La Fibre
Datacenter et équipements réseaux => Routeurs => 
Routeur => Discussion démarrée par: mylo le 27 avril 2022 à 09:34:12
-
Bonjour,
J'espère poster au bon endroit.
Je sais que le Double NAT c'est mal quand on utilise son propre routeur. Pour autant, quand on a besoin d'un routeur tiers absolument il n'y a parfois pas le choix. Les FAI grands publics et "pro" (aka Free Pro, Orange Pro, SFR Pro, OVH télécom...) ne proposent que rarement le mode bridge ou un ONT sur lequel se connecter directement.
Est-ce que certains se sont résignés au Double NAT ou ont choisi sciemment d'avoir un double nat pour privilégier un opérateur et avec quelles conséquences ?
Merci d'avance pour vos retour.
-
A ce propos, j'ai une question sans doute bête.
Si le routeur ajouté permet de désactiver le NAT, on peut échapper au double NAT derrière ce routeur et laisser la box NATER qu'une fois?
-
Salut,
Le double nat n'est pas sur le papier très optimisé mais ce n'est pas le mal absolu non plus.
Dans le cas où ta box est reliée seulement à ton routeur (dans une DMZ) et les équipements seulement à ce dernier (wifi ou lan), tu t'évites déjà des ennuis et à moins d'avoir des besoins spécifiques tu n'auras pas de soucis et tout se passera côté routeur pour les ouvertures de ports par exemple.
Si tu es chez free, demande une ip full-stack qui peut éviter des emmerdes et regarde pour activer la délégation d'un prefix IPV6 vers ton routeur. Les sujets sur le forum sont nombreux.
-
Je sais que le Double NAT c'est mal quand on utilise son propre routeur. Pour autant, quand on a besoin d'un routeur tiers absolument il n'y a parfois pas le choix. Les FAI grands publics et "pro" (aka Free Pro, Orange Pro, SFR Pro, OVH télécom...) ne proposent que rarement le mode bridge ou un ONT sur lequel se connecter directement.
Plus simplement c'est surtout que la majorité (tous ? sauf OVH ?) de ces gros fournisseurs d'accès GP ne permet tout simplement pas de déclarer (ou obtenir) des routes sur leur box.
Je ne suis pas client et donc pas vraiment au courant mais sur les versions pro de ces box, il serait étonnant que cela ne soit pas possible.
-
Plus simplement c'est surtout que la majorité (tous ? sauf OVH ?) de ces gros fournisseurs d'accès GP ne permet tout simplement pas de déclarer (ou obtenir) des routes sur leur box.
Je ne suis pas client et donc pas vraiment au courant mais sur les versions pro de ces box, il serait étonnant que cela ne soit pas possible.
Sur la plupart des boxs, on ne peut pas ajouter une route statique vers son routeur perso? (K-box, on ne peut pas)
-
Sur la plupart des boxs, on ne peut pas ajouter une route statique vers son routeur perso? (K-box, on ne peut pas)
Je ne suis clairement pas la bonne personne pour confirmer/infirmer mais il me semble bien que c'est le cas.
-
Sur la plupart des boxs, on ne peut pas ajouter une route statique vers son routeur perso? (K-box, on ne peut pas)
Sur les livebox Pro on peut le faire. (https://i.imgur.com/R9pQRJQ.png)
Sur les SFR Box 7 (NB6VAC) aussi. (https://lafibre.info/sfr-la-fibre/sfr-box-7/msg942769/#msg942769)
-
Merci.
Dans ce cas, le seul soucis est de ne pas pouvoir désactiver NAT sur les autres routeurs?
Sur mon vieil Asus, on peut choisir de nater ou pas l'interface par défaut.
Si on a cela (ajout de route sur box, et non-nat sur routeur en +), on peut éviter le double nat facilement?
Ou je rate encore un truc?
-
Merci.
Dans ce cas, le seul soucis est de ne pas pouvoir désactiver NAT sur les autres routeurs?
Sur mon vieil Asus, on peut choisir de nater ou pas l'interface par défaut.
Si on a cela (ajout de route sur box, et non-nat sur routeur en +), on peut éviter le double nat facilement?
Ou je rate encore un truc?
Vous avez déjà rencontré un appareil où c'est le cas (NAT forcé) ? Ca serait vraiment étrange mais du coup je commence à avoir peur de la réponse...
-
Vous avez déjà rencontré un appareil où c'est le cas (NAT forcé) ? Ca serait vraiment étrange mais du coup je commence à avoir peur de la réponse...
Moi, non.
Mais je n'ai pas eu beaucoup de routeurs grand-public. 1 Linksys, 1 Dlink et 1 Asus en 20 ans.
J'ai posé la question car on voit très souvent sur ce forum que le second routeur impose double NAT obligatoire.
Vu que je ne comprend pas pourquoi, je cherche à comprendre et je demande aux spécialistes. ;)
-
Moi, non.
Mais je n'ai pas eu beaucoup de routeurs grand-public. 1 Linksys, 1 Dlink et 1 Asus en 20 ans.
J'ai posé la question car on voit très souvent sur ce forum que le second routeur impose double NAT obligatoire.
Vu que je ne comprend pas pourquoi, je cherche à comprendre et je demande aux spécialistes. ;)
Seules les Freebox grand public (mini 4K, POP, Delta et sans doute Crystal) permettent le mode bridge qui permet au second routeur de récupérer l'IP publique. ça n'a pas forcément été très stable mais actuellement ça fonctionne.
Chez OVH, on peut se connecter sur l'ONT en PPPoE. On peut le faire chez Orange sur les anciens forfaits où la Livebox 3/4 Pro était reliée à un ONT (on se connecte à l'ONT).
Je ne sais pas chez les autres opérateurs. Quoiqu'il en soit, chez Orange "Pro" avec la Livebox 5 ou 6 (et donc sans ONT) on peut configurer une DMZ et mettre le routeur secondaire dedans.
Mais j'imagine que cela peut engendrer des problèmes: voix sur IP ? latence plus élevée ? moins de débits ?
-
Seules les Freebox grand public (mini 4K, POP, Delta et sans doute Crystal) permettent le mode bridge qui permet au second routeur de récupérer l'IP publique. ça n'a pas forcément été très stable mais actuellement ça fonctionne.
Le mode bridge permet de simplifier et de n'avoir qu'un seul sous réseau coté LAN.
Sans mode bridge, on se retrouve avec LAN1 (de la box) et LAN2 (d'un routeur perso).
Si on peut désactiver le NAT sur le routeur perso (tous les routeurs GP que j'ai vu), je ne comprend pas pourquoi tout le monde (ou presque) propose de faire du double NAT, tout en disant que ce n'est pas propre.
Pourquoi ne pas laisser la box Nater et avoir deux sous-réseaux coté LAN (Chaque routeur avec les tables de routage qui vont bien)?
Je me dis que vu que personne ne le propose, je dois rater un truc...
-
Salut à tous !
Je suis aussi dans la situation du double NAT sur mon réseau local, je précise que je suis un particulier avec une connexion GP. J'ai actuellement 2 Livebox 4 en ADSL + 1 routeur 4G relié sur un routeur multiwan TP-LINK ER605.
J'ai paramétrer mes 2 Livebox ainsi que mon routeur 4G avec une IP différente. Chaque interface de mon routeur multiwan a été mis en DMZ de chaque box. Je gère le réseau, les ouvertures de ports,etc... directement sur le routeur TP-LINK et je ne rencontre pas de soucis particuliers pour le moment. Je suis obligé de garder une Livebox pour la TV ainsi que le tél fixe (t'habites à la campagne pas de réseau, toussa toussa quoi...).
Du coup j'ai été contraint au double NAT car je veux pas m'embêter à bidouiller l'infra Orange et que ça ne fonctionne plus du jour au lendemain sans que je ne sache pourquoi. Il serait bien qu'Orange implémente dans ses box un mode bridge, ça ne serait pas du luxe... Actuellement en ADSL avec mes 2 boxs, pas de baisse de débit et j'ai 1ms supplémentaire qui s'est rajouté à la latence de base (12ms derrière la box/13ms derrière mon routeur). Je vais rester comme ça pour le moment vu que ça fonctionne bien, je ne pense pas changer grand chose quand la fibre sera dispo cet été normalement.
Voilà mon retour d'expérience chez Orange en double NAT, on peut dire que ça fonctionne globalement bien sans accroc.
Cordialement ;)
-
J'ai posé la question car on voit très souvent sur ce forum que le second routeur impose double NAT obligatoire.
Vu que je ne comprend pas pourquoi, je cherche à comprendre et je demande aux spécialistes. ;)
C'est probablement un abus de langage, ce n'est vraisemblablement pas le routeur interne qui impose un NAT. Simplement la box n'a pas une connaissance suffisante de la topologie interne du réseau.
Ca va, au niveau spécialité on est au niveau 0,1 ;D : Une question de base du routage, comment mon routeur sait où envoyer le paquet truc à destination du réseau machin.
Mais apparemment les gens adorent quand c'est inutilement compliqué.
-
Salut Steph,
Je pense qu'il y a une incompréhension concernant le mode bridge. Le 'bridge' des routeurs des FAI est fait entre l'interface fibre et les ports rj45. Le routeur du FAI devient une espèce de modem ou ONT qui ne sert qu'à faire un pont entre ses interfaces RJ45 et la fibre/adsl.
Il n'y a pas donc de réseau 'LAN' du côté du routeur FAI.
L'acquisition d'une ip publique et le routage LAN/WAN est assuré par le deuxième routeur perso et le NAT pour l'ipv4 doit impérativement être activé.
-
D'où l'intérêt de l'ipv6: pour ces cas où on a un routeur derrière un autre routeur, en ipv4 on est obligé:
- soit de faire du double NAT (beurk)
- soit d'utiliser le premier routeur en mode bridge
en ipv6:
- il suffit de faire une délégation de préfixe ;D
-
Je pense qu'il y a une incompréhension concernant le mode bridge. Le 'bridge' des routeurs des FAI est fait entre l'interface fibre et les ports rj45. Le routeur du FAI devient une espèce de modem ou ONT qui ne sert qu'à faire un pont entre ses interfaces RJ45 et la fibre/adsl.
C'est un peu plus qu'un bridge L2, mais dans l'idée, c'est quand même cela.
Il n'y a pas donc de réseau 'LAN' du côté du routeur FAI.
L'acquisition d'une ip publique et le routage LAN/WAN est assuré par le deuxième routeur perso et le NAT pour l'ipv4 doit impérativement être activé.
Je comprends. Le routeur perso assure le NAT coté IP publique.
D'où l'intérêt de l'ipv6: pour ces cas où on a un routeur derrière un autre routeur, en ipv4 on est obligé:
- soit de faire du double NAT (beurk)
- soit d'utiliser le premier routeur en mode bridge
Je vois une troisième solution, qui n'est sans doute pas valide vu que personne ne la propose!
Avoir deux sous réseaux distinct coté LAN avec routage sans nat entre eux?
- soit laisser la box faire le NAT (pas de bridge) et configurer le deuxième routeur sans NAT avec
Une route statique sur la box pour indiquer le réseau de ce deuxième routeur.
Une route statique sur le deuxième routeur pour indiqué le LAN de la box.
La passerelle par défaut du deuxième routeur qui pointe la box (et la box a sa passerelle par DHCP, et NAT sur l'IP publique).
C'est probablement un abus de langage, ce n'est vraisemblablement pas le routeur interne qui impose un NAT. Simplement la box n'a pas une connaissance suffisante de la topologie interne du réseau.
Ca va, au niveau spécialité on est au niveau 0,1 ;D : Une question de base du routage, comment mon routeur sait où envoyer le paquet truc à destination du réseau machin.
Mais apparemment les gens adorent quand c'est inutilement compliqué.
Les routeurs ont des tables de routage pour savoir quoi faire des paquets.
Je rate sans doute un truc, mais cela ne me parait pas si compliqué!
-
@Steph, j'ai un peu réfléchit à ce que tu as dit et je pense que ça tient la route.
Par contre une des raisons pour vouloir utiliser son propre routeur est justement le manque de fonctionnalités des box FAI. Il y a des routeurs FAI qui permettent de configurer des routes statiques? Ceux de Bouygues ne le permettent pas et il me semble que chez Orange c'est pareil.
-
Il y a des routeurs FAI qui permettent de configurer des routes statiques? Ceux de Bouygues ne le permettent pas et il me semble que chez Orange c'est pareil.
https://lafibre.info/routeur/qui-a-ete-contraint-au-double-nat/msg946420/#msg946420
-
@Steph, j'ai un peu réfléchit à ce que tu as dit et je pense que ça tient la route.
Par contre une des raisons pour vouloir utiliser son propre routeur est justement le manque de fonctionnalités des box FAI. Il y a des routeurs FAI qui permettent de configurer des routes statiques? Ceux de Bouygues ne le permettent pas et il me semble que chez Orange c'est pareil.
Merci.
En fait, j'ai l'impression que les fonctionnalités de routage des box ont régressé depuis 10 ans.
Hormis la box GP Box 7 (NB6VAC) , les opérateurs réservent l'ajout de route statique à leur box pro.
Je suis un mauvais exemple, j'ai toujours eu mon propre matériel chez Cegetel->Neuf->SFR.
Le sujet mérite peut-être un inventaire des box GP qui permettent l'ajout d'une route statique?
-
en ipv4 on est obligé:
- …
- soit d'utiliser le premier routeur en mode bridge
Pas si le premier routeur (la box de l’opérateur pour être clair) supporte l’ajout de routes statiques.
-
Pas si le premier routeur (la box de l’opérateur pour être clair) supporte l’ajout de routes statiques.
Merci, ça confirme ce que j'ai raconté.
Il y a quelque part une liste des fonctions de routage des boxs grand public?
Intéressant à faire?
-
Pour revenir à l'OP, il y a des personnes qui utilisent un autre bricolage, ils redirigent l'intégralité des ports vers un routeur placé en "DMZ" qui ensuite route correctement vers l'interne. Je ne sais pas non plus sur quelle box c'est opérationnel.
L'absence de contrôle élémentaire du routage sur la box n'est pas le seul problème. Il n'y a pas non plus maitrise totale de l'adressage sur les interfaces internes. De fait, il y aura une autre précaution à prendre si des machines résident encore sur le même réseau que la box et le routeur (des machines connectées sur la box).
-
Il semble évident que si l'on place un routeur en DMZ pour gérer son réseau, c'est pour ne plus rien laisser sur la box donc bien sûr le wifi de la box doit être coupé.
-
il y a des personnes qui utilisent un autre bricolage, ils redirigent l'intégralité des ports vers un routeur placé en "DMZ" qui ensuite route correctement vers l'interne.
Le routeur/firewall en amont qui renvoie le trafic vers la DMZ, redirige tous les ports pour lesquels il n'a pas de régle, vers le routeur en DMZ. je ne vois pas l'intérêt de faire des règles, puisque ca marche déjà comme cà...
La seule raison que je vois pour faire ça, c'est lorsque le routeur/firewall en amont n'a pas de fonction "DMZ".
-
La solution DMZ évite le double nat?
Parce que à peu près équivalent à un port mirroring WAN->LAN sur une IP en particulier (en L3)?
Les box GP n'ont aucun protocole pour découvrir le réseau local (genre RIP ou autre)? Juste une gateway vers le FAI et basta?
-
La solution DMZ évite le double nat?
Non. Elle évite juste les redirections de port en double pour les services hébergés derrière le second routeur et devant être accessibles depuis internet.
-
La solution DMZ évite le double nat?
Parce que à peu près équivalent à un port mirroring WAN->LAN sur une IP en particulier (en L3)?
Les box GP n'ont aucun protocole pour découvrir le réseau local (genre RIP ou autre)? Juste une gateway vers le FAI et basta?
C'est probablement juste une translation de l'adresse de destination. Ce n'est pas en soi cette opération là qui renseigne suffisamment l'OS sur la topologie et comment atteindre toutes les adresses internes.
Il en faudrait plus par défaut pour que cela fonctionne.
Non. Elle évite juste les redirections de port en double pour les services hébergés derrière le second routeur et devant être accessibles depuis internet.
Purement spéculatif de ma part et pas trop intéressé pour chercher ou tester, mais il est aussi possible que des box ne fassent pas de translation de port s'il n'y a qu'une adresse de "DMZ" à translater en adresse source (et en adresse destination).
De là, même avec la qualification de double NAT, en n'ayant plus de double translation de port et ayant tout le réseau interne derrière le même routeur, ce n'est pas contraignant.
Je n'incite pas à la démarche, il ne faut pas biaiser le problème dont l'hypothèse de départ est de pouvoir mieux maitriser les routes sur une Box.
-
Pour revenir à l'OP, il y a des personnes qui utilisent un autre bricolage, ils redirigent l'intégralité des ports vers un routeur placé en "DMZ" qui ensuite route correctement vers l'interne. Je ne sais pas non plus sur quelle box c'est opérationnel.
L'absence de contrôle élémentaire du routage sur la box n'est pas le seul problème. Il n'y a pas non plus maitrise totale de l'adressage sur les interfaces internes. De fait, il y aura une autre précaution à prendre si des machines résident encore sur le même réseau que la box et le routeur (des machines connectées sur la box).
C'est ce que j'ai du faire sur des offres Orange Pro. L'IP du routeur tiers est dans la DMZ de la Livebox. Tout fonctionne, même la VoIP, mais impossible de monter un tunnel VPN avec le routeur tiers, ça ne passe pas. C'est dans nos usages le seul chose qui ne marche pas.
-
@mylo
vois avec ton commercial Orange pour passer sur une offre FTTH Flexible internet Débit Max Premium (1Gbit Symétrique) à 65€HT/mois, avec un pool de 8 ipv4 offert. De cette facon tu peux mettre ton propre equipement derriere leur box qui devient "un bridge" transparent pour ton routeur.
https://lafibre.info/orange-business-services/livebox-pro-v3-problemes-suite-mises-a-jours/msg946394/#msg946394