Auteur Sujet: Double nat et mdns (Freebox PoP+ER-X) (Lu 2704 fois)

TheMadcapLaughs · « **le:** 21 septembre 2020 à 11:46:03 »

Bonjour,
je suis dans une configuration double nat:

Freebox Pop (mode router) --> eth0 wan ER-X ubiquiti (mode router) 
    Subnet A (192.168.1.0)               Subnet B (192.168.3.0)      
          |                                           |
          |                                           |
        WiFi                                       Switch0         
          |                                           | 
          |                                           |
Mobiles, Ordinateurs Windows             Ordinateur Mac, Android Box

Je n'ai pas encore de AP sur le router Ubiquiti donc je dois garder la Freebox en mode router et au même temp j'ai besoin de garder le dhcp côté ER-X car j'ai besoin d'utiliser des routes statiques.
Le subnet A donc n'arrive pas à communiquer avec le subnet B.
Sur le router ER-X j'ai activé le mdns repeater ou mdns reflector.
La box android a le chromecast intégré et si j'essaie de caster depuis mon portable je vois bien dans la liste (par exemple avec l'app Youtube) le nom de ma box android.
Par contre mon portable (subnet A) n'arrive pas à établir une connexion.
J'utilise aussi une app, une sorte de télécommande pour la box android, elle détecte la box et le bon IP sur la subnet B (192.168.3.209) mais au moment de la connexion j'ai une erreur comme la connexion a échoué.
En général si j'utilise une app (Discovery ou Fing, toujours avec un appareil sur la subnet A) pour découvrir les adresses locaux je vois bien tous les services (android.local etc.) mais après je n'arrive pas à les exploiter.
J'ai enlevé le firewall du ER-X mais ça ne change pas le résultat.

Je sais que la topologie de mon réseau n'est pas terrible et je peux accepter le fait que A et B ne se parlent pas.
Ma question est plutôt pour comprendre pour quelle raison j'arrive à voir les adresses du subnet B depuis le subnet A sans pouvoir me connecter.

Pour info, voici ma conf type

Merci par avance

Code: [Sélectionner]

firewall {
    all-ping enable
    broadcast-ping disable
    ipv6-name wan_local-6 {
        default-action drop
        description wan_local-6
        enable-default-log
        rule 1 {
            action accept
            description "Allow Enabled/Related state"
            state {
                established enable
                related enable
            }
        }
        rule 2 {
            action drop
            description "Drop Invalid state"
            log enable
            state {
                invalid enable
            }
        }
        rule 5 {
            action accept
            description "Allow ICMPv6"
            log enable
            protocol icmpv6
        }
        rule 6 {
            action accept
            description DHCPv6
            destination {
                port 546
            }
            protocol udp
            source {
                port 547
            }
        }
    }
    ipv6-receive-redirects disable
    ipv6-src-route disable
    ip-src-route disable
    log-martians enable
    name WAN_IN {
        default-action drop
        description "WAN to internal"
        enable-default-log
        rule 10 {
            action accept
            description "Allow established/related"
            log disable
            source {
            }
            state {
                established enable
                related enable
            }
        }
        rule 20 {
            action drop
            description "Drop invalid state"
            state {
                invalid enable
            }
        }
        rule 21 {
            action accept
            description "Allow Ping"
            destination {
                group {
                    address-group ADDRv4_eth0
                }
            }
            log enable
            protocol icmp
        }
    }
    name WAN_LOCAL {
        default-action drop
        description "WAN to router"
        rule 10 {
            action accept
            description "Allow established/related"
            log enable
            source {
                address 192.168.1.0/24
            }
            state {
                established enable
                related enable
            }
        }
        rule 20 {
            action drop
            description "Drop invalid state"
            log enable
            state {
                invalid enable
            }
        }
        rule 21 {
            action accept
            description "Allow Ping"
            destination {
                group {
                    address-group ADDRv4_switch0
                }
            }
            log disable
            protocol icmp
        }
    }
    receive-redirects disable
    send-redirects enable
    source-validation disable
    syn-cookies enable
}
interfaces {
    ethernet eth0 {
        address dhcp
        address fe80::1/64
        description Internet
        duplex auto
        firewall {
            in {
                name WAN_IN
            }
            local {
            }
            out {
            }
        }
        speed auto
    }
    ethernet eth1 {
        description Local
        dhcp-options {
            default-route update
            default-route-distance 210
            name-server no-update
        }
        duplex auto
        speed auto
    }
    ethernet eth2 {
        description Local
        dhcp-options {
            default-route update
            default-route-distance 210
            name-server no-update
        }
        duplex auto
        speed auto
    }
    ethernet eth3 {
        description Local
        dhcp-options {
            default-route update
            default-route-distance 210
            name-server no-update
        }
        duplex auto
        speed auto
    }
    ethernet eth4 {
        description Local
        dhcp-options {
            default-route update
            default-route-distance 210
            name-server no-update
        }
        duplex auto
        poe {
            output off
        }
        speed auto
    }
    loopback lo {
    }
    switch switch0 {
        address 192.168.3.1/24
        address fe80::1:1/64
        address xxxx:xxx:xxx:xxxx::1/64
        description Local
        dhcp-options {
            default-route update
            default-route-distance 210
            name-server no-update
        }
        firewall {
            out {
                ipv6-name wan_local-6
            }
        }
        ipv6 {
            dup-addr-detect-transmits 1
            router-advert {
                cur-hop-limit 64
                link-mtu 0
                managed-flag false
                max-interval 600
                other-config-flag true
                prefix xxxx:xxx:xxx:xxx::/64 {
                    autonomous-flag true
                    on-link-flag true
                    valid-lifetime 2592000
                }
                radvd-options "RDNSS 2606:4700:4700::1111 2606:4700:4700::1001 {};"
                reachable-time 0
                retrans-timer 0
                send-advert true
            }
        }
        mtu 1500
        switch-port {
            interface eth1 {
            }
            interface eth2 {
            }
            interface eth3 {
            }
            interface eth4 {
            }
            vlan-aware enable
        }
    }
}
port-forward {
    auto-firewall enable
    hairpin-nat enable
    lan-interface switch0
    wan-interface eth0
}
protocols {
    igmp-proxy {
        interface eth0 {
            alt-subnet 0.0.0.0/0
            role upstream
            threshold 1
        }
        interface switch0 {
            alt-subnet 0.0.0.0/0
            role downstream
            threshold 1
        }
    }
    static {
        route6 ::/0 {
            next-hop xxx::xxxx:xxxx:xxxx:xxxx {
                interface eth0
            }
        }
    }
}
service {
    dhcp-server {
        disabled false
        hostfile-update disable
        shared-network-name LAN {
            authoritative enable
            subnet 192.168.3.0/24 {
                default-router 192.168.3.1
                dns-server 192.168.3.1
                lease 86400
                start 192.168.3.38 {
                    stop 192.168.3.243
                }
                static-mapping Shield {
                    ip-address 192.168.3.209
                    mac-address xx:xx:xx:xx:xx:xx
                }
            }
        }
        static-arp disable
        use-dnsmasq enable
    }
    dhcpv6-server {
        shared-network-name lanv6cloudeflare {
            name-server 2606:4700:4700::1111
            name-server 2606:4700:4700::1001
            subnet fe80::1:1/128 {
            }
        }
    }
    dns {
        forwarding {
            cache-size 10000
            listen-on switch0
            name-server xxx.xx.xxx.xxx
            name-server xx.xxx.xxx.xx
        }
    }
    gui {
        http-port 80
        https-port 443
        older-ciphers enable
    }
    mdns {
        reflector
    }
    nat {
        rule 10 {
            description "Captive DNS"
            destination {
                port 53
            }
            inbound-interface switch0
            inside-address {
                address 192.168.3.1
            }
            log enable
            protocol tcp_udp
            type destination
        }
        rule 5010 {
            description "masquerade for WAN"
            outbound-interface eth0
            type masquerade
        }
    }
    ssh {
        port 22
        protocol-version v2
    }
    unms {
        connection xxx
    }
    upnp {
        listen-on eth0 {
            outbound-interface switch0
        }
    }
}
system {
    gateway-address 192.168.1.254
    host-name MadcapEdgeRouter
    login {
        user Madcap {
            authentication {
                encrypted-password $5$Jt8znoY.mOqCVrlH$czR7Ke3iWy95wPP9WGktSMtmxpueVYQlvshtPSUHxP0
            }
            level admin
        }
    }
    name-server xxx.xx.xxx.xxx
    name-server xx.xxx.xxx.xx
    ntp {
        server 0.ubnt.pool.ntp.org {
        }
        server 1.ubnt.pool.ntp.org {
        }
        server 2.ubnt.pool.ntp.org {
        }
        server 3.ubnt.pool.ntp.org {
        }
    }
    offload {
        hwnat enable
        ipsec enable
    }
    package {
        repository stretch {
            components "main contrib non-free"
            distribution stretch
            password ""
            url http://http.us.debian.org/debian
            username ""
        }
    }
    syslog {
        global {
            facility all {
                level notice
            }
            facility protocols {
                level debug
            }
        }
    }
    time-zone Europe/Paris
}

hugohh22 · « **Réponse #1 le:** 24 novembre 2020 à 11:39:27 »

Je suis actuellement en train de réfléchir à la mise en place d'un routeur RT1900AC pour assurer la résilience du réseau.

Je veux conserver ma Freebox Revolution en routeur et le routeur RT1900AC en deuxieme niveau.

Lorsque je regarde la configuration réseau, je retrouve bien l'approche que j'ai.

Je pense que le problème se situe peut-être au niveau de la passerelle configurée.
https://le-routeur-wifi.com/freebox-routeur-tiers-et-services/

Dans cet article, il explique comment positionner le routeur au 2e niveau et renvoyer tout le trafic vers le routeur.

De ce que je comprends, la passerelle mise en place au niveau du 1er equipement doit déterminer la route prise par le trafic.
Les protocoles utilisés pour annoncer les informations (UPNP) sont des protocoles multicast qui envoient l'information à tout ce qui est accessible.
(d'où le fait de voir la box Android)
Par contre votre application se connecte dans le subnet A, utilise la passerelle et ne parvient pas a aller dans le subnet b.

Cohérent ?

La solution possible : mettre en place l'AP dans le subnet b.

Auteur Sujet: Double nat et mdns (Freebox PoP+ER-X) (Lu 2704 fois)

TheMadcapLaughs

Double nat et mdns (Freebox PoP+ER-X)

hugohh22

Double nat et mdns (Freebox PoP+ER-X)