Auteur Sujet: TUTO - OPNsense remplacer livebox (INTERNET + TV) (Lu 240680 fois)

Flo_77 · « **Réponse #420 le:** 12 mai 2019 à 15:12:35 »

Hello, ça n'a pas trop à voir avec la fibre, à proprement parler, mais en 19.1.4 j'ai cette erreur qui se répète sur OPNsense :

Citer

[06-May-2019 23:50:33 Europe/Paris] PHP Warning: Illegal string offset 'if' in /usr/local/etc/inc/interfaces.inc on line 3452

et vous?

Sinon tout fonctionne bien

Edtech · « **Réponse #421 le:** 12 mai 2019 à 23:07:35 »

Commence peut-être par mettre à jour, la dernière version est là 19.1.7.

Flo_77 · « **Réponse #422 le:** 12 mai 2019 à 23:14:33 »

Bien vu! Je ne suis pas très assidu sur les màj, j'ai effectué cette dernière il y a peu de temps en plus. Je vous ferai un retour

koala784 · « **Réponse #423 le:** 23 juin 2019 à 09:35:20 »

Bonjour à tous,

J'ai suivi les instructions de ce topic afin d'effectuer la configuration suivante :

Internet Fibre > ONT SFP > TP-Link MC-200L > OPNSense WAN (VM sur Unraid via NIC Intel 2 ports)
> OPNSense LAN > Switch > Unraid (port réseau de la carte mère) > Let's Encrypt (DNS) > Dockers (Plex, Ubooquity et Nextcloud)

La Livebox n'est plus connectée. J'obtiens bien une adresse IPv4 (pas encore d'IPv6 pour le moment, mais j-y travaille). Aucune perte de débit de constatée. Je n'utilise ni l'accès téléphonique, ni la TV.

Mon soucis, c'est que les dockers que j'utilise sur Unraid ne sont désormais plus accessible à distance sur l'adresse "plex.#####.net" par exemple. J'ai bien ouvert les ports attribués à ces applications, ainsi que les ports nécessaire au bon fonctionnement du docker "Let's Encrypt (qui indique bien que celui-ci est fonctionnel).

Les dockers sont toujours accessibles sur le LAN.

Avant la bascule Livebox4 > OPNsense, cet accès était fonctionnel. J'ai donc refait la bascule OPNsense > Livebox, et les dockers sont de nouveau accessibles à distance.

J'ai essayé de désactiver le firewall d'OPNsense (Outbound NAT > off) sans succès.

Le problème peut sembler hors-sujet par rapport au topic, mais il est possible que vous ayez une piste d'investigation sur les suspicions que je commence à avoir sur certains paramètres :

- > Si les régles NAT ont été désactivés dans la Livebox avant la bascule vert OPNsense, puis-je exclure un problème de double NAT ?
- > Est-il nécessaire d'activer l'option DMZ sur la Livebox pour que le paramétrage de règles NAT sur la Livebox permette, par la suite, d’accéder à distance aux dockers avec un router OPNsense ?
- > J'utilise le docker "Krusader", qui nécessite, pour accéder à son interface web en local, de passer par le port 6080. Sur la Livebox, il était nécessaire d'ouvrir ce port pour accéder à l'interface. Sur OPNsense, que ce soit sans ouverture du port, ou avec l'Outbound NAT désactivé, l'interface est accessible... Ce docker n'est pas derrière un reverse proxy Let's Encrypt. Et j'ai supprimé au préalable toutes les règles NAT paramétrés sur la Livebox...

Bref, si vous avez besoin d'informations complèmentaires, de logs ou de captures d'écran, je serai ravi de vous les fournir !

EDIT : Ajout de captures d'écran et de la topologie réseau :

zoc · « **Réponse #424 le:** 23 juin 2019 à 09:44:53 »

La Livebox n'est plus présente sur le réseau à ce que j'ai compris. Donc ses paramètres n'ont plus aucun impact: Les réglages de NAT sont locaux à la box, ils n'ont aucun impact sur quelque équipement que ce soit sur le réseau d'Orange.

Le problème mentionné est donc uniquement lié à une mauvaise configuration d'OPNSense (et là je passe la main, je ne le connais pas).

delurk · « **Réponse #425 le:** 27 juin 2019 à 15:04:11 »

Salut @koala784

J'ai du mal à interpréter ton schéma, mais si ça peut t'aider je pense que tu devrais vérifier si tes sous domaines fonctionnent bien au niveau de ton reverse proxy.

Aussi, je pense que tu peux déjà simplifier un peu en te séparant de duckdns.org pour utiliser le service dyndns d'OVH. En plus, c'est intégré dans OPNSense

DRF · « **Réponse #426 le:** 28 juin 2019 à 05:10:15 »

Salut Koala784,

Je trouve ton install très sympa, j'élabore moi même quelque chose de similaire.
Je souhaite en plus potentiellement filtrer les requêtes DNS via une blacklist enregistrée sur un Pi-Hole, et installer un serveur openVPN pour les accès via WAN.

Je n'utilise pas encore de routeur autre que celui de la livebox, donc dans ton installation, j'ai cru comprendre que tu utilisais la fonction de Reverse-proxy d' OPNsense ?
As tu déjà pensé à utiliser un Reverse proxy directement sur Unraid ?
Car à ce que je sache Let's Encrypt n'en est pas un en soit ?

Pour ma part, concernant ta partie "unraid" j'ai déjà effectué une installation similaire mais sur un serveur distant.

Je pense notamment à un container Traefik, qui est une perle de transparence dans ce cas :

• Pré-configuration du container Traefik pour qu'il écoute les ports 80 et 443 (http et https avec redirection automatique http vers https par exemple)

• Pré-configuration du challenge DNS pour l'obtention d'un unique certificat via Let's Encrypt valable pour le domaine et tous les sous domaines.
Seulement deux DNS Record Cloudflare (Passer la main à Cloudflare pour la gestion DNS via le panneau du registrar OVH pour n'avoir qu'un seul interlocuteur DNS) :
mondomaine.com > IP 45.45.45.45
*.mondomaine.com > IP 45.45.45.45 (le symbole * permettant de rendre transparent l'ajout/suppression/modification de n'importe quelle adresse *.mondomaine.com via Traefik)

La partie concernant Let's Encrypt dans la configuration de Traefik :

Code: [Sélectionner]

# Let's encrypt configuration
[acme]
email = "mail@domaine.com"
storage="/etc/traefik/acme/acme.json"
entryPoint = "https"
acmeLogging=true 
onDemand = false
[acme.dnsChallenge]
  provider = "cloudflare"
  delayBeforeCheck = 300
[[acme.domains]]
   main = "${DOMAINNAME}"
[[acme.domains]]
   main = "*.${DOMAINNAME}"

• Configuration du routage des containers presque "à la volée" (comprendre quasi-automatique) via des labels très explicites sans exposer aucun port (sauf si l'on souhaite également un accès via LAN style http://adresseserveurunraid:PORT)

Voici un exemple de labels ajoutés à un container plex dans un docker-compose.yml

Code: [Sélectionner]

    labels:
      - "traefik.enable=true"
      - "traefik.backend=plex" 
      - "traefik.frontend.rule=Host:plex.${DOMAINNAME}" 
      - "traefik.port=32400"
      - "traefik.protocol=http"
      - "traefik.docker.network=traefik_proxy"
      - "traefik.frontend.headers.SSLRedirect=true"
      - "traefik.frontend.headers.STSSeconds=315360000"
      - "traefik.frontend.headers.browserXSSFilter=true"
      - "traefik.frontend.headers.contentTypeNosniff=true"
      - "traefik.frontend.headers.forceSTSHeader=true"
      - "traefik.frontend.headers.SSLHost=${DOMAINNAME}"
      - "traefik.frontend.headers.STSIncludeSubdomains=true"
      - "traefik.frontend.headers.STSPreload=true"
      - "traefik.frontend.headers.frameDeny=true"

# Traduction globale : http://plex.mondomaine.com atteindra le container Traefik et sera redigirée vers le container "plex" au port interne du container "32400" ensuite ce sont des paramètres de sécurité qui permettent d'obtenir facilement un A+ sur https://www.ssllabs.com/ssltest/

Et voilà à quoi se résume la configuration du reverse proxy Traefik pour chaque container. Donc un gage de souplesse énorme pour effectuer des tests de containers jusqu'à satisfaction.

Il reste cependant potentiellement un problème auquel je ne saurais pas répondre car je ne l'utilise pas encore, la configuration de OPNsense pour qu'il route toutes les requêtes *.mondomaine.com vers l'hôte unraid.
Mais l'avantage ici est que cela permettrait ensuite à unraid de gérer tout seul son petit routage interne, Traefik gérant automatiquement à la fois l'échange avec le DNS et le routage interne, sachant que les seuls ports exposés pour tout ce monde sont les ports par défaut HTTP(80) et HTTPS(443).

En résumé ça donnerait : monprécieux.mondomaine.com > 91.110.XXX.XXX > OPNsense > 192.168.1.101:80 > monprécieux(nom du container)

Voilà en espérant que cela soit utile, car malheureusement je n'utilise pas encore ni unraid ni opnsense !

koala784 · « **Réponse #427 le:** 29 juin 2019 à 14:15:04 »

Bonjour à tous !

Citation de: zoc le 23 juin 2019 à 09:44:53

La Livebox n'est plus présente sur le réseau à ce que j'ai compris. Donc ses paramètres n'ont plus aucun impact: Les réglages de NAT sont locaux à la box, ils n'ont aucun impact sur quelque équipement que ce soit sur le réseau d'Orange.

Le problème mentionné est donc uniquement lié à une mauvaise configuration d'OPNSense (et là je passe la main, je ne le connais pas).

J'avais un doute sur le fait que ce type de paramètres soient enregistrés directement sur la box ou sur le réseau

A priori oui plutôt un paramétrage dans OPNsense.

Citation de: delurk le 27 juin 2019 à 15:04:11

Salut @koala784

J'ai du mal à interpréter ton schéma, mais si ça peut t'aider je pense que tu devrais vérifier si tes sous domaines fonctionnent bien au niveau de ton reverse proxy.

Aussi, je pense que tu peux déjà simplifier un peu en te séparant de duckdns.org pour utiliser le service dyndns d'OVH. En plus, c'est intégré dans OPNSense

Je n'avais effectivement pas pensé à ça, j'ai pourtant déjà utilisé ce service^^ Donc je viens de faire les changements. Si je passe par la Livebox, ça fonctionne toujours.
Pour OPNsense, j'ai ajouté DynHost d'OVH dans les paramètres DynamicDNS d'OPNsense. Mes domaines récupèrent bien mon IP publique (90.110.###.###), mais l'accès ne fonctionne toujours pas.

Captures des changements effectués :

Paramètres DynHOST OVH : https://nsa40.casimages.com/img/2019/06/29/190629021414368454.png

Paramètres DynamicDNS OPNsense : https://nsa40.casimages.com/img/2019/06/29/190629021414526690.png

Citation de: DRF le 28 juin 2019 à 05:10:15

Salut Koala784,

Je trouve ton install très sympa, j'élabore moi même quelque chose de similaire.
Je souhaite en plus potentiellement filtrer les requêtes DNS via une blacklist enregistrée sur un Pi-Hole, et installer un serveur openVPN pour les accès via WAN.

Je n'utilise pas encore de routeur autre que celui de la livebox, donc dans ton installation, j'ai cru comprendre que tu utilisais la fonction de Reverse-proxy d' OPNsense ?
As tu déjà pensé à utiliser un Reverse proxy directement sur Unraid ?
Car à ce que je sache Let's Encrypt n'en est pas un en soit ?

Pour ma part, concernant ta partie "unraid" j'ai déjà effectué une installation similaire mais sur un serveur distant.

Je pense notamment à un container Traefik, qui est une perle de transparence dans ce cas :

• Pré-configuration du container Traefik pour qu'il écoute les ports 80 et 443 (http et https avec redirection automatique http vers https par exemple)

• Pré-configuration du challenge DNS pour l'obtention d'un unique certificat via Let's Encrypt valable pour le domaine et tous les sous domaines.
Seulement deux DNS Record Cloudflare (Passer la main à Cloudflare pour la gestion DNS via le panneau du registrar OVH pour n'avoir qu'un seul interlocuteur DNS) :
mondomaine.com > IP 45.45.45.45
*.mondomaine.com > IP 45.45.45.45 (le symbole * permettant de rendre transparent l'ajout/suppression/modification de n'importe quelle adresse *.mondomaine.com via Traefik)

La partie concernant Let's Encrypt dans la configuration de Traefik :

Code: [Sélectionner]
# Let's encrypt configuration [acme] email = "mail@domaine.com" storage="/etc/traefik/acme/acme.json" entryPoint = "https" acmeLogging=true onDemand = false [acme.dnsChallenge] provider = "cloudflare" delayBeforeCheck = 300 [[acme.domains]] main = "${DOMAINNAME}" [[acme.domains]] main = "*.${DOMAINNAME}"

• Configuration du routage des containers presque "à la volée" (comprendre quasi-automatique) via des labels très explicites sans exposer aucun port (sauf si l'on souhaite également un accès via LAN style http://adresseserveurunraid:PORT)

Voici un exemple de labels ajoutés à un container plex dans un docker-compose.yml

Code: [Sélectionner]
labels: - "traefik.enable=true" - "traefik.backend=plex" - "traefik.frontend.rule=Host:plex.${DOMAINNAME}" - "traefik.port=32400" - "traefik.protocol=http" - "traefik.docker.network=traefik_proxy" - "traefik.frontend.headers.SSLRedirect=true" - "traefik.frontend.headers.STSSeconds=315360000" - "traefik.frontend.headers.browserXSSFilter=true" - "traefik.frontend.headers.contentTypeNosniff=true" - "traefik.frontend.headers.forceSTSHeader=true" - "traefik.frontend.headers.SSLHost=${DOMAINNAME}" - "traefik.frontend.headers.STSIncludeSubdomains=true" - "traefik.frontend.headers.STSPreload=true" - "traefik.frontend.headers.frameDeny=true"
# Traduction globale : http://plex.mondomaine.com atteindra le container Traefik et sera redigirée vers le container "plex" au port interne du container "32400" ensuite ce sont des paramètres de sécurité qui permettent d'obtenir facilement un A+ sur https://www.ssllabs.com/ssltest/

Et voilà à quoi se résume la configuration du reverse proxy Traefik pour chaque container. Donc un gage de souplesse énorme pour effectuer des tests de containers jusqu'à satisfaction.

Il reste cependant potentiellement un problème auquel je ne saurais pas répondre car je ne l'utilise pas encore, la configuration de OPNsense pour qu'il route toutes les requêtes *.mondomaine.com vers l'hôte unraid.
Mais l'avantage ici est que cela permettrait ensuite à unraid de gérer tout seul son petit routage interne, Traefik gérant automatiquement à la fois l'échange avec le DNS et le routage interne, sachant que les seuls ports exposés pour tout ce monde sont les ports par défaut HTTP(80) et HTTPS(443).

En résumé ça donnerait : monprécieux.mondomaine.com > 91.110.XXX.XXX > OPNsense > 192.168.1.101:80 > monprécieux(nom du container)

Voilà en espérant que cela soit utile, car malheureusement je n'utilise pas encore ni unraid ni opnsense !

Pour le reverse proxy, j'ai suivi le tutoriel vidéo de Space Invader One :

J'ai donc installé le docker Let'sEncrypt sur Unraid, que j'ai paramétré avec les ports 8880 et 8443 (car les ports 80 et 443 sont nécessaires pour UnRAID.
J'ai ajouter une carte réseau virtuelle sur UnRAID nommée "proxyreverse".
J'ai ensuite paramétré les fichiers ".conf" des différents docker afin d'utiliser les IP locales et les ports nécessaires.

Le fonctionnement de Traefik est très similaire au couple Let'sEncrypt+Nginx du docker Let'sEncrypt.

Mais de ce côté ça fonctionne avec la Livebox, donc le reverse proxy me semble correct.

EDIT : L'accès fonctionne depuis mon téléphone (4G) sur les domaines plex.#####.net, scans.#####.net et cloud.#####.net !
Le changement de DuckDNS vers DynHost OVH et le paramétrage de celui-ci dans OPNsense a résolu mon problème.

Merci pour vos réponses !

DRF · « **Réponse #428 le:** 29 juin 2019 à 16:49:36 »

En fait le reverse proxy de ton container c'est nginx qui doit être intégré à ton image let's encrypt c'est ça que je comprenais pas.
Content que cela fonctionne pour toi !
Ah oui les tuto de space invader one topissime le dev d'unraid devrait l'embaucher ce gars.

En fait si tu dispose d'une IP fixe et d'un domaine (comme cela semble être le cas) tu n'as pas besoin de l'étape duckdns.
C'est ce qui explique que la méthode que je décris fait directement pointer moncontainer.mondomaine.com vers maWAN-IP.

virtual_francky · « **Réponse #429 le:** 09 juillet 2019 à 20:44:56 »

Bonsoir @ tous, je tente pour le 1ere fois une migration d'un Edgemax ER6 vers OPNSense, et malheureusement cela se solde par un echec.
Je ne récupère ni une adresse IP4 ni IP6.
J'ai bien suivi la procédure de configuration Orange France FFTP IPv4 IPV6.

Mon WAN est sur igb0 et mon LAN sur igb1, j'ai bien ajouté la partie qui concerne mon identifiant fti/ (comme sur mon ER6), j'ai mis ce qu'il fallait dans lease requirements, du coup je ne sais pas quoi faire, je suis preneur de toute aide.

Merci.

Edit : j'ai peut etre une piste, mais je ne peux pas tester la, ma femme regarde Netflix ......

virtual_francky · « **Réponse #430 le:** 09 juillet 2019 à 23:30:05 »

Bon bah mauvaise piste, j'avais pas mis le VL832 pour l’interface du WAN, je pensais donc que ça venait de la, mais non, même après correction toujours aucune adresse IP4 ni IP6.

virtual_francky · « **Réponse #431 le:** 10 juillet 2019 à 08:22:00 »

J'ai trouvé mon erreur, un mauvais copié/collé sur une des requêtes a envoyé. J'ai maintenant une adresse IP, me reste plus qu'a ouvrir le traffic du WAN vers le LAN pour les requêtes des appareils sur le LAN.

Edit : Voila après 2 petites règles j'ai réussi à faire communiquer le WAN et le LAN dans les 2 sens. Me reste plus qu'a faire fonctionner le téléphone sur la Livebox sur la 3eme prise de mon OPNSense.

Edit 2 : Petit test de débit