La Fibre
Datacenter et équipements réseaux => Routeurs => 
Remplacer la LiveBox par un routeur => Discussion démarrée par: basilix le 09 août 2025 à 18:14:28
-
Je crois que j'ai commis une énorme erreur.
La Livebox change la configuration de l'interface associée au port RJ45 n°4 lorsque la fibre optique n'est pas branchée.
Dans plusieurs de mes captures réseaux sur l'interface WAN, je voyais des paquets provenant du LAN.
J'avais créé un pont sans pare-feu pour capturer les paquets entre le réseau Orange et la Livebox.
Les paquets de mon LAN ont vraisemblablement été émis sur le réseau Orange pendant la reconfiguration.
Quels sont les risques encourus ?
-
Salut basilix
No stress, il ne se passera absolument rien. L'erreur est humaine après tout.
En général, tous les opérateurs ont des règles de firewall et des sécurités pour gérer ce type de cas, pour qu'un incident comme ça n'entraine aucune conséquence.
Par exemple, parfois des pro ou des particuliers font "fuiter" leur LAN, du coup tu vois des "iPhone-de-Sophie" demander une IP publique, évidemment, c'est rejeté.
Donc on n'autorise qu'une ou 2 MAC à parler, etc. Le reste c'est comme si tu parlais "dans le vent".
-
Je suis rassuré. Merci Optix ! :)
-
A une lointaine époque, j'avais laissé le switch qui me servait de trunk Lan-Wan en DHCP avec attribution statique par mon routeur Lan.
Je n'avais pas réalisé que les Discover et Request partait aussi sur le réseau du FAI.
Ce switch n'a jamais obtenu d'autres IP que celle octroyée par mon routeur.
Vincent m'avait signalé la fuite DHCP qu'il avait détéctée, sans doute parce qu'on cherchait ensemble pourquoi le routeur de K-net faisait une bizarrerie de hausse de ping sur et depuis certaines destinations (qu'il fait toujours d'ailleurs).
J'ai repassé le switch en IP fixe et cela n'a rien changer au problème, mais c'est plus propre. ;)
-
Bonjour
Tout FAI digne de ce nom filtre le trafic privé sur les points d'entré sur le WAN.
C'est le cas de Orange, donc là aucun soucis.
Je crois me souvenir que à un époque certaines IP RFC1918 pouvaient passer, mais :
- elles n'iront jamais au dela du RBCI (le réseau Orange France)
- elles ne seront jamais redistribuées vers un autre client.
Donc tu pourrais hypothétiquement avoir une capture de tes flux dans des sondes sur le réseau. Sondes qui ne sauront pas quoi en faire en analyse donc poubelle ...
Donc passe de bonnes vacances tranquille, là n'est pas le risque le plus important de ton été :)
LeVieux
-
@levieuxatorange:
Cela fait plaisir. Je vais pouvoir dormir tranquillement. 8)
-
Rien. Non seulement c'est de bonne foi mais ça ne constitue pas une atteinte, tentative ou maintient dans un STAD
-
Juste à titre d'anecdote amusante, il y a 25 ans, sur le réseau câblé Noos à Paris, un utilisateur de Mac (OS9) pouvait voir dans son voisinage réseau tous les Mac des voisins !
-
Juste à titre d'anecdote amusante, il y a 25 ans, sur le réseau câblé Noos à Paris, un utilisateur de Mac (OS9) pouvait voir dans son voisinage réseau tous les Mac des voisins !
Yes !!
Puisque la techno du cable c'était du FFTLA (FiberToTheLast Amplifier)
Et que sur le segment de câble comment entre voisin jusqu'à l'ampli c'était l'equivalent d'un "gros LAN"
Sur un arbre PON c'est le chiffrement entre ton ONU et l'OLT qui assure la séparation des flux (et la config de l'OLT et du BNG plus haut dans le réseau).
On a eu quelque bonne crise (de rire après la crise) la dessus au support coté Wanadoo Cable ...
LeVieux
-
Sur les offres activées du SIEA (pour les opérateurs alternatifs), dans le passé, s'il y avait bien une IPv4 publique pour chaque client, toute une poche se partageait un même /64 en IPv6.
-
Juste à titre d'anecdote amusante, il y a 25 ans, sur le réseau câblé Noos à Paris, un utilisateur de Mac (OS9) pouvait voir dans son voisinage réseau tous les Mac des voisins !
Yes !!
Puisque la techno du cable c'était du FFTLA (FiberToTheLast Amplifier)
Et que sur le segment de câble comment entre voisin jusqu'à l'ampli c'était l'equivalent d'un "gros LAN"
Sur un arbre PON c'est le chiffrement entre ton ONU et l'OLT qui assure la séparation des flux (et la config de l'OLT et du BNG plus haut dans le réseau).
On a eu quelque bonne crise (de rire après la crise) la dessus au support coté Wanadoo Cable ...
LeVieux
En HFC/FTTLA tu as aussi des mécanismes d'isolation de clients pour pas qu'ils se voient entre eux, tu as aussi du chiffrement, etc. (encore faut-il les activer)
-
tu as aussi du chiffrement, etc. (encore faut-il les activer)
C'est cela. Et qu'ils fonctionnent avec un dimensionnement d'opérateur..
Cela c'est pas fait sans douleur .... ni upgrade de firmware ...
LeVieux
-
C'est cela. Et qu'ils fonctionnent avec un dimensionnement d'opérateur..
Cela c'est pas fait sans douleur .... ni upgrade de firmware ...
LeVieux
Le matos qu'on utilise est d'un "dimensionnement d'opérateur", donc remballe ton ton condescendant stp.
Je te confirme qu'il y a pas besoin d'upgrade de firmware, le chiffrement est géré par le protocole DOCSIS lui-même, ça fonctionne "out-of-box", personne ne souffre.
Même sur l'activation d'IPv6 sur le câble, tu aurais adoré : on l'a fait.
Bref, tout ça pour dire que c'est pas parce que c'est configuré n'importe comment (ou pas configuré du tout, par ignorance tout simplement), que la techno c'est de la merde.
Comme souvent, le problème est entre la chaise et le clavier ::) ::)
-
Le matos qu'on utilise est d'un "dimensionnement d'opérateur", donc remballe ton ton condescendant stp.
Je te confirme qu'il y a pas besoin d'upgrade de firmware, le chiffrement est géré par le protocole DOCSIS lui-même, ça fonctionne "out-of-box", personne ne souffre.
Même sur l'activation d'IPv6 sur le câble, tu aurais adoré : on l'a fait.
Bref, tout ça pour dire que c'est pas parce que c'est configuré n'importe comment, que la techno c'est de la merde. Comme souvent, le problème est entre la chaise et le clavier ::) ::)
Aucune condescendance, j'ai trop de respect pour les furieux / technophiles / engagés qui montent des opérateurs comme le tien et qui sont souvent à la pointe dans bien des domaines.
Désolé si je me suis mal exprimé.
Dans notre cas, y'a 25 ans, cela c'est pas fait sans douleur ni upgrade de firmware.
Y'a 25 ans ...
Et y'a 25 ans, en 2002 (pour être précis), j'aurais adoré pouvoir activer IPv6 sur le matos que l'on avait, mais, comment dire, y'avais pas grand chose qui marchait.
LeVieux
-
La remarque sur le chiffrement concernait SFR qui a activé quelques années le chiffrement sur le DOCSIS avant de le supprimer (on ne sais pas pourquoi).