Auteur Sujet: Dans quelle zone du pare-feu placer la Livebox ? (Lu 1428 fois)

basilix · « **le:** 14 juillet 2024 à 18:22:51 »

Bonsoir !

Je n'arrive pas comprendre comment configurer le pare-feu.

Est-ce qu'une station du réseau 1 pourrait se connecter à l'interface d'administration de la Livebox ?

Est-ce que la Livebox pourra se mettre à jour en étant dans la même « zone pare-feu » que mes stations ?

renaud07 · « **Réponse #1 le:** 14 juillet 2024 à 18:50:16 »

Si tu veux que les 2 réseaux communiquent il faut créer un forward entre la zone LAN et la zone livebox.

Après tu peux aussi mettre la box sur ton LAN principal en désactivant son DHCP. Par conte, j'ai un doute avec le possible doublon des adresses MAC, car le routeur va voir 2 fois la même MAC côté WAN et LAN, ça risque de poser problème...

De même est-ce que ton openwrt a la même MAC que la LB ? Dans ce cas ça va pas marcher non plus... En tout cas chez moi si je branche la box ça ne fonctionne plus, je perds la connexion. Il faut absolument une MAC différente.

basilix · « **Réponse #2 le:** 14 juillet 2024 à 21:22:45 »

@renaud07 :

J'ai édité mon schéma pour faire apparaître la mention de la zone du pare-feu. Je pense que le port RJ45 WAN de la Livebox devrait être branché au routeur.
J'ai une représentation plutôt vague de la topologie de mon réseau local. La redirection des paquets est activée avec la configuration en zone dans OpenWrt.
~~Peut-être qu'on peut aussi faire du DNAT vers l'interface 192.168.1.1 de la Livebox.~~ Pas sûr que ce soit une bonne idée. Je n'ai plus les idées claires (il
faut que j'aille faire dodo).

basilix · « **Réponse #3 le:** 15 juillet 2024 à 05:58:24 »

Je constate plusieurs choses.

Je n'ai pas intégré dans mon schéma la numérotation IP pour garder une vision d'ensemble.
Mon réseau n°1 a un adressage en IPv6.
Mon réseau n°2 a un adressage en IPv6 et en IPv4 (Livebox + VoIP obligeant).
La Livebox expose son interface d'administration via une adresse IPv4 privée.
Les paquets HTTP sont transportés sur le réseau dans des paquets IP (réseau TCP/IP).
L'interface d'administration de la Livebox ne semble pas accessible avec une GUA (IPv6).
L'interface d'administration de la Livebox ne semble pas accessible avec une LLA (IPv6).
La Livebox ne semble pas avoir d'adresse ULA (IPv6).

Une station du réseau n°1 ne pourra donc pas accéder à l'interface d'administration de la Livebox.

En IPv6, en ouvrant des ports dans le pare-feu de la Livebox, il serait possible de communiquer
avec les stations du réseau n°2 via leur adresse GUA. Mais je ne conserverais la Livebox que
pour pouvoir exploiter la téléphonie uniquement.

Pour l'autre question, je suppose que la Livebox recherche ses mises jour sur le réseau local. Si
c'est le cas, je ne sais pas comment je pourrais m'y prendre pour les transférer à la Livebox.

En conclusion, je n'ai pas de solution à mes problèmes (par manque de perspectives). Comment
maintenir les choses en état ?

basilix · « **Réponse #4 le:** 15 juillet 2024 à 07:03:02 »

Peut-être en faisant du NAT64 sans état sur le réseau local ? Et du NAT64 avec état pour l'accès aux serveurs IPv4 de l'Internet ?

basilix · « **Réponse #5 le:** 15 juillet 2024 à 07:19:34 »

Je confonds encore le chemin de transmission des paquets. L'interface Web correspond à des flux en HTTP sur un serveur local de la Livebox. Je ne pense pas
que l'on puisse définir des règles sur la transmission locale (input) dans le pare-feu de la Livebox.

zoc · « **Réponse #6 le:** 15 juillet 2024 à 09:49:48 »

Citation de: basilix le 15 juillet 2024 à 05:58:24

Pour l'autre question, je suppose que la Livebox recherche ses mises jour sur le réseau local. Si
c'est le cas, je ne sais pas comment je pourrais m'y prendre pour les transférer à la Livebox.

Non, la Livebox télécharge ses mises à jour toute seule depuis Internet. Donc si elle à accès à Internet (ce qui est de toute façon obligatoire pour la téléphonie), alors elle se mettra à jour seule.

Il n'est pas possible pour le client de transférer manuellement une image firmware.

Quoi qu'il en soit, le deuxième schema me semble plus proche de ce qu'on fait tous (mettre le réseau 1 derrière la box n'a vraiment aucun intéret), mais l'accès à la console d'admin est alors un challenge puisqu'elle n'est par défaut pas exposée sur le port WAN). Après, en pratique, quand on se sert de la box uniquement pour la téléphonie, la console d'admin n'a que peu d'intérêt, et, en tout cas en ce qui me concerne, je ne me suis pas creusé la tête pour la rendre accessible: Au cas où j'en aurais besoin, je connecte temporairement un cable sur le switch de la box...

basilix · « **Réponse #7 le:** 15 juillet 2024 à 12:41:13 »

D'accord.

De toute manière, il faudrait que je définisse mes règles de pare-feu par zones. Sinon, mon fichier de configuration va devenir illisible.
Cela va dupliquer mes règles IPv6 en rejetant les paquets en input, output et forward comme politique de filtrage par défaut.

Je pourrais toujours me connecter directement via le réseau WiFi de la Livebox (la carte-mère de ma station de travail embarque une carte
réseau WiFi). Merci @zoc, je n'y avais pas pensé.

basilix · « **Réponse #8 le:** 15 juillet 2024 à 21:23:00 »

Je joins un nouveau schéma pour illustrer le propos de mon premier post. C'est spécifique à OpenWrt.

[16/07 08:11] : Modification de mon schéma. Le schéma n'est pas forcément clair (i faut aussi lire la doc. OpenWrt).

[17/07 12:25] : Mon schéma contient au moins une grossière erreur. Dans les réseaux n°5 et n°6, les grosses flèches sont inadéquates. Les deux stations peuvent échanger
directement car elles se situent dans le même domaine de diffusion. C'est moins clair pour la flèche entre les réseau n°1 et n°4 car le WiFi est connecté au commutateur.

Je fais plein d'erreurs et j'en suis navré. Mais il paraît que c'est en faisant des erreurs qu'on apprend.

Mastah · « **Réponse #9 le:** 15 juillet 2024 à 22:30:52 »

Simple question : pourquoi faire aussi compliqué ?

Un VLAN réseau principale, un VLAN réseau mobile/wifi, une patte pour la livebox, the end.

basilix · « **Réponse #10 le:** 16 juillet 2024 à 08:22:06 »

@Mastah :

L'informatique c'est compliqué. Je suis compliqué. La topologie de mon réseau est relativement compliquée (Livebox + VoIP, DMZ, réseau WiFi invité, traducteur NAT64...).
De plus, mon schéma n'est pas si bien réalisé. Il a pour but d'être illustratif mais il manque des indications pour éviter qu'une tierce personne ne soit induite en erreur.
Par exemple, le réseau n°1 et le réseau n°4 forme un seul réseau IP (mais constitué par deux réseaux physiques : canal radio converti en Ethernet (802.11) et les stations
du réseau local connectées en filaire). Néanmoins, on retrouve cette complexité lors de la configuration avec OpenWrt.

basilix · « **Réponse #11 le:** 16 juillet 2024 à 14:29:04 »

@zoc :

En fait, je viens de voir qu'on peut activer la connexion distante à l'interface d'administration de la Livebox. Je n'avais pas fait attention car en général la Livebox offre un contrôle assez limité.

Mais ce n'est pas sûre que cela fonctionne avec une IPv4 privée.