La Fibre
Datacenter et équipements réseaux => Routeurs => 
Remplacer la LiveBox par un routeur => Discussion démarrée par: chrisquenta le 06 juillet 2019 à 17:11:14
-
Hello,
Ayant du faire face à une urgence, suite à une migration ratée de FAI (Numericable -> Orange), j'ai simplement branché le port WAN sur la LB (qui est connecté sur l'ONT), et configuré mon routeur SRXN3205 dans la DMZ de la LB, en lui calant une IP DHCP reserved au niveau de la LB, et en demandant à la LB de fournir les infos à DYNDNS et non plus à mon routeur (Effectivement, à numéricable, ma box était en mode bridge...).
Bilan, ben tout remarche comme avant (à première vue, mais bon, dans l'urgence, pas eu le temps de creuser), ainsi que les services téléphone et décodeur UHD qui sont direct sur la LB.
Alors la question, quelle est la faiblesse de cette installation, à part dépendre de la LB en amont?
Et si je n'ai pas de problème de vouloir garder la LB et les équipements TV & téléphone (et du coup profiter des updates que les FAI font toujours en lousdé), quel est l'intérêt de compliquer le bouzin à coups de VLAN & DHCP au niveau du routeur?
Merci pour vos lumières,
Chris
-
Salut je dirais au hazard, la fiabilité de la Livebox ? ;)
-
Avec la solution que tu décris (routeur derrière la Livebox), tu n'as probablement pas d'IPv6.
A l'inverse, en connectant ton routeur en direct, tu peux disposer de l'ensemble du sous réseau /56 inclu (pour installer 2^72 équipements chez toi :D)
-
Double NAT == vomissement, tout protocole qui repose sur du NAT traversal peut possiblement échouer (jeux vidéos, SIP, etc...). C'est aléatoire, donc pas génial niveau fiabilité.
IPSec mort aussi et pas d'IPV6 (la LB ne délègue pas).
-
Double NAT == vomissement, tout protocole qui repose sur du NAT traversal peut possiblement échouer (jeux vidéos, SIP, etc...). C'est aléatoire, donc pas génial niveau fiabilité.
IPSec mort aussi et pas d'IPV6 (la LB ne délègue pas).
C'est à voir au cas par cas. En config DMZ je n'ai aucun problème pour héberger un serveur IPsec, en ESP/Tunnel/GRE (sans activer NAT-T). Je l'utilise depuis un LAN distant en ce moment pour poster.
-
Ouai en mode tunnel, IPSEC passe, mais pas en mode transport ;-)
-
Ouai en mode tunnel, IPSEC passe, mais pas en mode transport ;-)
Non, transport passe très bien la DMZ. Je l'utilise en permanence depuis un Android : L2TP/Ipsec/Transport quand je suis en config DMZ.
NAT-T fait le taf.
Je viens de tester sur un Windows remote avec la même stack de protocoles, lui aussi vers un serveur IPsec derrière une DMZ, là aussi c'est OK.
-
Double NAT == vomissement, tout protocole qui repose sur du NAT traversal peut possiblement échouer (jeux vidéos, SIP, etc...). C'est aléatoire, donc pas génial niveau fiabilité.
IPSec mort aussi et pas d'IPV6 (la LB ne délègue pas).
Vu que le routeur est dans la DMZ de la LB, il n'y a pas de double NAT, il est en frontal.
Je n'ai pas eu à changer une seule de mes règles FW.
-
Avec la solution que tu décris (routeur derrière la Livebox), tu n'as probablement pas d'IPv6.
A l'inverse, en connectant ton routeur en direct, tu peux disposer de l'ensemble du sous réseau /56 inclu (pour installer 2^72 équipements chez toi :D)
Ca c'est la bonne question: le routeur est derrière la LB, mais présenté en direct quand même.
La question, c'est comment la LB gère ça en interne
-
Salut je dirais au hazard, la fiabilité de la Livebox ? ;)
Oui, clair, un composant de moins dans l'équation, c'est toujours ça de gagné.
-
Vu que le routeur est dans la DMZ de la LB, il n'y a pas de double NAT.
Bien sur que si... ton équipement en DMZ, il ne porte pas l'IP publique. Donc NAT. Un routeur en DMZ = double NAT.
La DMZ de la Livebox, c'est juste un NAT entrant par défaut de tous les ports vers un équipement unique.
-
Bien sur que si... ton équipement en DMZ, il ne porte pas l'IP publique. Donc NAT. Un routeur en DMZ = double NAT.
La DMZ de la Livebox, c'est juste un NAT entrant par défaut de tous les ports vers un équipement unique.
Exact.
Ton routeur ne porte pas l'IP publique, et c'est juste pour cette raison, que plein de problèmes (IPSEC notament) peuvent apparaitre.
Sans compter l'absence d'IPV6.
Après, ca peut très bien fonctionner pour plein de cas hein, je dis pas ^^
-
L'ipv6 est ok en double nat si le routeur mis en dmz
La conf traîne dans le topic sur openwrt
Perso avant de partir en vacances je passe en double nat parce que ça m'est arrivé deux fois que la conf change pendant une absence et comme j'autoheberge C'est chiant
Pour moi c'est deux fichiers de conf, facile à switcher
-
Exact.
Ton routeur ne porte pas l'IP publique, et c'est juste pour cette raison, que plein de problèmes (IPSEC notament) peuvent apparaitre.
Sans compter l'absence d'IPV6.
Après, ca peut très bien fonctionner pour plein de cas hein, je dis pas ^^
Ah oui, autant pour moi pour le double NAT, forcèment ::)
-
L'ipv6 est ok en double nat si le routeur mis en dmz
La conf traîne dans le topic sur openwrt
Perso avant de partir en vacances je passe en double nat parce que ça m'est arrivé deux fois que la conf change pendant une absence et comme j'autoheberge C'est chiant
Pour moi c'est deux fichiers de conf, facile à switcher
A part l'IP6, tu as pu voir des changement intempestifs demandant une modif de conf, ou c'est stable?
Parce qu'effectivement, étant aussi en autohebergement, c'est pas vraiment le bon délire ça
-
1 fois lors du passage du 835 au 832 il y a quelques années déjà et récemment l'option 90 du dhcp ipv4
Et elles deux fois pendants les vacances
Ensuite il y a eu des soucis annexes pas bien méchants :
- perte de la tv sur le second décodeur
- perte de siproxd
-
franchement je ne comprends pas Orange et les autres opérateurs. Ca leur couterait quoi de documenter leur protocole et ou avoir un mode bridge dans la box.
Vu que je n'ai pas d'opérateur proposant du FTTH "nu", je pensais revenir à un econfiguration plus simple DMZ -> UDM Pro (ubiquiti)/USG -> Reseau pluôt que ce que j'ai actuellement USG3P -> Reseau. L'UDM pro en plus ne permet pas de gérer la CoS au niveau du WAN comme avec les USGs. Y-a-til une configuration particuli§rère pour faire passer l'IPv6 directement sur le reaseau dans une DMZ ?
(accessoirement il faudrait que je vois ce qu eje perds vraiment à juste utiliser la livebox).
-
franchement je ne comprends pas Orange et les autres opérateurs. Ca leur couterait quoi de documenter leur protocole et ou avoir un mode bridge dans la box.
1) s'embêter pour <1% voir 0,1 % des utilisateurs ?
2) si il y a une doc, ça sous entend assurer un support ...
Dans les 2 cas, ça coute de l'argent et je pense clairement que les FAIs GP préfèrent largement le gagner plutôt que de satisfaire quelques clients.
3) des fois avec un routeur "perso" ça "casse" la TV et c'est aussi ce qui ramène des sous au FAI...
Bref, ils ont plus à perdre qu'à y gagner je pense.
(ce n'est pas mon avis personnel, mais plutôt une analyse de la "réalité").
-
Bonjour à tous,
Veuillez m'excuser de faire remonter ce (vieux) topic mais il y a un sujet qui a été évoqué et qui m'intéresse, mais pour lequel je n'arrive pas à recoller les morceaux.
J'ai une configuration "double routeur" avec une Livebox 4 en frontal et juste derrière, dans la DMZ, un routeur OpenWRT sur lequel est branché mon NAS. J'ai lu un peu partout que la Livebox ne savait pas faire de délégation de préfixe en IPv6, or j'aimerais bien que l'IPv6 fonctionne.
L'ipv6 est ok en double nat si le routeur mis en dmz
La conf traîne dans le topic sur openwrt
C'est parfait, mais j'ai beau chercher, je ne trouve pas cette fameuse config. Quelqu'un peut-il m'aiguiller svp ?
Merci :)
-
Il faut installer un proxy NDP sur le routeur. Après je ne peux pas en dire plus je n’utilise pas OpenWRT.
-
Merci. "ndppd" c'est bien ça ?
J'ai effectivement lu certaines astuces qui évoquaient cette solution. Je vais creuser.
-
J'avais tenté avec succès la solution ci-dessous, pour que mon routeur sous OpenWRT relaye les paquets "Router Advertisement" émis par la Livebox :
https://lafibre.info/remplacer-livebox/routeur-derriere-la-livebox-ipv6/msg620317/#msg620317
-
Super merci pour le tuyau.
Si elle fonctionne c'est une solution qui me plaît bien vu qu'elle ne nécessite pas de paquet supplémentaire. Je vais tester.