Bonjour,
Suite à divers soucis en mode routeur (cf
ce sujet), j'ai passé ma box en bridge récemment. Voici un retour sur la manip' avec quelques petites infos annexes, des fois que ça puisse en aider d'autres. C'est long et un peu en mode <malife>, désolé
Situation de base : - Box en mode routeur
- DHCP actif, sous-réseau 192.168.41.0/24
- WiFi actif, même sous-réseau
Passage de la box en bridgeJ'ai un Ubiquiti EdgeRouter PoE qui me servira … de routeur. Il dispose de 5 ports ethernet, que je vais pour le moment configurer ainsi :
- eth0 : port WAN, configuration en DHCP par la box
- eth1 : inutilisé
- eth2, 3 et 4 : réunis en un switch0 pour les clients LAN
Pour le reste, masquerading des postes clients trouvés connectés depuis switch0 vers les internets via eth0, et un DHCP sur la même plage qu'avant, soit 192.168.41.0/24.
Je suis les instructions trouvées sur le net pour le passage en bridge. Adresse MAC du port eth0 renseignée dans le champ ad hoc de l'interface de la box, power off, connexion du port eth0 du routeur au port LAN 1 de la box, power on. À ce stade j'ai laissé le DHCP de la box
*actif*.
Premier résultat : les postes clients LAN récupèrent bien une config (adresse, passerelle, DNS) via le DHCP du routeur et ont accès au WAN. Je peux même continuer d'accéder à l'interface de la box via 192.168.100.1
En réfléchissant, c'est "logique" : le sous-réseau 192.168.100.0/24 n'étant pas sur le brin, la requête passe par le routeur et arrive donc bien sur le port eth0, nickel. Il y a un peu de NAT qui traîne, mais bon :
if it ain't broken, don't fix it™.
Surprise (pour moi en tout cas, j'avais raté cet épisode), les clients WiFi ont *aussi* accès à Internet, mais PAS accès au LAN. Je découvre à ce moment-là que la box continue à faire routeur pour les clients Wifi, avec en sortie l'adresse IP publique #1 que j'ai toujours connue, alors que les clients câblés sortent par une adresse IP publique #2. Curieux, mais pourquoi pas ; en même temps, deux IP publiques pour le prix d'une, je prends
Et si j'avais fait mes devoirs, j'aurais su ça plus tôt
Retrouver le lien WLAN ←→ LAND'une part, je voudrais éviter d'utiliser la box en routeur, même pour le Wifi, histoire de voir si ça résout les pépins que j'ai régulièrement. D'autre part, si je ne peux plus accéder à mon NAS depuis mon laptop, c'est nul.
J'ai donc l'idée lumineuse suivante : couper le DHCP de la box, connecter le switch de la box à celui du routeur, et espérer que ça marche.
Et ça marche : mon client Wifi voit le LAN, se configure en DHCP, c'est formidable.
…
OU PAS. Je découvre en effet que le NAS est
totalement exposé au net via l'adresse IP publique #1. Je n'ai pas encore l'explication, mais visiblement la Box a fait de l'IP du NAS une sorte de DMZ (alors que non, elle n'est pas déclarée). J'ai essayé avec UN SEUL client câblé et une IP différente dans le même subnet, rien ne passe. Plutôt étrange et assez dérangeant : j'apprécie assez peu de me retrouver à nu sans être prévenu
J'ai donc configuré le port eth1 du routeur sur un second /24, j'y ai collé une deuxième plage DHCP et y ai connecté la box. Résultat, les clients WiFi se servent de la box comme simple AP, se configurent via le DHCP du VRAI routeur, et dialoguent normalement avec le WAN et le LAN.
Accès à l'interface de la boxComme dit plus haut, les clients LAN peuvent taper dans 192.168.100.1 et manipuler la box. En revanche, impossible de faire la même depuis le WAN. Je n'ai pas encore d'explication logique certaine, mais vu que la seule différence entre les 2 est l'IP source du client (dans un cas c'est dans le /24 connu de la box, pas dans l'autre), et que dans le 2è cas je prends des TCP RST à la moindre tentative de connexion, j'ai la vague impression que c'est une forme de contrôle d'accès côté box. À creuser …
Résumé du mode bridge- Seul le port LAN 1 utilise le bridge
- Le WiFi et les autres ports peuvent continuer à utiliser la Box en routeur
- La box fait des choses sales en cachette avec les transferts de ports …
- On dirait que la box ne tolère pas qu'on lui cause depuis une IP inconnue, à vérifier
Je suis preneur de tout commentaire et toute remarque
@+
--
LeCoyote