La Fibre
Datacenter et équipements réseaux => Routeurs => 
Remplacer la LiveBox par un routeur => Discussion démarrée par: Unbrindefibre le 05 février 2019 à 21:32:55
-
Bonjour,
Pardonnez ma question un peu neuneu, ma fibre venant d'être posée, je me demandais pourquoi vous étiez si nombreux à remplacer la livebox (une livebox play v3 pour moi) par un routeur. Meilleur débit ou latence? Eviter le double nat (mais... pourquoi?)? Gestion de l'ipv6? Eviter la location de la box (est-ce possible?)?
En double nat (avec routeur mi3G sous openwrt, cpu MT7621), mes tests pour ma première journée sous fibre me donnaient du 300Mbs en download et 312Mbs en upload, soit le maximum de mon abonnement.
En vdsl, j'avais du double-nat (box + mon routeur openwrt), et je trouvais ça plutôt un avantage en terme de protection. Serais-je passé à côté de quelque-chose pendant toutes ces années?
Merci de m'éclairer!
(jeu de mot non voulu... promis!)
-
Bonjour,
tout d'abord, je pense qu'il faut relativiser le nombre de personnes qui veulent remplacer leur livebox, même sur ce forum, ça ne doit concerné que 1 à 5 % des utilisateurs inscrits.
Pour une gestion "fine" des ports, redirection, réseau local, la livebox est un peu "limité" donc certains préfèrent changer la livebox par un routeur plus perfectionné mais il ne faut pas oublier que c'est du "fait maison" et que donc il faut savoir ce que l'on fait, car si Orange change demain un paramètre sur son réseau et que le routeur "maison" ne se connecte plus, il faut être capable de diagnostiquer et éventuellement réparer... (quelque soit le jour et l'heure.. - ou alors que soi même - et la famille éventuellement - accepte de se passer des services pendant qques heures/jours)
Tu es toujours en double nat ?
Pourquoi le double nat selon toi serait une protection ?
Pourquoi veux tu utiliser un routeur "perso" ?
C'est surtout en fonction de ces réponses qu'il sera possible de savoir si c'est utile ou pas.
Avant je m'amusais à remplacer les boxs opérateurs ou à installer des routeurs plus évolués, maintenant j'ai arrêté - par manque de temps et d'envie de débugguer, facilité d'utilisation..
-
Merci Buddy pour ces éléments.
Donc pas de gain significatif en débit ou en latence par ex? J'avais cru lire aussi que ça permettrait d'avoir une IP plus stable dans le temps aussi?
Je suis en double nat (depuis des années) pour trois raisons principales:
- Ca permet une défense en couche. Les rares fois où Openwrt aura des failles, elles auront alors des chances de ne pas être exploitables car non accessibles et protégées par la box en amont.
- Je préfère ne dépendre que de moi pour sécuriser mon lan et garantir l'aspect privé de ce qui s'y passe (ce en quoi je ne fais pas 100% confiance aux FAIs...).
- Ca me permet de changer de FAI sans avoir à reconfigurer tout mon lan, ses sous-réseaux & co. Mon réseau privé est indépendant. Je change de FAI régulièrement en fonctions des offres, et j'ai juste à reconfigurer quelques règles nat/firewall sur la box.
-
Dans ton cas c'est la livebox qui récupère l'ip et elle est préférentiellement stable. Quand j'étais chez orange je gardais la même ip plusieurs mois.. Changer le routeur n'apportera pas grand chose puisque c'est orange qui distribué les IPs.
Pour le débit et la latence ça doit être kif-kif.. La livebox les gère bien.
Pour ipv6, elle le gère et par défaut tu ne dois pas en avoir derrière ton double Nat..
-
J'évite le double NAT car c'est simplement pas propre et n'a pas lieu d'être. Ca ajoute un couche suplèmentaire pour rien et un point pouvant potentiellement poser problème en plus (erreurs humaines ou non). On regarde le probleme à l'envers, on implèmente une fonctionnalité quand on en a besoin et pas l'inverse. Si je n'ai pas de raison de l'avoir je ne vois pas pourquoi je le garderai.
De plus, certain de mes VPN ne fonctionnent tout simplement pas avec (comme celui du boulot, c'est quand meme bête). J'ai pas plus investigué que ça, mais bizarrement ça fonctionne très bien sans ce double NAT.
Avec la livebox, tu ne peux utiliser que le réseau ipv6 de la livebox en /64 (elle ne route pas les autres qui tu pourrais mettre en place derriere à ma connaissance). Le prefixe entier n'est pas disponible. En remplacant la livebox, tu peux utiliser le /56 en entier.
Après je change le routeur pour un meilleur Firewall, gestion des vlan, qos et cie, mais ça on peut le faire avec un double nat et une livebox en amont.
-
Bah, faut que les gens comprennent que la NAT, c'est un truc qu'on a inventé parce que on ne peut affecter une adresse IP publique par matériel existant et connectable, en IPV4 (pas assez d'adresse).
Donc en gros, au lieu de faire les choses correctement, d'éteindre IPV4 et de le remplacer par IPV6 - et donc d'avoir un réseau de bout-à-bout comme il devrait l'être et comme il a été pensé à la conception même de IP - on se retrouve avec une merde infame qu'on appelle la NAT.
La NAT crée des tonnes de problèmes. Et la double NAT crée donc des tonnes de problèmes au carré.
Tu as essayé par exemple de jouer sur du XBLive ou du PSNetwork en double NAT ? T'as essayé un call SIP en NAT ? Ca marche juste pas, parce que ta machine n'est pas contactable de l'extérieur.
La NAT a mené à des problèmes, qu'on tente alors de résoudre. On appelle ça NAT Traversal (STUN, ICE). Autant de protocoles qui n'ont pas lieu d'être, qui sont implèmentés de manière différente dans chaque solution, et qui mènent chacun à d'autre problèmes, pour essayer d'établir une connexion de bout-à-bout, ce que la NAT interdit par définition. T'as essayé de faire du NAT traversal ? C'est un ENFER.
On a donc tenté de regarder comment les routeurs ont implèmenté la NAT, et on commence ainsi à les classifier : Symetric-NAT, full cone NAT - Restricted Cone NAT - Port Restricted Cone NAT ....
Et ... Et si on se débarassait de la NAT ? On éliminerait des tones de problèmes.
- https://tools.ietf.org/id/draft-takeda-symmetric-nat-traversal-00.txt
- http://jw-oke.blogspot.com/2008/05/nat-concept-of-network.html
- http://wapiti.enic.fr/commun/ens/peda/options/ST/RIO/pub/exposes/exposesrio2005/cleret-vanwolleghem/nat.htm
-
perso je répondrais tout simplement: si tu poses la question ("Pourquoi remplacer la box par un routeur?") c'est que tu n'as pas besoin de le faire ;D
-
perso je répondrais tout simplement: si tu poses la question ("Pourquoi remplacer la box par un routeur?") c'est que tu n'as pas besoin de le faire ;D
Yep , pour une utilisation "basique" de l'Internet, une box opérateur suffit.
-
Simple avis personnel :
Certaines box comme la Livebox4 ont quelques soucis de qualité : résolution de noms aléatoire, connexion au matériel (Nintendo Switch) difficile, etc ... J'y suis confronté depuis aujourd'hui et cela devient tout de suite lassant d'essayer de se connecter, d'attendre 2 heures et de constater que tout est de retour. Avant une prochaine panne. Donc mieux vaut assurer tous les services en utilisant une solution sous Linux (OpenWRT), avec une qualité de service optimale.
Je pourrai offrir des services supplèmentaires suivants :
* Serveur de nom DNSSEC (Unbound).
* Filtrage de la publicité.
* DynDNS OVH.
* Serveur VPN pour me relier à mes serveurs OVH.
* Wifi AC de grande qualité.
* Un client torrent pour distribuer des ISO Debian.
* Faire de la délégation d'IPv6.
Etc ...
-
En fait, avoir son propre matos, c'est maitriser sa stack, et pouvoir changer de FAI sans aucune différence sur le réseau interne, ya juste la "porte de sortie" qui change, au cul du routeur, c'est tout.
C'est aussi avoir la possibilité de combiner plusieurs FAI (ce que je fais), et de répartir les flux entrant/sortant comme on le souhaite.
-
C'est aussi avoir la possibilité de combiner plusieurs FAI (ce que je fais), et de répartir les flux entrant/sortant comme on le souhaite.
Mouais. Vu la complexité des CDN aujourd'hui, je me demande comment tu gère ce genre de fonctionnalité avec des produits SOHO...
-
Ben je gère ça avec des tables de routages, des policies et d'autres joyeusetés quoi. Normal non ^^ ?
-
Il faut ausi dire que certanies box, comme par exemple la livebox 4, ont tout simplement 5 à 10 ans de retard.
Il manque sur le marché une box moderne, qui permette d'installer OpenWRT et de faire tout ce que l'on souhaite.
-
Il faut ausi dire que la livebox 4 a tout simplement 10 ans de retard.
Il manque sur le marché une box moderne, qui permette d'installer OpenWRT et de faire tout ce que l'on souhaite.
non c'est juste que le SAV d'Orange veut pas d'emmerdes et ca se comprend. Si tu laisse un système ouvert comme OpenWrt dans les mains de tout le monde, c'est la cata assurée niveau SAV (sans parler au niveau sécurité et hijack de connexion).
Ce qu'il manque c'est une option 'bridge' comme la Freebox ou a la limite juste ces 2 choses:
- pouvoir couper le serveur dhcp coté lan dans la livebox
- pouvoir indiquer des routes coté lan (en IPv4 et IPv6)
-
Il manque plein de fonctionnalités, j'en ai listé quelques unes plus haut.
Si une box OpenWRT est fournie sans support technique avec un bouton de reset, cela me suffit.
J'imagine bien une box quadri-coeurs, avec un connecteur mSATA et quatre emplacement disques 2,5 pour faire NAS.
C'est quand même dommage d'être obligé de faire sa propre box parce qu'on ne trouve rien de potable chez Orange.
Ce matin, quand je me suis levé, les DNS d'Orange ramaient et il était impossible de me connecter à mes machines dont le TTL des domaines est de 3600 (1 heure).
J'ai tapé mes noms de domaine 1 à 2 minutes avant d'avoir la première traduction d'adresse.
Rien que d'être contraint de se coltiner les DNS d'Orange, c'est la croix et la bannière.
Je suis client Orange depuis 1 semaine, et je sens que cela va être dur.
-
Heu je suis chez Orange, et je résouds les noms moi-même hein (comme depuis toujours d'ailleurs).
Il suffit d'installer un resolveur dans sa stack, et de l'utiliser.
-
En fait, mille excuses, j'ai touvé ce qui s'est passé.
Mon adresse IP chez Orange a changé durant la nuit, mais le client no-ip ne l'a pas signalé.
Ensuite, mon script de firewall chez OVH n'a pas détecté le changement d'adresse et m'a bloqué en IPv4.
La solution, c'est de me connecter en IPv6 ...
Cela me montre l'inefficacité du script no-IP présent sur la LiveBox 4.
Encore une bonne raison de migrer vers un by-pass.
-
Rien ne vaut son petit script, dans son petit routeur, fait main :-)
J'en ai un paquet ^^
-
En fait, mille excuses, j'ai touvé ce qui s'est passé.
Mon adresse IP chez Orange a changé durant la nuit, mais le client no-ip ne l'a pas signalé.
Ensuite, mon script de firewall chez OVH n'a pas détecté le changement d'adresse et m'a bloqué en IPv4.
La solution, c'est de me connecter en IPv6 ...
Cela me montre l'inefficacité du script no-IP présent sur la LiveBox 4.
Encore une bonne raison de migrer vers un by-pass.
Nouveau client Sosh fibre, je me pose aussi la question d'utiliser la LiveBox ou pas. Si le protocole côté WAN ne changeait jamais je ne l'utiliserais pas mais là je penche plus sur utiliser la Livebox à minima.
Il me semble que l'on peut bien désactiver le serveur DHCP LAN de la Livebox. Je pense faire ça pour avoir mon serveur DHCP (qui pousse sa propre adresse en relai DNS) sur mon serveur Debian sur mon LAN.
Pour l'adresse dynamique, j'utilise un script et un nom de domaine chez OVH, pas besoin de mettre un routeur pour ça, n'importe quel machine sur ton LAN peut le faire.
Ex de script dans mon cron hourly:
#! /bin/sh
################################################################################
#This file is part of zwindler/dynhost
#Copyright (C) 2016 Denis GERMAIN
#
#This program is free software: you can redistribute it and/or modify
#it under the terms of the GNU General Public License as published by
#the Free Software Foundation, either version 3 of the License, or
#(at your option) any later version.
#
#This program is distributed in the hope that it will be useful,
#but WITHOUT ANY WARRANTY; without even the implied warranty of
#MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the
#GNU General Public License for more details.
#
#You should have received a copy of the GNU General Public License
#along with this program. If not, see <http://www.gnu.org/licenses/>.
################################################################################
#Logfile: dynhost.log
#
#CHANGE: « HOST », « LOGIN », « PASSWORD » and « LOG_FILE » to reflect YOUR account variables
#OR: use, in argument, a custom file contains « HOST », « LOGIN », « PASSWORD » and « LOG_FILE »
if [ -f "$1" ]; then
. $1
else
HOST='lalala.net'
LOGIN='lalala.net-II12345'
PASSWORD='bestpassword'
LOG_FILE='/home/user/dynhost/dynhost.log'
fi
echo ---------------------------------- >> $LOG_FILE
echo `date` >> $LOG_FILE
IP=`curl https://ifconfig.co`
OLDIP=`dig +short $HOST`
if [ "$IP" ]; then
if [ "$OLDIP" != "$IP" ]; then
echo -n "Old IP: [$OLDIP]" >> $LOG_FILE
echo -n "New IP: [$IP]" >> $LOG_FILE
wget -q -O - 'http://www.ovh.com/nic/update?system=dyndns&hostname='$HOST'&myip='$IP --user=$LOGIN --password=$PASSWORD >> $LOG_FILE
else
echo "Notice: IP $HOST [$OLDIP] is identical to WAN [$IP]! No update required." >> $LOG_FILE
fi
else
echo "Error: WAN IP not found. Exiting!" >> $LOG_FILE
fi
In fine ma Livebox ferait routage, switch, wifi AP, NAT et firewall.
Mais pas serveur DHCP, ne fournirait pas les adresses DNS.
Dans ces conditions ma seule contrainte est de devoir régler les règles de NAT/firewall depuis l'interface de la Livebox et éventuellement les performances de routage. Mais de ce que je lis la Livebox est suffisamment bonne en routage pour mes 300/300 Mbps.
-
Il me semble que l'on peut bien désactiver le serveur DHCP LAN de la Livebox.
Oui, sans problème sur une LB4. Mais dans ce cas, on ne peut évidement plus utiliser le(s) décodeur(s) TV (en option chez Sosh) derrière la LB.
-
Oui, sans problème sur une LB4. Mais dans ce cas, on ne peut évidement plus utiliser le(s) décodeur(s) TV (en option chez Sosh) derrière la LB.
C'est nickel pour moi, je n'utilise pas les services de téléphonie et télévision.
-
C'est vrai que je n'y avais pas pensé, tout simplement un script au démarrage de ma bécane ... :P Merci !
Edit : curl https://ifconfig.co renvoie une IPv6.
Pourquoi faire un dynhost sur IPv6 ?
Les IPv6 ne sont pas fixes dans la livebox ?
En outre, je me connecte parfois en filaire RJ-45, parfois en WIFI.
Donc j'ai deux adresses IPv6 ...
Edit : Pour forcer l'utilisation d'IPv4, il faut passer l'option -4 à curl:
curl -4 https://ifconfig.co
Pour mettre à jour le script
et remplacer : IP=`curl https://ifconfig.co`
par : IP=`curl -4 https://ifconfig.co`
Au fait, on s'éloigne du sujet, mieux vaudrait ouvrir un topic.
-
C'est nickel pour moi, je n'utilise pas les services de téléphonie et télévision.
Autant côté clients sur le LAN cela marche bien, je l'avais utilisé à un moment.
Dans ces conditions ma seule contrainte est de devoir régler les règles de NAT/firewall depuis l'interface de la Livebox
En y réfléchissant, côté règles de NAT dans la LB j'ai un doute : en effet les ports sont redirigés vers un host du LAN choisi dans une liste déroulante des machines connues de la LB (PC-1,...) : je ne sais pas quel impact a la désactivation du DHCP sur cette liste ...
A tester donc. Je l'aurai bien fait, mais là je suis à qq centaines de kms de la LB et je n'ai pas envie de scier la branche etc ...
-
Les IPv6 ne sont pas fixes dans la livebox ?
Le préfixe IPv6 est susceptible de changer de la même manière que l'adresse IPv4...
-
Incroyable !!!! Orange aurait donc peur de l'auto-hébergement ? :'(
On perd tout l'intérêt d'IPv6, c'est à dire bénéficier d'une véritable adresse IPv6 fixe.
Je crois que je vais devoir passer par un tunnel HEnet ...
Il y a quelques temps, j'avais testé derrière une ligne RED fibre (sans IPv6) et cela fonctionne très bien.
C'est un peu un bâton merdeux : de loin, la livebox fibre a l'air intéressante.
Et quand on la goutte ... pas de véritable IPv6 ni d'IPv4 fixe et pas de dynhost fonctionnel non-plus.
Hummmm.... Cela a bien le goût de la M......
Je ne vois plus qu'une solution : le VPN.
-
Bon, sinon avec un routeur tiers ça ne change pas si souvent: J'ai le même préfixe IPv6 et la même adresse IPv4 depuis plus de 18 mois.
Sans doute parce qu'il ne fait jamais de DHCP RELEASE contrairement à la box qui le fait chaque fois qu'elle redémarre...
-
Cela a bien le goût de la M......
Non, ça a le gout d'une offre grand public dont la cible est le client qui ne sait même pas ce qu'est une adresse IP et qui ne veut pas le savoir.
-
Le préfixe IPv6 est susceptible de changer de la même manière que l'adresse IPv4...
Voilà toute la difficulté de pouvoir monter une infra en ipv6 si Orange n'assure pas un préfixe qui est stable...
Il me semblait que c'était terminé cette situation.
Bon, sinon avec un routeur tiers ça ne change pas si souvent: J'ai le même préfixe IPv6 et la même adresse IPv4 depuis plus de 18 mois.
Sans doute parce qu'il ne fait jamais de DHCP RELEASE contrairement à la box qui le fait chaque fois qu'elle redémarre...
J'ai également conservé mon IPv4 depuis Aout 2018 malgré plusieurs mises hors-ligne et reboot de mon routeur. Je n'ai toujours pas utilisé IPV6 :-[
Bref le seul avantage du NAT en IPv4 c'est de pouvoir conserver son adressage privé peu importe la collecte :-\
-
Voilà toute la difficulté de pouvoir monter une infra en ipv6 si Orange n'assure pas un préfixe qui est stable...
en quoi c'est problématique ? tu peux avoir des IPv6 locales (ULA (https://en.wikipedia.org/wiki/Unique_local_address)) sur ton LAN qui ne bougerons jamais et en plus des globales qui changeront chaque fois que la livebox choppera un nouveau préfix.
Pour l'auto-hébergement il suffit de mettre a jour son dns pour gérer ce genre de chose.
-
Oui, mais ça nécessite donc toujours de "bricoler" :(
-
Si vous êtes dans cette rubrique du forum, c'est bien pour bricoler, non ? :P
-
Oui, mais ça nécessite donc toujours de "bricoler" :(
bricoler?
ceux qui bricolent ce sont qui abordent IPv6 comme si c'etait IPv4 avec des adresses en plus et plus grandes...
Y'a tout dans IPv6 pour faire du 100% dynamique. A la limite les valeurs des IPv6 on s'en fout complètement. Faut pas juste pas chercher a bricoler justement en cherchant a transposer ses habitudes d'IPv4.
-
J'en profite pour rappeler une astuce de Kgersen sur l'adressage IPv6 :
Sous Linux, on peut figer le suffixe IPv6 destiné aux adresses GUA via la commande ip token :
https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/6/html/deployment_guide/s2-configuring_ipv6_tokenized_interface_identifiers
-
en quoi c'est problématique ? tu peux avoir des IPv6 locales (ULA (https://en.wikipedia.org/wiki/Unique_local_address)) sur ton LAN qui ne bougerons jamais et en plus des globales qui changeront chaque fois que la livebox choppera un nouveau préfix.
Pour l'auto-hébergement il suffit de mettre a jour son dns pour gérer ce genre de chose.
Ou juste utiliser les LL (Link Local).
Perso c'est ce que je fais (à condition d'avoir un seul VLAN privé). Quand je parle en interne, je parle sur les LL, et en externes, sur les GUA.
Et comme pas mal de monde ici ==> mon préfixe IPV6 Orange n'a jamais bougé jusqu'à présent :-)
-
De mon coté sur le routeur j'ai radvd qui annonce un préfixe ULA (qui ne change donc jamais) + un /64 dérivé du /56 assigné par Orange, ceci pour chacun de mes VLAN. J'utilise 'ip token' depuis quelques mois afin d'avoir des IPv6 plus lisibles pour mes serveurs.
Sur mon serveur DNS, tous mes enregistrements AAAA sont des adresses ULA. Pour les machines qui doivent être visibles de l'extérieur en IPv6, je fais du dyndns avec un script perso (mes zones sont hébergées chez Cloudflare donc j'utilise leur API REST pour mettre à jour mes enregistrements A & AAAA).
Le seul problème c'est que certains OS préfèrent IPv4 à IPv6 ULA et donc se connectent en IPv4 quand un enregistrement A & AAAA sont présents. J'ai résolu le problème en virant mes enregistrements A et en ne gardant que les AAAA ;)
-
Yes ya plein de possibilités selon les cas, les réseaux , etc... de chacun.
C'est ça le network !
-
Avec tous ces messages, je n'ai pas bien compris.
Un fois le bypass en place, pourrai-je faire de la délégation de préfixe (en le conservant) et conserver toujours les mêmes IPv6 ?
-
Virer la box ce n'est pas l'assurance d'avoir un préfixe qui ne changera jamais. Ca diminue juste la probabilité qu'il change.
Chez moi je génère dynamiquement radvd.conf en fonction du préfixe reçu.
-
Déléguer ton préfixe GUA /56 Orange oui (en bypass, la livebox ne sachant pas faire ça), mais celui-ci est "susceptible" de changer avec le temps, même si ca reste très rare (et tant que tu fais pas de dhcp release)
-
De mon coté sur le routeur j'ai radvd qui annonce un préfixe ULA (qui ne change donc jamais) + un /64 dérivé du /56 assigné par Orange, ceci pour chacun de mes VLAN. J'utilise 'ip token' depuis quelques mois afin d'avoir des IPv6 plus lisibles pour mes serveurs.
Sur mon serveur DNS, tous mes enregistrements AAAA sont des adresses ULA. Pour les machines qui doivent être visibles de l'extérieur en IPv6, je fais du dyndns avec un script perso (mes zones sont hébergées chez Cloudflare donc j'utilise leur API REST pour mettre à jour mes enregistrements A & AAAA).
Le seul problème c'est que certains OS préfèrent IPv4 à IPv6 ULA et donc se connectent en IPv4 quand un enregistrement A & AAAA sont présents. J'ai résolu le problème en virant mes enregistrements A et en ne gardant que les AAAA ;)
Est-ce que tes différents scripts sont dispo sur Github ou autres ?
Je suis très intéressé par ceux-ci. :)
-
Non, en l'état certains sont écrits spécifiquement pour mon archi réseau et donc il faudrait que je fasse un peu de nettoyage et de mise en forme pour que ce soit publiable et réutilisable par n'importe qui sans que je me tape 50 000 questions :P
-
Ok.
Si tu utilises des librairies particulières pour traiter les adresses IPv6, ça me va aussi :)
-
Vous voulez mon avis : Orange fait ch...
J'ai quitté un autre opérateur qui offre une IP fixe et un délégation IPv6, pour bénéficier de la fibre Orange, et je le regrète déjà.
-
Vous voulez mon avis : Orange fait ch...
Ah , heu oui on est courant que la stack n'est pas simple ; mais on arrive quand même à faire des beaux bypass moyennant un peu de matos et des connaissances réseau ^^
-
Effectivement, le bypass devient inévitable.
J'ai des APU2 de PcEngines qui vont (re)prendre du service.
Ce qui est paradoxal dans cette affaire, c'est qu'on est seul dans notre coin.
Avec la puissance de l'Open Source, on fait mieux qu'un bataillon d'ingénieurs.
Orange peut aller se brosser avec sa box.
-
Vous voulez mon avis : Orange fait ch...
J'ai quitté un autre opérateur qui offre une IP fixe et un délégation IPv6, pour bénéficier de la fibre Orange, et je le regrète déjà.
Et encore, on t'as pas dit que Orange bloquait SMTP (25) vers les serveurs autres que les siens :)
-
ça c'est fait pour éviter les glandus avec leur seveurs SMTP qui sont en Open Relay sans le savoir.
C'est pas une mauvaise chose.
-
Je suis en double nat (depuis des années) pour trois raisons principales:
- Ca permet une défense en couche. Les rares fois où Openwrt aura des failles, elles auront alors des chances de ne pas être exploitables car non accessibles et protégées par la box en amont.
- Je préfère ne dépendre que de moi pour sécuriser mon lan et garantir l'aspect privé de ce qui s'y passe (ce en quoi je ne fais pas 100% confiance aux FAIs...).
Tu sais que ça fait des années que les malwares et autres merdes sont capables de traverser le NAT sans problèmes et que ça ne sert absolument à rien ?
Bah oui, tu te protèges uniquement sur les connexions entrantes, mais tu ne filtres aucunement le sortant avec ton double NAT. Au début oui, il fallait qu'un démon reste en écoute de son maitre qui lui file des commandes (genre attaquer tel site).
Depuis des années c'est fini, c'est ton ordi lui-même qui demande toutes les 5min au maître s'il a du travail pour lui, c'est donc ton ordi qui initie la connexion et pouf, ça sort. Et c'est d'une efficacité redoutable, car quasiment personne ne filtre son output :)
-
Depuis des années c'est fini, c'est ton ordi lui-même qui demande toutes les 5min au maître s'il a du travail pour lui, c'est donc ton ordi qui initie la connexion et pouf, ça sort. Et c'est d'une efficacité redoutable, car quasiment personne ne filtre son output :)
Yep c'est sur ce principe que fonctionne les malwares type RAT, chevaux de troie... c'est la "victime" qui établit une connexion (via une faille logicielle ou du social-engineering), et non l'inverse.
-
Vous êtes au courant que chaque processeur Intel possède un cheval de troie, nommé "Intel ME", qui intercepte clavier, souris et écran et dispose même de son propre serveur VNC.
Une autorité disposant de certificats signés par Intel peut perquisitionner votre ordinateur, même éteint, en utilisant une connexion réseau cachée ne laissant aucune trace :
https://www.blackhat.com/docs/eu-17/materials/eu-17-Goryachy-How-To-Hack-A-Turned-Off-Computer-Or-Running-Unsigned-Code-In-Intel-Management-Engine.pdf
https://hackaday.com/2017/12/11/what-you-need-to-know-about-the-intel-management-engine
Partant de là, je pense que la sécurité de nos ordinateurs est toute relative.
Si les Américains peuvent le faire, les Français aussi ... mais aussi les Russes et les Chinois.
Nos PCs sont ouverts à tout vent.
On se demande pourquoi le chômage est aussi élevé en France ... à force de se faire piller on finit à poil.
En tout cas, les firewall à base de processeur Intel sont à prospscrire.
Quant au matériel chinois, il est bourré de backdoors ... plus ou moins odoriférants, dont on ne sait rien ou presque :
https://www.bloomberg.com/news/features/2018-10-04/the-big-hack-how-china-used-a-tiny-chip-to-infiltrate-america-s-top-companies
Contre une attaque bas-niveau, hardware, on ne peut pratiquement rien.
Un des avantages d'un bypass, c'est qu'on peut y faire tourner un logiciel de détection d'intrusion.
En 2018, c'est en utilisant Suricata que je me suis rendu compte que mon Mac (modèle Mac mini 2011) était infecté par un virus.
J'ai eu beau passer les détecteurs de virus, ils ne voyaient rien ... Seule l'analyse réseau était pertinente.
J'ai dû jeter le disque dur, et ramené l'ordi chez Apple qui a procédé à une réinitialisation, y compris firmware.
Le seul argument qui jouerait en faveur de la Livebox, serait un (hypothétique) protection contre les attaques hardware, avec un design "durci" et un boot signé et crypté, avec une puce matérielle vérifiant l'intégrité des fichiers. Mais quand on voit qu'Orange ne sait pas gérer ses DNS, que l'interface de la box est pourrie et que les fonctionnalités sont à la traîne ... que même la délégation d'adresses IPv6 n'est pas maîtrisée ... on ne voit pas pourquoi les ingénieurs auraient mis le paquet sur la sécurité.
-
ca tourne au parano/délire/theorie du complot la... c'est pas trop le style de Lafibre.info ou on essai de rester dans le rationnel et les faits avérés et prouvés et on evite les rumeurs du Net. Merci. C'est pas Fakebook ;)
-
Effectivement, c'est pas GiletJaune.info ici
-
Revenons-en au sujet.
Après une semaine d'usage, je viens de rebooter ma livebox4 car elle pédalait dans la choucroute : impossible d'afficher l'interface web, puis informations erronées sur l'interface web, difficultés à me connecter sur certains hôtes en SSH donc problèmes de fonctionnement. Après le reboot, tout est rentré dans l'ordre. Comme je n'ai pas accès aux logs de la livebox4, je ne comprendrai jamais les raisons de ce dysfonctionnement.
Je m'attendais à un uptime de plusieurs mois, comme sur une Freebox revolution ... je suis déçu.
La livebox n'est pas fonctionnelle pour un usage professionnel ou semi-professionnel.
Il faut donc impérativement la remplacer.
-
La livebox n'est pas fonctionnelle pour un usage professionnel ou semi-professionnel.
Il faut donc impérativement la remplacer.
Si il s'agit d'un abo grand public...
-
L'abonnement ne change rien. Il s'agit de la qualité intinsèque de la livebox 4.
Derrière la Freebox révolution, j'avais des uptimes de l'ordre de six mois à 1 an et quand je rebootais, cela mettait à jour le firmware.
A vue de nez, je dirais que la livebox 4 a été sous-dimensionnée en RAM et en CPU.
Si c'est le cas, ce sera très difficile de la fiabiliser.
Je préfère la remplacer par un APU2 de chez PC Engines.
Avec 4Go de RAM et un emplacement mSATA j'ai de quoi venir.
-
;D ;D ;D ;D ;D ;D
-
Et pour citer un autre exemple, j'ai à un autre endroit une ligne RED fibre avec un NB6V, un routeur fourni par l'opérateur. C'est un matériel embarqué très modeste. Mais malgré cela j'ai également des uptimes de 6 mois ... Je ne comprends toujours pas pouquoi la livebox4 a besoin de rebooter au bout d'une semaine.
-
Après quand je vois le souk que c'est à remplacer, notamment sur la partie QoS, où il faut courir à l'aveugle sur ce que fait Orange ??? ...
Mais nan mais nan, c'est qu'une impression ^^
-
Je viens de trouver une raison supplèmentaire de mettre en place un bypass Livebox4, et je vous la partage :
Pour avoir une adresse IPv6 fixe, il est m'est venu l'idée de créer un tunnel IPv6 gratuit Hurricane Electric.
Je me connecte et je tente de créer un tunnel : impossible.
En effet, l'adresse IPv4 n'est pas pingable depuis Internet, uniquement depuis le réseau local ...
Pour créer un tunnel IPv6, il faut être connecté directement au Net et autoriser les ping (ICMP) et permettre au serveur HE.net d'initier une connexion depuis son IP ...
-
HE c'est du tunnel GRE, et un tunnel GRE se fait sur l'endpoint qui porte l'IP.
Donc oui, sur un routeur. C'est ce que j'ai, par exemple.
-
Avec HE, tu ne bénéficie plus du peering d'Orange en IPv6
En plus, HE propose des technos qui ne fournissent pas d'IPv6 natif : c'est du 6in4 ou 6to4
Je préfère l'IPv6 côté Orange du coup.
-
C'est juste. Du coup j'ai ouvert un compte dynDNS IPv4+IPv6 chez http://freedns.afraid.org.
Le TTL est de 3600 s, donc en cas de rare changement d'IPv6, mes machines sont de nouveau accessibles au bout d'une heure.
-
Pour revenir à la question d'origine, j'ai la fibre depuis peu, et avant la migration j'utilisais un système de contrôle parental sous forme d'un boitier connecté au routeur. C'est compatible avec la plupart des routeurs du marché (c'est même intégré en hard dans les routeurs Netgear, ce qui évite l'achat du boitier) mais pas avec les box des FAI apparemment. Depuis que j'ai remplacé la Livebox par un EdgeRouter ça marche de nouveau parfaitement.
D'une manière générale, j'ai pris l'habitude ces dernières années d'utiliser des routeurs puissants (Linksys WRT1900, Asus AC68U, Synology RT2600), et d'en changer régulièrement, et c'est vrai que ça m'énerve d'être prisonnier d'une box moyenne gamme.
L'autre option que j'avais regardée est une Freebox en mode bridge (annoncé comme "bientôt disponible" à la sortie de la Delta) mais les commentaires sur ce forum sur les saturations (bridage ?) de débits expérimentés par certains clients Free m'ont rendu prudent. Il y a aussi l'option OVH que j'ai découverte récemment mais c'est très cher ...