La Fibre
Datacenter et équipements réseaux => Routeurs => 
Remplacer la LiveBox par un routeur => Discussion démarrée par: ochbob le 02 juillet 2018 à 13:58:05
-
Hello,
suite à mon passage sur ER4 pour supprimer la Livebox, j'ai bien tout qui fonctionne.
ETH0=> ONT
ETH1 => Décodeur
ETH2 => Non utilisé
ETH3 => Switch
Tout est OK, j'ai la TV, le NET sur tout les équipements connecté au switch, pas de soucis particulier sur ce point là.
Par contre c'est au niveau des régles FW que je pense avoir un soucis.
J'ai un serveur chez moi, et je souhaite y avoir accès depuis l’extérieur.
J'ai faitmes régles de port forwading mais impossible de m'y connecter depuis l’extérieur :-X
Je me suis inspiré de la config basique de Zoc => https://lafibre.info/remplacer-livebox/en-cours-remplacer-sa-livebox-par-un-routeur-ubiquiti-edgemax/msg428992/#msg428992
Donc je n'ai que le WAN_IN et le WAN_LOCAL dans mes policies firewall.
Je pense que je passe à coté de qqch à ce niveau là, mais je vois pas ? :-\
Merci à vous.
-
Question bête : as-tu bien coché la case pour créer les règles de FW associées à tes règles de port forwarding ?
-
Par défaut elle n'apparaît que si je clique sur "advanced options" quand je clique dessus, elle est bien coché par défaut. J'ai régénérer la conf avec l'option bien coché. Mais toujours rien :/
Voici ma conf:
port-forward {
auto-firewall enable
hairpin-nat enable
lan-interface eth3
rule 1 {
description Teamspeak
forward-to {
address 192.168.1.100
port 9987
}
original-port 9987
protocol udp
}
rule 2 {
description Plex
forward-to {
address 192.168.1.100
port 32400
}
original-port 32400
protocol tcp
}
rule 3 {
description "Teamspeak 1"
forward-to {
address 192.168.1.100
port 10011
}
original-port 10011
protocol tcp
}
rule 4 {
description "Teamspeak 2"
forward-to {
address 192.168.1.100
port 30033
}
original-port 30033
protocol tcp
}
rule 5 {
description SSH
forward-to {
address 192.168.1.100
port 22
}
original-port 5022
protocol tcp
}
rule 6 {
description "Haproxy Secure"
forward-to {
address 192.168.1.100
port 443
}
original-port 5443
protocol tcp
}
rule 7 {
description Haproxy
forward-to {
address 192.168.1.100
port 80
}
original-port 5080
protocol tcp
}
wan-interface eth0
}
Mais cela ne marche pas :/
-
L'interface wan, c'est eth0.832, pas eth0 !
-
Ce n'est malheureusement pas mieux :(
-
Aucune raison que ça ne marche pas avec la bonne interface wan... Le routeur a-t-il été rebooté après la modification ?
Pour être honnete, je n'utilise plus la section "port-forwarding" sur mes routeurs depuis pas mal de temps, car elle passe obligatoirement avant toutes les autres règles de firewall, et il est donc impossible de bloquer par une règle une adresse IP qui serait "trop curieuse" sur un des ports forwardé...
J'utilise donc maintenant une combinaison de "destination nat" et de règles de firewall à la place (mais c'est plus chiant à maintenir).
-
Le routeur n'a pas reboot, j'avais l'habitude que les modif "NAT" depuis la livebox étaient prise en compte sans reboot.
Les ER sont obligé de reboot pour ce genre de modif ?
-
Quand on rajoute des règles de port-forwarding, non.
Quand on change l'interface wan utilisé pour ces règles, ça ne peut pas faire de mal (un bug du firmware est toujours possible, il y a d'autres paramètres qui ne sont pris en compte qu'au boot...).
-
Bon effectivement après reboot, c'est OK.
C’était simplement ça, merci à tous !
-
En fait j'ai peut être un peu parler vite :-X
J'ai l'impression que c'est aléatoire en fait... les délais de réponse sont très long par moment, et peuvent être rapide à d'autre (que ce soit via le réseau local ou l’extérieur même constat)
Ça marche, mais je dois avoir un autre problème qqpart, un truc qui polluerais le réseau ?
-
Hello,
je continue mes investigations mais sans grande piste :-[
j'avais une architecture classique avec:
-la Livebox + régle NAT avec mon serveur et PC connecté sur le switch.
-ma zone DNS chez OVH avec mes NDD + un DynDNS
Depuis la migration sur l'ER4, j'ai de grosse difficulté à joindre mes services qui tournent sur mon serveur que ce soit en local ou via l’extérieur malgré les règles de port forwarding.
Tout mon LAN est sur ETH3, via un switch, je ne comprends pas ce qui peut poser problème comparé à mon ancienne config avec la Livebox, car la zone DNS n'a pas du tout était changé, donc le soucis vient d’ailleurs pour moi, aucune raison que je ne puisse pas joindre mes services via ma zone DNS et mon DynDNS car je n'y ai pas touché et l'IP de mon DynDNS est bien OK.
Pour moi le soucis vient plus du coté de l'ER4 sur la config du ETH3, je ne vois pas d'autre solution, car j'ai aussi des soucis pour joindre les services via le LAN.
Je posterais ma config de l'ER4 ce soir, mais si certain on déja des idées, je suis preneur !
J'ai également un AP sur le switch, mes équipements wifi mettent énormèment de temps à récupérer leur adresse via le DHCP de l'ER4... ils y arrivent, mais c'est 1 à 2 minutes...
Ce qui me fait encore penser que j'ai un soucis au niveau de la config ou autre au niveau de mon port LAN ETH3, je ne vois vraiment rien d'autre...
Autre chose, ca serait trop facile sinon ::) qui me pose problème c'est pour se connecter à l'ER4 après un reboot via le LAN.
j'avais ETH2: 192.168.1.1 (qui n'est pas utilisé habituellement)
ETH3: 192.168.1.254
Dans la conf j'écoute sur 192.168.1.1 et 192.168.1.254 pour la GUI. Mais aprés un reboot, impossible de se connecté sur 192.168.1.254... obligé de passer sur 192.168.1.1 quand cela voulait bien...
Est ce que le fait d'utiliser une IP de la même plage sur deux interfaces distinct peut poser problème ? ou le fait d'avoir un écoute de la GUI sur deux IP du même sous réseau ?
Merci à vous, car là vraiment je tourne en rond, pas envie de repasser sur la Livebox après tant d'effort ::)
-
Ah bah carrèment.
2 interfaces, c'est deux subnets obligatoires.
Sinon, c'est la foire au slip.
-
Merci Mark pour ton retour.
Ouais ok, c'est bien ce qui me semblait après coup.
Du coup j'ai changer l'interface ETH2 en 192.168.3.1 pour écarter tout problème.
J'ai passer ETH3 en 192.168.1.254 en changeant la config du DHCP aussi et en modifiant correctement les IP d'écoute pour la GUI;
Reboot, c'est OK, tout remonte bien du premier coup.
par contre toujours des soucis sur le LAN avec des temps de réponse super long aléatoirement et des accès possible quand ça veut depuis l’extérieur et LAN...
Par contre aucun soucis pour internet, ça marche bien depuis mon PC fixe relié en cable sur le switch ::)
-
Faut faire péter la conf (expurgée des infos confidentielles).
Sans voir la conf, on risque de tourner en rond pendant 107 ans.
-
Voici la conf actuel:
firewall {
all-ping enable
broadcast-ping disable
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "WAN to internal"
rule 1 {
action accept
description "Allow established/related"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "Drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name WAN_LOCAL {
default-action drop
description "WAN to router"
rule 1 {
action accept
description "Allow established/related"
log enable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "Drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
ethernet eth0 {
description ISP
duplex auto
speed auto
vif 832 {
address dhcp
description ISP_DATA
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "\053FSVDSL_livebox.Internet.softathome.Livebox3";"
client-option "send rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:;"
client-option "request subnet-mask, routers, domain-name-servers, domain-name, broadcast-address, dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, rfc3118-auth;"
default-route update
default-route-distance 210
global-option "option rfc3118-auth code 90 = string;"
name-server update
}
egress-qos "0:0 1:0 2:0 3:0 4:0 5:0 6:6 7:0"
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
mtu 1500
}
vif 838 {
address dhcp
description ISP_TV_VOD
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "\047FSVDSL_livebox.MLTV.softathome.Livebox3";"
client-option "send dhcp-client-identifier 1:F0:82:61:E6:B3:7C;"
client-option "request subnet-mask, routers, rfc3442-classless-static-routes;"
default-route no-update
default-route-distance 210
name-server update
}
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
mtu 1500
}
vif 840 {
address 192.168.255.254/32
description ISP_TV_STREAM
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
}
ethernet eth1 {
address 192.168.2.1/24
description LAN_ETH1
duplex auto
speed auto
}
ethernet eth2 {
address 192.168.3.1/24
duplex auto
speed auto
}
ethernet eth3 {
address 192.168.1.254/24
description LAN_ETH3
duplex full
speed 1000
}
loopback lo {
}
}
port-forward {
auto-firewall enable
hairpin-nat enable
lan-interface eth3
rule 1 {
description Teamspeak
forward-to {
address 192.168.1.100
port 9987
}
original-port 9987
protocol udp
}
rule 2 {
description Plex
forward-to {
address 192.168.1.100
port 32400
}
original-port 32400
protocol tcp
}
rule 3 {
description "Teamspeak 1"
forward-to {
address 192.168.1.100
port 10011
}
original-port 10011
protocol tcp
}
rule 4 {
description "Teamspeak 2"
forward-to {
address 192.168.1.100
port 30033
}
original-port 30033
protocol tcp
}
rule 5 {
description SSH
forward-to {
address 192.168.1.100
port 22
}
original-port 5022
protocol tcp
}
rule 6 {
description "Haproxy Secure"
forward-to {
address 192.168.1.100
port 5443
}
original-port 443
protocol tcp
}
rule 7 {
description Haproxy
forward-to {
address 192.168.1.100
port 5080
}
original-port 80
protocol tcp
}
rule 8 {
description FTP
forward-to {
address 192.168.1.100
port 21
}
original-port 21
protocol tcp
}
rule 9 {
description "FTP Passive"
forward-to {
address 192.168.1.100
port 60000-60010
}
original-port 60000-60010
protocol tcp
}
rule 10 {
description "IMAP Secure"
forward-to {
address 192.168.1.100
port 993
}
original-port 993
protocol tcp
}
rule 11 {
description Pyload
forward-to {
address 192.168.1.100
port 8000
}
original-port 8000
protocol tcp
}
wan-interface eth0.832
}
protocols {
igmp-proxy {
disable-quickleave
interface eth0 {
role disabled
threshold 1
}
interface eth0.832 {
role disabled
threshold 1
}
interface eth0.838 {
role disabled
threshold 1
}
interface eth0.840 {
alt-subnet 0.0.0.0/0
role upstream
threshold 1
}
interface eth1 {
alt-subnet 0.0.0.0/0
role downstream
threshold 1
}
interface eth2 {
role disabled
threshold 1
}
interface eth3 {
role disabled
threshold 1
}
}
}
service {
dhcp-server {
disabled false
hostfile-update disable
shared-network-name LAN_ETH0_DHCP {
authoritative enable
subnet 192.168.2.0/24 {
default-router 192.168.2.1
dns-server 192.168.2.1
lease 86400
ntp-server 192.168.2.1
start 192.168.2.100 {
stop 192.168.2.200
}
}
}
shared-network-name LAN_ETH3_DHCP {
authoritative enable
subnet 192.168.1.0/24 {
default-router 192.168.1.254
dns-server 8.8.8.8
dns-server 4.4.4.4
lease 86400
ntp-server 192.168.1.254
start 192.168.1.55 {
stop 192.168.1.95
}
}
}
static-arp disable
use-dnsmasq disable
}
dns {
forwarding {
cache-size 1024
listen-on lo
listen-on eth1
listen-on eth3
name-server 80.10.246.3
name-server 81.253.149.10
}
}
gui {
http-port 80
https-port 443
listen-address 192.168.1.254
older-ciphers disable
}
nat {
rule 5001 {
description "MASQ: WAN"
log disable
outbound-interface eth0.832
protocol all
type masquerade
}
rule 5002 {
description "MASQ: ORANGE"
log disable
outbound-interface eth0.838
protocol all
type masquerade
}
}
ssh {
allow-root
listen-address 192.168.1.254
port 22
protocol-version v2
}
unms {
disable
}
upnp2 {
listen-on eth3
nat-pmp enable
port 34651
secure-mode enable
wan eth0.832
}
}
system {
host-name EdgeRouter4
login {
user root {
authentication {
encrypted-password
plaintext-password ""
}
level admin
}
user ubnt {
authentication {
encrypted-password
plaintext-password ""
}
full-name ""
level admin
}
}
name-server 127.0.0.1
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
hwnat disable
ipsec enable
ipv4 {
forwarding enable
gre enable
vlan enable
}
ipv6 {
forwarding enable
vlan enable
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level warning
}
}
}
time-zone Europe/Paris
traffic-analysis {
dpi enable
export enable
}
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@5:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-udapi-server@1:ubnt-unms@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.10.5.5098942.180622.1611 */
ETH0 = ONT
ETH1 = Décodeur TV
ETH2 = non utilisé
ETH3 = LAN
-
Bon, y'a rien qui me saute vraiment aux yeux, mais :
1) J'aime pas du tout le port forwarding. Rien ne vaut un bon vieux DNAT avec la règle de FW qui va bien
2) Tous tes port forwarding atterrissent sur 192.168.1.100. Normal ? Elle fait tout cette machine ?
3) Penser à vérifier les règles upnp2 "show upnp2 rules". Si ça se trouve, tes ports ont été "attrapés" par une autre machine/device.
4) De mémoire, le DPI bypass l'offload, donc pas d'offload dans ton cas...
5) Le hairpin nat, j'aime pas non plus. Je préfère (et de loin) un split horizon DNS.
-
Bon, y'a rien qui me saute vraiment aux yeux, mais :
1) J'aime pas du tout le port forwarding. Rien ne vaut un bon vieux DNAT avec la règle de FW qui va bien
Je ne connais malheureusement que très peu DNAT/IPTable, il faudrait que je me penche sérieusement dessus.
2) Tous tes port forwarding atterrissent sur 192.168.1.100. Normal ? Elle fait tout cette machine ?
Oui, c'est mon serveur ;D
3) Penser à vérifier les règles upnp2 "show upnp2 rules". Si ça se trouve, tes ports ont été "attrapés" par une autre machine/device.
Je vois, je vais vérifier ça ce soir !
4) De mémoire, le DPI bypass l'offload, donc pas d'offload dans ton cas...
https://help.ubnt.com/hc/en-us/articles/115006567467-EdgeRouter-Hardware-Offloading-Explained
A priori pas de soucis d'offloading avec le DPI activé ?
5) Le hairpin nat, j'aime pas non plus. Je préfère (et de loin) un split horizon DNS.
Ce point là, je ne connais pas, l'option est activé par défaut, je l'ai donc laissé.
Merci de m'aider en tout cas !
edit:
bon je suis repartis de zéro et j'ai tout refait correctement, c'est OK !
Du coup je devais avoir un petit soucis lié au fait que j'avais assigné un adresse d'un même sous réseau sur deux interfaces. ::)