. Normal ? Elle fait tout cette machine ?

Oui, c'est mon serveur

3) Penser à vérifier les règles upnp2 "show upnp2 rules". Si ça se trouve, tes ports ont été "attrapés" par une autre machine/device.

Je vois, je vais vérifier ça ce soir !

4) De mémoire, le DPI bypass l'offload, donc pas d'offload dans ton cas...

https://help.ubnt.com/hc/en-us/articles/115006567467-EdgeRouter-Hardware-Offloading-Explained
A priori pas de soucis d'offloading avec le DPI activé ?

5) Le hairpin nat, j'aime pas non plus. Je préfère (et de loin) un split horizon DNS.

Ce point là, je ne connais pas, l'option est activé par défaut, je l'ai donc laissé.

Merci de m'aider en tout cas !

edit:
bon je suis repartis de zéro et j'ai tout refait correctement, c'est OK !
Du coup je devais avoir un petit soucis lié au fait que j'avais assigné un adresse d'un même sous réseau sur deux interfaces.