La Fibre
Datacenter et équipements réseaux => Routeurs => 
Remplacer la LiveBox par un routeur => Discussion démarrée par: basilix le 14 juillet 2024 à 18:22:51
-
Bonsoir !
Je n'arrive pas comprendre comment configurer le pare-feu.
Est-ce qu'une station du réseau 1 pourrait se connecter à l'interface d'administration de la Livebox ?
Est-ce que la Livebox pourra se mettre à jour en étant dans la même « zone pare-feu » que mes stations ?
-
Si tu veux que les 2 réseaux communiquent il faut créer un forward entre la zone LAN et la zone livebox.
Après tu peux aussi mettre la box sur ton LAN principal en désactivant son DHCP. Par conte, j'ai un doute avec le possible doublon des adresses MAC, car le routeur va voir 2 fois la même MAC côté WAN et LAN, ça risque de poser problème...
De même est-ce que ton openwrt a la même MAC que la LB ? Dans ce cas ça va pas marcher non plus... En tout cas chez moi si je branche la box ça ne fonctionne plus, je perds la connexion. Il faut absolument une MAC différente.
-
@renaud07 :
J'ai édité mon schéma pour faire apparaître la mention de la zone du pare-feu. Je pense que le port RJ45 WAN de la Livebox devrait être branché au routeur.
J'ai une représentation plutôt vague de la topologie de mon réseau local. La redirection des paquets est activée avec la configuration en zone dans OpenWrt.
Peut-être qu'on peut aussi faire du DNAT vers l'interface 192.168.1.1 de la Livebox. Pas sûr que ce soit une bonne idée. Je n'ai plus les idées claires (il
faut que j'aille faire dodo).
-
Je constate plusieurs choses.
- Je n'ai pas intégré dans mon schéma la numérotation IP pour garder une vision d'ensemble.
- Mon réseau n°1 a un adressage en IPv6.
- Mon réseau n°2 a un adressage en IPv6 et en IPv4 (Livebox + VoIP obligeant).
- La Livebox expose son interface d'administration via une adresse IPv4 privée.
- Les paquets HTTP sont transportés sur le réseau dans des paquets IP (réseau TCP/IP).
- L'interface d'administration de la Livebox ne semble pas accessible avec une GUA (IPv6).
- L'interface d'administration de la Livebox ne semble pas accessible avec une LLA (IPv6).
- La Livebox ne semble pas avoir d'adresse ULA (IPv6).
Une station du réseau n°1 ne pourra donc pas accéder à l'interface d'administration de la Livebox.
En IPv6, en ouvrant des ports dans le pare-feu de la Livebox, il serait possible de communiquer
avec les stations du réseau n°2 via leur adresse GUA. Mais je ne conserverais la Livebox que
pour pouvoir exploiter la téléphonie uniquement.
Pour l'autre question, je suppose que la Livebox recherche ses mises jour sur le réseau local. Si
c'est le cas, je ne sais pas comment je pourrais m'y prendre pour les transférer à la Livebox.
En conclusion, je n'ai pas de solution à mes problèmes (par manque de perspectives). Comment
maintenir les choses en état ?
-
Peut-être en faisant du NAT64 sans état sur le réseau local ? Et du NAT64 avec état pour l'accès aux serveurs IPv4 de l'Internet ?
-
Je confonds encore le chemin de transmission des paquets. L'interface Web correspond à des flux en HTTP sur un serveur local de la Livebox. Je ne pense pas
que l'on puisse définir des règles sur la transmission locale (input) dans le pare-feu de la Livebox.
-
Pour l'autre question, je suppose que la Livebox recherche ses mises jour sur le réseau local. Si
c'est le cas, je ne sais pas comment je pourrais m'y prendre pour les transférer à la Livebox.
Non, la Livebox télécharge ses mises à jour toute seule depuis Internet. Donc si elle à accès à Internet (ce qui est de toute façon obligatoire pour la téléphonie), alors elle se mettra à jour seule.
Il n'est pas possible pour le client de transférer manuellement une image firmware.
Quoi qu'il en soit, le deuxième schema me semble plus proche de ce qu'on fait tous (mettre le réseau 1 derrière la box n'a vraiment aucun intéret), mais l'accès à la console d'admin est alors un challenge puisqu'elle n'est par défaut pas exposée sur le port WAN). Après, en pratique, quand on se sert de la box uniquement pour la téléphonie, la console d'admin n'a que peu d'intérêt, et, en tout cas en ce qui me concerne, je ne me suis pas creusé la tête pour la rendre accessible: Au cas où j'en aurais besoin, je connecte temporairement un cable sur le switch de la box...
-
D'accord.
De toute manière, il faudrait que je définisse mes règles de pare-feu par zones. Sinon, mon fichier de configuration va devenir illisible.
Cela va dupliquer mes règles IPv6 en rejetant les paquets en input, output et forward comme politique de filtrage par défaut.
Je pourrais toujours me connecter directement via le réseau WiFi de la Livebox (la carte-mère de ma station de travail embarque une carte
réseau WiFi). Merci @zoc, je n'y avais pas pensé.
-
Je joins un nouveau schéma pour illustrer le propos de mon premier post. C'est spécifique à OpenWrt.
[16/07 08:11] : Modification de mon schéma. Le schéma n'est pas forcément clair (i faut aussi lire la doc. OpenWrt).
[17/07 12:25] : Mon schéma contient au moins une grossière erreur. Dans les réseaux n°5 et n°6, les grosses flèches sont inadéquates. Les deux stations peuvent échanger
directement car elles se situent dans le même domaine de diffusion. C'est moins clair pour la flèche entre les réseau n°1 et n°4 car le WiFi est connecté au commutateur.
Je fais plein d'erreurs et j'en suis navré. Mais il paraît que c'est en faisant des erreurs qu'on apprend.
-
Simple question : pourquoi faire aussi compliqué ? :D
Un VLAN réseau principale, un VLAN réseau mobile/wifi, une patte pour la livebox, the end.
-
@Mastah :
L'informatique c'est compliqué. Je suis compliqué. La topologie de mon réseau est relativement compliquée (Livebox + VoIP, DMZ, réseau WiFi invité, traducteur NAT64...).
De plus, mon schéma n'est pas si bien réalisé. Il a pour but d'être illustratif mais il manque des indications pour éviter qu'une tierce personne ne soit induite en erreur.
Par exemple, le réseau n°1 et le réseau n°4 forme un seul réseau IP (mais constitué par deux réseaux physiques : canal radio converti en Ethernet (802.11) et les stations
du réseau local connectées en filaire). Néanmoins, on retrouve cette complexité lors de la configuration avec OpenWrt.
-
@zoc :
En fait, je viens de voir qu'on peut activer la connexion distante à l'interface d'administration de la Livebox. Je n'avais pas fait attention car en général la Livebox offre un contrôle assez limité.
Mais ce n'est pas sûre que cela fonctionne avec une IPv4 privée.
-
L'accès à distance ne donne pas accès à toutes les fonctions.
-
@zoc :
En fait, je viens de voir qu'on peut activer la connexion distante à l'interface d'administration de la Livebox. Je n'avais pas fait attention car en général la Livebox offre un contrôle assez limité.
Mais ce n'est pas sûre que cela fonctionne avec une IPv4 privée.
Suffit de faire un port forward.
-
@Mastah :
Il aurait fallu pouvoir rediriger les paquets entrant par l'interface WAN de la Livebox vers l'adresse IPv4 privée 192.168.1.1 sur le port 80.
Je ne pense pas que cela soit possible.
-
@Mastah :
Il aurait fallu pouvoir rediriger les paquets entrant par l'interface WAN de la Livebox vers l'adresse IPv4 privée 192.168.1.1 sur le port 80.
Je ne pense pas que cela soit possible.
Normalement c'est l'inverse. Tu ouvres un port (8080/8443, peut importe lequel en vrai) sur le routeur, tu autorises le traffic (firewall) sur ce(s) port(s), tu NAT ce(s) ports vers le port 80/443 de la livexbox.
-
Bonsoir !
Je n'arrive pas comprendre comment configurer le pare-feu.
Est-ce qu'une station du réseau 1 pourrait se connecter à l'interface d'administration de la Livebox ?
Est-ce que la Livebox pourra se mettre à jour en étant dans la même « zone pare-feu » que mes stations ?
Pourquoi tu ne nous décrit pas ton besoin, ton "cahier des charges"?
Parce que là, tu nous décrit une architecture complexe, qui ne semble pas forcément judicieuse, et personnellement je ne comprends pas du tout ce que tu veux faire et surtout pourquoi, à quel besoin cette architecture complexe est censée répondre.
Si tu veux 2 sous réseaux locaux, via des VLANs, il y a beaucoup plus simple. Pourquoi tu veux mettre ton routeur OpenWrt en amont de la LiveBox? Ca serait beaucoup plus simple en aval de la LiveBox...
En tout cas, ça a l'air franchement compliqué ce qu'il se passe dans ton cerveau...
Leon.
-
@Mastah :
Je pensais que la redirection de ports avait seulement pour but d'accéder à l'interface Web de la Livebox via 192.168.1.1.
-
@Leon :
La Livebox résidentielle ne permet pas de créer une DMZ pour y placer un serveur en dehors du périmètre du réseau local. Je suis obligé de conserver la Livebox
pour avoir la téléphonie fixe. La téléphonie Orange ne fonctionne qu'en IPv4. Impossible de segmenter son réseau local avec une Livebox résidentielle. Sur le réseau
local, IPv4 et IPv6 doivent être fonctionnels afin d'accéder aux serveurs fonctionnant uniquement en IPv4. La Livebox ne dispose pas de service de traduction IPv4/v6.
Il est prévu que mon serveur soit uniquement accessible en IPv6. J'aurais pu avoir du double NAT en plaçant mon routeur derrière la Livebox et segmenter mon réseau
en IPv6 grâce à mon routeur, via des sous-réseaux répartis en zones par le pare-feu. Néanmoins, je n'y connaissais absolument rien en réseautique. Et j'avais envie de
savoir ce que je faisais. En d'autres termes, en apprenant, je me suis éloigné et rapproché de mes objectifs. Être en capacité de comprendre ce que je faisais dans
l'espoir d'atteindre mon but. Ne pas vraiment distinguer ce que l'on fait rend le risque accru d'avoir de graves ennuis parce qu'on est directement connecté à l'Internet.
Les questions posées dans mon premier post sont relatives au fonctionnement d'un réseau informatique (mettre à jour ses équipements, contrôler le déroulement).
-
@Mastah :
Je pensais que la redirection de ports avait seulement pour but d'accéder à l'interface Web de la Livebox via 192.168.1.1.
La livebox va être en DHCP, elle va prendre une ip du sous réseau dans lequel elle est. Il suffit simplement d'avoir plusieurs subnet et de mettre en place des routes.
-
@Mastah :
Si les paquets du flux HTTP n'arrivent pas à la Livebox via la bonne interface alors ils seront rejetés par son pare-feu. Il aurait au moins fallu activer la fonctionnalité d'accès à distance dans la Livebox.
Mais ainsi on n'indique pas « nous-même » de modifier l'adresse de destination des paquets en substituant l'adresse de l'interface externe de la Livebox par celle d'une interface interne (du réseau
administré par la Livebox). Il y a d'ailleurs une méprise puisqu'il ne s'agit pas d'accéder à l'interface d'administration Web de la Livebox en dehors du réseau résidentiel (sur l'Internet). Par conséquent,
il est inutile de faire également une redirection de ports sur mon routeur.
@zoc :
En fait, je viens de voir qu'on peut activer la connexion distante à l'interface d'administration de la Livebox. Je n'avais pas fait attention car en général la Livebox offre un contrôle assez limité.
Mais ce n'est pas sûre que cela fonctionne avec une IPv4 privée.
En d'autres termes, il faudrait que je teste en activant la fonctionnalité d'accès à distance. Sinon, je ne pense pas qu'on puisse réaliser une traduction d'adresse en paramétrant le pare-feu de la Livebox.