La Fibre
Datacenter et équipements réseaux => Routeurs => 
Routeur => Discussion démarrée par: BBOMBERMAN le 28 mai 2024 à 13:39:21
-
Bonjour à tous. Je suis nouveau sur le forum et je souhaite sécuriser mon réseau informatique personnel en installant un parefeu Juniper SRX300 acheté d'occasion sur un site bien connu.
Je suis chez Red SFR Fibre et dispose donc d'une box version 7. Les paramètres sont assez limités et je souhaite avoir la main sur ce derniers.
L'idée est donc de laisser la box avec ses paramètres et de gérer les accès grâce à mon parefeu.
Mais c'est là que ça se complique car j'ai lu qu'il faudrait pouvoir passer la box en mode "bridge", ce qui n'est pas possible avec celle de SFR red.
J'ai donc lu qu'il faudrait déclarer l'adresse 192.168.1.2 dans la DMZ dela box et après? Que dois je faire d'autre pour permettre à mes ordis et tablettes d'accéder à internet tout en étant derrière le parefeu?
Voici l'idée:
Merci d'avance pour voter aide.
-
Bonjour,
S'agissant d'un matériel orienté "réseaux d'entreprise", il y a un certain décalage entre les possibilités techniques du pare-feu et tes questions.
-
Bonjour,
Au pire, le firewall de la Box SFR devrait tout de même vous protégé et aussi, il faudrait savoir si vous avez une IP full stack ou pas.
Car dans le cas contraire, le firewall en plus ne sert pas à grand chose.
Sinon, avec une IP full stack, il faut en effet mettre le firewall en DMZ de la box SFR et configurer le firewall pour autoriser les connexions émises depuis son LAN (mais je crois que c'est par défaut) et bloquer les connexions émises depuis son WAN.
Mais sinon le juniper ne serait pas un peu trop overskill pour un usage chez un particulier ?
-
Bonjour et merci pour cette réponse.
Overskill ca veut dire trop complet?
En fait je l'ai acheté sur un site d epetites annonces et je ne l'ai pas payé cher. Mais effectivement c'est peut etre un peu trop pro pour mon usage...
IP full stack? c'est quoi?
Encore merci
-
IP full stack? c'est quoi?
Une "vraie" IP publique avec tous les ports disponibles de 1 à 65 635, accessible depuis l'internet.
Pas de CG-NAT avec le FAI, pas de partage de ports avec les autres clients.
-
Bonjour,
les juniper c'est chaud a configurer...tu maitrises la syntaxe ? j'avais eu sous la main un srx110, sans interface web tout en ligne de commande, faut comprendre ce qu'on fait ;D
-
Je découvre Juniper. Mais il y a quand même une interface graphique et même un wizard pour guider au début.
Pour l'adresse IP full stack, tu veux dire que parfois les FAI bloquent certains ports? A quel niveau? Dans la box ou en amont encore?
-
Je pense qu'il faut d'abord savoir quels "services" tu souhaites exposer sur Internet et pourquoi les fonctionnalités de ta box sont insuffisantes pour les exposer de façon sûre.
Personnellement, alors que j'ai commencé à travailler sur les réseaux TCP/IP avant la naissance de beaucoup de contributeurs de ce forum, je n'ai jamais considéré que j'avais besoin d'installer un firewall dédié à la maison.
Celà dit, tu apprendras beaucoup à faire ce genre d'expérience ...
-
Pour l'adresse IP Full Stack versus CG-NAT il faut comprendre qu'au vu de la pénurie d'adresse IP, SFR a préféré réunir un petit nombre d'abonnées sous une seule adresse IP publique et ils se partages alors les ports les plus usuels avec une translation de port.
Par exemple votre port 80 en fait, c'est peut-être 50080 sur l'adresse IP publique réelle.
Ceci ne pose pas vraiment de problème si vous n'avez pas de serveurs ayant besoin d'un accès depuis l'extérieur.
Ceci devient gênant quand vous avez par exemple un NAS et que vous voulez y accéder depuis votre smartphone en dehors de chez vous.
Il me semble que dans l'interface de la Box, il y a écrit si celle-ci est sur CG-NAT ou pas.
-
Je pense qu'il faut d'abord savoir quels "services" tu souhaites exposer sur Internet et pourquoi les fonctionnalités de ta box sont insuffisantes pour les exposer de façon sûre.
Personnellement, alors que j'ai commencé à travailler sur les réseaux TCP/IP avant la naissance de beaucoup de contributeurs de ce forum, je n'ai jamais considéré que j'avais besoin d'installer un firewall dédié à la maison.
Celà dit, tu apprendras beaucoup à faire ce genre d'expérience ...
Tout a fait d'accord.
-
En fait côté LAN il y aura des caméras, des ordis et tablettes , un NAS avec peut être de la domotique. Donc celui-ci devra être accessible.
Mais pour cela, je comptais monter un VPN car j'ai vu que le parefeu srx300 en offre la possibilité.
Oui c'est sur il y a de quoi de faire. Mais comme le dit pju91 ce sera formateur...
Je trouve que la box sfr est simpliste et surtout, je ne veux pas que l'opérateur modifie les parametre sans m'en informer (redémarrage, MAJ,...).
Bref je souhaiterais la rendre "transparente" afin que tout soit géré avec le juniper
PS: je ne vois pas de trace de CG-NAT dans l'interface de la box.
-
Salut,
Attention, les firewalls d'entreprise demandent souvent une licence pour pouvoir utiliser les fonctions VPN nomades.
C'est pour cela que j'en utilise au boulot, mais pas à la maison car sans les licences, ce genre de matériel est à peu près aussi utile qu'un presse papier.
Pour la partie VPN, tu peux tester Wireguard qui est simple à configurer et open-source.
-
oui j'ai vu qu'il etait possible de mettre des licences mais je n'ai pas compris l'utilité. Je pensais que c'était pour beneficier uniquement des MAJ. D'ailleur j'aurais bien voulu mettre a jour l'OS et autre mais impossible sans compte entreprise. Personne n'aurait un fichier de MAJ de l'OS par hasard?
Wireguard devra être installé sur le NAS donc?
-
Autre question: pour utiliser la fonction VPN (dans le cas ou la licence n'est pas requise), dois je utiliser côté client distant un logiciel en particulier?
-
Dans une lointaine époque, le produit était Pulse Secure.
Mais avec les récents rachats, je ne sais pas.
-
Dans une lointaine époque, le produit était Pulse Secure.
Mais avec les récents rachats, je ne sais pas.
Si je me souviens bien, c'est Ivanti maintenant, mais je ne pense pas que ça soit gratuit.
-
Si vous avez un NAS, alors installez le logiciel de serveur VPN de votre NAS.
Ce sera plus simple et vous pourrez utiliser OpenVPN par exemple.
Sinon, il y a peut-être moyen d'installer un docker avec wireguard.
Bref, ce firewall va vous poser plus de souci que ce que vous recherchez, finalement.
-
Je vais quand même essayer de l'installer vu que je l'ai acheté.... :(
MErci pour vos réponses
JE me dis qu'il doit bien y a voir possibilité d'utiliser openvpn pour se connecter au srx300 non? il faut "juste" configurer un profil client adapté j'imagine?
-
JE me dis qu'il doit bien y a voir possibilité d'utiliser openvpn pour se connecter au srx300 non? il faut "juste" configurer un profil client adapté j'imagine?
dans l'interface web du juniper, est-ce que tu vois quelque part des parametres concernant le VPN ?
Edit:
apparemment oui
(https://i.imgur.com/Xdz2vko.png)
-
oui j'ai bien cela
-
alors si tu peux faire avec du L2TP par exemple, alors tu peux directement connecter un windows, c'est supporté nativement. Pas necessaire de faire du site to site entre 2 routeurs. juste client vers routeur.
-
mon idée est de pouvoir accéder à mon nas (fichiers) à distance depuis un ordis portable (windows) ou un smartphone (android)
Je pense donc être obligé d'installer un logiciel client vpn.
Mais la conf d'un serveur vpn, je ne maitrise pas. Donc c'est pas gagné sur le SRX300...
-
La plupart des NAS, et des équipements de vidéo surveillance, grand public incluent un système pour accéder à distance quelle que soit la Box utilisée, sans avoir à installer de VPN supplémentaire (que de toute façon très peu de clients seraient capables d'installer). Et sinon il est possible d'installer Tailscale sur son NAS et son téléphone (ou PC portable) pour les connecter ensemble, là aussi sans installer de VPN sur son réseau.
Tu apprendras beaucoup en utilisant ton firewall, mais il n'est pas vraiment utile pour ce que tu veux faire.