Auteur Sujet: Problème de routage (Lu 895 fois)

nonoleterrible · « **Réponse #12 le:** 22 octobre 2025 à 22:14:26 »

Un peu bloqué alors ...

Leon · « **Réponse #13 le:** 22 octobre 2025 à 22:24:25 »

J'avoue que je ne comprends pas pourquoi le double NAT te pose problème. Je l'ai déjà fait, ça fonctionne bien, y compris pour du https, y compris en accédant depuis le LAN1 et depuis le LAN2 à l'IP publique WAN, qui elle même redirige vers des machines du LAN1 ou du LAN2 (double NAT / Double redirection de ports).

sinon, j'entends déjà les amis du forum arriver au loin qui vont te dire que c'est enfantin en IPv6. Perso, je n'en sais rien...

Citation de: rooot le 22 octobre 2025 à 11:46:08

Sur les PC connectés en direct sur la Bbox on peut faire une règle permanente avec la commande "route". par contre tu peux faire ca que sur les PC...et je trouve pas ca très propre mais au moins ca a le mérite de marcher. il y a peut etre d'autres solutions qui ne me traversent pas l'esprit pour l'instant.

Une solution alternative, pour permettre à des machines du réseau 1.0 (BBOX) d'accéder au réseau 2.0 (ubiquiti) c'est de mettre dans le DHCP une option 121 "route statique".
DHCP Option 121, c'est un truc puissant et assez peu connu!
Ma BBox (modèle ancien) a une option pour ça mais elle est 100% bugguée.
J'avais fait un sujet là dessus : https://lafibre.info/installation-ftth/parametrage-options-dhcp-121-dans-la-bbox/
J'avoue que je ne sais même pas comment remonter un bug aux équipes de développement BBox!
A toi de voir si l'option fonctionne dans ta BBox plus récente.

Si tu as le même problème, en alternative, il faudrait désactiver le serveur DHCP de la BBox, et rendre l'ubiquiti serveur DHCP aussi sur le réseau 1.0, et faire des entrées "DHCP option 121" dessus. C'est pas simple, et difficile à maintenir, à débugguer, à comprendre. Mais c'est sans doute faisable.

Honnêtement, le plus simple serait de tout mettre d'un seul côté de tes réseaux.

Leon.

rooot · « **Réponse #14 le:** 22 octobre 2025 à 22:54:33 »

on peut aussi eviter d'avoir 2 sous réseaux...quel est l'usage du routeur ubiquiti dans cette histoire ?

nicox11 · « **Réponse #15 le:** **Hier** à 12:10:09 »

Si je comprends bien, ton problème est plutôt lié au hairpin NAT qu'au double NAT (utiliser l'ip publique en interne pour accéder à un service derrière cette ip publique).
Honnêtement, je sais pas si il est possible de le faire sur une BBOX.

Cherche si il est possible de mettre en place ce hairpin NAT sur BBOX, mais d'après Leon ça a l'air déjà en place.

rooot · « **Réponse #16 le:** **Hier** à 12:41:13 »

Citation de: rooot le 22 octobre 2025 à 22:54:33

on peut aussi eviter d'avoir 2 sous réseaux...quel est l'usage du routeur ubiquiti dans cette histoire ?

Si l'idée c'était de pouvoir brancher plusieurs péripheriques en 10Gbps derrière la bbox, un switch de ce type simplifierait les choses:
https://www.amazon.fr/MikroTik-CRS304-4XG-Desktop-Switch-Switche/dp/B0DPR8KLV6
et il n'y aurait plus besoin de faire du routage.

Si l'idée était d'utiliser des fonctionnalités de l'ubiquiti (du coup lesquelles ?) le switch tourne sous switchOS/RouterOS donc il y a moyen d'avoir un dhcp/dns et des fonctions de routage.

nonoleterrible · « **Réponse #17 le:** **Hier** à 14:22:56 »

Bonjour à tous et merci pour vos réponses .
J’ai teste l’option avec le DHCP sans grand succes. En fait, j’ai voulu proceder comme ça pour garder un réseau domestique d’un cote et de l’autre un réseau plus avec mon NAS, mon serveur de test qui est isolé de tous les appareils sauf certains comme le PC portable. Dans ma situation, je ne peux pas changer le routeur Bbox.

nicox11 · « **Réponse #18 le:** **Hier** à 16:12:51 »

Citer

En fait je peux y accéder en local sans problème mais j'ai envie d'y accéder depuis "l'entrée publique", c'est à dire le nom en https://jellyfin.[].

Peux tu expliquer mieux ?
Ca veut dire quoi y accéder en local : tu peux accéder depuis le réseau 1 et le réseau 2 ? C'est juste avec l'entrée DNS que ça ne fonctionne pas ? Est-ce que ça fonctionne avec l'IP publique ?

Si c'est le cas, il n'y a pas de problème de routage pour moi, mais plutôt de NAT.
Si de l’extérieur cela fonctionne bien, cela veut dire que les deux NAT en place fonctionne bien.

Quand tu dis que tu veux y accéder en local avec l'entrée publique, c'est depuis quel réseau ? Le 1 ou le 2 (cela peut changer au niveau du NAT) ?

Leon · « **Réponse #19 le:** **Hier** à 18:52:07 »

Citation de: nonoleterrible le Hier à 14:22:56

Bonjour à tous et merci pour vos réponses .
J’ai teste l’option avec le DHCP sans grand succes. En fait, j’ai voulu proceder comme ça pour garder un réseau domestique d’un cote et de l’autre un réseau plus avec mon NAS, mon serveur de test qui est isolé de tous les appareils sauf certains comme le PC portable. Dans ma situation, je ne peux pas changer le routeur Bbox.

Pourquoi tu souhaites "isoler" ce réseau [NAS + serveur], vu que tu as de toutes façon besoin d'accéder au NAS (et au serveur) depuis ton LAN principal? Ca n'est pas clair pour moi.
Tu as besoin de fonctions avancées de l'ubiquiti cloud gateway?
C'est pas clair pour moi ton "cahier des charges".

Leon.

nonoleterrible · « **Réponse #20 le:** **Hier** à 22:38:03 »

Bonjour à tous je vais réexpliquer avec plus de détails ce qui se passe et n'hésitez pas à me poser des questions.
Contexte:
Je suis dans une collocation avec un seul routeur principal (Bouygues 8Go) où j'ai branché sur le port 10Go mon routeur Ubiquiti Cloud Gateway.
Sur le routeur Bouygues (192.168.1.0/24) j'ai des objets connectés, les pc portables et tous les appareils non filaires (dont mon ordinateur portable).
Sur le routeur Ubiquiti (192.168.2.0/24), j'ai mon PC fixe, mon serveur Truenas et un serveur Proxmox.
Maintenant pourquoi cette isolation ? J'ai voulu faire cette isolation pour avoir le contrôle sur les entrées et les sorties de ce qui arrive sur mes différents appareils et serveurs/NAS.

Problème:
Pour accéder aux différents services (immich, jellyfin), j'ai mis en place de la redirection de port de la boxe Bouygues vers l'IP de mon routeur (192.168.1.180), qui lui-même redirige vers l'IP du NAS (192.168.2.10). Au niveau du NAS, il y a un Nginx proxy manager qui permet en fonction du site que l'on a tapé de rediriger vers le bon service.
Le problème actuel est qu'en tapant, par exemple https://immich.[reste] depuis mon réseau local (192.168.1.0/24 ou 192.168.2.0/24), je n'arrive pas à établir de connexion (Connection Timeout). Par contre, depuis mon téléphone en 5G j'arrive à y accéder.
Maintenant, sur les accès, j'arrive à y accéder avec https://192.168.2.10:<port_service> depuis le réseau 192.168.2.0/24.
Sauf si je mets une route en statique sur mes équiepements en 192.168.1.0/24, je n'arrive pas à avoir les différents services.

J'espère avoir été assez clair!
Merci encore

renaud07 · « **Réponse #21 le:** **Aujourd'hui** à 03:28:00 »

Salut,

Avec ton proxmox tu peux déjà mettre en place une machine virtuelle avec un DNS, ce qui te réglera le soucis d'accès par ton nom de domaine : ton DNS donnera les IP locales et non pas l'IP publique. Enfin... avec la bbox qui doit sans doute annoncer ses DNS en IPv6, ça va marcher 1 fois sur 2... à moins que ça soit désactivable ?

Quant au fait que tes services derrière l'ubiquiti sont inaccessibles par les machines en 192.168.1.0/24, c'est dû au NAT. Le cloud gateway s'attend à recevoir des requêtes sur son IP WAN (192.168.1.180), pas d'autres. Il faudrait donc faire une conf hybride, qui fait du NAT pour le net, mais autorise le routage simple entre les 2 LAN.

C'est quelques lignes d'iptables/nftables sur un Linux lambda, mais sur le cloud gateway, je ne sais pas si c'est aussi facilement configurable.

Leon · « **Réponse #22 le:** **Aujourd'hui** à 05:41:06 »

Citation de: nonoleterrible le Hier à 22:38:03

Maintenant pourquoi cette isolation ? J'ai voulu faire cette isolation pour avoir le contrôle sur les entrées et les sorties de ce qui arrive sur mes différents appareils et serveurs/NAS.

C'est toujours pas clair la partie "isolation".
C'est pour de la sécurité?
Si oui, tu peux peut-être configurer ton ubiquiti en tant que firewall transparent/non-routé; je ne sais pas si c'est faisable.
Et dans ce cas, ça résout ton problème de double NAT.

Si tu veux conserver le double NAT, j'avoue que je ne comprends pas trop pourquoi ça ne fonctionne pas actuellement. J'ai déjà fait du double NAT, et j'avais accès aux services du réseau n°2, via l'IP publique, depuis n'importe quel endroit du réseau.
Il y a peut-être un truc à activer dans l'ubiquiti genre "loopback", qui permet d'accéder aux services du réseau 2, depuis le réseau 2, en tapant l'IP du réseau 1 ou l'IP publique 176.x.x.x.

Ce qui est certain, c'est que tu dois avoir accès au NAS depuis le réseau 1 (BBox) en tapant l'adresse du routeur Ubiquiti https://192.168.1.180:8080/ par exemple, si tu as fait la redirection, et si tu as accès depuis internet. J'aurais du mal à comprendre que ça ne fonctionne pas.

Leon.

nicox11 · « **Réponse #23 le:** **Aujourd'hui** à 09:29:58 »

Citation de: Leon le Aujourd'hui à 05:41:06

Ce qui est certain, c'est que tu dois avoir accès au NAS depuis le réseau 1 (BBox) en tapant l'adresse du routeur Ubiquiti https://192.168.1.180:8080/ par exemple, si tu as fait la redirection, et si tu as accès depuis internet. J'aurais du mal à comprendre que ça ne fonctionne pas.
Leon.

Entièrement d'accord.
Es-tu sur que tu n'essaye pas d'accéder à 192.168.2.10:port depuis le réseau 192.168.1.0 ? Lorsque tu es dans le réseau "1" tu dois taper l'IP de NAT, donc https://192.168.1.180:port

Donc pour essayer de mieux t'aider:

Avec une IP en 192.168.2.X, tu peux accéder à 192.168.2.10:port ? A priori oui d'après ton message
Avec une IP en 192.168.1.X, tu peux accéder à 192.168.1.180:port ? Ce qui serait logique, mais tu sembles dire non ? ou alors tu essaye directement l'Ip en 192.168.2.0 ce qui ne marchera jamais sans route (ce qui règlerait tout tes soucis mais pas configurable sur une box opérateur comme Bouygues. Et encore avec ce setup il faudra gérer le routage asymétrique).
Depuis internet, tu peux accéder avec le nom DNS ? A priori oui. Ça veut dire que les deux NAT semblent bon.
Avec une IP en 192.168.1.X, tu peux accéder avec le nom DNS ? A priori Non.
Avec une IP en 192.168.1.X, tu peux accéder avec l'IP publique au service ? A priori Non plus ?
Avec une IP en 192.168.2.X, tu peux accéder avec le nom DNS (immich.x.x) ? A priori Non
Avec une IP en 192.168.2.X, tu peux accéder avec l'IP publique au service ? A priori non

Si mes a priori sont correct, le NAT fonctionne aux deux niveaux. Donc je maintiens ce que je dis depuis le début, à mon avis c'est un problème de hairpin NAT (ou loopback NAT comme dit Leon). En gros ta redirection de port fonctionne quand tu viens de l’extérieur mais pas quand tu es en interne. A moins que la box Bouygues ait une option hairpin NAT ou lookpback NAT, tu ne pourras pas utiliser le nom DNS en interne du reseau "1".
Pour le réseau "2", sur à 100% que l'Ubiquiti te permet de faire une règle NAT du style "dst IP publique" vers "Dst IP du serv interne" avec du hairpin/loopback.

Il te faudrait déployer d'autres solutions, comme un DNS interne etc pour éviter ces règles NAT supplémentaires.

L'autre solution c'est faire de l'IPv6

Dans ce cas tu n'aurais plus ce problème

Le firewall bridgé devrait fonctionner aussi, mais j'ai jamais trop utilisé.