La Fibre
Datacenter et équipements réseaux => Routeurs => 
Routeur => Discussion démarrée par: nonoleterrible le 22 octobre 2025 à 11:04:14
-
Bonjour à tous !
Cela fait quelques jours que je suis confronté face à un problème dont je ne trouve pas la solution.
Pour vous mettre dans le contexte, j'ai récemment acheté un routeur ubiquiti Cloud Gateway. Ne souhaitant pas toucher au réseau initial de ma Bbox 8Go, j'ai décidé de brancher ce routeur derrière le port 10Go de la BBOX.
Pour rappel, le réseau de la BBOX est en 192.168.1.0/24 et celui du routeur Ubiquiti est 192.168.2.0/24. Le routeur Ubiquiti est accessible à l'adresse 192.168.1.180. Le routeur a aussi été mis dans la DMZ de la BBOX.
Sur ce routeur est connecté mon NAS Truenas avec différents services tels que jellyfin ou immich. Ces derniers sont accessibles depuis internet par un nom de domaine en service.[name].com. Par la suite, je redirige les ports 80, 53, 443 vers mon routeur Ubiquiti et ce dernier les redirige vers mon NAS qui à l'aide d'un Nginx proxy manager permet de rediriger vers le bon site.
Le problème que j'ai actuellement est le suivant: je peux accéder à mes services depuis mon téléphone mais pas en local (sur le réseau 1.0 ou 2.0).
Aussi je souhaite pouvoir depuis mon PC fixe sur le réseau 192.168.2.0 de pouvoir accéder à la Bbox en 192.168.1.254. Dans l'autre sens, je souhaite que mon PC portable sur le réseau 192.168.1.0 puisse accéder à mon NAS qui est dans le réseau 192.168.2.0.
Quelle est la solution selon vous ?
Merci et bonne journée
-
salut,
est-ce que la bbox permet de creer des tables de routage ?
-
Salut !
Sauf erreur de ma part elle ne peut pas.
-
ok. et le routeur ubiquiti ?
-
Le routeur le permet bien!
-
alors tu peux au moins déjà partiellement regler ton probleme pour les périphériques raccordés sur ce routeur.
il suffit de faire une règle du type :
Réseau : 0.0.0.0
Masque : 0.0.0.0
Passerelle : 192.168.1.254
Sur les PC connectés en direct sur la Bbox on peut faire une règle permanente avec la commande "route". par contre tu peux faire ca que sur les PC...et je trouve pas ca très propre mais au moins ca a le mérite de marcher. il y a peut etre d'autres solutions qui ne me traversent pas l'esprit pour l'instant.
Sur PC windows, dans un prompt en administrateur:
route -p add 192.168.2.0 mask 255.255.255.0 192.168.1.180Donc on dit que pour aller sur le sous réseau 192.168.2.0 il faut passer par la passerelle 192.168.1.180 qui est ton routeur ubiquiti.
a adapter pour Linux/MAC et autres systemes qui permettent de faire des routes statiques.
-
Merci beaucoup j'ai fait cela et ça fonctionne bien.
As-tu une idée pour mon problème de service inaccessible depuis le réseau interne ?
-
pour cette partie j'ai un peu de mal a comprendre. si tu accèdes a tes service par l'adresse ip locale, ca ne marche pas ?
-
Salut !
En fait je peux y accéder en local sans problème mais j'ai envie d'y accéder depuis "l'entrée publique", c'est à dire le nom en https://jellyfin.[].
Pourquoi cela, car certains équipements comme la TV de Bouygues ne pouvant pas ajotuer de route ne peut pas y accéder.
-
ok, c'est ton double nat qui pose probleme alors.
Ton nom de domaine pointe sur ton ip publique, donc ta redirection de port sur la bbox doit revoyer vers l'ip de l'ubiquiti, et sur l'ubiquiti la meme redirection de port doit renvoyer vers l'ip du NAS. C'est du double NAT, on fait 2x la redirection du port.
j'ai jamais fais ca de ma vie car je n'ai jamais été dans cette situation, donc pure théorie de ma part car je ne sais pas ce qu'il va se passer avec le certificat SSL pour l'acces en https a tes services
-
Je me doutais bien aussi que le double NAT allait poser un problème.
Est-ce que selon toi, il y a une autre solution que faire du double NAT ?
Merci encore
-
Je me doutais bien aussi que le double NAT allait poser un problème.
Est-ce que selon toi, il y a une autre solution que faire du double NAT ?
Merci encore
oui, faire de ton ubiquiti ton routeur principal, mais la c'est plus compliqué.
-
Un peu bloqué alors ...
-
J'avoue que je ne comprends pas pourquoi le double NAT te pose problème. Je l'ai déjà fait, ça fonctionne bien, y compris pour du https, y compris en accédant depuis le LAN1 et depuis le LAN2 à l'IP publique WAN, qui elle même redirige vers des machines du LAN1 ou du LAN2 (double NAT / Double redirection de ports).
sinon, j'entends déjà les amis du forum arriver au loin qui vont te dire que c'est enfantin en IPv6. Perso, je n'en sais rien...
Sur les PC connectés en direct sur la Bbox on peut faire une règle permanente avec la commande "route". par contre tu peux faire ca que sur les PC...et je trouve pas ca très propre mais au moins ca a le mérite de marcher. il y a peut etre d'autres solutions qui ne me traversent pas l'esprit pour l'instant.
Une solution alternative, pour permettre à des machines du réseau 1.0 (BBOX) d'accéder au réseau 2.0 (ubiquiti) c'est de mettre dans le DHCP une option 121 "route statique".
DHCP Option 121, c'est un truc puissant et assez peu connu!
Ma BBox (modèle ancien) a une option pour ça mais elle est 100% bugguée.
J'avais fait un sujet là dessus : https://lafibre.info/installation-ftth/parametrage-options-dhcp-121-dans-la-bbox/
J'avoue que je ne sais même pas comment remonter un bug aux équipes de développement BBox!
A toi de voir si l'option fonctionne dans ta BBox plus récente.
Si tu as le même problème, en alternative, il faudrait désactiver le serveur DHCP de la BBox, et rendre l'ubiquiti serveur DHCP aussi sur le réseau 1.0, et faire des entrées "DHCP option 121" dessus. C'est pas simple, et difficile à maintenir, à débugguer, à comprendre. Mais c'est sans doute faisable.
Honnêtement, le plus simple serait de tout mettre d'un seul côté de tes réseaux.
Leon.
-
on peut aussi eviter d'avoir 2 sous réseaux...quel est l'usage du routeur ubiquiti dans cette histoire ?
-
Si je comprends bien, ton problème est plutôt lié au hairpin NAT qu'au double NAT (utiliser l'ip publique en interne pour accéder à un service derrière cette ip publique).
Honnêtement, je sais pas si il est possible de le faire sur une BBOX.
Cherche si il est possible de mettre en place ce hairpin NAT sur BBOX, mais d'après Leon ça a l'air déjà en place.
-
on peut aussi eviter d'avoir 2 sous réseaux...quel est l'usage du routeur ubiquiti dans cette histoire ?
Si l'idée c'était de pouvoir brancher plusieurs péripheriques en 10Gbps derrière la bbox, un switch de ce type simplifierait les choses:
https://www.amazon.fr/MikroTik-CRS304-4XG-Desktop-Switch-Switche/dp/B0DPR8KLV6
et il n'y aurait plus besoin de faire du routage.
Si l'idée était d'utiliser des fonctionnalités de l'ubiquiti (du coup lesquelles ?) le switch tourne sous switchOS/RouterOS donc il y a moyen d'avoir un dhcp/dns et des fonctions de routage.
-
Bonjour à tous et merci pour vos réponses .
J’ai teste l’option avec le DHCP sans grand succes. En fait, j’ai voulu proceder comme ça pour garder un réseau domestique d’un cote et de l’autre un réseau plus avec mon NAS, mon serveur de test qui est isolé de tous les appareils sauf certains comme le PC portable. Dans ma situation, je ne peux pas changer le routeur Bbox.
-
En fait je peux y accéder en local sans problème mais j'ai envie d'y accéder depuis "l'entrée publique", c'est à dire le nom en https://jellyfin.[].
Peux tu expliquer mieux ?
Ca veut dire quoi y accéder en local : tu peux accéder depuis le réseau 1 et le réseau 2 ? C'est juste avec l'entrée DNS que ça ne fonctionne pas ? Est-ce que ça fonctionne avec l'IP publique ?
Si c'est le cas, il n'y a pas de problème de routage pour moi, mais plutôt de NAT.
Si de l’extérieur cela fonctionne bien, cela veut dire que les deux NAT en place fonctionne bien.
Quand tu dis que tu veux y accéder en local avec l'entrée publique, c'est depuis quel réseau ? Le 1 ou le 2 (cela peut changer au niveau du NAT) ?
-
Bonjour à tous et merci pour vos réponses .
J’ai teste l’option avec le DHCP sans grand succes. En fait, j’ai voulu proceder comme ça pour garder un réseau domestique d’un cote et de l’autre un réseau plus avec mon NAS, mon serveur de test qui est isolé de tous les appareils sauf certains comme le PC portable. Dans ma situation, je ne peux pas changer le routeur Bbox.
Pourquoi tu souhaites "isoler" ce réseau [NAS + serveur], vu que tu as de toutes façon besoin d'accéder au NAS (et au serveur) depuis ton LAN principal? Ca n'est pas clair pour moi.
Tu as besoin de fonctions avancées de l'ubiquiti cloud gateway?
C'est pas clair pour moi ton "cahier des charges".
Leon.
-
Bonjour à tous je vais réexpliquer avec plus de détails ce qui se passe et n'hésitez pas à me poser des questions.
Contexte:
Je suis dans une collocation avec un seul routeur principal (Bouygues 8Go) où j'ai branché sur le port 10Go mon routeur Ubiquiti Cloud Gateway.
Sur le routeur Bouygues (192.168.1.0/24) j'ai des objets connectés, les pc portables et tous les appareils non filaires (dont mon ordinateur portable).
Sur le routeur Ubiquiti (192.168.2.0/24), j'ai mon PC fixe, mon serveur Truenas et un serveur Proxmox.
Maintenant pourquoi cette isolation ? J'ai voulu faire cette isolation pour avoir le contrôle sur les entrées et les sorties de ce qui arrive sur mes différents appareils et serveurs/NAS.
Problème:
Pour accéder aux différents services (immich, jellyfin), j'ai mis en place de la redirection de port de la boxe Bouygues vers l'IP de mon routeur (192.168.1.180), qui lui-même redirige vers l'IP du NAS (192.168.2.10). Au niveau du NAS, il y a un Nginx proxy manager qui permet en fonction du site que l'on a tapé de rediriger vers le bon service.
Le problème actuel est qu'en tapant, par exemple https://immich.[reste] depuis mon réseau local (192.168.1.0/24 ou 192.168.2.0/24), je n'arrive pas à établir de connexion (Connection Timeout). Par contre, depuis mon téléphone en 5G j'arrive à y accéder.
Maintenant, sur les accès, j'arrive à y accéder avec https://192.168.2.10:<port_service> depuis le réseau 192.168.2.0/24.
Sauf si je mets une route en statique sur mes équiepements en 192.168.1.0/24, je n'arrive pas à avoir les différents services.
J'espère avoir été assez clair!
Merci encore
-
Salut,
Avec ton proxmox tu peux déjà mettre en place une machine virtuelle avec un DNS, ce qui te réglera le soucis d'accès par ton nom de domaine : ton DNS donnera les IP locales et non pas l'IP publique. Enfin... avec la bbox qui doit sans doute annoncer ses DNS en IPv6, ça va marcher 1 fois sur 2... à moins que ça soit désactivable ?
Quant au fait que tes services derrière l'ubiquiti sont inaccessibles par les machines en 192.168.1.0/24, c'est dû au NAT. Le cloud gateway s'attend à recevoir des requêtes sur son IP WAN (192.168.1.180), pas d'autres. Il faudrait donc faire une conf hybride, qui fait du NAT pour le net, mais autorise le routage simple entre les 2 LAN.
C'est quelques lignes d'iptables/nftables sur un Linux lambda, mais sur le cloud gateway, je ne sais pas si c'est aussi facilement configurable.
-
Maintenant pourquoi cette isolation ? J'ai voulu faire cette isolation pour avoir le contrôle sur les entrées et les sorties de ce qui arrive sur mes différents appareils et serveurs/NAS.
C'est toujours pas clair la partie "isolation".
C'est pour de la sécurité?
Si oui, tu peux peut-être configurer ton ubiquiti en tant que firewall transparent/non-routé; je ne sais pas si c'est faisable.
Et dans ce cas, ça résout ton problème de double NAT.
Si tu veux conserver le double NAT, j'avoue que je ne comprends pas trop pourquoi ça ne fonctionne pas actuellement. J'ai déjà fait du double NAT, et j'avais accès aux services du réseau n°2, via l'IP publique, depuis n'importe quel endroit du réseau.
Il y a peut-être un truc à activer dans l'ubiquiti genre "loopback", qui permet d'accéder aux services du réseau 2, depuis le réseau 2, en tapant l'IP du réseau 1 ou l'IP publique 176.x.x.x.
Ce qui est certain, c'est que tu dois avoir accès au NAS depuis le réseau 1 (BBox) en tapant l'adresse du routeur Ubiquiti https://192.168.1.180:8080/ par exemple, si tu as fait la redirection, et si tu as accès depuis internet. J'aurais du mal à comprendre que ça ne fonctionne pas.
Leon.
-
Ce qui est certain, c'est que tu dois avoir accès au NAS depuis le réseau 1 (BBox) en tapant l'adresse du routeur Ubiquiti https://192.168.1.180:8080/ par exemple, si tu as fait la redirection, et si tu as accès depuis internet. J'aurais du mal à comprendre que ça ne fonctionne pas.
Leon.
Entièrement d'accord.
Es-tu sur que tu n'essaye pas d'accéder à 192.168.2.10:port depuis le réseau 192.168.1.0 ? Lorsque tu es dans le réseau "1" tu dois taper l'IP de NAT, donc https://192.168.1.180:port
Donc pour essayer de mieux t'aider:
Avec une IP en 192.168.2.X, tu peux accéder à 192.168.2.10:port ? A priori oui d'après ton message
Avec une IP en 192.168.1.X, tu peux accéder à 192.168.1.180:port ? Ce qui serait logique, mais tu sembles dire non ? ou alors tu essaye directement l'Ip en 192.168.2.0 ce qui ne marchera jamais sans route (ce qui règlerait tout tes soucis mais pas configurable sur une box opérateur comme Bouygues. Et encore avec ce setup il faudra gérer le routage asymétrique).
Depuis internet, tu peux accéder avec le nom DNS ? A priori oui. Ça veut dire que les deux NAT semblent bon.
Avec une IP en 192.168.1.X, tu peux accéder avec le nom DNS ? A priori Non.
Avec une IP en 192.168.1.X, tu peux accéder avec l'IP publique au service ? A priori Non plus ?
Avec une IP en 192.168.2.X, tu peux accéder avec le nom DNS (immich.x.x) ? A priori Non
Avec une IP en 192.168.2.X, tu peux accéder avec l'IP publique au service ? A priori non
Si mes a priori sont correct, le NAT fonctionne aux deux niveaux. Donc je maintiens ce que je dis depuis le début, à mon avis c'est un problème de hairpin NAT (ou loopback NAT comme dit Leon). En gros ta redirection de port fonctionne quand tu viens de l’extérieur mais pas quand tu es en interne. A moins que la box Bouygues ait une option hairpin NAT ou lookpback NAT, tu ne pourras pas utiliser le nom DNS en interne du reseau "1".
Pour le réseau "2", sur à 100% que l'Ubiquiti te permet de faire une règle NAT du style "dst IP publique" vers "Dst IP du serv interne" avec du hairpin/loopback.
Il te faudrait déployer d'autres solutions, comme un DNS interne etc pour éviter ces règles NAT supplémentaires.
L'autre solution c'est faire de l'IPv6 :) Dans ce cas tu n'aurais plus ce problème :) Le firewall bridgé devrait fonctionner aussi, mais j'ai jamais trop utilisé.
-
Pour répondre à Léon. La partie isolation c'est à la fois pour la sécurité et à la fois pour permettre de faire joujou sur mon propre réseau sans affecter celui des autres.
Pour répondre à l'ensemble des questions de nicox.
J'arrive bien à accéder à mes services depuis le réseau 1 en tapant https://122.168.1.180:8080/ par exemple. J'ai juste dû mettre en place la redirection de port sur le Ubiquiti.
Aussi le routeur Ubiquiti comme j'ai dit me permet d'avoir le contrôle total sur le réseau c'est à dire de controler le DNS, le DHCP, toutes les options réseaux comme faire de la segmentation ou du VLAN.
Avec une IP en 192.168.2.X, tu peux accéder à 192.168.2.10:port ? Oui je peux.
Avec une IP en 192.168.1.X, tu peux accéder à 192.168.1.180:port ? Oui je peux.
Depuis internet, tu peux accéder avec le nom DNS ? A priori oui. Oui je peux.
Avec une IP en 192.168.1.X, tu peux accéder avec le nom DNS ? Non je ne peux pas
Avec une IP en 192.168.1.X, tu peux accéder avec l'IP publique au service ? Non je ne peux pas
Avec une IP en 192.168.2.X, tu peux accéder avec le nom DNS (immich.x.x) ? Non je ne peux pas
Avec une IP en 192.168.2.X, tu peux accéder avec l'IP publique au service ? Non je ne peux pas
-
Il y a pas 36 solutions.
1. Tu utilises pas la même entrée DNS en interne (genre une entrée immich-local) qui pointe vers l'Ip privée (pas top je suppose)
2. Tu créer un serveur DNS en interne, où ton entrée DNS pointe avec l'IP interne
3. Tu mets le firewall en bridge. En gros ton réseua 2 n'existerait plus mais tu pourrais quand même faire du filtrage avec le firewall. Tu aurais pas une isolation 100%.
4. Tu trouves un moyen d'activer l'hairpin nat sur le routeur bouygues (je connais pas et je sais pas si c'est possible)
-
Salut !
Je pense mettre en place un DNS local qui pointe vers le bon service. Selon vous, le DNS devrait être dans le réseau 1.0 ou 2.0 ?
-
Dans le 1.0, mais comme j'ai dit un peu avant, gaffe avec la bbox et l'ipv6... tu peux virer les annonces DNS (et le DHCPv6) ou pas ?
Clairement, il vaudrait mieux que tu puisse passer par le cloud gateway et créer 2 réseaux pour avoir le control total.
-
On peut éteindre le DHCPv6, pas le RDNSS. Mais une solution serait de passer entièrement par IPv6 grâce à un préfixe délégué. La Bbox aurait ainsi une route de retour, plus de NAT, plus de DNS à double horizon et plus de conflits de ports.
-
C'est sûr que tout passer en Ipv6 serait pas mal, si la délégation fonctionne.
-
Salut !
Je pense mettre en place un DNS local qui pointe vers le bon service. Selon vous, le DNS devrait être dans le réseau 1.0 ou 2.0 ?
Tu peux mettre en DNS local dans le réseau 1.0. Sur ce DNS tu fais pointer sur l'IP de NAT.
-
bonjour,
un truc qui pourrait aider a résoudre le problème. je viens de voir que sur les DNS de nextdns (https://nextdns.io/fr) (gratuit) il est possible d'avoir ses propres parametres, et notamment definir un domaine vers une ip locale :
Ca se trouve sur l'onglet parametres, de la page : https://my.nextdns.io/
(https://i.imgur.com/UXFfAXP.png)
(https://i.imgur.com/wswq3On.png)
-
Dans ton cas, je pense que le vrai blocage vient surtout du NAT loopback. J’ai déjà eu le même souci : impossible d’accéder à mes services via le nom de domaine public depuis le LAN, alors que tout marchait depuis l’extérieur. Sur certains routeurs Ubiquiti, il faut activer explicitement le “hairpin NAT” ou “NAT reflection”. Une fois cette option cochée, les appareils du réseau local peuvent résoudre le nom public vers l’IP interne sans sortir sur Internet. C’est peut-être ce qu’il te manque ici.