La Fibre
Datacenter et équipements réseaux => Routeurs => 
Ubiquiti => Discussion démarrée par: Fyr le 02 octobre 2025 à 15:21:49
-
Comme c'est une question qui revient souvent ...
-
a noter qu'on peut gérer tous les prefixes y compris le principal avec l'Unifi:
-définir l'interface wan en static IP, mettre fe80::1/64 comme adresse
-dans l'interface de la freebox, noter l'ipv6 link-local (lien local) tout en haut. mettre fe80::1 dans tous les champs next-hop y compris le principal
-définir comme gateway IPv6 dans l'unifi la link-local de la freebox
le reste est identique
-
-définir l'interface wan en static IP, mettre fe80::1/64 comme adresse
en "Static" ça n'a pas du tout marché chez moi.
-
en "Static" ça n'a pas du tout marché chez moi.
avec fe80::1/64 ?
ca marche sur "raw" Linux, Opnsense, PfSense, OpenWrt, EdgeOS (erl3,er-x). A moins qu'Unifi fasse une tambouille particulière ?
-
Merci énormèment @Fyr
Si j'ai 3 sous réseaux configurés est-ce que je dois mettre le lien local indiqué au début dans tous les next hop ? et renseigner ensuite le préfixe principal dédié dans chaque sous réseau ?
De plus quand je vais en ssh sur le dream router j'ai un local link a ::b202 et sur l'interface unifi j'ai ::b200, lequel est le bon ?
Merci
-
si les 3 réseaux IPv6 sont tous derriere le même routeur unifi oui tu mets la même adresse link-local au 3 next-hop, comme tu as fait.
Et oui pour chaque réseau tu dis quel préfixe tu as choisi dans ton routeur Unifi.
Pour savoir la bonne c'est celle de l'interface qui voit ta freebox. Pas besoin de ssh ça se voit dans l'interface graphique sans faire d'erreur.
Tu vas dans "Unifi Device" ça te liste ton UCG Fiber tu cliques dessus. Le pop-up à droite tu as la liste des interfaces qui marchent. Tu regardes celle qui va sur la freebox, t'as des petites infos dont "ISP Free SAS" (là t'es sûr que c'est elle) et y aura l'adresse en link local à mettre dans la freebox
-
Merci pour ces informations, je pense que l'interface a evoluée car l'information IPV6 n'est pas sous la section wan1, est-ce celle qui est dans la section sans nom avec l'ip local 192.168.1.1 ?
-
Merci pour ces informations, je pense que l'interface a evoluée car l'information IPV6 n'est pas sous la section wan1, est-ce celle qui est dans la section sans nom avec l'ip local 192.168.1.1 ?
c'est bien la WAN1 qui voit ta Freebox y a le "ISP" indicateur.
Par contre elle pas encore d'IPv6. Ou pas encore vu. Fais bien la "IPv6 Configuration" dans la partie "Internet" ça va déclencher IPv6 sur cette interface et lui donner une link-local. La partie tout au début. Des fois faut appuyer sur "Manual" en haut en "Auto" c'est tout grisé on peut rien mettre
-
Ha, je vois, donc en ayant tout repassé en revu depuis le début je pense que y'a surement quelque chose qui ne fonctionne pas comme attendu, car je n'ai pas d'ip v6 au niveau de l'ISP qui apparait, peut être qu'il faut que je redémarre mon dream routeur
16:13 : Redémarrer ne change rien :-\
-
Il semble qu'en désactivant le dhcp ipv6 de la freebox l'ip est désormais visible :D
-
Il semble qu'en désactivant le dhcp ipv6 de la freebox l'ip est désormais visible :D
Oui :)
-
Il semble qu'en désactivant le dhcp ipv6 de la freebox l'ip est désormais visible :D
Bravo ! 10/10 !
Oui ça supporte que le SLAAC
-
J'aurai même désactiver pare-feu, mais c'est un autre débat...
-
Il semble qu'en désactivant le dhcp ipv6 de la freebox l'ip est désormais visible :D
Je n’ai pas encore installé Free (ce sera pour la semaine prochaine), mais pourriez-vous m’expliquer brièvement comment je dois configurer la Freebox et l’Unifi pour que l’IPv6 fonctionne correctement ?
-
Comme dans le premier post ici pour ton prochain UCG Fiber.
-
Ha, je vois, donc en ayant tout repassé en revu depuis le début je pense que y'a surement quelque chose qui ne fonctionne pas comme attendu, car je n'ai pas d'ip v6 au niveau de l'ISP qui apparait, peut être qu'il faut que je redémarre mon dream routeur
16:13 : Redémarrer ne change rien :-\
J'ai la même chose depuis des années dans l'affichage côté Unifi et l'ipv6 fonctionne parfaitement pour autant. Ce n'est qu'un soucis d'affichage qui pour une raison étrange ne marche qu'en pppoe ou slaac. Je garde dhcpv6 pour ma part :D
-
J'ai la même chose depuis des années dans l'affichage côté Unifi et l'ipv6 fonctionne parfaitement pour autant. Ce n'est qu'un soucis d'affichage qui pour une raison étrange ne marche qu'en pppoe ou slaac. Je garde dhcpv6 pour ma part :D
Tu peux utiliser DHCPv6 sur ton LAN. Par contre avec la Freebox le DHCPv6 marchera pas par défaut. Faut aller l'activer. Jamais testé en bridge.
EDIT bah en bridge DHCPv6 kaput https://lafibre.info/free-les-news/freebox-pop-en-bridge-pas-de-reponse-depuis-dhcpv6-server-sol/
-
Tu peux utiliser DHCPv6 sur ton LAN. Par contre avec la Freebox le DHCPv6 marchera pas par défaut. Faut aller l'activer. Jamais testé en bridge.
EDIT bah en bridge DHCPv6 kaput https://lafibre.info/free-les-news/freebox-pop-en-bridge-pas-de-reponse-depuis-dhcpv6-server-sol/
Oui, cette option est activé (depuis bien longtemps) et mode dhcpv6 côté wan de l'udm et tout fonctionne de mon côté :o
-
Savez-vous si il est possible de configurer en ip statique la partie IPV4?
Je voudrais ne pas laisser la gateway obtenir les DNS mais uniquement l'IP de la box ???
-
Savez-vous si il est possible de configurer en ip statique la partie IPV4?
Je voudrais ne pas laisser la gateway obtenir les DNS mais uniquement l'IP de la box ???
Ah pour ne pas utiliser les DNS tu décoches "AUTO" et ça te permet de remplir les IP des DNS de ton choix. Identique pour la partie IPv6, tu décoches "AUTO" et tu mets les IPv6 des DNS que tu souhaites. Et ça sera ce/ces DNS que la gateway utilisera, et sans autre précision diffusera en DHCP sur la partie LAN
Si tu passes par une IPv4 statique ça n'ouvre pas la partie DNS, comme l'image le montre. Faut vraiment décocher le "AUTO" de la partie DNS.
Attention : si tu souhaites utiliser ensuite la partie "CONTENT FILTER" l'UCG Fiber bloquera toutes autres requêtes DNS vers Internet dont il n'est pas l'origine.
-
Ah pour ne pas utiliser les DNS tu décoches "AUTO" et ça te permet de remplir les IP des DNS de ton choix. Identique pour la partie IPv6, tu décoches "AUTO" et tu mets les IPv6 des DNS que tu souhaites. Et ça sera ce/ces DNS que la gateway utilisera, et sans autre précision diffusera en DHCP sur la partie LAN
Si tu passes par une IPv4 statique ça n'ouvre pas la partie DNS, comme l'image le montre. Faut vraiment décocher le "AUTO" de la partie DNS.
Attention : si tu souhaites utiliser ensuite la partie "CONTENT FILTER" l'UCG Fiber bloquera toutes autres requêtes DNS vers Internet dont il n'est pas l'origine.
Alors, Oui et non.
Dans l'usage, le système UI va quand même assigner les DNS de l'opérateur qu'il récupère de son interface WAN pour les utiliser si il n'a pas de réponse des DNS configurés manuellement (vérifiable dans les logs, le wan failover notament).
Je m'en suis aussi rendu compte en testant ce weekend avec quelque tcpdump car je ne comprenais pas pourquoi de l'exterieur (j'ai un switch avec les 2 ports en mirror pour analyse entre la box et le port wan de la gateway) j'avais autant de traffique vers les dns Free et surtout une fois ceux la bloqués, la gateway n'arrive plus à faire les tests de ping sur le dashboard ni le wan failover.
C'est pourquoi j'aurais aimé pouvoir configuré en statique pour éviter ma configuration actuelle, mais cela ne semble visiblement pas une option donc je vais continuer à bloquer manuellement :-\
-
je vais refaire la réponse
Savez-vous si il est possible de configurer en ip statique la partie IPV4?
oui c'est possible
Je voudrais ne pas laisser la gateway obtenir les DNS mais uniquement l'IP de la box ???
On sait pas si ton problème c'est mettre une IP statique à la gateway obtenu quand même en DHCP avec Free ou de donner des DNS (injoignables donc avec ta réponse) à la gateway.
La réponse DHCP contiendra les deux infos dans le même paquet.
Après pour être franc prenez un Mikrotik, vous gérez tout de A à Z c'est pas aussi assisté que Unifi. Et dans le cadre de cette assistance à l'utilisateur qu'il vérifie que les DNS statiques indiqués soient joignables c'est bullet proof et normal. Après t'envoies un bug report à Unifi pour ne pas faire de fallback sur les DNS DHCP dans le cas où les DNS statiques indiqués ne sont pas joignables.
-
je vais refaire la réponse
oui c'est possible
On sait pas si ton problème c'est mettre une IP statique à la gateway obtenu quand même en DHCP avec Free ou de donner des DNS (injoignables donc avec ta réponse) à la gateway.
La réponse DHCP contiendra les deux infos dans le même paquet.
Après pour être franc prenez un Mikrotik, vous gérez tout de A à Z c'est pas aussi assisté que Unifi. Et dans le cadre de cette assistance à l'utilisateur qu'il vérifie que les DNS statiques indiqués soient joignables c'est bullet proof et normal. Après t'envoies un bug report à Unifi pour ne pas faire de fallback sur les DNS DHCP dans le cas où les DNS statiques indiqués ne sont pas joignables.
Merci.
La question était, dans la configuration ipv4 wan, quelqu'un à-t-il déjà essayé de configurer sur IP static plutôt que dhcp et si cela fonctionne? Je ferais un test à l'occasion, voir ce que la gateway récupère dans ce cas de figure.
J'ai déjà discuté avec UI sur le sujet mais c'est un cas spécifique et surtout intentionnel le fallback sur les DNS obtenu pour parer au mauvaise configuration.
Et non, aucunement l'intention de partir sur autre chose que de l'Ubiquiti, encore moins du Microtik ;D, et puis, les routeurs capable de faire du 25gb et router au minimum du 10gb avec ips/ids ne courent pas les rues.
-
SI j'ai bonne mémoire , en mode bridge, la freebox établi une route/(bridge dmz) vers l'adresse MAC qui a reçu l'IPv4 en DHCP. donc si y'a pas de requête DHCP y'a peu de chance que ca route...(a tester apres un reboot de la Freebox par exemple car ca peut marcher si on est DHCP et puis on passe en statique sans up/down l'interface réseau reliée a la Freebox).
-
SI j'ai bonne mémoire , en mode bridge, la freebox établi une route/(bridge dmz) vers l'adresse MAC qui a reçu l'IPv4 en DHCP. donc si y'a pas de requête DHCP y'a peu de chance que ca route...(a tester apres un reboot de la Freebox par exemple car ca peut marcher si on est DHCP et puis on passe en statique sans up/down l'interface réseau reliée a la Freebox).
J'ai deja testé en statique sur un ancien Mikrotik. Y a pas d'ouverture de flux sur requête DHCP comme le fait K-Net sur l'offre activée du SIEA par exemple.
Ca doit être un cas borderline d'une IP full stack "nécessaire" en bridge.
-
hum du coup si tu branches 2 équipements derriere une Freebox en mode bridge, et qu'aucun ne fait de requête DHCP et que les 2 ont leur interface configurée avec l'IP public, vers lequel le trafic IPv4 est redirigé ? ca utilise ARP ?
-
Je me demande si ils ont changé quelque chose car j'ai voulu testé rapidement hier et cela n'a pas du tout fonctionné je n'avais plus de traffic ipv4 du tout, dès que je suis repassé en dhcp, c'est revenu.
-
Comme c'est une question qui revient souvent ...
Bonjour !
Tout d'abord merci à toi @Fyr et à toute la commu' LaFibre, ça m'a énormément aidé à faire un choix et donc partir sur Unifi Dream Router 7 en routeur et la Freebox en bridge.
Voilà, je compte faire fonctionner le PlayerTV (avec OqeeTV - devenu FreeTV maintenant) de Free (fourni avec la Freebox POP) mais j'ai compris que ça ne fonctionnait qu'en IPV6, c'est ça ?
J'aurai plusieurs VLAN (j'ai pas encore réfléchi mais disons les basiques : Home, IoT, Guest, PlayerTV (car oui, je compte mettre le PlayerTV sur son propre VLAN, je pense que c'est le mieux non ?)
-------
J'ai plusieurs questions : (je suis très novice en networking)
- Avec ton tuto, je crois comprendre qu'il faudra mettre 4 Next Hop sur la Freebox ? (un pour chaque VLAN)
- Et du coup mon PlayerTV fonctionnera bien ? Vu que son réseau interne (VLAN) aura son IPV6 attribué.
- Les autres VLAN auront besoin également d'une IPV6 ou je laisse en IPV4 ?
- Qu'en est-il de la sécurité ? Car vu qu'on désactive le firewall IPV6 sur la Freebox, normalement c'est celui du UDR7 qui prend le relai non ? Si je le laisse tel quel sans toucher, aucun risque vu que les IPV6 sont publiques ? C'est un "scénario" étant donné que je vais évidemment créer des règles, mais c'est pour savoir, au cas où.
- Quelqu'un a t-il déjà tester OqeeTV sur AppleTV en IPV4 ? Si oui, ça fonctionne bien ? Histoire d'éviter toutes ces magouilles IPV6, si je peux aller au plus simple...
-------
EDIT : je demande également car j'avais vu d'autres tutos qui mettaient le IPV6 du WAN / LAN en "Single Network" au lieu de "Prefix Delegation" (comme ce tuto : https://lafibre.info/remplacer-freebox/ultra-ubiquiti-ucg-ipv6-vlan/ (https://lafibre.info/remplacer-freebox/ultra-ubiquiti-ucg-ipv6-vlan/) )
-
Voilà, je compte faire fonctionner le PlayerTV (avec OqeeTV - devenu FreeTV maintenant) de Free (fourni avec la Freebox POP) mais j'ai compris que ça ne fonctionnait qu'en IPV6, c'est ça ?
ça marche avec les deux v4 et v6. Juste mettre les deux entrées DNS dans ton UDR7 pour éviter le lag de changement de chaine. Y a juste Canal+ Live qui ne marche plus du tout.
J'aurai plusieurs VLAN (j'ai pas encore réfléchi mais disons les basiques : Home, IoT, Guest, PlayerTV (car oui, je compte mettre le PlayerTV sur son propre VLAN, je pense que c'est le mieux non ?)
Concernant l'organisation des réseaux domestiques, j'ai zéro avis sur le découpage de vos réseaux internes. Vous mettez le curseur de sécurité réel ou perçu où vous voulez. Et le curseur de gestion de ce réseau idem : exemple si vous voulez offrir un accès aux invités à un PLEX sur votre IoT ou Home faudra ouvrir les flux etc.
- Avec ton tuto, je crois comprendre qu'il faudra mettre 4 Next Hop sur la Freebox ? (un pour chaque VLAN)
Oui. Le même 4x fois pour chacun des tes 4 réseaux Home Guest IoT PlayerTV
- Et du coup mon PlayerTV fonctionnera bien ? Vu que son réseau interne (VLAN) aura son IPV6 attribué.
Oui avec les entrées DNS pour mafreebox.free.fr pour supprimer le lag dans le changement de chaine. C'est dans le "Policy Engine" Create new policy et tu choisis DNS et tu remplis en v4 avec 212.27.38.253 et en IPv6 celle que tu vois sur le web de gestion de ta freebox, "Etat de la Freebox" qui est vert, onglet "Etat Internet" et la valeur dans "Adresse IPv6"
- Les autres VLAN auront besoin également d'une IPV6 ou je laisse en IPV4 ?
Si tu débutes , en safe : tu mets les IPv4 + IPv6 partout. Si tu vois que ça déconne sur l'IoT par exemple tu coupes le v6 sur ce réseau là ou tu isoles ceux qui déconnent en IPv6 dans un IoTv4Only
- Qu'en est-il de la sécurité ? Car vu qu'on désactive le firewall IPV6 sur la Freebox, normalement c'est celui du UDR7 qui prend le relai non ? Si je le laisse tel quel sans toucher, aucun risque vu que les IPV6 sont publiques ? C'est un "scénario" étant donné que je vais évidemment créer des règles, mais c'est pour savoir, au cas où.
Le firewall v6 de la freebox c'est tout ou rien.
Si tu veux exposer un service IPv6 faut désactiver le firewall v6 sur la freebox et faire un réglage fin sur ton UDR7
Mais oui par défaut ton URD7 va couper l'IPv6 entrant qui n'a pas été ouvert par un flux sortant. Quand une machine interne veut aller sur Internet en IPv6, et que tu l'as permis pour ce réseau, ton UDR7 va créer un contexte dans une table pour permettre à la réponse de rentrer. Et bloquer les flux entrant sans contexte associé.
C'est pour ça que quand tu feras tes règles il faudra pas oublier la petite case : "Auto Allow Return Traffic" pour les règles entrantes depuis Internet vers ton services ou tes règles entre tes réseaux.
- Quelqu'un a t-il déjà tester OqeeTV sur AppleTV en IPV4 ? Si oui, ça fonctionne bien ? Histoire d'éviter toutes ces magouilles IPV6, si je peux aller au plus simple...
Ça fonctionne de ouf sans supercherie DNS pour le lag du changement de chaine de OQEE
Concernant Canal+ je viens d'allumer "Free TV" sur mon boitier Apple TV : message pour aller sur le player pour voir la chaine 40 Canal+. Tout le reste marche. Je viens aussi de vérifier, sur un iPhone en wifi derriere mon routeur Unifi le OQEE permet bien de voir Canal+ Live maintenant, mais pas sur l'Apple Tv. C'est blocage "d'ayants droits", pas un problème technique
J'ai l'option à 14 euros pour le Ciné du coup j'utilise l'appli myCanal, problem solved. Il est tout à fait possible d'associer son compte Free avec TV by Canal dans l'app myCanal et de tout avoir dans la même application
EDIT : je demande également car j'avais vu d'autres tutos qui mettaient le IPV6 du WAN / LAN en "Single Network" au lieu de "Prefix Delegation" (comme ce tuto : https://lafibre.info/remplacer-freebox/ultra-ubiquiti-ucg-ipv6-vlan/ (https://lafibre.info/remplacer-freebox/ultra-ubiquiti-ucg-ipv6-vlan/) )
J'en parle un peu aussi avec "Méthode simple" C'est pas la "méthode canonique" le single Network est propre à Unifi, peut être d'autres routeurs mais j'ai jamais rencontré. C'est une méthode qui implique de n'avoir qu'un seul réseau IPv6. C'est juste immédiat (d'où le vous pouvez ignorer la suite, direct, sans intervention sur la freebox pour tricoter le ou les next-hop, et super pratique pour les extrêmes novices quand tu communiques "à distance" Ça juste marche et ça fait le job.
Bon fun avec ton UDR7 !
-
ça marche avec les deux v4 et v6. Juste mettre les deux entrées DNS dans ton UDR7 pour éviter le lag de changement de chaine. Y a juste Canal+ Live qui ne marche plus du tout.
Concernant l'organisation des réseaux domestiques, j'ai zéro avis sur le découpage de vos réseaux internes. Vous mettez le curseur de sécurité réel ou perçu où vous voulez. Et le curseur de gestion de ce réseau idem : exemple si vous voulez offrir un accès aux invités à un PLEX sur votre IoT ou Home faudra ouvrir les flux etc.
Oui. Le même 4x fois pour chacun des tes 4 réseaux Home Guest IoT PlayerTV
Oui avec les entrées DNS pour mafreebox.free.fr pour supprimer le lag dans le changement de chaine. C'est dans le "Policy Engine" Create new policy et tu choisis DNS et tu remplis en v4 avec 212.27.38.253 et en IPv6 celle que tu vois sur le web de gestion de ta freebox, "Etat de la Freebox" qui est vert, onglet "Etat Internet" et la valeur dans "Adresse IPv6"
Si tu débutes , en safe : tu mets les IPv4 + IPv6 partout. Si tu vois que ça déconne sur l'IoT par exemple tu coupes le v6 sur ce réseau là ou tu isoles ceux qui déconnent en IPv6 dans un IoTv4Only
Le firewall v6 de la freebox c'est tout ou rien.
Si tu veux exposer un service IPv6 faut désactiver le firewall v6 sur la freebox et faire un réglage fin sur ton UDR7
Mais oui par défaut ton URD7 va couper l'IPv6 entrant qui n'a pas été ouvert par un flux sortant. Quand une machine interne veut aller sur Internet en IPv6, et que tu l'as permis pour ce réseau, ton UDR7 va créer un contexte dans une table pour permettre à la réponse de rentrer. Et bloquer les flux entrant sans contexte associé.
C'est pour ça que quand tu feras tes règles il faudra pas oublier la petite case : "Auto Allow Return Traffic" pour les règles entrantes depuis Internet vers ton services ou tes règles entre tes réseaux.
Ça fonctionne de ouf sans supercherie DNS pour le lag du changement de chaine de OQEE
Concernant Canal+ je viens d'allumer "Free TV" sur mon boitier Apple TV : message pour aller sur le player pour voir la chaine 40 Canal+. Tout le reste marche. Je viens aussi de vérifier, sur un iPhone en wifi derriere mon routeur Unifi le OQEE permet bien de voir Canal+ Live maintenant, mais pas sur l'Apple Tv. C'est blocage "d'ayants droits", pas un problème technique
J'ai l'option à 14 euros pour le Ciné du coup j'utilise l'appli myCanal, problem solved. Il est tout à fait possible d'associer son compte Free avec TV by Canal dans l'app myCanal et de tout avoir dans la même application
J'en parle un peu aussi avec "Méthode simple" C'est pas la "méthode canonique" le single Network est propre à Unifi, peut être d'autres routeurs mais j'ai jamais rencontré. C'est une méthode qui implique de n'avoir qu'un seul réseau IPv6. C'est juste immédiat (d'où le vous pouvez ignorer la suite, direct, sans intervention sur la freebox pour tricoter le ou les next-hop, et super pratique pour les extrêmes novices quand tu communiques "à distance" Ça juste marche et ça fait le job.
Bon fun avec ton UDR7 !
Merci beaucoup ! Je le reçois dans la semaine / semaine pro. Je reviendrai poster ici en cas de problème, mais ça m'a l'air bien clair là. ;)
-
Ah oui ! je viens de voir l'offre Black Friday. 200 HT au lieu de 250
Tu as pris ton petit cable AOC pour brancher la box à l'UDR7 ?
-
Ah oui ! je viens de voir l'offre Black Friday. 200 HT au lieu de 250
Tu as pris to petit cable AOC pour brancher la box à l'UDR7 ?
Mince ! J'aurai pensé qu'un cable Ethernet basique fonctionnerait. Avec le port WAN 2.5Ghz du UDR7
-------
- D'ailleurs je rebondis sur ce que tu as dit sur le firewall de l'UDR7 également. Techniquement, si je touche à rien ça agit bien comme la Freebox, c'est à dire "tout ou rien" (en l'occurence rien si je touche a rien), c'est correct ? Ca n'ouvre pas de ports automatiquement ni rien ?
- Et j'ai entendu parlé également des failles qu'avait subi Ubiquiti / Unifi, du coup ces dires sont un peu "parano", dans le sens où tout routeur est susceptible de subir des attaques (bot, failles firmware, etc.) ? Ou alors il y a un vrai risque supplémentaire par rapport à un routeur grand public (Freebox, Livebox Orange, etc.) ?
- Si on compare la configuration basique d'un routeur (dans mon cas UDR7) à une Freebox POP, c'est quasiment le même niveau de sécurité non ? La ou l'UDR7 "surpasse" c'est dans sa gestion des réseaux virtuels / firewall personnalisé si je ne me trompe pas.
-
Mince ! J'aurai pensé qu'un cable Ethernet basique fonctionnerait. Avec le port WAN 2.5Ghz du UDR7
-------
- D'ailleurs je rebondis sur ce que tu as dit sur le firewall de l'UDR7 également. Techniquement, si je touche à rien ça agit bien comme la Freebox, c'est à dire "tout ou rien" (en l'occurence rien si je touche a rien), c'est correct ? Ca n'ouvre pas de ports automatiquement ni rien ?
- Et j'ai entendu parlé également des failles qu'avait subi Ubiquiti / Unifi, du coup c'est un peu "overkill" dans le sens où tout routeur est susceptible de subir des attaques (bot, failles firmware, etc.) ou il y a un vrai risque supplémentaire par rapport à un routeur grand public (Freebox, Livebox Orange, etc.) ?
- Si on compare la configuration basique d'un routeur (dans mon cas UDR7) à une Freebox POP, c'est quasiment le même niveau de sécurité ?
Ah si tu es en POP ouai le RJ45 ca sera good.
Dans sa premiere config il va te demander si tu veux un firewall par zone. Tu dis oui. Et ca va faire des réseaux par défaut avec les zones associées avec des flux par défaut. Et oui ca bloque les flux entrants non sollicités
Comme tout matériel exposé à Internet il faut le mettre à jour. Le Unifi est basé sur un linux, Les box opérateurs aussi ont des firmwares qui sont des sur-couches d'OS connus ils ont pas ré-inventé une roue qui marche bien. Du coup c'est globalement pareil. Y en a pas un qui est une vraie passoire et les autres indemnes de bug. Les vecteurs d'attaques actuels sont plus basés sur le facteur humain ou des agences de pubs/ des tiers foireux. Si tu t'abonnes à l'option CyberSecure ça bloque aussi les flux spécifiques de tentative d'exploitation de bug connus, au cas où tu ouvres sur une machine concernée. Et bloquer les virus qu'il voit passer.
-
Ah si tu es en POP ouai le RJ45 ca sera good.
Dans sa premiere config il va te demander si tu veux un firewall par zone. Tu dis oui. Et ca va faire des réseaux par défaut avec les zones associées avec des flux par défaut. Et oui ca bloque les flux entrants non sollicités
Comme tout matériel exposé à Internet il faut le mettre à jour. Le Unifi est basé sur un linux, Les box opérateurs aussi ont des firmwares qui sont des sur-couches d'OS connus ils ont pas ré-inventé une roue qui marche bien. Du coup c'est globalement pareil. Y en a pas un qui est une vraie passoire et les autres indemnes de bug. Les vecteurs d'attaques actuels sont plus basés sur le facteur humain ou des agences de pubs/ des tiers foireux. Si tu t'abonnes à l'option CyberSecure ça bloque aussi les flux spécifiques de tentative d'exploitation de bug connus, au cas où tu ouvres sur une machine concernée. Et bloquer les virus qu'il voit passer.
Merci ! Je compte également activer l'IDS / IPS.
-
Re !
Deux petites autres questions :
- Pourquoi choisir SLAAC au lieu de DHCPv6 ? Le DHCPv6 n'est il pas plus "sécurisé" ?
- Pourquoi "Prefix Delegation" au lieu de "Single Network" alors qu'il me semble que la Freebox ne gère pas le Prefix Delegation ? C'est le routeur (UDR7) qui prend le relai et qui, lui, peut gérer le Prefix Delegation ?
Merci.
-
Re !
Deux petites autres questions :
- Pourquoi choisir SLAAC au lieu de DHCPv6 ? Le DHCPv6 n'est il pas plus "sécurisé" ?
- Pourquoi "Prefix Delegation" au lieu de "Single Network" alors qu'il me semble que la Freebox ne gère pas le Prefix Delegation ? C'est le routeur (UDR7) qui prend le relai et qui, lui, peut gérer le Prefix Delegation ?
Merci.
1 - sur la partie WAN Free ne balance pas de DHCPv6 par défaut. Rien à voir avec la sécu.
2 - parce que quand j'ai essayé static en mai 2025 ça juste bug (ca colle l'IPv6 statique sur une pseudo interface switch0 sans info de routage derrière, cette interface ne voit pas les RA, envoie pas les RS au bon local link etc.) et que PD ça juste marche.
Le but du doc c'est "voilà une conf qui marche" si vous êtes largués faites comme ça et vous allez sortir du pétrin. Et on peut imiter la méthode avec d'autre routeurs de constructeurs différents. Celle exposée ici n'ayant rien d'original,
Y a un point interessant sur la partie "C'est le routeur (UDR7) qui prend le relai et qui, lui, peut gérer le Prefix Delegation ?"
1 - Le Prefix Delegation c'est quand tu mets un autre routeur derrière ton UDR7 pour qu'à son tour il donne des /64 à des subnets plus profond dans ton organisation
2 - Si tu n'as que des appareils ou des serveurs :
a - tu balances le préfixe choisi en /64 en SLAAC, via Static dans TA partie "Networks" sur ton UDR7
b - et tu envoies la sauce des RA pour la route par défaut.
La subtilité c'est que tu indiques l'IPv6 que tu veux donner à ton interface ethernet de sortie pour ce subnet, et ton UDR7 déduit le préfixe à annoncer. Exemple 2a05:XX:XX::/64 c'est l'IP "zéro" que tu as donné.
-
1 - sur la partie WAN Free ne balance pas de DHCPv6 par défaut. Rien à voir avec la sécu.
2 - parce que quand j'ai essayé static en mai 2025 ça juste bug (ca colle l'IPv6 statique sur une pseudo interface switch0 sans info de routage derrière, cette interface ne voit pas les RA, envoie pas les RS au bon local link etc.) et que PD ça juste marche.
Le but du doc c'est "voilà une conf qui marche" si vous êtes largués faites comme ça et vous allez sortir du pétrin. Et on peut imiter la méthode avec d'autre routeurs de constructeurs différents. Celle exposée ici n'ayant rien d'original,
Y a un point interessant sur la partie "C'est le routeur (UDR7) qui prend le relai et qui, lui, peut gérer le Prefix Delegation ?"
1 - Le Prefix Delegation c'est quand tu mets un autre routeur derrière ton UDR7 pour qu'à son tour il donne des /64 à des subnets plus profond dans ton organisation
2 - Si tu n'as que des appareils ou des serveurs :
a - tu balances le préfixe choisi en /64 en SLAAC, via Static dans TA partie "Networks" sur ton UDR7
b - et tu envoies la sauce des RA pour la route par défaut.
La subtilité c'est que tu indiques l'IPv6 que tu veux donner à ton interface ethernet de sortie pour ce subnet, et ton UDR7 déduit le préfixe à annoncer. Exemple 2a05:XX:XX::/64 c'est l'IP "zéro" que tu as donné.
Merci. Dernier point : Dois-je laisser le 6GHz ou je le désactive (et laisser donc le 2,4GHz et le 5GHz) ? Il me semblait avoir lu que le 6GHz posait problème sur certains appareils, mais peut-être que c'est réglé depuis.
-
6Ghz c'est bien si tu as bcp d'antennes wifi autour de toi. Par contre mettre uniquement la bande 6Ghz c'est risqué sauf si tu as uniquement des appareils récents et encore.
-
6Ghz c'est bien si tu as bcp d'antennes wifi autour de toi. Par contre mettre uniquement la bande 6Ghz c'est risqué sauf si tu as uniquement des appareils récents et encore.
Ok merci donc autant laisser tout activé (2,4GHz, 5GHz et 6GHz)
-
Oui c'est une bonne borne tu laisses les 3 radios. Si y a un soucis avec des vieux équipements ou des trucs chinois super cheep :
Methode 1 :
- tu désactives la radio 6GHz sur le SSID actuel et tu laisses WEP2/WEP3
- tu refais le même SSID avec uniquement la radio 6Ghz, et tu en profites pour mettre WEP3 au lieu de WEP2/WEP3. Mais exactement le même SSID sans _6Ghz ou autre fioriture
Méthode 2 parce qu'à un moment avec des équipements WIFI7 ca va coincer avec le WEP3 et le MLO qui a besoin de toutes les radios :
- tu fais un SSID dédié 2,4GHz pour mettre les trucs foireux ou cheep dedans. 20MHz de bande passante pas plus. WEP2/WEP3. En option la radio 5Ghz.
- tu fais un SSID "moderne" avec les 3 radios , en WEP3 et MLO.
Dans tous les cas la bande passante sur la radio 2,4Ghz tu mets 20Mhz ça évite de ramasser plus d'interférence qu'à 40Mhz, et ça sera plus robuste.
En 5Ghz sauf si tu as un équipement qui le demande c'est 80MHz de bande passante et 160MHz pour le 6GHz. Les équipements qui ont besoin de plus sont rares ou très récents.
Le gag c'est de ne pas confondre les radios 2,4Ghz, 5GHz et 6Ghz avec les protocoles WIFI : WIFI5 WIFI6 WIFI7. C'est l'instrument et la musique.
-
Oui c'est une bonne borne tu laisses les 3 radios. Si y a un soucis avec des vieux équipements ou des trucs chinois super cheep :
Methode 1 :
- tu désactives la radio 6GHz sur le SSID actuel et tu laisses WEP2/WEP3
- tu refais le même SSID avec uniquement la radio 6Ghz, et tu en profites pour mettre WEP3 au lieu de WEP2/WEP3. Mais exactement le même SSID sans _6Ghz ou autre fioriture
Méthode 2 parce qu'à un moment avec des équipements WIFI7 ca va coincer avec le WEP3 et le MLO qui a besoin de toutes les radios :
- tu fais un SSID dédié 2,4GHz pour mettre les trucs foireux ou cheep dedans. 20MHz de bande passante pas plus. WEP2/WEP3. En option la radio 5Ghz.
- tu fais un SSID "moderne" avec les 3 radios , en WEP3 et MLO.
Dans tous les cas la bande passante sur la radio 2,4Ghz tu mets 20Mhz ça évite de ramasser plus d'interférence qu'à 40Mhz, et ça sera plus robuste.
En 5Ghz sauf si tu as un équipement qui le demande c'est 80MHz de bande passante et 160MHz pour le 6GHz. Les équipements qui ont besoin de plus sont rares ou très récents.
Le gag c'est de ne pas confondre les radios 2,4Ghz, 5GHz et 6Ghz avec les protocoles WIFI : WIFI5 WIFI6 WIFI7. C'est l'instrument et la musique.
Super. Merci ! Hâte de pouvoir configurer tout ça.
-
Je pose encore des questions qui me passent pas la tête et j'me dis que ça pourra servir à certains de toute façon.
Du coup je vais bien mettre le UDR7 en mode Dual Stack comme recommandé par vous.
Cependant une de mes questions subsiste :
- Quand je vais créer de nouveaux VLAN (on va prendre l'exemple ici de Home, IoT, Guest et PlayerTV), Fyr a dit plus haut que le PlayerTV fonctionnait aussi bien en IPV4 qu'en IPV6 et qu'il fallait juste mettre les DNS pour éviter le lag. Du coup, dois-je quand même faire l'étape de l'ajout du Next Hop si je configure uniquement mes VLAN en IPV4 (ce qui impliquerait forcément que je suis pas un Dual Stack du coup... Enfin je crois) ? (lire la question suivante car liée à celle-ci)
- Et du coup ma deuxième question va de pair avec la précédente. Quand on créé un nouveau Network, le coup du "Protocol : IPV4 / IPV6", c'est un choix ou c'est défini à l'avance vu que le UDR7 (et donc le WAN et le LAN "Default" qui comprend donc mon UDR7 ?) est en Dual Stack ? Par exemple si je touche à rien, mon VLAN IoT (par exemple) sera Dual Stack ou uniquement IPV4 vu que je n'aurai pas cliquer sur le "toggle" "IPV4 / IPV6" ?
J'espère que j'ai réussi à me faire comprendre.
Merci.
EDIT : Si j'achète des caméras, une fois mises sur leur propre VLAN, je décoche bien "Allow Internet Access", en plus de faire les firewall rules ?
EDIT 2 : Et si j'ai bien compris en Dual Stack avec le Prefix Delegation, les IPV6 sont sécurisées de base via le pare-feu du UDR7 qui bloque automatiquement par défault les connexions entrantes.
EDIT 3 : Dans la "méthode simple", il est dit de prendre "Single Network" et plus besoin de rien touché. Dans quel cas concret utilisé Single Network plutot que Prefix Delegation ?
-
Je pose encore des questions qui me passent pas la tête et j'me dis que ça pourra servir à certains de toute façon.
Tu mets l'IPv6 et le next hop pour les subnets que tu veux dual stacks v4 et v6. Si tu avais mis 15 subnets bah tu pouvais pas en filer à tout le monde. (de façon simple)
C'est l'interface UDR7 qui met un onglet V4 et v6. Pour séparer les configurations. Si la partie v6 t'interesse pas t'y vas pas.
Ça va devenir super clair quand tu l'auras sous la souris. On sent l'angoisse monter à l'approche de l'UDR7 Te biles pas.
Commence pas un subnet. Puis apres tu fais ton Iot par exemple et tu vas voir qu'il faut dire à l'UDR attention cette MAC adresse de cet appareil il va dans tel réseau gérer par cette plage DHCP, et qu'il va te falloir peut être un SSID dédié rataché à un VLAN etc.
Je te recommande :
1 - de traduire sur ton UDR7 l'état existant pour migrer rapidement, parce qu'une fois la box en bridge ça va tout couper. Il faut réduire la coupure de service. Donc prend des notes etc. les IP que tu as assignées... Et tu vas super vite. Tu peux même reprendre ton SSID actuel Freebox-XXXXX tout le monde se reconnecte dessus direct pas besoin de faire le tour des popotes pour changer le SSID.
2 - après une fois que tout marche là tu as tout le temps pour organiser comme tu veux. En plus tu vas être plus familier de l'appareil et de l'interface. C'est toi le patron, pas l'UDR7.
EDIT : fais un backup de la conf Freebox et demande une IPv4 Full Stack sur ton espace client
-
On sent l'angoisse monter à l'approche de l'UDR7 Te biles pas.
J'aurai pas trouvé mieux comme termes ! ;D
C'est toi le patron, pas l'UDR7.
C'est ça le truc, c'est qu'il faut que le patron assure pour éviter de s'exposer a des risques inutiles.
Merci pour les réponses encore une fois.
-
avec fe80::1/64 ?
ca marche sur "raw" Linux, Opnsense, PfSense, OpenWrt, EdgeOS (erl3,er-x). A moins qu'Unifi fasse une tambouille particulière ?
Perso ça fonctionne bien chez moi sur l'UCG Fiber, j'ai fait comme avec OPNsense, lien local/64 en static sur la patte WAN.
Les autres VLAN en static aussi avec le nexthop qui va bien
Ca marche au poil.
-
Routeur configuré très facilement, plutôt content ! Par contre, dans les Insight -> Traffic Flows, c'est normal que j'ai des dizaines d'IP par minute qui tente une connexion sur l'IP de ma Freebox ? Mais "Policy Type" est Firewall et Action "Block". Du coup j'aurai tendance a dire que c'est normal et que le firewall fait son taff, mais je suis étonné (vraiment) du nombre "d'attaques" qu'on peut subir par minute, c'est juste dingue non ?
-
Yep, ce sont des bots, j'ai pareil
-
Super, merci ! Par contre moi c'est ma vrai IP de ma Freebox, c'est pas une IP "locale" (192. ou 172. ou 10.) c'est normal ? :o
-
Oui, je suis pas en mode bridge ;)
-
Oh d'accord ! Bon bah génial, je pense avoir tout bien configuré. Sauf le Dual Stack, mais pour l'instant tout (oui tout) marche impec donc je vais pas trop trop toucher :)
-
Oh d'accord ! Bon bah génial, je pense avoir tout bien configuré. Sauf le Dual Stack, mais pour l'instant tout (oui tout) marche impec donc je vais pas trop trop toucher :)
oui en Bridge ton UDR7 porte l'IPv4 publique qu'il reçoit en DHCP et du coup tu la vois dans les journaux. Comme ça tu peux ouvrir des flux vers des services sur tes machines genre un HomeAssistant... voir les cameras depuis le boulot etc. Comme tu le ferais sur la freebox
-
Bonjour à tous !
Je reviens vers vous pour vous dire que j'ai setup le routeur Unifi impeccablement et j'me dis que ça pourrait aider certains qui veulent se lancer.
1. Suivez cette vidéo :
https://youtu.be/Gw5K_EN-nf0 (https://youtu.be/Gw5K_EN-nf0)
2. Puis pour setup le Dual Stack (IPV4 & IPV6), suivez le tuto en premier page de Fyr
3. Activer l'IGMP Snooping pour le réseau VLAN où votre PlayerTV Free est situé. (J'ai même pas eu besoin de mettre les DNS)
4. Tout sera setup parfaitement, même le PlayerTV de Free fonctionne sans lag
Un grand merci à tout le monde en tout cas, c'était plus facile que ce que je pensais. Maintenant reste plus qu'à espérer que le routeur Unifi reste stable et SURTOUT arrêter de regarder le Traffic Flow dans les Insights. C'est une drogue...
-------
Cependant j'ai quelques questions :
- Dois-je activer le DHCP Guarding dans chaque VLAN ? J'ai compris que c'était une sécurité supplémentaire donc je sais pas trop.
- J'ai mon AppleTV sur mon VLAN Home, et mon Bridge Philips Hue sur mon VLAN IoT, mais je n'arrive pas à faire en sorte que mes ampoules soient sur Homekit, je dois mettre mon iPhone sur le même VLAN que le Bridge Philips pour les mettre sur Homekit mais après ça ne fonctionne quand même pas. Peut etre une incompatibilité du Bridge Philips avec les VLAN aussi.
-
J'ai mon AppleTV sur mon VLAN Home, et mon Bridge Philips Hue sur mon VLAN IoT, mais je n'arrive pas à faire en sorte que mes ampoules soient sur Homekit, je dois mettre mon iPhone sur le même VLAN que le Bridge Philips pour les mettre sur Homekit mais après ça ne fonctionne quand même pas. Peut etre une incompatibilité du Bridge Philips avec les VLAN aussi.
Essayer de jouer avec "Gateway mDNS proxy" dans la partie Network
Hm de mémoire Free diffuse pas en multicast, l'IGMP snooping fera rien. Ptete leur nouvelle appli qui supprime des problèmes
-
CA FONCTIONNE !
J'avais coché "Isolated Network" dans mon VLAN IoT ... C'est pour ça.. Mais du coup mon VLAN IoT n'est plus isolé du reste des VLAN, si ?
EDIT: mon mDNS est bien configuré, pas de souci dessus!
EDIT2 : En gros j'avais mon VLAN "Home" avec AppleTV et iPhone, et mon VLAN "IoT" avec mon Philips Bridge Hue. Mais ce VLAN était en "Isolated Network" mais vu que je l'ai retiré, du coup ça fait comme si j'avais plus de VLAN, non ? Tout peut communiquer maintenant non ? Du coup comment isolé le VLAN et dire a Home qu'il peut "échanger" avec seulement mon Philips Hue Bridge pour controler les lumieres depuis Homekit ?
EDIT3 (décidément): du coup j'avais penser à laisser le "Isolated Network" du VLAN IoT DECOCHE. Et créer 2 regles firewall pour dire Home -> Allow -> IoT et IoT -> Block -> Home. Mais je préfère attendre des réponses, au cas ou, pas envie de tout casser.
EDIT4: En fait je pense être un abruti, la règle qui bloque la communication est déjà créé par défaut dans le Firewall Unifi. Je me trompe ? Du coup j'ai bien créé une règle Home -> Allow -> IoT et.. C'EST BON. Du coup ca veut bien dire que chaque VLAN est isolé des autres VLAN de base, du moins je crois. Mais du coup "Isolated Network" sert à quoi ? C'est fou ça.
-
de base les subnet sont dans des réseaux différents (dans des domaines de brodcast différents) S'ils se parlent niveau 3 IP c'est via le routeur. Et le switch les isole au niveau 2 Ethernet en leur filant pas une copie des trames pour une machine d'un autre réseau. Le bouton magique qui met le rideau c'est pour faire des regles rapides de firewall. Je penche que l'isolation c'est à la fois un ensemble de regle IP dans le firewall et de garde fou niveau 2 Ethernet / ARP Genre éviter qu'un Guest se prend un IP source du réseau à atteindre, ça va pas remonter dans le firewall mais juste via la table ARP et le switch va commuter le paquet.
Tu peux jeter un oeil le routeur Unifi expose les règles par défaut.
-
Merci !
Y'a un dernier truc qui me stress : dans le Traffic Flow, 2 fois par 10/15m environ, mon PC principal (Source) essaie d'envoyer un truc vers une IP indienne (Destination) qui commence par 13. et sur le port 443. J'ai checké c'est un truc qui s'appelle Pubnub, et bien sur c'est bloqué par le Region Blocking. Mais c'est normal ca ? Je suis SUR de pas avoir de virus ni rien sur mon PC, y'a que des trucs comme Steam et Discord. Rien d'autres.
-
Merci !
Y'a un dernier truc qui me stress : dans le Traffic Flow, 2 fois par 10/15m environ, mon PC principal (Source) essaie d'envoyer un truc vers une IP indienne (Destination) qui commence par 13. et sur le port 443. J'ai checké c'est un truc qui s'appelle Pubnub, et bien sur c'est bloqué par le Region Blocking. Mais c'est normal ca ? Je suis SUR de pas avoir de virus ni rien sur mon PC, y'a que des trucs comme Steam et Discord. Rien d'autres.
Malheureusement on peut jamais l'affirmer aujourd'hui...
Tu peux avoir un paquet de trucs dessus sans jamais le savoir.
-
Je peux faire un netstat de l'IP pour savoir si c'est un processus particulier ?
EDIT: Fait, mais il trouve rien, PC redemarré, plus de problème. Ca doit être un process legit maybe Steam ou Discord.
-
En "nouveau" vecteur d'attaque y a les notifs pushs de web auxquelles tu t'abonnes sur un site web. Ce site peut faire faire une partie des notifs par une régie pub, qui à son tour accepte n'importe quoi. C'est comme ça qu'un voisin a récup des notifs "votre pc est infecté" avec ouverture d'un site qui file la vérole quand on cherche à fermer la notif... Et les antivirus voient juste du texte et des gifs légitimes ....
-
Ah dernière astuce... le ad block intégré de Unifi renvoie bien 0.0.0.0 en ipv4 et ca fini là, par contre en IPv6 ça résout en 100::1 et ça rend interminable le web qui semble freeze... en attendant le timeour... parce que c'est une IPv6 qui va se perdre loin dans le réseau et n'est pas routable per se c'est un prefix de discard le 100::/64
Pour débloquer une des astuces c'est de Null Router cette 100::1/128
Dans les policy , route statique... Vous pouvez aussi mettre 100::/64 ... mais le ad block utilise que ça...
une autre façon c'est une regle de firewall
PS sur un forum ils ont changé très récement et utiliserait 2001:db8::/32 qui est un prefixe dédié aux exemples et lui se fait détruire rapido
-
Bonsoir à tous,
Faut-il à votre avis dérouler le tuto en ayant au préalable activé le mode bridge de la Freebox (Pop ici) ?
Quels sont les avantages d'un mode bridge dans ce cas particulier ? (à part tout centraliser au niveau du routeur externe). Pas de gros besoins sur le réseau interne ici (qq devices, 2 à 3 VLANs en cible, pas d'IOT à date).
Et quels sont les inconvénients (s'il y en a) ? J'ai noté une baisse "relative" du niveau de sécurité de l'ensemble (1 équipement en moins dans la chaîne).
Merci !
-
Pour résumer, si tu as un bon routeur meilleur que la Freebox oui ça peut être intéressant de passer en bridge. Il te faut des bornes Wifi avec ton routeur.
Et pour les VLAN t'es obligé d'en avoir un par exemple.
-
Mon routeur est un UCG-Max (Cloud Gateway), j'ai prévu de le setup ce weekend, du coup je parcours un peu les ressources en ligne pour planifier tout ça (VLANs, IPv6, Firewall, IPS/IDS...), d'où la question sur le mode bridge...
-
C'est parfait pour la Pop, y a des ports 2,5Gb partout.
C'est super simple à mettre en place.
-
ça m'interesse vraiment et de voir aussi le delta de qualité de wifi avant/après :)
-
Bonjour à tous,
Alors résultat des courses : setup OK après quelques heures et en y allant étape par étape : mise-à-jour des firmwares, activation de l'accès distant / secours sur la Box, activation mode Bridge, configuration du WAN IPv6 sur l'UCG (SLAAC / Single Network vers Default), ajout du Next Hop au niveau des préfixes secondaires, création des VLANs 10/20/30 avec affectation du préfixe (Type : Static), activation du FW IPv6 et de l'IPS.
Les petits soucis : un port mal tagué sur le switch USW Flex en aval & mes anciens galets Google Wifi qui ont été réticents à passer en mode Bridge / AP (il faut les migrer 1 par 1).
Prochaine étape : remplacer les galets Wifi vieillissants par des AP Unifi.
Merci au forum pour les infos et configs.