Freebox HD et switch manageable :), quand plus rien ne fonctionne . Options

[sctfic]

j'ai besoin d'un vrai routeur, pour le devellopement de mon reseau (plusieurs machine physiques et virtuelles)
j'utilise QoS, DHCP, VPN, (pare feu SPI), Stratégie d'accès à Internet, suivie d'etat, etc...
et ca la freebox, ce sera pour la V6 ou V7 peut etre ?

UPnP AV sera entre le NAS et le boitier HD selement (sauf si j'y trouve un jour une utilité sur une de mes machines)

mais la question reste entiere comment faire passé tous ca sur mon routeur ?

[corrector]

j'ai besoin d'un vrai routeur, pour le devellopement de mon reseau (plusieurs machine physiques et virtuelles)
j'utilise QoS, DHCP, VPN, (pare feu SPI), Stratégie d'accès à Internet, suivie d'etat, etc...
et ca la freebox, ce sera pour la V6 ou V7 peut etre ?

Plutôt 16 ou 17.

Sauf peut-être pour le VPN (de quel type), tout ça me parait tout à fait compatible avec le mode routeur.

UPnP AV sera entre le NAS et le boitier HD selement (sauf si j'y trouve un jour une utilité sur une de mes machines)

mais la question reste entiere comment faire passé tous ca sur mon routeur ?

Pourquoi faire passer ça par le routeur?

Solution la plus simple, en "mode routeur" :

Code

Freebox ADSL ---+---  Freebox TV
                +---  NAS (DNLA)
                +---  DD-WRT  ---+--- PC 1
                                 +--- PC 2

Comme ça, même pas la peine de faire passer les annonces UPnP à travers le DD-WRT.

Ça fait deux sous-réseaux distincts, et l'accès au NAS doit passer par le DD-WRT; à la réflexion, c'est peut-être ça qui risque de poser problème : quels sont les protocoles utilisés sur le NAS? supportent-ils bien le NAT?

Si c'est un problème, on peut mettre les PC et le NAS sur le même sous-réseau, mais il faudra que le NAS soit en multi adresses.

[sctfic]

Pourquoi faire passer ça par le routeur?

Solution la plus simple, en "mode routeur" :

Code

Freebox ADSL ---+---  Freebox TV
                +---  NAS (DNLA)
                +---  DD-WRT  ---+--- PC 1
                                 +--- PC 2

Comme ça, même pas la peine de faire passer les annonces UPnP à travers le DD-WRT.

Ça fait deux sous-réseaux distincts, et l'accès au NAS doit passer par le DD-WRT; à la réflexion, c'est peut-être ça qui risque de poser problème : quels sont les protocoles utilisés sur le NAS? supportent-ils bien le NAT?

Si c'est un problème, on peut mettre les PC et le NAS sur le même sous-réseau, mais il faudra que le NAS soit en multi adresses.

pas mal comme solution, par contre comment tu fait cohabiter 2 routeur grace au 2 reseau d'IP distinct ?
comment je route sur ma freebox ?
(par contre je perd le gigabite entre Nas et PC mais ca ira)

[corrector]

pas mal comme solution, par contre comment tu fait cohabiter 2 routeur grace au 2 reseau d'IP distinct ?
comment je route sur ma freebox ?

Tout d'abord, un petit rappel pour remettre les idées en place. J'appelle la Freebox en "mode routeur", le DD-WRT ou autre équipement équivalent "l'intermédiaire". Alors :

• du coté "LAN", tu as des adresses privées RFC 1918; l'intermédiaire apparait comme un routeur, c'est la passerelle de la route par défaut des machines du LAN;
• du coté "WAN", il y a une seule adresse; l'intermédiaire apparait comme un hôte, pas comme un routeur. Par conséquent le LAN précité est invisible de ce coté.

La plage d'adresses du LAN ne doit pas contenir d'adresses utilisées de l'autre coté, évidemment.

Il y a donc 2 point de vue, selon qu'on est d'un coté ou de l'autre. C'est le propre des NAT-routeur de scinder la réalité de cette façon, contrairement aux routeurs normaux.

Une fois ce petit rappel fait, on voit que du coté WAN de l'intermédiaire, l'intermédiaire apparait comme un PC : c'est d'ailleurs pour cela qu'il est possible d'utiliser un DD-WRT avec la Freebox, alors que la Freebox ne prévoit pas qu'on branche un routeur dessus (en IPv4 ou en IPv6) : il faudrait pour cela configurer des routes et ce n'est pas prévu.

Précisons un point qui est souvent source de confusion : les adresses privées RFC 1918 sont des adresses routables normales. Un routeur ne doit jamais discriminer une adresse privés routable d'une adresse Internet normale (adresse globalement attribuée par délégation de l'ICANN, donc globalement unique). Au sein d'une organisation, on peut utiliser ces adresses privées comme un veut, y compris dans un réseau complexe routé (je parle de vrais routeurs). Simplement, comme ces adresses n'ont pas de sens en dehors de l'organisation, elles ne doivent être utilisées qu'en privé.

Pour résumer, les adresses RFC 1918 sont des adresses qui sont attribuées à tout le monde, comme si chacun recevait la délégation pour la gestion de ces plages.

La conclusion logique est que rien n'empêche de brancher un NAT-routeur derrière un autre, puisque :
- un NAT-routeur est indistinguable d'un PC normal de son coté "WAN";
- les adresses privées utilisées par le 1er NAT-routeur sont des adresses routables normales pour le 2ème.

Bien sûr, il faut s'assurer de l'unicité des adresses, donc que les NAT-routeur n'aient pas la même plage d'adresse; exemple :

Code

                IP publique       192.168.0.254        192.168.0.1   192.168.1.254         192.168.1.1
  Freebox  ---------------- DD-WRT ------------------+---------- DD-WRT ---------------+------- PC A
mode bridge                                          |                                 |
                                                     |                lan:192.168.1/24 |    192.168.1.2
                                                     |                                 +------- PC B
                                                     |
                                                     | 192.168.0.2
                                   lan:192.168.0/24  +----------- PC 1
                                                     |
                                                     |
                                                     | 192.168.0.3
                                                     +----------- PC 2

Dans ce cas, les PC A et B peuvent se connecter aux PC 1 et 2 directement, mais non l'inverse, parce que le sous-réseau 192.168.1/24 est un LAN privé invisible de l'extérieur, et le sous-réseau 192.168.0/24 est à l'extérieur (même si c'est un LAN-privé invisible de l'extérieur, au delà du DD-WRT).

(par contre je perd le gigabite entre Nas et PC mais ca ira)

Je ne pensais plus à ça!

Est-ce que ceci est possible :

Code

Freebox ADSL --- Freebox TV
        |
        |
Switch 1000/100 --- NAS (DNLA)
        |
        |  
      DD-WRT  ---+--- PC 1
                 +--- PC 2

Autrement dit, est-ce que le DD-WRT a des interfaces Gibabit?

Ce message a été modifié par corrector - samedi 09 janvier 2010 à 21:24.

[sctfic]

Est-ce que ceci est possible :

Code

Freebox ADSL --- Freebox TV
        |
        |
Switch 1000/100 --- NAS (DNLA)
        |
        |  
      DD-WRT  ---+--- PC 1
                 +--- PC 2

Autrement dit, est-ce que le DD-WRT a des interfaces Gibabit?

Avec ces explication je comprend enfin !
je vais resté sur ton cablage precedant :

Code

Freebox ADSL ---+---  Freebox TV
                +---  NAS (DNLA)
                +---  DD-WRT
                                +---Switch 1000/100
                                             +--- PC 1
                                             +--- PC 2 (eth)
                                             +--- PC 3 (wlan)
                                             +--- Telephone wifi
                                             +--- PRINT

Car le probleme c'est mon DD-WRT qui n'a que 4 ports 10/100

Par contre lorsque je veux ouvrir un port vers le PC1 je dois le faire sur la freebox et sur le DD-WRT.
y aurai t il un moyen d'ouvrir tous les ports de ma freebox vers le DD-WRT
genre DMZ vers 192.168.0.2 ou routage des ports 0 a 65535 vers l'IP 192.168.0.2 (ou il faut éviter)

Code

Freebox ADSL [192.168.0.254]
                +---  Freebox TV
                +---  [192.168.0.1] NAS (DNLA)
                +---  [192.168.0.2] DD-WRT [192.168.1.254]
                                +---Switch 1000/100
                                             +--- PC 1 [192.168.1.3]
                                             +--- PC 2 (eth) [192.168.1.4]
                                             +--- PC 3 (wlan) [192.168.1.5]
                                             +--- Telephone wifi [dhcp]
                                             +--- PRINT [192.168.1.99]

[corrector]

Avec ces explication je comprend enfin !

Par contre lorsque je veux ouvrir un port vers le PC1 je dois le faire sur la freebox et sur le DD-WRT.
y aurai t il un moyen d'ouvrir tous les ports de ma freebox vers le DD-WRT
genre DMZ vers 192.168.0.2 ou routage des ports 0 a 65535 vers l'IP 192.168.0.2 (ou il faut éviter)

Code

Freebox ADSL [192.168.0.254]
                +---  Freebox TV
                +---  [192.168.0.1] NAS (DNLA)
                +---  [192.168.0.2] DD-WRT [192.168.1.254]
(...)

En effet, pour la gestion des redirections entrantes (DNAT), l'utilisation du DD-WRT simplifie les choses, puisqu'il suffit de désigner l'adresse extérieure du DD-WRT (192.168.0.2) comme "DMZ", ce qui sur la Freebox va faire en gros :

Code

iptables -t nat -A PREROUTING -j DNAT --to-destination 192.168.0.2

Toutes les connections entrantes, c'est à dire non seulement TCP, UDP, ICMP, mais aussi tous les autres protocoles (IPIP, GRE, IPsec (AH, ESP), 6to4...) vont être redirigés (DNATés) sur 192.168.0.2. Après, il est possible de gérer en local sur le DD-WRT les redirections locales, sans passer par la console de gestion Free, et surtout sans avoir à rebooter à chaque fois. Que des avantages!

[corrector]

Par contre lorsque je veux ouvrir un port vers le PC1 je dois le faire sur la freebox et sur le DD-WRT.
y aurai t il un moyen d'ouvrir tous les ports de ma freebox vers le DD-WRT
genre DMZ vers 192.168.0.2 ou routage des ports 0 a 65535 vers l'IP 192.168.0.2 (ou il faut éviter)

C'est un mythe que les ports "ouverts" sont le plus grand problème de sécurité (mythe créé pour faire croire que les pare-feu étaient LA solution de sécurisation des ordinateurs reliés à Internet, ce qui est une vaste fumisterie).

En général, il n'y a aucun serveur à l'écoute sur un port, alors peu importe qu'il soit "filtré". Quand il y a un serveur à l'écoute, ça ne veut pas dire qu'il a vulnérabilité; en général ce serveur ne va pas permettre n'importe quoi. Normalement, il va commencer par vérifier si une requête est autorisée.

Bon, il est arrivé que des services, actifs par défaut, aient une vulnérabilité exploitable à distance sans authentification, et c'est très grave.

C'est pourquoi il est recommandé de désactiver tout serveur inutile, par précaution, même sur le réseau privé. Il est aussi recommandé de restreindre les adresses d'écoute : par exemple, si une machine qui a plusieurs adresses dont une pour l'extérieur et une privée, si un service n'est censé être utilisé que depuis les réseau privé, il est préférable de ne lier la socket d'écoute qu'à l'adresse privée, non à 0.0.0.0 (adresse universelle "*"); cela limitera les connexions entrantes possibles à celles destinées à cette adresse précise.

Le problème, c'est quand on n'arrive plus à savoir quels serveurs tournent ou vont tourner sur une machine, à quelles adresses locales ils vont se lier, etc.; alors on met un pare-feu devant (sur la machine ou en bordure de réseau), parce qu'on a perdu le contrôle de la machine (alors qu'un pare-feu ne devrait servir que comme 2ème ligne de défense, juste pour le cas où).

Mais si on regarde les listes de vulnérabilité exploitables à distance, ce sont bien les logiciels clients qui tiennent la palme, en particulier les navigateurs Web (IE est connu pour ça, mais FF a eu des vulnérabilité particulièrement gratinées aussi : usurpation SSL possible (ceci permettant de corrompre la MàJ de FF lui-même), confusion entre principal, exécution de scripts téléchargés au niveau chrome!!!). Ce qui est bien naturel puisque ce sont des logiciels particulièrement complexes qui manipulent des données venant de l'extérieur, y compris des mini-programmes (ECMAscript). Évidemment, les programmes "helper" ne sont pas en reste, qu'ils soient "intégrés" comme Flash Player, la machine Java et tous les programmes externes ou intégrables (comme Acrobat Reader).

En plus, aujourd'hui, n'importe quel programme ouvre des connexions sortantes au prétexte de vérifier les mises à jours (alors que les mise à jours devraient être centralisées sur un seul service et gérées globalement), de télécharger je-ne-sais-quoi, etc. Résultat, il est difficile de maitriser les connexions sortantes. C'est un problème de conception, les systèmes sont peu transparents et difficilement maitrisables. Les pare-feu "applicatifs" peuvent poser quelques limites un peu, mais comme ils n'y a pas de modèle de sécurité derrière mais juste un bricolage contournable, ce n'est pas la solution.

[corrector]

Ça fait deux sous-réseaux distincts, et l'accès au NAS doit passer par le DD-WRT; à la réflexion, c'est peut-être ça qui risque de poser problème : quels sont les protocoles utilisés sur le NAS? supportent-ils bien le NAT?

Je ne connais pas très bien SMB/CIFS, mais le ReadyNAS NV+ supporte NFS, qui a été conçu pour un réseau "plat" (= où tous les hôtes sont joignables de tous les autres). Si le client est derrière un NAT-routeur, il ne sera pas accessible, et les serveurs RPC statd et lockd sur le client NFS (pour la gestion les verrouillages en cas de redémarrage du serveur NFS) ne seront pas accessibles du serveur, ce qui risque de limiter les fonctionnalités.

Si c'est un problème, on peut mettre les PC et le NAS sur le même sous-réseau, mais il faudra que le NAS soit en multi adresses.

J'ai cherché des infos sur le ReadyNAS NV+, et c'est plutôt impressionnant. FTP/SMB/NFS/AFP/Rsync/..., on ne trouve pas ça sur tous les NAS.

Je lis que l'accès en ligne de commande est possible : mais à quoi a t-on accès? Est-ce finement configurable? C'est du linux, peut-on accéder à la configuration réseau directement avec les commandes linux standard?

J'ai différentes idées de bricolages réseau un peu particuliers qui demandent que le NAS soit sur 2 sous-réseaux. J'ai comme un doute sur la faisabilité au niveau du ReadyNAS NV+; je ne sais pas si ça vaut le coup de les détailler.

[sctfic]

J'ai cherché des infos sur le ReadyNAS NV+, et c'est plutôt impressionnant. FTP/SMB/NFS/AFP/Rsync/..., on ne trouve pas ça sur tous les NAS.

Je lis que l'accès en ligne de commande est possible : mais à quoi a t-on accès? Est-ce finement configurable? C'est du linux, peut-on accéder à la configuration réseau directement avec les commandes linux standard?

J'ai différentes idées de bricolages réseau un peu particuliers qui demandent que le NAS soit sur 2 sous-réseaux. J'ai comme un doute sur la faisabilité au niveau du ReadyNAS NV+; je ne sais pas si ça vaut le coup de les détailler.

Oui il est super ce NAS j´ai longtemp cherché avant de prendre celui la (je l´ai pris il y 3 ans direct des USA marque Infrant.com a l´époque).

c un OS linux debian (lenny si j´me souviens bien), il existe un module additionnel sur le site officiel readynas.com pour avoir un accés Root SSH.

et il gere aussi le DLNA pour les freebox.

J´ai refait mon reseau comme tu me l´as suggéré hier, ca marche mais je n´ai plus acces depuis le web a mes machines ?
sur ma freebox j´ai indiqué une DMZ vers l´IP du DD-WRT, puis je route le rdp vers ma VM sur le DD-WRT mais... ! ca ne marche pas !

j´ai fait un truc qui ne fallait pas ?

Code

Freebox ADSL [192.168.1.254] (DMZ=>192.168.1.1, port FTP=>NAS)
                +---  Freebox TV
                +---  [192.168.1.2] NAS (DNLA)
                +---  [192.168.1.1] DD-WRT [192.168.0.254] (port RDP=>VM)
                                +---Switch 1000/100
                                             +--- PC 1 [192.168.0.3]
                                             |      +--- VM (eth) [192.168.0.100] serveur TSE (RDP)
                                             |      +--- VM (eth) [192.168.0.101]
                                             |
                                             +--- PC 1 [192.168.0.3]
                                             +...

[corrector]

Oui il est super ce NAS j´ai longtemp cherché avant de prendre celui la (je l´ai pris il y 3 ans direct des USA marque Infrant.com a l´époque).

Au fait est-ce qu'il est silencieux? J'ai lu des choses contradictoires à ce sujet.

c un OS linux debian (lenny si j´me souviens bien), il existe un module additionnel sur le site officiel readynas.com pour avoir un accés Root SSH.

En clair, tu as accès à tout? Tu peux utiliser ip(8)?

Ça ouvrirait des perspectives...

J´ai refait mon reseau comme tu me l´as suggéré hier, ca marche mais je n´ai plus acces depuis le web a mes machines ?
sur ma freebox j´ai indiqué une DMZ vers l´IP du DD-WRT, puis je route le rdp vers ma VM sur le DD-WRT mais... ! ca ne marche pas !

j´ai fait un truc qui ne fallait pas ?

Aucune idée. Poste les détails de ta config ici si tu veux, parfois on fait une erreur bête et on s'arrache les cheveux après... (non, je ne parle pas d'expérience, non non non ... si).

Est-ce que tu peux mettre une règle "iptables -j LOG" sur le DD-WRT?

[sctfic]

Au fait est-ce qu'il est silencieux? J'ai lu des choses contradictoires à ce sujet.
En clair, tu as accès à tout? Tu peux utiliser ip(8)?
Ça ouvrirait des perspectives...

oui je supose, comme sur n´importe quel linux...

Est-ce que tu peux mettre une règle "iptables -j LOG" sur le DD-WRT?

La je peut pas j´arrive pas a avoir accé a mon reseau (je suis en deplacement)
je colle en piece jointe mes configs

Pour le silence du ReadyNas NV+ ca depend surtout des HDD, le ventilo 12cm y a pas de probleme, par contre les disques : 4 hdd en raid5 si y a de la fragmentation forcément, ca gratte...

Perso je le met pas dans ma chambre !

Ce message a été modifié par sctfic - mardi 12 janvier 2010 à 06:51.

Fichier(s) joint(s)

 Screenshot_1.jpg ( 97,63 Ko ) Nombre de téléchargements : 9
 Screenshot.jpg ( 59,76 Ko ) Nombre de téléchargements : 11

 

[ITM]

Hello les gens!

A priori il y a des connaisseurs sur ce topic, alors j'en profite pour faire un petit récapitulatif de ce que je veux faire :

Code

Freebox ---------- NAT/VPN/Point d'accès sans fil ---- switch --------- PC1
                                                              --------- PC2
                                                              --------- Serveur/NAS (dont serveur UPnP AV)
                                                              --------- Boitier HD

L'intérêt du boitier central ici (sans doute sous debian ou ubuntu-server), c'est faire du VPN (IPSEC en ESP mode tunnel à priori) pour certains flux et du QoS pour le serveur/NAS.
Si j'ai bien suivi, c'est possible de passer la freebox en mode bridge , aux conditions suivantes :
- Faire en sorte que le boitier NAT/VPN central fasse du bridging uniquement pour le boitier HD et la freebox.
J'ai bon ? Cela dit je ne comprends pas très bien comment bridger uniquement les paquets relatifs au boitier HD ?
Je me dis que finalement, ce serait plus facile de remonter le boitier HD au niveau du VPN, et de mettre ce dernier en DMZ, mais je trouve ça super moche :/

[sctfic]

En mode bridge la fonction UPNP AV n'est plus disponible sur la freebox.
donc tu peux mettre ton NAT/VPN/Point d'accès sans fil en DMZ de ta box et rajouter des routes

Hello les gens!

A priori il y a des connaisseurs sur ce topic, alors j'en profite pour faire un petit récapitulatif de ce que je veux faire :

Code

Freebox ---------- NAT/VPN/Point d'accès sans fil ---- switch --------- PC1
                                                              --------- PC2
                                                              --------- Serveur/NAS (dont serveur UPnP AV)
                                                              --------- Boitier HD

L'intérêt du boitier central ici (sans doute sous debian ou ubuntu-server), c'est faire du VPN (IPSEC en ESP mode tunnel à priori) pour certains flux et du QoS pour le serveur/NAS.
Si j'ai bien suivi, c'est possible de passer la freebox en mode bridge , aux conditions suivantes :
- Faire en sorte que le boitier NAT/VPN central fasse du bridging uniquement pour le boitier HD et la freebox.
J'ai bon ? Cela dit je ne comprends pas très bien comment bridger uniquement les paquets relatifs au boitier HD ?
Je me dis que finalement, ce serait plus facile de remonter le boitier HD au niveau du VPN, et de mettre ce dernier en DMZ, mais je trouve ça super moche :/

[corrector]

En mode bridge la fonction UPNP AV n'est plus disponible sur la freebox.
donc tu peux mettre ton NAT/VPN/Point d'accès sans fil en DMZ de ta box et rajouter des routes

Il faut aussi veiller à ce que la multidiffusion des annonces UPnP passe le routeur. Je ne me souviens plus des détails.

[ITM]

En mode bridge la fonction UPNP AV n'est plus disponible sur la freebox.
donc tu peux mettre ton NAT/VPN/Point d'accès sans fil en DMZ de ta box et rajouter des routes

Je comprends pas pourquoi cette fonction en serait plus disponible ?
Si le boitier HD et le NAS sont tous les deux dans le même réseau, quel problème ça pose ?
La freebox ne serait même plus au courant non ?

[acognard]

Bonjour,
je réactive ce post, car il est super intéressant, en espérant que les acteurs sont toujours présents et pourront m'éclairer.

J'ai chez moi
- 1 serveur domotique / asterisk hébergé sur un dockstar sous debian
- 1 NAS Synology
- 1 routeur TP-Link
- 1 switch Zyxel manageable (ES-2024PWR)

Avant j'avais Freebox---tplink---switch--- etc

Mais pas moyen d'avoir l upnp sur la freebox tv.

Je cherche donc un schéma qui serait à la fois protecteur pour les machines autres que le nas et le serveur domotique (qui ont ce qu'il faut en interne), en pouvant jouir (lol) de toutes les fonctions dispo sur mon réseau (voip, vpn, web, photo,video).

je ne suis pas super expert dans ce domaine, et je rame du toner.

mon idée est la suivante
FREEBOX (192.168.1.254) --------+Player TV
--------+NAS (192.168.1.x)
--------+DockStar (domotique,VOIP) (192.168.1.x)
--------+Routeur (192.168.0.254)--------+Switch --------+PCx(192.168.0.x)
--------+PCx(192.168.0.x)
(dsl, j'ai pas réussi a faire apparaitre les decalages )

Le dockstar et le NAS seront protégé par iptable ou firewall interne.
J'ai essayé ce schéma et les machines derrière le routeur n'accedent pas au web !!!!

Je me pose la question de la voip : Les PCS pourront ils utiliser la voip ????

Dois je faire jouer la dmz ici ?

Merci par avance pour vos réponses.

Arnaud