Auteur Sujet: Remplacer sa Livebox par un routeur Ubiquiti Edgemax (Lu 1540408 fois)

Hugues · « **Réponse #3108 le:** 09 mars 2017 à 09:34:51 »

Citation de: Appleforever le 09 mars 2017 à 09:23:50

concrètement peuvent bien servir la présence de ces deux sous réseau?

De quoi parles-tu ? Il n'y a pas deux sous réseaux configurés dans l'ERL, c'est toi qui l'a configuré !

Citation de: zoc le 09 mars 2017 à 09:29:42

Mes machines dans la DMZ ne peuvent établir aucune communication vers mon LAN, seules les connexions initiées depuis mon LAN ou le WAN sur une liste de port (pour le WEB et le mail) et à destination de machines bien précises sont autorisées.

Donc tu n'as aucune confiance en tes capacités de sysadmin ? Une machine sécurisée n'a aucune raison de ne plus l'être si tu y fais attention.

Je pense qu'au lieu de mettre un firewall qui ne fera perdre que 10 mins à un potentiel attaquant, un bon monitoring, des logiciels à jour et un contrôle des services ouvert est bien plus efficace.

zoc · « **Réponse #3109 le:** 09 mars 2017 à 09:42:03 »

Citation de: Hugues le 09 mars 2017 à 09:34:51

Donc tu n'as aucune confiance en tes capacités de sysadmin ? Une machine sécurisée n'a aucune raison de ne plus l'être si tu y fais attention.

Mes machines hébergent des applications (wordpress et nextcloud) dans lesquelles j'ai une confiance limitée malgrés toutes les promesses de leurs développeurs.

Je préfère avoir 2 règles iptables entre ma DMZ et mon LAN (allow estab, drop all) en supplèment d'une administration au quotidien. Jusqu'à preuve d'une faille dans iptables, je ne vois pas comment passer à travers.

Appleforever · « **Réponse #3110 le:** 09 mars 2017 à 11:34:55 »

@Hugues, je parle de sa moi:

Si je laisse comme cela, j'ai deux sous réseaux qui vont me permettre d'isoler le Server de tout le reste et de ne pas à avoir à faire un bridge préjudiciable
au perfomance mais je devrai créer des routes entres eth1 (LAN) et eth2 (Server) pour que les machines puisse initier des connexions vers le server (Plex, TM, etc..).

1- Possible ou pas? Est ce que sa peu être une alternative à une DMZ car j'ai pas trouvé comment le faire.

2 -Ou alors je fais tout sa depuis le Switch? Je laisse de coter le port eth2 du routeur...

zoc · « **Réponse #3111 le:** 09 mars 2017 à 11:37:55 »

Citation de: Appleforever le 09 mars 2017 à 11:34:55

je devrai créer des routes entres eth1 (LAN) et eth2 (Server)

Non, pas besoin de créer de routes. Par défaut (en l'absence de règles de firewall) le routeur route tout le traffic entre ses interfaces, même celui que tu ne veux pas.

Hugues · « **Réponse #3112 le:** 09 mars 2017 à 12:01:00 »

Rappel : une DMZ (au sens FAI du terme, en sécurité, c'est autre chose) n'est pas un firewall, c'est juste rediriger tous les ports UDP/TCP/d'autres protos selon le routeur vers une seule IP

Donc c'est globalement moins 'sécurisé' que de mettre tout derrière un NAT et ouvrir les ports dont on a besoin.

Mon avis perso étant que si jamais ça pose un souci, c'est que la machine derrière la DMZ a des services qui écoutent sans que l'adminsys sache les contrôler, et ça c'est le vrai danger

Appleforever · « **Réponse #3113 le:** 09 mars 2017 à 12:28:50 »

@Zoc, y'a quelques choses qui m'échappe la. J'avais cru comprendre que deux sous réseau comme le montre la photo que j'ai posté ne permettait pas au machine qui s'y trouver d'interagir entre elles. Et la tu me dit tout le contraire.
Donc un client Plex en 192.168.1.34 (TV) pourra initier une connexion sur la partie server de Plex (Server) en 192.168.2.56 ?

Tu entend quoi par "même celle que je ne veux pas"?

zoc · « **Réponse #3114 le:** 09 mars 2017 à 12:54:23 »

Citation de: Appleforever le 09 mars 2017 à 12:28:50

J'avais cru comprendre que deux sous réseau comme le montre la photo que j'ai posté ne permettait pas au machine qui s'y trouver d'interagir entre elles. Et la tu me dit tout le contraire.

Le but d'un routeur, c'est de router entre différents réseaux. Donc par défaut (sans firewall), l'ERL route entre eth0, eth1 et eth2. Il faut arrêter de penser "routeur grand public", où tout est restreint par défaut.

Citer

Donc un client Plex en 192.168.1.34 (TV) pourra initier une connexion sur la partie server de Plex (Server) en 192.168.2.56 ?

Oui. Seule l'autodiscovery du serveur (je ne sais pas si ca existe avec Plex, je ne l'utilise pas) ne fonctionnera pas, car le routeur ne route pas le broadcast/multicast entre ses interfaces. Il faudra donc explicitement configurer les clients avec l'adresse IP du serveur.

Citer

Tu entend quoi par "même celle que je ne veux pas"?

J'entends que tu peux vouloir restreindre les connexions initiées depuis la DMZ vers le LAN. Par défaut, il n'y a aucune restriction.

dmfr · « **Réponse #3115 le:** 09 mars 2017 à 14:35:35 »

Citation de: Appleforever le 09 mars 2017 à 12:28:50

@Zoc, y'a quelques choses qui m'échappe la. J'avais cru comprendre que deux sous réseau comme le montre la photo que j'ai posté ne permettait pas au machine qui s'y trouver d'interagir entre elles. Et la tu me dit tout le contraire.
Donc un client Plex en 192.168.1.34 (TV) pourra initier une connexion sur la partie server de Plex (Server) en 192.168.2.56 ?

Quel est le rapport avec le "Remplacement de la Livebox par un routeur Ubiquiti Edgemax" ?

Appleforever · « **Réponse #3116 le:** 09 mars 2017 à 16:00:22 »

Sortie de son contexte, aucun.

Et donc?

Hugues · « **Réponse #3117 le:** 09 mars 2017 à 17:36:12 »

Citation de: dmfr le 09 mars 2017 à 14:35:35

Quel est le rapport avec le "Remplacement de la Livebox par un routeur Ubiquiti Edgemax" ?

merci d'utiliser le bouton de signalement si tu trouve que cette conversation est hors sujet

Hugues · « **Réponse #3118 le:** 09 mars 2017 à 17:36:46 »

Citation de: Appleforever le 09 mars 2017 à 12:28:50

@Zoc, y'a quelques choses qui m'échappe la. J'avais cru comprendre que deux sous réseau comme le montre la photo que j'ai posté ne permettait pas au machine qui s'y trouver d'interagir entre elles.

Seulement si tu configure le firewall pour le faire

Gnubyte · « **Réponse #3119 le:** 13 mars 2017 à 13:32:44 »

J'ai la faiblesse de penser que les discussions attenantes à la sécurisation de l'accès fourni par les edgerouter ont toute leur place sur ce fil, dont la densité des discussions dépasse le niveau habituellement rencontré.
Il y a moult tutoriels, en page une, sur le paramétrage des différentes typologies d'accès (avec et sans PPPoE, IPv4 ou IPv6) permettant à tout nouvel arrivant de configurer son accès sans trop coup férir. OK, c'est légèrement compliqué, et pas nécessairement à la portée de tous, mais tout jeune libérateur dégourdi peut se défaire de tout ou partie de sa Livebox, et c'est là l'essentiel. Les discussions de paramétrage tournent majoritairement autour d'erreurs de syntaxe ou de méprises, qui trouvent leur résolution grâce aux experts qui rôdent ici. Les fils qui achoppent tournent autour de variations d'architectures côté LAN, et elles trouvent leur solution dans les réactions qu'elles suscitent.
Partager l'expérience à propos de problématiques de firewall me semble avoir toute sa place ici, assurant toute la visibilité que ces questions justifient. Intercaler un edgerouter, si c'est pour avoir tout d'ouvert en grand, c'est un peu con. Non ?

Gnubyte.