Auteur Sujet: Remplacer LB ou mettre routeur sur la DMZ de la LB  (Lu 12298 fois)

0 Membres et 1 Invité sur ce sujet

chrisquenta

  • Abonné Orange Fibre
  • *
  • Messages: 9
  • Saulny (57)
Remplacer LB ou mettre routeur sur la DMZ de la LB
« le: 06 juillet 2019 à 17:11:14 »
Hello,

Ayant du faire face à une urgence, suite à une migration ratée de FAI (Numericable -> Orange), j'ai simplement branché le port WAN sur la LB (qui est connecté sur l'ONT), et configuré mon routeur SRXN3205 dans la DMZ de la LB, en lui calant une IP DHCP reserved au niveau de la LB, et en demandant à la LB de fournir les infos à DYNDNS et non plus à mon routeur (Effectivement, à numéricable, ma box était en mode bridge...).

Bilan, ben tout remarche comme avant (à première vue, mais bon, dans l'urgence, pas eu le temps de creuser), ainsi que les services téléphone et décodeur UHD qui sont direct sur la LB.

Alors la question, quelle est la faiblesse de cette installation, à part dépendre de la LB en amont?

Et si je n'ai pas de problème de vouloir garder la LB et les équipements TV & téléphone (et du coup profiter des updates que les FAI font toujours en lousdé), quel est l'intérêt de compliquer le bouzin à coups de VLAN & DHCP au niveau du routeur?

Merci pour vos lumières,

Chris

virtual_francky

  • Abonné Orange Fibre
  • *
  • Messages: 186
  • Alsace 68
Remplacer LB ou mettre routeur sur la DMZ de la LB
« Réponse #1 le: 11 juillet 2019 à 21:08:23 »
Salut je dirais au hazard, la fiabilité de la Livebox ?  ;)

Electrocut

  • Abonné Orange Fibre
  • *
  • Messages: 512
  • Pont-Péan (35)
Remplacer LB ou mettre routeur sur la DMZ de la LB
« Réponse #2 le: 11 juillet 2019 à 22:58:30 »
Avec la solution que tu décris (routeur derrière la Livebox), tu n'as probablement pas d'IPv6.

A l'inverse, en connectant ton routeur en direct, tu peux disposer de l'ensemble du sous réseau /56 inclu (pour installer 2^72 équipements chez toi :D)

doctorrock

  • Abonné Orange Fibre
  • *
  • Messages: 931
  • Draguignan 83
Remplacer LB ou mettre routeur sur la DMZ de la LB
« Réponse #3 le: 12 juillet 2019 à 12:28:17 »
Double NAT == vomissement, tout protocole qui repose sur du NAT traversal peut possiblement échouer (jeux vidéos, SIP, etc...). C'est aléatoire, donc pas génial niveau fiabilité.
IPSec mort aussi et pas d'IPV6 (la LB ne délègue pas).

Catalyst

  • Abonné FAI autre
  • *
  • Messages: 190
Remplacer LB ou mettre routeur sur la DMZ de la LB
« Réponse #4 le: 12 juillet 2019 à 12:40:45 »
Double NAT == vomissement, tout protocole qui repose sur du NAT traversal peut possiblement échouer (jeux vidéos, SIP, etc...). C'est aléatoire, donc pas génial niveau fiabilité.
IPSec mort aussi et pas d'IPV6 (la LB ne délègue pas).

 C'est à voir au cas par cas. En config DMZ je n'ai aucun problème pour héberger un serveur IPsec, en ESP/Tunnel/GRE (sans activer NAT-T). Je l'utilise depuis un LAN distant en ce moment pour poster.

doctorrock

  • Abonné Orange Fibre
  • *
  • Messages: 931
  • Draguignan 83
Remplacer LB ou mettre routeur sur la DMZ de la LB
« Réponse #5 le: 12 juillet 2019 à 13:38:16 »
Ouai en mode tunnel, IPSEC passe, mais pas en mode transport ;-)

Catalyst

  • Abonné FAI autre
  • *
  • Messages: 190
Remplacer LB ou mettre routeur sur la DMZ de la LB
« Réponse #6 le: 12 juillet 2019 à 14:20:54 »
Ouai en mode tunnel, IPSEC passe, mais pas en mode transport ;-)

Non, transport passe très bien la DMZ. Je l'utilise en permanence depuis un Android : L2TP/Ipsec/Transport quand je suis en config DMZ.

NAT-T fait le taf.

Je viens de tester sur un Windows remote avec la même stack de protocoles, lui aussi vers un serveur IPsec derrière une DMZ, là aussi c'est OK.

chrisquenta

  • Abonné Orange Fibre
  • *
  • Messages: 9
  • Saulny (57)
Remplacer LB ou mettre routeur sur la DMZ de la LB
« Réponse #7 le: 12 juillet 2019 à 14:32:01 »
Double NAT == vomissement, tout protocole qui repose sur du NAT traversal peut possiblement échouer (jeux vidéos, SIP, etc...). C'est aléatoire, donc pas génial niveau fiabilité.
IPSec mort aussi et pas d'IPV6 (la LB ne délègue pas).

Vu que le routeur est dans la DMZ de la LB, il n'y a pas de double NAT, il est en frontal.
Je n'ai pas eu à changer une seule de mes règles FW.

chrisquenta

  • Abonné Orange Fibre
  • *
  • Messages: 9
  • Saulny (57)
Remplacer LB ou mettre routeur sur la DMZ de la LB
« Réponse #8 le: 12 juillet 2019 à 14:34:13 »
Avec la solution que tu décris (routeur derrière la Livebox), tu n'as probablement pas d'IPv6.

A l'inverse, en connectant ton routeur en direct, tu peux disposer de l'ensemble du sous réseau /56 inclu (pour installer 2^72 équipements chez toi :D)

Ca c'est la bonne question: le routeur est derrière la LB, mais présenté en direct quand même.
La question, c'est comment la LB gère ça en interne

chrisquenta

  • Abonné Orange Fibre
  • *
  • Messages: 9
  • Saulny (57)
Remplacer LB ou mettre routeur sur la DMZ de la LB
« Réponse #9 le: 12 juillet 2019 à 14:34:49 »
Salut je dirais au hazard, la fiabilité de la Livebox ?  ;)

Oui, clair, un composant de moins dans l'équation, c'est toujours ça de gagné.

zoc

  • Abonné Orange Fibre
  • *
  • Messages: 4 258
  • Antibes (06) / Mercury (73)
Remplacer LB ou mettre routeur sur la DMZ de la LB
« Réponse #10 le: 12 juillet 2019 à 14:43:08 »
Vu que le routeur est dans la DMZ de la LB, il n'y a pas de double NAT.
Bien sur que si... ton équipement en DMZ, il ne porte pas l'IP publique. Donc NAT. Un routeur en DMZ = double NAT.

La DMZ de la Livebox, c'est juste un NAT entrant par défaut de tous les ports vers un équipement unique.

doctorrock

  • Abonné Orange Fibre
  • *
  • Messages: 931
  • Draguignan 83
Remplacer LB ou mettre routeur sur la DMZ de la LB
« Réponse #11 le: 12 juillet 2019 à 15:26:13 »
Bien sur que si... ton équipement en DMZ, il ne porte pas l'IP publique. Donc NAT. Un routeur en DMZ = double NAT.

La DMZ de la Livebox, c'est juste un NAT entrant par défaut de tous les ports vers un équipement unique.

Exact.

Ton routeur ne porte pas l'IP publique, et c'est juste pour cette raison, que plein de problèmes (IPSEC notament) peuvent apparaitre.
Sans compter l'absence d'IPV6.

Après, ca peut très bien fonctionner pour plein de cas hein, je dis pas ^^