Auteur Sujet: Dans quelle zone du pare-feu placer la Livebox ? (Lu 462 fois)

basilix · « **le:** 14 juillet 2024 à 18:22:51 »

Bonsoir !

Je n'arrive pas comprendre comment configurer le pare-feu.

Est-ce qu'une station du réseau 1 pourrait se connecter à l'interface d'administration de la Livebox ?

Est-ce que la Livebox pourra se mettre à jour en étant dans la même « zone pare-feu » que mes stations ?

renaud07 · « **Réponse #1 le:** 14 juillet 2024 à 18:50:16 »

Si tu veux que les 2 réseaux communiquent il faut créer un forward entre la zone LAN et la zone livebox.

Après tu peux aussi mettre la box sur ton LAN principal en désactivant son DHCP. Par conte, j'ai un doute avec le possible doublon des adresses MAC, car le routeur va voir 2 fois la même MAC côté WAN et LAN, ça risque de poser problème...

De même est-ce que ton openwrt a la même MAC que la LB ? Dans ce cas ça va pas marcher non plus... En tout cas chez moi si je branche la box ça ne fonctionne plus, je perds la connexion. Il faut absolument une MAC différente.

basilix · « **Réponse #2 le:** 14 juillet 2024 à 21:22:45 »

@renaud07 :

J'ai édité mon schéma pour faire apparaître la mention de la zone du pare-feu. Je pense que le port RJ45 WAN de la Livebox devrait être branché au routeur.
J'ai une représentation plutôt vague de la topologie de mon réseau local. La redirection des paquets est activée avec la configuration en zone dans OpenWrt.
~~Peut-être qu'on peut aussi faire du DNAT vers l'interface 192.168.1.1 de la Livebox.~~ Pas sûr que ce soit une bonne idée. Je n'ai plus les idées claires (il
faut que j'aille faire dodo).

basilix · « **Réponse #3 le:** **Hier** à 05:58:24 »

Je constate plusieurs choses.

Je n'ai pas intégré dans mon schéma la numérotation IP pour garder une vision d'ensemble.
Mon réseau n°1 a un adressage en IPv6.
Mon réseau n°2 a un adressage en IPv6 et en IPv4 (Livebox + VoIP obligeant).
La Livebox expose son interface d'administration via une adresse IPv4 privée.
Les paquets HTTP sont transportés sur le réseau dans des paquets IP (réseau TCP/IP).
L'interface d'administration de la Livebox ne semble pas accessible avec une GUA (IPv6).
L'interface d'administration de la Livebox ne semble pas accessible avec une LLA (IPv6).
La Livebox ne semble pas avoir d'adresse ULA (IPv6).

Une station du réseau n°1 ne pourra donc pas accéder à l'interface d'administration de la Livebox.

En IPv6, en ouvrant des ports dans le pare-feu de la Livebox, il serait possible de communiquer
avec les stations du réseau n°2 via leur adresse GUA. Mais je ne conserverais la Livebox que
pour pouvoir exploiter la téléphonie uniquement.

Pour l'autre question, je suppose que la Livebox recherche ses mises jour sur le réseau local. Si
c'est le cas, je ne sais pas comment je pourrais m'y prendre pour les transférer à la Livebox.

En conclusion, je n'ai pas de solution à mes problèmes (par manque de perspectives). Comment
maintenir les choses en état ?

basilix · « **Réponse #4 le:** **Hier** à 07:03:02 »

Peut-être en faisant du NAT64 sans état sur le réseau local ? Et du NAT64 avec état pour l'accès aux serveurs IPv4 de l'Internet ?

basilix · « **Réponse #5 le:** **Hier** à 07:19:34 »

Je confonds encore le chemin de transmission des paquets. L'interface Web correspond à des flux en HTTP sur un serveur local de la Livebox. Je ne pense pas
que l'on puisse définir des règles sur la transmission locale (input) dans le pare-feu de la Livebox.

zoc · « **Réponse #6 le:** **Hier** à 09:49:48 »

Citation de: basilix le Hier à 05:58:24

Pour l'autre question, je suppose que la Livebox recherche ses mises jour sur le réseau local. Si
c'est le cas, je ne sais pas comment je pourrais m'y prendre pour les transférer à la Livebox.

Non, la Livebox télécharge ses mises à jour toute seule depuis Internet. Donc si elle à accès à Internet (ce qui est de toute façon obligatoire pour la téléphonie), alors elle se mettra à jour seule.

Il n'est pas possible pour le client de transférer manuellement une image firmware.

Quoi qu'il en soit, le deuxième schema me semble plus proche de ce qu'on fait tous (mettre le réseau 1 derrière la box n'a vraiment aucun intéret), mais l'accès à la console d'admin est alors un challenge puisqu'elle n'est par défaut pas exposée sur le port WAN). Après, en pratique, quand on se sert de la box uniquement pour la téléphonie, la console d'admin n'a que peu d'intérêt, et, en tout cas en ce qui me concerne, je ne me suis pas creusé la tête pour la rendre accessible: Au cas où j'en aurais besoin, je connecte temporairement un cable sur le switch de la box...

basilix · « **Réponse #7 le:** **Hier** à 12:41:13 »

D'accord.

De toute manière, il faudrait que je définisse mes règles de pare-feu par zones. Sinon, mon fichier de configuration va devenir illisible.
Cela va dupliquer mes règles IPv6 en rejetant les paquets en input, output et forward comme politique de filtrage par défaut.

Je pourrais toujours me connecter directement via le réseau WiFi de la Livebox (la carte-mère de ma station de travail embarque une carte
réseau WiFi). Merci @zoc, je n'y avais pas pensé.

basilix · « **Réponse #8 le:** **Hier** à 21:23:00 »

Je joins un nouveau schéma pour illustrer le propos de mon premier post. C'est spécifique à OpenWrt.

Mastah · « **Réponse #9 le:** **Hier** à 22:30:52 »

Simple question : pourquoi faire aussi compliqué ?

Un VLAN réseau principale, un VLAN réseau mobile/wifi, une patte pour la livebox, the end.