Auteur Sujet: Routage statique IPv4 NB6v  (Lu 10093 fois)

0 Membres et 1 Invité sur ce sujet

STux

  • Abonné SFR fibre FttH
  • *
  • Messages: 68
  • GAS (28320)
Routage statique IPv4 NB6v
« le: 17 mai 2016 à 22:34:57 »
Bonjour à tous,

Je viens de recevoir la NB6v en FTTH aujourd'hui, et je rencontre un "léger" soucis. Peut-être pourrez vous m'aider ?
Petite introduction : J'ai un réseau un peu atypique pour un particulier ,

Supernet : 172.18.0.0/18
=> 172.18.1.0/24 , réseaux d'interconnexion VPN (découpé en plusieurs /29)
=> 172.18.2.0/24 , DMZ
=> 172.18.8.0/23 , réseaux "guest/lab" (découpés en /25)
=> 172.18.10.0/23 , LAN
...

Tout ceci est orchestré par un routeur sous Linux, que l'on appelera ici "GroRouter" pour préserver son anonymat.
(qui fait par ailleurs office de firewall pour tout le bousin).

La fraichement arrivée NB6v, est configurée en 192.168.1.1/24 (comme à l'origine, je n'ai rien touché de ce côté; Je n'ai pas osé lui coller un /29 d'entrée... de peur du comportement de la bête, et j'ai probablement bien fait ... ) .
Création d'un nouveau VLAN sur le switch pour accueillir ce nouveau réseau, OK les machines connectées dedans (y compris GroRouter)  accèdent au net.

Globalement on arrive à la configuration suivante :



Premier tests (parce que pas trop le temps dans la journée), en effectuant du NAPT (alias "nat overload" ou encore "MASQUERADE" pour les intimes) sur GroRouter , OK les machines de 172.18.0.0/18 accèdent au net mais "c'est SuperCrado le double NAT  :o" , et surtout ça a fait du vilain sur le SIP de mon IPBX dans le réseau nommé "LAN" :o :o .

Allons donc plus loin dans la folie, la NB6v possède une fonctionnalité qui m'est apparue formidable pour éviter d'avoir à jouer avec les "bidouillages de paquets", j'ai nommé le Menu "réseau v4 => Route"



Ça n'a pas du tout eu l'effet escompté :( ... 

J'ai commencé par ajouter "Destination : 172.18.0.0, Masque : 255.255.192.0, Passerelle : 192.168.1.11"
Totalement inopérant : les paquets sortent bien de GroRouter (dont j'avais préalablement retiré le NAPT, ou "nat overload" ou enco... ah non, ca je l'ai déjà précisé  ;) ) par la bonne interface réseau, mais se perdent ... on ne sais ou :( . La je m'suis dit : le masque est p'têt trop large pour c'te pov' bête ... réduisons ...

Jusqu'à en venir à une configuration particulièrement basique pour ce qui est vendu (/loué) comme étant un routeur  ::):
Deux /24 pour gérer un /23, mais la encore, pas d'amélioration :( .



La ou ça devient encore plus fort :

Une machine en 192.168.1.53 (collé au cul de la box) ping sans soucis 172.18.11.6 (lan derrière GroRouter) et inversement : donc le routage statique fait son office.
Mais aucune des machines de 172.18.0.0/18 n'accède au net dans ces conditions : à croire que les préfixes réseaux déclarés dans "Réseau v4 => Route" ne sont pas pris en compte dans les préfixes pouvant accéder à Internet, en d'autres termes pour les plus connaisseurs (traduit de langage NB6v en netfilter) :

iptables -t nat -A POSTROUTING -o wan -s 192.168.1.0/24 -j MASQUERADE
plutôt que :

iptables -t nat -A POSTROUTING -o wan -j MASQUERADE
Quelqu'un dans l'assistance a t'il seulement réussi à faire un simple routage statique qui fonctionne avec une NB6v en FTTH ?
La question sous-jacente : on doit s'acharner dessus (simplement lui demander de faire son boulot de soit-disant "routeur") ou tuer (bypasser) la pov' bête ?
La question sous-sous-jacente (juste pour le troll) : Si je dis que la NB6v est miteuse, je vais trop vite en besogne ?  ;D

Autant dire que je crains le pire pour IPv6 ... (Ayant un réseau Dual-stack depuis maintenant plusieurs années ... : 6 à 7 sans dire trop de conneries ... )

En vous remerciant déjà d'avoir lu jusqu'au bout ; et si vous avez des pistes, je prend :)

Ah, oui, j'oubliais :



Au delà de cela, trop rien à redire au niveau débit ... 190/49 pour 200/50 commandé , ca pulse plutôt pas mal  ;)

@+
Christophe.

PS : j'ai déjà tenté de désactiver le firewall (de la NB et de GroRouter) :D
« Modifié: 17 mai 2016 à 23:00:44 par STux »

hwti

  • Abonné Orange Fibre
  • *
  • Messages: 2 237
  • Chambly (60)
Routage statique IPv4 NB6v
« Réponse #1 le: 18 mai 2016 à 00:28:15 »
Autant dire que je crains le pire pour IPv6 ... (Ayant un réseau Dual-stack depuis maintenant plusieurs années ... : 6 à 7 sans dire trop de conneries ... )
L'IPv6 chez SFR est dans un tunnel, donc la NB6V doit tout traiter en soft, le débit sera limité.
Peut-être que sans la Neufbox ce sera plus rapide (tout dépend du CPU du routeur), mais ça ne semble pas évident à faire (https://lafibre.info/sfr-tutoriels/bypasser-la-neufbox/ + http://bitsofnetworks.org/utiliser-ipv6-chez-sfr-sans-la-neufbox-fr.html).

Nico

  • Modérateur
  • *
  • Messages: 44 449
  • FTTH 1000/500 sur Paris 15ème (75)
    • @_GaLaK_
Routage statique IPv4 NB6v
« Réponse #2 le: 18 mai 2016 à 00:35:26 »
En prélude, je tiens à dire que les images ne fonctionnent pas chez moi. Je ne sais pas si je suis le seul ?

Ensuite, une question me vient à l'esprit : vu ton installation, pourquoi garder la NB6v !? Autant elle juste marche chez surement 99.9% de gens, autant vu ce qu'il y a chez toi c'est peut-être pas nécessaire de t'obstiner à la garder.

Et sinon concernant IPv6 il est possible de récupérer le L2TP mais le débit reste limité à ~50M (relatif aux équipements en face en fait). Sinon un tunnel chez HE ?

hwti

  • Abonné Orange Fibre
  • *
  • Messages: 2 237
  • Chambly (60)
Routage statique IPv4 NB6v
« Réponse #3 le: 18 mai 2016 à 00:41:08 »
En prélude, je tiens à dire que les images ne fonctionnent pas chez moi. Je ne sais pas si je suis le seul ?
pareil
~ host fibre.stux.fr
Host fibre.stux.fr not found: 3(NXDOMAIN)

Et sinon concernant IPv6 il est possible de récupérer le L2TP mais le débit reste limité à ~50M (relatif aux équipements en face en fait). Sinon un tunnel chez HE ?
L'auteur de http://bitsofnetworks.org/utiliser-ipv6-chez-sfr-sans-la-neufbox-fr.html aurait 105M/80M, et ceci limité par le CPU de son routeur.

Nico

  • Modérateur
  • *
  • Messages: 44 449
  • FTTH 1000/500 sur Paris 15ème (75)
    • @_GaLaK_
Routage statique IPv4 NB6v
« Réponse #4 le: 18 mai 2016 à 08:22:00 »
Ah, bonne nouvelle !

STux

  • Abonné SFR fibre FttH
  • *
  • Messages: 68
  • GAS (28320)
Routage statique IPv4 NB6v
« Réponse #5 le: 18 mai 2016 à 14:03:09 »
Hello,

Oops, en effet, j'avais fait du ménage dans une zone DNS, surement un peu trop , lol , merci de me l'avoir fait remarquer :) .
(Ca doit être mieux maintenant)

Ensuite, une question me vient à l'esprit : vu ton installation, pourquoi garder la NB6v !? Autant elle juste marche chez surement 99.9% de gens, autant vu ce qu'il y a chez toi c'est peut-être pas nécessaire de t'obstiner à la garder.

Je le conçois, du coup, je vais probablement la benner :) ... mais bon, je ne pensais pas être bloqué sur un soucis aussi bête.

Et sinon concernant IPv6 il est possible de récupérer le L2TP mais le débit reste limité à ~50M (relatif aux équipements en face en fait). Sinon un tunnel chez HE ?

J'en ai plusieurs chez SixXS, mais je me disais que vu que le FAI le fournit c'est bête de ne pas l'utiliser : si on peut éviter les intermédiaires :) .
D'ailleurs, il est de quelle taille le préfixe fourni chez SFR ?

Peut-être que sans la Neufbox ce sera plus rapide (tout dépend du CPU du routeur), mais ça ne semble pas évident à faire (https://lafibre.info/sfr-tutoriels/bypasser-la-neufbox/ + http://bitsofnetworks.org/utiliser-ipv6-chez-sfr-sans-la-neufbox-fr.html).

Merci pour les liens, c'est très intéressant :)

Question rapide sur le bypass :
Il me semblait qu'il fallait spoofer l'adresse mac de la box pour obtenir une adresse IP du DHCP de SFR , on m'aurait menti ?
Si ce n'est qu'un vendorID à ajouter dans le client, c'est bien plus simple que ce que je pensais .

@+ et merci pour les infos :)

Nico

  • Modérateur
  • *
  • Messages: 44 449
  • FTTH 1000/500 sur Paris 15ème (75)
    • @_GaLaK_
Routage statique IPv4 NB6v
« Réponse #6 le: 19 mai 2016 à 08:30:32 »
Je le conçois, du coup, je vais probablement la benner :) ... mais bon, je ne pensais pas être bloqué sur un soucis aussi bête.
C'est certain mais pour le coup y a vraiment pas d'avantage à la garder dans ton cas.

Citer
D'ailleurs, il est de quelle taille le préfixe fourni chez SFR ?
/56.

Citer
Il me semblait qu'il fallait spoofer l'adresse mac de la box pour obtenir une adresse IP du DHCP de SFR , on m'aurait menti ?
Si ce n'est qu'un vendorID à ajouter dans le client, c'est bien plus simple que ce que je pensais .
Tout est surement ici : https://lafibre.info/sfr-tutoriels/bypasser-la-neufbox/

STux

  • Abonné SFR fibre FttH
  • *
  • Messages: 68
  • GAS (28320)
Routage statique IPv4 NB6v
« Réponse #7 le: 20 mai 2016 à 00:31:52 »
Hello Nico,

Le Bypass a été fait la nuit dernière, OpenBSD en renfort (j'adore cet OS)

(Au dela de l'option de "dhclient.conf" qui ne porte pas le même nom sous OpenBSD que sous Linux, ça a été un problème vite réglé).

# ifconfig vlan207
vlan207: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        lladdr 00:1f:16:f0:dc:55
        description: SFRByPassed
        priority: 0
        vlan: 207 parent interface: trunk0
        groups: vlan egress
        status: active
        inet 77.207.XX.YYY netmask 0xffffff00 broadcast 77.207.XX.255



Et pour IPv6 je suis effectivement passé par un tunnel HE (à comparer avec les tunnels SixXS préalablement utilisés dont le POP le plus proche est à Marseille, chez Jaguar , et il y a globalement +15 ms de latence) :

Ping sur une dedibox chez Online sur l'IPv6 qu'ils proposent, étant chez SFR , et en passant par un tunnel 6to4 (via HE) à domicile , ça m'impressionne moi même :

stux@wks6:~$ ping6 s0.yyy.stux6.net
PING s0.yyy.stux6.net(s0.yyy.stux6.net) 56 data bytes
64 bytes from s0.yyy.stux6.net: icmp_seq=1 ttl=58 time=8.66 ms
64 bytes from s0.yyy.stux6.net: icmp_seq=2 ttl=58 time=7.26 ms
64 bytes from s0.yyy.stux6.net: icmp_seq=3 ttl=58 time=5.88 ms
64 bytes from s0.yyy.stux6.net: icmp_seq=4 ttl=58 time=4.42 ms
64 bytes from s0.yyy.stux6.net: icmp_seq=5 ttl=58 time=7.88 ms
64 bytes from s0.yyy.stux6.net: icmp_seq=6 ttl=58 time=6.24 ms

HE a vraiment un bon réseau !  :D je ne vois trop demander de plus ...

@+
Christophe.