La Fibre
Datacenter et équipements réseaux => Routeurs => 
Remplacer la box SFR par un routeur => Discussion démarrée par: Flo_77 le 21 juillet 2019 à 04:20:59
-
Ce tutoriel propose une solution amateur pour utiliser un routeur personnel sous OPNsense tout en conservant la téléphonie avec la box SFR. La méthode ici ne représente rien de définitif, car SFR pourrait modifier le fonctionnement de sa box au fil des mises à jours. Par conséquent, il faut se tenir informé des évolutions techniques possibles.
Je ne saurais être responsable d'une mauvaise manipulation ou utilisation.
Introduction
Le fonctionnement reste générique pour d'autres routeurs, mais ce tutoriel s'applique pour OPNsense. Je ne dispose pas de TV, vous pouvez contribuer à compléter mon tutoriel, si avous avez envie.
Topologie : 3 interfaces + une machine linux (de quoi héberger un serveur Apache+PHP et un résolveur DNS.)
(https://i.imgur.com/j7AUeXN.jpg)
Le réseau dédié à la box, (distinct du LAN), est nécessaire pour dérouter les requêtes HTTP par du NAT. C'est crade, mais ça marche bien. ;D
Au passage, sur une nouvelle configuration à base d'un vieux PC, l'idéal est d'acheter une carte PCI Express 4 ports avec contrôleur Intel (35€ reconditionné sur ebay). Cela évite la surcharge CPU lors du NAT à 1Gbit/s, et fait un routeur vraiment pas cher.
Pourquoi j'ai besoin d'un serveur linux?
- Le DNS Unbound d'OPNsense ne semble plus accepter d'options spéciales dans la configuration avancée (cela le fait planter, plus aucune résolution DNS). De plus, pour mon réseau local, je tiens à utiliser des DNS de référence différents que ceux de SFR.
- Je ne souhaite pas utiliser la fonction proxy ou serveur web du firewall. Ceci afin de simplifier la configuration de mon routeur, et ne pas contraindre de futurs usages qui en auraient besoin.
Préparatifs
Dans un premier temps, je vous recommande de faire une capture avec Wireshark en conditions normales. Pas nécessaire mais ça permet de rectifier des modifications opérées par SFR, ou de relever des infos qui pourraient différer sur votre abonnement. Pour ma part je suis abonné à RED.
Sachant que SFR n'utilise pas de VLAN, on peut utiliser 2 cartes Ethernet (un adaptateur RJ45/Usb + le port d'un PC portable par exemple), et en faire un pont. Attention à désactiver toutes les fonctions de la carte réseau virtuelle nouvellement créée, à l'exception des drivers Wireshark.
(https://i.imgur.com/0NKCY2O.jpg)
Dans Wireshark, si le "pont réseau" n'apparait pas parmi vos cartes réseaux, je n'ai trouvé comme seule solution de redémarrer l'ordinateur. L'interface va apparaître à l'issue du reboot.
Connectez votre ONT sur une carte réseau. Connectez la box éteinte via son "port fibre", sur l'autre carte réseau. Démarrer une capture wireshark sur l'interface "Pont réseau", puis allumez la box. Une fois que la box a terminé de faire ses échanges, enregistrez la capture pour plus tard, et éteignez la box.
Prérequis
- Relever les éléments suivants :
- l'adresse mac du port WAN de la box. 60:35:c0:xx:xx:xx. Dispo dans toutes les trames (couche Ethernet II). Sans capture, c'est théoriquement l'adresse "mac-1", (indiqué sous le pied de la box).
Exemple adresse mac indiquée : 60:35:c0:xx:xx:aa -> votre mac : 60:35:c0:xx:xx:a9 - Options de la réponse DHCP (ACK) : "Merit Dump File" (14) : 1|ca@1.1.1.1|1.1.1.1|toto@neuf.com|dm01 , ainsi que le NDIS (40) : redbackftth_alcatelgpon . (j'ai un abonnement RED, peut-être différent sur SFR)
- l'adresse IP à laquelle s'enregistre le client SIP de la box (téléphonie). Pour moi 77.136.6.29. On peut voir que 77.136.6.77 est utilisé dans d'autres tutoriels.
(https://i.imgur.com/r3whw5o.jpg)
- Sur OPNsense, on dispose de 3 interfaces déjà configurées LAN, BOX et WAN. (vous pouvez nommer autrement). Vous êtes libre de choisir les adresses IP que vous préférez utiliser pour ces interfaces. Il faudra cependant rester cohérent pour la suite des manipulations avec l'exemple fourni ici.
- Installer le plugin siproxd (System>Firmware>Plugin), installez os-siproxd.
On retiendra à titre indicatif dans ce tutoriel : - IP de l'interface LAN (172.16.8.1)
- IP de l'interface BOX (192.168.2.254)
- IP de la neufbox (192.168.2.2)
- IP du linux (172.16.8.150)
Configurer l'interface WAN
Dans Interfaces>WAN :Cocher Enable interface. Choisir IPv4 Configuration Type : DHCP.
Compléter la section Lease Requirements
Send options : dhcp-class-identifier "neufbox_REMPLACEE_votremail@xyz.com"
Request options : subnet-mask, broadcast-address, time-offset, routers, domain-name, domaine-name-servers, host-name, ntp-servers, nis-domain, root-path, merit-dump
Actuellement, je n'ai pas d'IPV6 (partie à compléter quand SFR l'activera).
Testez la connexion : connectez l'ONT à la prise RJ45 de l'interface WAN. Une adresse IP doit apparaître dans la page d'accueil d'OPNsense (rafraichir la page si besoin) :
(https://i.imgur.com/0XxU52K.jpg)
Conservez cette IP pour la suite.
-
Utilisation de la téléphonie sur le LAN
Voilà le principe technique de fonctionnement pour utiliser la téléphonie sur la box à travers le NAT :
(https://i.imgur.com/WqEQZwE.png)
Configurer le DHCP pour la Box
Dans Services > DHCPv4 > BOX (ou le nom choisi pour la box), activez le DHCP et spécifiez un Range quelconque, hors de l'IP de la neufbox désirée (par exemple : 192.168.2.10 à 192.168.2.20).
Dans Additional Options, on place les options que SFR envoie à ses box :
(https://i.imgur.com/HynZ8w4.jpg)
- L'option 40 "redbackftth_alcatelgpon"
- l'option 14 de 1|ca@1.1.1.1|1.1.1.1|toto@neuf.com|dm01 que je préfère en hexadécimal pour tout éventuel soucis de caractère spécial :
31:7c:63:61:40:31:2e:31:2e:31:2e:31:7c:31:2e:31:2e:31:2e:31:7c:74:6f:74:6f:40:6e:65:75:66:2e:63:6f:6d:7c:64:6d:30:31
Enregistrez et appliquez ces paramètres. Nous allons ensuite créer un bail DHCP statique.
Pour cela, tout en bas de la page (Services>DHCPv4>BOX), cliquez sur le +.
Insérez l'adresse MAC du port WAN de la box, relevé au préalable. Renseignez une IP de votre choix que la box va recevoir, et conservez l'info pour la suite du tutoriel. Précisez un hostname, comme "sfrredbox" par exemple.
Indiquez l'IP des serveurs DNS : ici, notre machine linux (pour moi 172.16.8.150).
Enregistrez et appliquez les modifications.
(https://i.imgur.com/chms7GM.jpg)
Configurer le NAT
On redirige en TCP, en provenance de 192.168.2.2 et à destination d'un port 80, vers 172.16.8.150 sur le port 8080 (je dispose déjà d'un port 80 utilisé pour autre chose).
Dans Firewall > Port forward, cliquez sur ADD
Interface : BOX
Version : IPv4
Protocol : TCP
Source : 192.168.2.2 (32 : que cette IP)
source port : any
destination : any
destination port : HTTP
redirect target IP : 172.16.8.150
redirect target port : 8080.
Mettez une description pour vous souvenir. (redirection trafic http BOX vers proxy.)(https://i.imgur.com/bEebc9s.jpg)
Enregistrez et appliquez.
Configurer le Pare-feu
Dans (Firewall > Rules > Box) nous éditons les règles de l'interface BOX.
Une règle correspondant à cette redirection doit avoir été créée automatiquement.
A la suite de celle-ci, il faut autoriser l'accès aux ports SIP pour la téléphonie. Ajoutez une règle (ADD) de la même manière que pour le NAT :
interface : BOX
Version IPv4
Protocol TCP/UDP
Source : Box net
Destination : This firewall
destination port range : (other)
From : 5060
To : 5062
Description : autoriser sip.Répétez cela afin d'obtenir cette configuration finale :
(https://i.imgur.com/LUXS3bn.jpg)
Note : j'ai indifféremment renseigné l'IP de la box (192.168.2.2) ou "Box net". Cela n'a pas d'incidence réelle sur le fonctionnement. Faites comme bon vous semble, sachant que "Box net" englobe tout le sous réseau 192.168.2.0/24.
Enregistrez puis appliquez toutes ces règles.
Dans (Firewall > Rules > WAN) nous éditons les règles de l'interface WAN afin de permettre les appels entrants.
Il faut ouvrir les ports TCP/UDP 5060 à 5062 à destination du Firewall. L'adresse IP source est le serveur SIP que nous avons relevés en début de tutoriel.
Sur le WAN on obtient cette configuration :
(https://i.imgur.com/DwCvJVe.jpg)
Enregistrez et appliquez les paramètres.
Siproxd
Absolument nécessaire pour faire fonctionner la téléphonie à travers les IP privées de notre réseau local. Une fois le paquet installé, la configuration attendue est dans Services > Siproxd :
Inbound interface : BOX (ou le nom que vous avez choisi)
Outbound interface : WAN
SIP listen port 5060
RTP port low : 7070
RTP port high : 7084
RTP timeout : 300
RTP DSCP et SIP DSCP : 46
RTP input et output jitter : 0
TCP timeout : 600
TCP connect timeout : 500
TCP keepalive : 20
Remote ports VIA-Header : Do not add ;rport via header (0)
Networks to replace VIA-Header : 10.0.0.0/8,172.16.0.0/12,192.168.0.0/16
DTAG servers : 217.0.23.100/32
Network list for fbox anoncall plugin : 10.0.0.0/8,172.16.0.0/12,192.168.0.0/16
Enregistrez et appliquez les paramètres.
Dans l'onglet Outbound Domains, ajoutez un domaine (+) et remplissez comme suit :
(https://i.imgur.com/NsJijvr.jpg)
l'IP 77.136.6.77 est celle que j'utilise, mais vous pouvez aussi indiquer celle que vous avez pu relever dans la capture de wireshark au tout début du tutoriel.
Le port correspondant est 5062, toujours d'après les relevés wireshark.
DNS d'OPNsense
Le domaine ims.mnc010.mcc208.3gppnetwork.org n'existe pas. Nous allons le rendre fictif en l'ajoutant en entrée dans Unbound DNS > Overrides (ou un autre résolveur DNS du firewall)
Domain : ims.mnc010.mcc208.3gppnetwork.org , IP 127.0.0.1
Siproxd ne voulait pas fonctionner sans cela. (erreur 408 en boucle sur mes relevés Wireshark, lors d'un appel téléphonique, si cela vous arrive, pensez-y!)
-
Environnement linux :
Tout d'abord, mettez à jour votre système, avec les droits administrateurs:
sudo apt-get update && sudo apt-get upgradeInstallez ensuite Apache, php et dnsmasq.
sudo apt-get install apache2 php dnsmasqPlacez-vous en tant qu'utilisateur local (curseur en ~$). Créez un dossier proxy-sip :
mkdir /var/www/proxy-sipDans la configuration Apache, nous allons créer un nouveau serveur virtuel sur le port 8080 pour accueillir les requêtes redirigées de la neufbox. Editez avec
nano /etc/apache2/sites-enables/000-default.confAjoutez le bloc ci-dessous à la fin du fichier :
<VirtualHost *:8080>
ServerAdmin webmaster@localhost
DocumentRoot /var/www/proxy-sip
<Directory /var/www/proxy-sip>
Options Indexes FollowSymLinks MultiViews
AllowOverride All
Order Deny,Allow
Allow from 127.0.0.1
Allow from 172.16.8.0/24
Allow from 192.168.0.0/16
Deny from all
</Directory>
ErrorLog /dev/null
CustomLog /dev/null common
</VirtualHost>
Ajoutez dans /etc/apache2/ports.conf :
Listen 8080puis redémarrez apache
sudo service apache2 restart
Utilisez FileZilla pour transférer des fichier via ssh (sftp://172.16.8.150 ou votre IP de machine linux). Placez-vous dans le répertoire /var/www/proxy-sip
Créez un .htaccess et insérez-y le contenu :
RewriteEngine on
RewriteRule ^(.+)$ index.php?$2 [QSA,L]
Cela va rediriger n'importe quelle requête vers index.php. Créez ensuite le fichier index.php à proprement parler, et insérez ce code :
<?php
$currentFirewall = 'proxysip.lan';
if (isset($_GET['ip_dhcp'])) {
$_GET['ip_dhcp'] = '<VOTRE IP>';
}
$_SERVER['DOCUMENT_URI'] = str_replace('/index.php', '', $_SERVER['DOCUMENT_URI']);
$parameters = http_build_query($_GET);
$file = explode("?", $_SERVER['REQUEST_URI'], 2);
$url = $_SERVER['REQUEST_SCHEME'].'://'.$_SERVER['HTTP_HOST'].$file[0].'?'.$parameters;
$context = stream_context_create(array(
'http' => array(
'method'=>"GET",
'header'=> "Host: " . $_SERVER['HTTP_HOST'] . "\r\n" .
"User-Agent: ". $_SERVER['HTTP_USER_AGENT']
)
));
$data = file_get_contents($url, false, $context);
if ($file[0] == "/voip2.xml") {
$data = preg_replace('/<proxy([^>]+)>([^<]+)<\/proxy>/', '<proxy$1>'.$currentFirewall.'</proxy>', $data);
$data = preg_replace('/<registrar([^>]+)>([^<]+)<\/registrar>/', '<registrar$1>'.$currentFirewall.'</registrar>', $data);
}
header('Content-Length: '.strlen($data));
header('Content-Type: application/xml');
echo $data;
?>Ce script va remplacer les paramètres "ip_dhcp" dans les URL des pages xml appelés par la box, afin de substituer l'IP 192.168.2.2 inconnue chez SFR à votre IP (que le routeur obtient à la place de la box). Le script modifie aussi la sortie de la configuration pour la téléphonie afin de spécifier l'adresse du proxy Siproxd.
Nous pouvons déjà constater le bon fonctionnement du site : http://172.16.8.150:8080/test.xml depuis un navigateur. Cela doit renvoyer quelque chose (sur Firefox, un bandeau d'erreur sur fond jaune). Si vous obtenez l'erreur 404 Not Found, le .htaccess comporte une erreur, ou alors la configuration d'Apache ignore ces fichiers.
Nous aurons besoin de configurer le serveur Dnsmasq. Pour cela nous allons éditer son fichier de configuration /etc/dnsmasq.conf en remplaçant le contenu par ceci. Adaptez eth0 au nom de votre carte réseau. Vérifiez avec ifconfig.
no-resolv
server=109.0.66.10
server=109.0.66.20
interface=eth0
listen-address=127.0.0.1
listen-address=192.168.1.1
listen-address=192.168.2.1
address=/ims.mnc010.mcc208.3gppnetwork.org/192.168.2.254
address=/proxysip.lan/192.168.2.254
srv-host=_sip._udp.proxysip.lan,proxysip.lan,5060,10
Redémarrez le service Dnsmasq.
Vérifions que l'enregistrement DNS est pris en compte :
Sur Windows : nslookup proxysip.lan 172.16.8.150Sur Linux : host -a proxysip.lan 172.16.8.150
-
Mise en service de la box!
Après tout cela, vous pouvez redémarrer le routeur OPNsense (Power>Reboot) pour éviter tout problème potentiel.
Dès que l'interface web vous propose à nouveau de rentrer votre mot de passe, vous pouvez connecter la neufbox sur le port RJ45 associé à l'interface BOX. Mettez la box en service et attendez que la première led ne clignote plus.
Si tout va bien, nous pouvons vérifier la présence du bail DHCP statique :
Services > DHCPv4 > Leases
(https://i.imgur.com/eE1SiEN.jpg)
Si vous voyez une ligne avec une IP à l'intérieur de la plage DHCP (192.168.2.10-20), c'est donc une erreur de frappe lors de la saisie de l'adresse mac de la box. Relevez l'adresse mac réelle dans cette ligne, et modifiez en conséquence le bail statique (Services>DHCPv4>BOX, en bas de page).
Redémarrez la box pour obtenir l'état ci-dessus.
Ensuite, vérifiez l'état de l'enregistrement SIP avec Siproxd (dès que la led verte de la téléphonie est allumée sur la box)
Services>Siproxd, onglet "Current Registrations"
(https://i.imgur.com/t9rmLA3.jpg)
Si les 3 lignes comportant votre numéro ne sont pas présentes, rechargez la page et revenez sur l'onglet. Passez ensuite un appel pour vérifier que le téléphone fixe est utilisable dans les 2 sens.
N'hésitez pas à me suggérer des rectifications : après toutes ces heures passées, j'ai peut-être oublié une info, et suis ouvert à toute amélioration. ;)
-
Post réservé pour un ajout futur ou des précisions. :D
-
DNS d'OPNsense
Le domaine ims.mnc010.mcc208.3gppnetwork.org n'existe pas. Nous allons le rendre fictif en l'ajoutant en entrée dans Unbound DNS > Overrides (ou un autre résolveur DNS du firewall)
Domain : ims.mnc010.mcc208.3gppnetwork.org , IP 127.0.0.1
Siproxd ne voulait pas fonctionner sans cela. (erreur 408 en boucle sur mes relevés Wireshark, lors d'un appel téléphonique, si cela vous arrive, pensez-y!)
Bonjour
et merci pour ce tuto :)
par contre je me retrouve dans la même situation a savoir erreur 408 en boucle mais je ne trouve pas moyen de corriger le pb :(
C'est comme si rien n'arrive sur siproxd (d'ailleurs je ne trouve pas de log pour ce deamon ? normal ?)
Est ce que tu pourrais détailler ce que tu as fait ?
Car je ne vois pas ou est ce que je peux ajouter le dns pour ims.mnc010.mcc208.3gppnetwork.org
Merci de ton retour ou celui d'un autre qui y est arrivé :)
-
Hello, alors je n'ai pas édité mon tuto mais pour l'instant la téléphonie ne fonctionne visiblement plus. La conf de la box a du évoluer entre temps, il faut que je me penche dessus.
Ce nom de domaine, c'est à placer dans les paramètres du resolver DNS du firewall, dans ses réglages. Par exemple chez moi j'utilise Unbound DNS, donc ça se situe dans Services > UnboundDNs > Overrides
-
Bonjour @Flo_77 j'ai remarqué moi aussi depuis quelques semaines que je n'ai plus la téléphonie...
J'ai un bypass avec un mikrotik et la box SFR qui est donc derrière mon routeur, j'utilise ensuite un proxy SIP pour le relais téléphonie mais j'ai l'impression que les serveurs SIP on due changer côté SFR...
Si jamais tu trouves plus d'infos à ce sujet pour voir ce qui à changé quand la box récupère les fichiers chez SFR je suis preneur ! :)
Car madame sans son téléphone fixe rhalalal je vous jure...
-
Update : pas encore eu le temps de me pencher sur le soucis, entre les fêtes et temps perso qui se fait assez rare, compliqué.
Je compte y travailler prochainement, désolé pour l'attente. Et si jamais quelqu'un a trouvé une astuce entre temps, n'hésitez pas à contribuer. :)
-
Déterrage du topic mais je vais bientôt monter un nouveau topic de tuto pour le remplacement complet de la box (donc ONT branché à OPNsense), TV via décodeur et SIP via une gateway SIP (donc géré hors OPNsense).
-
Nouveau déterrage : dans l'optique de conserver la box comme passerelle téléphonie, c'est le fil le plus adapté il me semble.
La possibilité bien réelle de devoir refaire la configuration à chaque changement des paramètre téléphonie par le FAI étant très embêtante, je réfléchis à la solution la plus simple, plus sûre, d'utiliser mon propre routeur et néanmoins avoir la ligne téléphonique.
Le seul moyen d'être sûr de ne pas avoir de souci de téléphonie, c'est de laisser la box connectée à l'ONT...
Mais finalement, si on la configure pour renvoyer tous les ports IPv4 vers le routeur perso, on obtient tous les avantages même si on branche notre routeur en aval de la box, le NAT supplémentaire au niveau de la box devrait être transparent, non ?
-
Si tu changes si souvent de FAI, prends plutôt une ligne SIP chez OVH ou équivalent et mets une passerelle SIP comme le Gigaset C530 IP.
-
Non je me suis mal exprimé : je garde RED, mais le FAI peut faire des changements de réglage de la téléphonie, et il faut à chaque fois refaire le reverse-engineering pour trouver le bons paramétrage avec wireshark. Même si ça n'arrive pas chaque année, ce n'est pas assez pérenne.
-
Je n'ai jamais eu à le refaire en plus de 2 ans...
-
cf post #6 : « pour l'instant la téléphonie ne fonctionne visiblement plus. La conf de la box a du évoluer entre temps, »
-
cf post #6 : « pour l'instant la téléphonie ne fonctionne visiblement plus. La conf de la box a du évoluer entre temps, »
Fin 2019, un peu de sérieux voyons...
-
C'est à dire ? Est-il inconcevable de se projeter à plus de 3 ans ? Ou bien est-ce que ce serait une preuve de manque de sérieux ?
Comme c'est fréquemment le cas, la téléphonie fixe est primordiale pour le WAF. Et je me prépare pour passer une demi-journée à configurer mon réseau, une fois pour toutes.
Si dans 3 ans RED change quoi que ce soit et que la téléphonie s'arrête :
- prise de tête avec Mrs wife
- prise de tête à reprendre des trucs qu'on a laissé de coté depuis plusieurs années
Donc oui, sérieusement, je fais mon choix aujourd'hui en pensant à 3+ années dans le futur.
-
En fait, je pensais à la bidouille de configurer le NAT de la box pour tout rediriger vers mon routeur car je savais que la box NB6VAC ne proposait plus le mode bridge.
Mais en cherchant j'ai trouvé que le mode DMZ correspond à mon besoin (https://la-communaute.sfr.fr/t5/installation-et-param%C3%A9trage/nb6vac-utilisation-en-mode-bridge/td-p/2327729 (https://la-communaute.sfr.fr/t5/installation-et-param%C3%A9trage/nb6vac-utilisation-en-mode-bridge/td-p/2327729) :
Les NB6 n'ont plus de mode Bridge.
Il faut passer par la DMZ.
Avantage de la DMZ, la téléphonie reste opérationnelle sur la box alors qu'on la perdait en mode bridge.
Je suppose que vous voulez mettre un routeur derrière la box.
Si c'est bien le cas,
- attribuer une IP statique au routeur
- activer la DMZ vers cette IP.
Tout le trafic passera par votre routeur.
Tout le trafic passera par votre routeur. ? → Parfait !
Donc pour moi c'est bon, je m'arrête là (enfin, si ça ne fonctionne pas aussi bien, je donnerai le bilan de mon aventure).
-
Bah colle un routeur derrière ta box, tout simplement, que veux-tu que je te dise... Ici on fait des modes de fonctionnement qui ne sont pas standards, donc quand bien même la téléphonie fonctionnerait parce que tu sors en direct de la box, c'est pas dit que SFR ne change pas le fonctionnement de connexion FTTH du jour au lendemain et que tu te retrouves sans Internet. D'où ma proposition au début de ce message, si tu as si peur de devoir remettre les mains dans la technique et te faire taper sur les doigts par ta femme.
Et concrètement, la ligne de téléphone fixe a de plus en plus un rôle anecdotique dans les foyers. Dans mon cas elle ne sert strictement à rien (et en plus j'ai 2 lignes, la SIP FTTH et la sortie analogique de la box FTTLA).
Edit: Bah voilà, routeur au cul de la box, mode bridge et basta.
-
Mon but est de remplacer la box par mon routeur pour tout ce qu'il fait mieux, sans forcément me débarrasser de cette NB6VAC qui peut remplir correctement certaines fonctions pour ≤ 10 W de conso électrique.
À ce stade je pense donc configurer la box en DMZ avec DHCP off pour tout envoyer vers mon routeur qui gérera le W·LAN et le routage / firewall vers WAN, mais continuer d'utiliser la box pour la téléphonie (et si tout se passe bien, aussi l'utiliser comme switch dans le LAN pour tirer parti de ses ports ethernet plutôt que d'ajouter un switch).
Toi tu t'es complètement débarrassé de la box c'est ça ? Quelles raisons t'ont amené à ce choix, pas juste l'amour des défis (et des expérimentations enrichissantes) ?
Personnellement, à part quelques dizaines de microsecondes de latence supplémentaire (complètement négligeables) en mettant mon routeur en DMZ de la box, je ne prévois que des avantages.
-
Du coup tu ne remplaces pas vraiment, tu déportes des fonctionnalités sur un routeur tiers.
Oui pas de box FTTH, les choix: compacité, la possibilité d'utiliser l'OS de mon choix pour le pare-feu, et de toute façon j'ai 2 accès Internet donc routeur obligatoire pour gérer la bascule entre les 2 accès.
Le résultat :
(https://pics.fl0w.fr/images/2023/05/19/20230321_131015.md.jpg) (https://pics.fl0w.fr/image/FGgyp)
Au dessus c'est le routeur FTTLA que je conserve tant que le réseau est maintenu (et pour lequel aucune solution de bypass n'existe)
-
Mon but est de remplacer la box par mon routeur pour tout ce qu'il fait mieux, sans forcément me débarrasser de cette NB6VAC qui peut remplir correctement certaines fonctions pour ≤ 10 W de conso électrique.
À ce stade je pense donc configurer la box en DMZ avec DHCP off pour tout envoyer vers mon routeur qui gérera le W·LAN et le routage / firewall vers WAN, mais continuer d'utiliser la box pour la téléphonie (et si tout se passe bien, aussi l'utiliser comme switch dans le LAN pour tirer parti de ses ports ethernet plutôt que d'ajouter un switch).
Toi tu t'es complètement débarrassé de la box c'est ça ? Quelles raisons t'ont amené à ce choix, pas juste l'amour des défis (et des expérimentations enrichissantes) ?
Personnellement, à part quelques dizaines de microsecondes de latence supplémentaire (complètement négligeables) en mettant mon routeur en DMZ de la box, je ne prévois que des avantages.
Je pense que tu vas te créer plein de problème si tu fais comme ça.
moi j'ai completement remplacé ma box 7 par un routeur wifi openwrt. Et pour la téléphonie j'utilise mon smartphone, idem ma femme et les enfants. En 2023 le telephone fixe c'est fini, elle est passée l'epoque du téléphone unique à la maison. Maintenant si on veut joindre quelqu'un on l'appelle sur le mobile...il faut faire le pas. quitte à mettre un renvoi d'appel sur son numéro fixe qui renvoie vers l'un des portables du foyer.
-
Merci pour les conseils mais mon besoin de téléphonie fixe est très spécifique : plusieurs heures par mois vers des numéros fixes au Japon, sans complication technique (WAF).
Et en connectant mon routeur en DMZ, à quels problèmes on pourrait s'attendre ?
-
tu vas te retrouver en double NAT, ce qui pose des problèmes avec les redirections de ports.
D'autre par une DMZ sert a rediriger le trafic pour lequel le routeur n'a pas de regle de redirection spécifiée. Et la box SFR à des plages de ports reservées qu'on ne peut rediriger. Avec de la chance tu n'auras pas de problèmes, tout dépend de ce que tu vas faire...Mais de mon point de vu il vaut mieux n'avoir qu'un seul routeur et trouver une autre solution pour la téléphonie.
mais continuer d'utiliser la box pour la téléphonie (et si tout se passe bien, aussi l'utiliser comme switch dans le LAN pour tirer parti de ses ports ethernet plutôt que d'ajouter un switch).
si tu n'as pas de DHCP sur la box il faudra donc mettre des IP en dur sur les équipements que tu vas y brancher, car les requetes DHCP ne sortirons pas de la box. Après je ne sais pas si la DMZ peut etre dans le meme sous réseau que la BOX, mais ca sent la mega usine a gaz, et quand il va y avoir des soucis bonjour pour trouver d'ou ca vient.
-
... la box SFR à des plages de ports reservées qu'on ne peut rediriger.
Ah c'est bon à savoir, effectivement ça pourrait causer des soucis. Du coup j'ai cherché et trouvé la liste
https://lafibre.info/sfr-la-fibre/sfr-box-7/msg942768/#msg942768 (https://lafibre.info/sfr-la-fibre/sfr-box-7/msg942768/#msg942768)
Il y a beaucoup de ports, et il faudra que je fasse gaffe de ne pas les utiliser.
une autre solution pour la téléphonie.
Une autre solution, il y en a, mais je n'envisage pas de payer 5+ € par mois juste pour ça...
si tu n'as pas de DHCP sur la box il faudra donc mettre des IP en dur sur les équipements que tu vas y brancher, car les requetes DHCP ne sortirons pas de la box.
La box bloque certainement les paquets DHCP vers WAN, mais je ne pense pas qu'elle les bloque entre les ports LAN, donc mon routeur devrait pouvoir gérer le dhcp du LAN tranquillement. La structure est inhabituelle mais en fait assez simple, je ne pense pas que j'aurai de soucis de ce coté.
-
Ou plus simplement : https://lafibre.info/remplacer-sfr/probleme-dinstallation-bypass-voip-red-avec-gigaset-c530-ip/ (https://lafibre.info/remplacer-sfr/probleme-dinstallation-bypass-voip-red-avec-gigaset-c530-ip/)
Il fonctionne parfaitement depuis des années sur plusieurs de mes lignes RED & SFR
Il faut juste faire attention au forwarding des port nécessaire
Désactive tout ce qui est SIP ALG sur le routeur.
Utilisé le bon firmware sur la base C530IP (peut-être que sur les firmware plus récent le problème ne se pose plus)