IPB

Bienvenue invité ( Connexion | Inscription )

free-reseau
3 Pages V   1 2 3 >  
Reply to this topicStart new topic
Freebox HD et switch manageable :), quand plus rien ne fonctionne .
doh
posté Tuesday 15 April 2008 à 15:23
Message #1


Petit nouveau
*

Groupe : Gazetteux
Messages : 47
Inscrit : 02/03/2007
Lieu : 93110
Membre no 2366
Sexe:

Raccordé en: Dégroupage Total
NRA ou NRO: RNY93
Longueur de ligne: 2971 m
Affaiblissement: 41 dB
Modem: Freebox V5 & HD



Salut à tous smile.gif

Juste une petite information, peut être que cela aidera quelqu'un .. un jour smile.gif

en activant le mode géré de mon switch dell, ma box hd restait bloquée sur "réseau" .
vu que j'aime pas spécialement le wifi (bah oui y a le switch juste derriere lol) j'ai sorti wireshark,
En fait la box HD faisait des requettes DHCP dans vent, ces requettes etaient taguées sur un VLAN 100.
si ca interesse quelqu'un, la box adsl à une adresse ip 192.168.27.14 et la box HD 192.168.27.1 ^^


Donc si un jour vous reliez votre freebox HD et freebox adsl sur un switch manageable qui gère les vlans (norme 803.1Q )
comme ceci [Box Adsl]-----[switch manageable]-----[box HD]

si plus rien ne fonctionne.. voilà une petite astuce smile.gif

Il vous faut créer sur votre switch un vlan qui a comme VID "100" puis vous tagez les ports sur lesquels vous avez vos box. smile.gif

ps n'oubliez pas d'ajouter les ports des box en tant que membres des vlans de vos stations ! smile.gif


voilouvoilou smile.gif
Go to the top of the page
+Quote Post
nemo136
posté Monday 03 November 2008 à 17:14
Message #2


Petit nouveau
*

Groupe : Gazetteux
Messages : 10
Inscrit : 03/11/2008
Membre no 5286



CITATION(doh @ mardi 15 avril 2008 à 15:23) *
Donc si un jour vous reliez votre freebox HD et freebox adsl sur un switch manageable qui gère les vlans (norme 803.1Q )
comme ceci [Box Adsl]-----[switch manageable]-----[box HD]

Le problème devient un peu plus complexe avec une bécane linux au milieu qui NAT et un firewall iptables (mode routeur de la freebox désactivé)
CITATION(doh @ mardi 15 avril 2008 à 15:23) *
Il vous faut créer sur votre switch un vlan qui a comme VID "100" puis vous tagez les ports sur lesquels vous avez vos box. smile.gif
ps n'oubliez pas d'ajouter les ports des box en tant que membres des vlans de vos stations ! smile.gif

et là, traduire ça en ligne de commande... Je cherche, mais j'ai l'impression qu'une règle iptables seule ne suffira pas sad.gif. Je pensais au départ utiliser les 2 ip locales des boitiers, sauf qu'au branchement, le boitier HD fait des broadcasts qui ne passent pas le NAT et je n'ai pas réussi à aller plus loin.

Je continue à chercher, mais si quelqu'un a déjà réussi à obtenir un comportement correct avec cette configuration physique, ça m'intéresse beaucoup.

Mais déjà, merci à doh d'avoir fait avancer le pb...
Go to the top of the page
+Quote Post
corrector
posté Tuesday 04 November 2008 à 08:42
Message #3


Campeur du forum
***

Groupe : Gazetteux
Messages : 2660
Inscrit : 27/09/2008
Lieu : Paris
Membre no 5030
Sexe:

Raccordé en: Dégroupage Total
Modem: Freebox V5 & HD



CITATION(nemo136 @ lundi 03 novembre 2008 à 18:14) *
Le problème devient un peu plus complexe avec une bécane linux au milieu qui NAT et un firewall iptables (mode routeur de la freebox désactivé)

Non, c'est très simple : en NAT ça ne marchera pas! Deux machines se connaissent par leurs IP respectives, si tu bidouilles les adresses entre les deux ça n'a aucune chance de marcher.

CITATION(nemo136 @ lundi 03 novembre 2008 à 18:14) *
et là, traduire ça en ligne de commande... Je cherche, mais j'ai l'impression qu'une règle iptables seule ne suffira pas sad.gif. Je pensais au départ utiliser les 2 ip locales des boitiers,

C'est à dire, tu as testé quelle config?

CITATION(nemo136 @ lundi 03 novembre 2008 à 18:14) *
sauf qu'au branchement, le boitier HD fait des broadcasts qui ne passent pas le NAT

Les broadcast par définition ne passent pas un routeur. Quand on veut les faire passer (p.e. DHCP) on met un relais.

CITATION(nemo136 @ lundi 03 novembre 2008 à 18:14) *
et je n'ai pas réussi à aller plus loin.

À la base :
  • la box ADSL n'est pas conçue pour être connectée à un routeur
  • les deux box doivent être connectée directement, sur le même "lien" ("link")
Pourquoi ne pas utiliser tout simplement un switch?

CITATION(nemo136 @ lundi 03 novembre 2008 à 18:14) *
Je continue à chercher, mais si quelqu'un a déjà réussi à obtenir un comportement correct avec cette configuration physique, ça m'intéresse beaucoup.

Il faut (et il suffit) mettre les deux box sur le même "lien", donc le ponter les deux interfaces Ethernet de ton PC. Donc utiliser les brctl, pas iptables. (Disclaimer : non testé!)
Go to the top of the page
+Quote Post
nemo136
posté Tuesday 04 November 2008 à 10:26
Message #4


Petit nouveau
*

Groupe : Gazetteux
Messages : 10
Inscrit : 03/11/2008
Membre no 5286



CITATION(corrector @ mardi 04 novembre 2008 à 08:42) *
Non, c'est très simple : en NAT ça ne marchera pas! Deux machines se connaissent par leurs IP respectives, si tu bidouilles les adresses entre les deux ça n'a aucune chance de marcher.


effectivement, c'est pour ça que, j'aimerais avoir un comportement de mon routeur équivalent à un simple "cable" ou switch mais uniquement pour les communications entre la freebox et le boitier HD.

CITATION(corrector @ mardi 04 novembre 2008 à 08:42) *
C'est à dire, tu as testé quelle config?


j'ai voulu essayer de faire du filtrage par mac et renvoyer les paquets venant du boitier HD (venant de l'interface GREEN du routeur) vers la freebox (donc sur l'interface RED) au départ en utilisant la table mangle de iptables, mais le module n'est pas chargé sous debian et ça n'a pas fonctionné, je n'ai jamais récupéré les paquets, de plus, même si ça avait marché, je ne sais pas comment j'aurais pu filtrer les paquets venant de la freebox et faire passer de RED vers GREEN uniquement ceux qui visent le boitier HD.

CITATION(corrector @ mardi 04 novembre 2008 à 08:42) *
Les broadcast par définition ne passent pas un routeur. Quand on veut les faire passer (p.e. DHCP) on met un relais.


Je ne savais pas qu'avec un relais DHCP on pouvait les transmettre, mais effectivement, ça semble logique, le seul défaut, comment relayer uniquement 1 seule mac (celle du boitier HD) et pas les autres ?

CITATION(corrector @ mardi 04 novembre 2008 à 08:42) *
À la base :
  • la box ADSL n'est pas conçue pour être connectée à un routeur
  • les deux box doivent être connectée directement, sur le même "lien" ("link")
Pourquoi ne pas utiliser tout simplement un switch?


c'est un problème de distance, ma freebox est éloignée du serveur et je ne souhaite pas mettre plus d'un cable réseau entre ma freebox et le boitier HD. Pour l'instant j'ai :

freebox |--- distance ---RED|routeur linux(FW + NAT + serveur web)|GREEN---|switch|====|2*pc + boitier HD...

et au niveau physique j'aimerai éviter de devoir rajouter du materiel supplémentaire (comme un switch) entre la freebox et l'interface RED du serveur s'il est possible de le faire de manière logicielle.

CITATION(corrector @ mardi 04 novembre 2008 à 08:42) *
Il faut (et il suffit) mettre les deux box sur le même "lien", donc le ponter les deux interfaces Ethernet de ton PC. Donc utiliser les brctl, pas iptables. (Disclaimer : non testé!)


Oui, mais je ne sais pas comment faire en sorte que seul le traffic entre la freebox et le boitier HD soit routé par le bridge. Tout le reste du traffic doit continuer de passer par NAT pour être accessible aux autres pc du réseau local. (je souhaite continuer à utiliser mon NAT/DHCP pour mon réseau local et pas celui de la freebox).

Merci pour ta réponse, je vais regarder aussi du coté relais dhcp. J'espère avoir éclairci pourquoi je souhaite faire cette manip.
Go to the top of the page
+Quote Post
corrector
posté Tuesday 04 November 2008 à 17:01
Message #5


Campeur du forum
***

Groupe : Gazetteux
Messages : 2660
Inscrit : 27/09/2008
Lieu : Paris
Membre no 5030
Sexe:

Raccordé en: Dégroupage Total
Modem: Freebox V5 & HD



CITATION(nemo136 @ mardi 04 novembre 2008 à 11:26) *
effectivement, c'est pour ça que, j'aimerais avoir un comportement de mon routeur équivalent à un simple "cable" ou switch mais uniquement pour les communications entre la freebox et le boitier HD.

Il te faut donc configurer un brouter avec ebtables.

CITATION(nemo136 @ mardi 04 novembre 2008 à 11:26) *
j'ai voulu essayer de faire du filtrage par mac

Avec "iptables --match mac"?

CITATION(nemo136 @ mardi 04 novembre 2008 à 11:26) *
et renvoyer les paquets venant du boitier HD (venant de l'interface GREEN du routeur) vers la freebox (donc sur l'interface RED) au départ en utilisant la table mangle de iptables,

MANGLE c'est pour altérer les paquets; quelle cible voulais-tu utiliser?

CITATION(nemo136 @ mardi 04 novembre 2008 à 11:26) *
mais le module n'est pas chargé sous debian

Le module mac?

CITATION(nemo136 @ mardi 04 novembre 2008 à 11:26) *
et ça n'a pas fonctionné, je n'ai jamais récupéré les paquets, de plus, même si ça avait marché, je ne sais pas comment j'aurais pu filtrer les paquets venant de la freebox et faire passer de RED vers GREEN uniquement ceux qui visent le boitier HD.

Tu peux montrer les règles que tu as essayé?

CITATION(nemo136 @ mardi 04 novembre 2008 à 11:26) *
Je ne savais pas qu'avec un relais DHCP on pouvait les transmettre, mais effectivement, ça semble logique, le seul défaut, comment relayer uniquement 1 seule mac (celle du boitier HD) et pas les autres ?

Attention, un relais DHCP relais seulement le DHCP, ce n'est pas fait pour autre chose.

CITATION(nemo136 @ mardi 04 novembre 2008 à 11:26) *
Pour l'instant j'ai :

freebox |--- distance ---RED|routeur linux(FW + NAT + serveur web)|GREEN---|switch|====|2*pc + boitier HD...

Donc tu as déjà ce qu'il faut pour ne pas avoir à configurer un pont : un switch!

Il suffit de le mettre avant l'ordinateur. Par contre le DHCP de la Freebox n'est pas désactivable en mot pont, donc soit :
  • tu passes en mode routeur, tu désactives le DHCP, si tu as besoin tu mets ton routeur linux en "DMZ", c'est à dire en cible DNAT; ça te fais un accès indirect (naté) à Internet, mais qui ressemble un peu à un accès direct (et tu peux bidouiller avec iptables pour que le routeur crois avoir l'IP publique qu'a la Freebox - et donc qu'il a indirectement via le SNAT de la box - si tu as besoin)
  • tu abandonnes le DHCP au profit d'une IP statique sur les PC derrière le routeur
CITATION(nemo136 @ mardi 04 novembre 2008 à 11:26) *
et au niveau physique j'aimerai éviter de devoir rajouter du materiel supplémentaire (comme un switch) entre la freebox et l'interface RED du serveur s'il est possible de le faire de manière logicielle.

C'est possible comme en déplaçant le switch (avec un compromis entre le DHCP et le mode pont) ou en broutant.

Ce message a été modifié par corrector - Tuesday 04 November 2008 à 17:03.
Go to the top of the page
+Quote Post
nemo136
posté Wednesday 05 November 2008 à 16:17
Message #6


Petit nouveau
*

Groupe : Gazetteux
Messages : 10
Inscrit : 03/11/2008
Membre no 5286



CITATION(corrector @ mardi 04 novembre 2008 à 17:01) *
Il te faut donc configurer un brouter avec ebtables.

merci, ça a marché !!!! je donne ma config si ça interesse quelqu'un jour :

installer ebtables + le module noyau adapté

CODE
sudo modprobe ebtables
sudo modprobe ebtables_broute

les modules sont à rajouter dans /etc/modules pour rendre le changement permanent

à rajouter dans votre firewall (/etc/network/if-pre-up/iptables-start si vous êtes sous debian)
CODE
ebtables -t broute -A BROUTING -p 0x8100 --vlan-id ! 100 -j DROP
ebtables -t broute -A BROUTING -p ! 0x8100 -j DROP


et sous /etc/network/interfaces
CODE
auto br0
iface br0 inet manual
        bridge_ports interface0 interface1
    bridge_maxwait 0

(en remplacant par les bonnes interfaces)
et faire un redemarrage du reseau !


pour la fin de la discussion :

CITATION(corrector @ mardi 04 novembre 2008 à 17:01) *
Avec "iptables --match mac"?

MANGLE c'est pour altérer les paquets; quelle cible voulais-tu utiliser?


Non, avec "--mac-source mac-boitier-HD -t mangle --oif RED" pour pouvoir rebalancer tout sur l'interface reseau RED.

CITATION(corrector @ mardi 04 novembre 2008 à 17:01) *
Donc tu as déjà ce qu'il faut pour ne pas avoir à configurer un pont : un switch!

Il suffit de le mettre avant l'ordinateur. Par contre le DHCP de la Freebox n'est pas désactivable en mot pont, donc soit :
  • tu passes en mode routeur, tu désactives le DHCP, si tu as besoin tu mets ton routeur linux en "DMZ", c'est à dire en cible DNAT; ça te fais un accès indirect (naté) à Internet, mais qui ressemble un peu à un accès direct (et tu peux bidouiller avec iptables pour que le routeur crois avoir l'IP publique qu'a la Freebox - et donc qu'il a indirectement via le SNAT de la box - si tu as besoin)
  • tu abandonnes le DHCP au profit d'une IP statique sur les PC derrière le routeur

C'est possible comme en déplaçant le switch (avec un compromis entre le DHCP et le mode pont) ou en broutant.


Si il y a un switch derrière, c'est parce que mon pc/routeur linux n'a que 2 interfaces réseaux alors qu'il y a au moins 2 bécanes permanentes + 2 temporaires qui doivent se connecter sur mon réseau local (interface) ... donc le switch reste où il est, pas assez de prises en aval sinon sad.gif.

Merci pour tes conseils, j'ai pu obtenir ce que je voulais en modifiant très peu mon installation logicielle et rien au niveau materiel ! Sachant qu'il n'y a que le boitier HD sur le vlan 100, je pense qu'au niveau sécurité, à moins que quelqu'un parvienne à pirater la freebox / le boitier HD, il n'y a pas de risque supplémentaire pour mon réseau local. J'espère que ça pourra servir à d'autres.
Go to the top of the page
+Quote Post
corrector
posté Thursday 06 November 2008 à 06:02
Message #7


Campeur du forum
***

Groupe : Gazetteux
Messages : 2660
Inscrit : 27/09/2008
Lieu : Paris
Membre no 5030
Sexe:

Raccordé en: Dégroupage Total
Modem: Freebox V5 & HD



CITATION(nemo136 @ mercredi 05 novembre 2008 à 17:17) *
CITATION
Avec "iptables --match mac"?

Non, avec "--mac-source mac-boitier-HD -t mangle --oif RED" pour pouvoir rebalancer tout sur l'interface reseau RED.

Oui, c'est bien ce que je dis, voir Autres Extensions de Concordance :
CITATION
mac

Ce module doit être spécifié explicitement avec `-m mac' ou `--match mac'. Il est utilisé pour concorder à des adresses Ethernet (MAC) de paquets qui arrivent, et est seulement utile pour convenir avec des paquets traversant les chaines INPUT et PREROUTING. Il donne une seule option:
--mac-source


CITATION(nemo136 @ mercredi 05 novembre 2008 à 17:17) *
Si il y a un switch derrière, c'est parce que mon pc/routeur linux n'a que 2 interfaces réseaux alors qu'il y a au moins 2 bécanes (...) qui doivent se connecter sur mon réseau local (interface) ...

Oui, j'avais bien compris ça!

CITATION(nemo136 @ mercredi 05 novembre 2008 à 17:17) *
donc le switch reste où il est, pas assez de prises en aval sinon sad.gif.

Non, l'idée est de déplacer le switch avec toutes les machines toujours branchées dessus, un peu d'ASCII-art :

CODE
Fbx ADSL -------------- switch +--- PC NAT-routeur vers LAN privé
          (long câble)         +--- x PC (dans LAN privé)
                               +--- Fbx TV

qui est isomorphe au branchement utilisant le switch de la Fbx (si les 5 ports Ethernet suffisent) :
CODE
Fbx ADSL +--- PC NAT-routeur vers LAN privé
         +--- x PC (dans LAN privé)
         +--- Fbx TV

Sinon, ça revient à te demander d'acheter un autre switch (ou de longs câbles pour utiliser celui de la Fbx ADSL).
Go to the top of the page
+Quote Post
nemo136
posté Thursday 06 November 2008 à 07:44
Message #8


Petit nouveau
*

Groupe : Gazetteux
Messages : 10
Inscrit : 03/11/2008
Membre no 5286



CITATION(corrector @ jeudi 06 novembre 2008 à 06:02) *
Oui, j'avais bien compris ça!

Non, l'idée est de déplacer le switch avec toutes les machines toujours branchées dessus, un peu d'ASCII-art :

CODE
Fbx ADSL -------------- switch +--- PC NAT-routeur vers LAN privé
          (long câble)         +--- x PC (dans LAN privé)
                               +--- Fbx TV

euhhh, même si les 2 solutions que tu propose sont valables au niveau sécurité (il faut dans tous les cas faire tomber le serveur sur lequel tout est redirigé pour accéder au reste), le dhcp+NAT de la freebox a quelques lacunes : pas de réglage des noms de machines si je me souviens bien, sans compter que si le réseau extérieur tombe (freebox down), plus rien de marche en interne !

Et pour l'autre solution, avec ip fixes pour les autres pcs, c'est la croix et la bannière dès que des amis viennent et ont besoin du net. De plus, je préfère éviter de desservir l'exterieur et le lan sur la même interface ethernet, je ne trouve pas ça très propre, même si ça marche sans doute très bien.

Finalement, je préfère avoir le moins de choses possibles à régler sur la freebox (la laisser en mode pont avec le dhcp qui fournit les dns "exterieurs" et son ip fixe au serveur) tout en conservant les bénéfices du serveur linux pour le dhcp, dns... interne par example quand je dois réinstaller une bécane par pxe. Sachant, de plus, que j'ai un contrôle total au niveau du serveur, que ce soit pour les sauvegardes ou en cas de problème, ce dernier est, je pense, plus facile à identifier si j'ai des outils non disponibles sur la freebox (tcpdump...).

<troll>Donc au final, je conserve mon petit brouter, il permet d'être plus simple et je peux frimer en disant que seul une bécane linux peut faire un firewall / pont comme ça wink.gif.</toll>
Go to the top of the page
+Quote Post
corrector
posté Thursday 06 November 2008 à 10:31
Message #9


Campeur du forum
***

Groupe : Gazetteux
Messages : 2660
Inscrit : 27/09/2008
Lieu : Paris
Membre no 5030
Sexe:

Raccordé en: Dégroupage Total
Modem: Freebox V5 & HD



CITATION(nemo136 @ jeudi 06 novembre 2008 à 08:44) *
euhhh, même si les 2 solutions que tu propose sont valables au niveau sécurité (il faut dans tous les cas faire tomber le serveur sur lequel tout est redirigé pour accéder au reste), le dhcp+NAT de la freebox a quelques lacunes :

Non non, je n'ai pas parlé de faire faire à la Freebox le boulot de NATage à la place du PC.

Le schéma de câblage est
CODE
Fbx ADSL -------------- switch +--- PC NAT-routeur vers LAN privé
          (long câble)         +--- x PC (dans LAN privé)
                               +--- Fbx TV
mais le schéma IP reste
CODE
Fbx ADSL ---+--- PC NAT-routeur --- x PC (dans LAN privé)
            +--- Fbx TV
dans tous les cas.

CITATION(nemo136 @ jeudi 06 novembre 2008 à 08:44) *
Et pour l'autre solution, avec ip fixes pour les autres pcs, c'est la croix et la bannière dès que des amis viennent et ont besoin du net.

Je comprends, c'était une idée comme ça.
CITATION(nemo136 @ jeudi 06 novembre 2008 à 08:44) *
De plus, je préfère éviter de desservir l'exterieur et le lan sur la même interface ethernet, je ne trouve pas ça très propre, même si ça marche sans doute très bien.

Si tu configures tes interfaces comme cela, peu importe que LAN_IF == WAN_IF :
CODE
# Disclaimer : script non testé, etc.
# LAN_IF donne accès au LAN privé (plage d'adresses LAN_SUBNET), avec l'adresse locale LAN_IP
ip addr add ${LAN_IP} dev ${LAN_IF}
ip route add ${LAN_SUBNET} dev ${LAN_IF} src ${LAN_IP}

# WAN_IF donne accès à Internet avec l'IP publique WAN_IP
ip addr add ${WAN_IP} dev ${WAN_IF}
ip route add default dev ${WAN_IF} via ${WAN_GW} src ${WAN_IP}

Une interface réseau logique avec deux routes correspondant à deux IP sources différentes, c'est ça le problème? Dans ce cas tu pourrais utiliser un VLAN Ethernet pour le LAN (et alors LAN_IF != WAN_IF).

Le switch partagé entre deux réseaux, c'est ça le problème? Si la Freebox est hackée, le LAN est accessible directement, évidemment. En dehors de cet aspect sécuritaire, je ne vois pas d'autres problèmes.

CITATION(nemo136 @ jeudi 06 novembre 2008 à 08:44) *
pas de réglage des noms de machines si je me souviens bien,

C'est quoi les "noms de machines"?

CITATION(nemo136 @ jeudi 06 novembre 2008 à 08:44) *
sans compter que si le réseau extérieur tombe (freebox down), plus rien de marche en interne !

Tu as toujours ton switch. Même en utilisant le mode routeur de la Freebox à la place d'un PC NATeur (ce que je n'ai pas proposé), je ne vois pas le problème.

CITATION(nemo136 @ jeudi 06 novembre 2008 à 08:44) *
Finalement, je préfère avoir le moins de choses possibles à régler sur la freebox (la laisser en mode pont avec le dhcp qui fournit les dns "exterieurs" et son ip fixe au serveur) tout en conservant les bénéfices du serveur linux pour le dhcp, dns... interne par example quand je dois réinstaller une bécane par pxe. Sachant, de plus, que j'ai un contrôle total au niveau du serveur, que ce soit pour les sauvegardes ou en cas de problème, ce dernier est, je pense, plus facile à identifier si j'ai des outils non disponibles sur la freebox (tcpdump...).

En plus, on ne sait pas exactement quels modules conntrack sont chargés sur la Freebox en mode routeur (le ftp y est, c'est tout ce que j'ai testé). On ne peut pas ajouter des modules netfilter, changer dynamiquement les redirections, faire un filtrage fin, encore moins y installer des passerelles applicatives (DNS récursif, squid...).

Dans ma première proposition :
CITATION
tu passes en mode routeur, tu désactives le DHCP, si tu as besoin tu mets ton routeur linux en "DMZ", c'est à dire en cible DNAT; ça te fais un accès indirect (naté) à Internet, mais qui ressemble un peu à un accès direct (et tu peux bidouiller avec iptables pour que le routeur crois avoir l'IP publique qu'a la Freebox - et donc qu'il a indirectement via le SNAT de la box - si tu as besoin)

Tu n'as que deux/trois choses à faire sur la console de gestion : activer le mode routeur, désactiver le DHCP (c'est le but de la manœuvre), éventuellement définir ton PC NAT-routeur comme DMZ. Après tu n'as plus à y revenir, et tu contrôles (presque) tout au niveau de ton PC : par exemple, mettons que ton LAN géré (en terme de NAT-routage, redirections, DHCP...) par ton PC (qu'on appellera LAN-PC) soit en 192.168.0/24, qu'on convient que les passerelles ont le numéro 254, tu peux paramétrer le mode routeur comme ceci :
CODE
DHCP : off
IP DMZ : 192.168.1.1
IP Freebox : 192.168.1.254

La Freebox ADSL fait grosso-modo ceci :
CODE
iptables -t nat -A POSTROUTING -o wan -j SNAT
iptables -t nat -A PREROUTING -i lan -j DNAT --to-destination 192.168.1.1
Le schéma au niveau IP est donc :
CODE
         -----     Freebox ADSL     -----------------     PC NAT-routeur     ------------     PC client
Interface:     WAN              LAN                   WAN                LAN              WAN
Réseau: Internet                      Freebox-LAN                               PC-LAN
IP:       IP publique      192.168.1.254          192.168.1.1       192.168.0.254        192.168.0.x
               <====== SNAT ========                   <======= SNAT ========      
           === DNAT to 192.168.1.1 ===>              ==== redirections, etc. ====>

Notations : j'appelle WAN l'interface qui a la route par défaut, et LAN l'interface qui a une autre route et une autre IP (et qui n'est pas lo ohmy.gif ). (Les notations WAN et LAN peuvent désigner la même interface.)

Comme la Freebox ADSL ne communique qu'avec une seule machine, et qu'elle lui balance toutes les connections entrantes, ça ressemble un petit peu au mode pont. (On peut bidouiller pour que ça ressemble un peu plus au mode pont.)

CITATION(nemo136 @ jeudi 06 novembre 2008 à 08:44) *
<troll>Donc au final, je conserve mon petit brouter, il permet d'être plus simple et je peux frimer en disant que seul une bécane linux peut faire un firewall / pont comme ça wink.gif.</toll>

C'est clair.

Mais j'aime bien explorer les autres possibilités architecturales.
Go to the top of the page
+Quote Post
nemo136
posté Thursday 06 November 2008 à 10:41
Message #10


Petit nouveau
*

Groupe : Gazetteux
Messages : 10
Inscrit : 03/11/2008
Membre no 5286



CITATION(corrector @ jeudi 06 novembre 2008 à 10:31) *
C'est quoi les "noms de machines"?


dns et reverse dns.

Ta solution a un avantage indéniable : je pourrais virer une des cartes réseau de mon serveur, mais vu que je risque, à un moment où à un autre, d'activer le wifi de la freebox, je préfère éviter que tout le monde puisse se balader depuis le wifi sur le réseau cablé, et si je ne me trompe pas, si tu active le wifi freebox, tu es sur le même réseau physique que les interfaces ethernet de la freebox, d'où une sécurité moyenne ... Bon, pour le reste, je pense qu'on s'est compris smile.gif.
Go to the top of the page
+Quote Post
corrector
posté Thursday 06 November 2008 à 11:07
Message #11


Campeur du forum
***

Groupe : Gazetteux
Messages : 2660
Inscrit : 27/09/2008
Lieu : Paris
Membre no 5030
Sexe:

Raccordé en: Dégroupage Total
Modem: Freebox V5 & HD



CITATION(nemo136 @ jeudi 06 novembre 2008 à 11:41) *
dns et reverse dns.

Rien ne t'empêche d'installer un DNS autoritaire, d'écrire un fichier de zone avec les entrées directes et inverses dont tu as besoin, du moment que tu as un serveur allumé en permanence (enfin aussi souvent qu'un autre PC est allumé). Après tu installe un DNS récursif qui en plus des root-servers classiques renverra sur ton DNS autoritaire. (Pourquoi s'emm. avec deux serveurs séparés? Parce que des gens très bien et très sages l'ont prescrit pour des raisons de sécurité. wink.gif )

Bon, un ou deux serveurs DNS, je ne vois pas en quoi ce travail serait mieux fait par la Freebox.

CITATION(nemo136 @ jeudi 06 novembre 2008 à 11:41) *
Ta solution a un avantage indéniable : je pourrais virer une des cartes réseau de mon serveur, mais vu que je risque, à un moment où à un autre, d'activer le wifi de la freebox, je préfère éviter que tout le monde puisse se balader depuis le wifi sur le réseau cablé, et si je ne me trompe pas, si tu active le wifi freebox, tu es sur le même réseau physique que les interfaces ethernet de la freebox, d'où une sécurité moyenne ... Bon, pour le reste, je pense qu'on s'est compris smile.gif.

Tu ne te trompes pas, tout est ponté : le mini-switch, la prise jaune, le Wifi et la liaison USB (interface Ethernet virtuelle).

Le risque si quelqu'un accède à la Freebox, ce n'est pas juste l'accès à ton LAN, c'est l'accès à Internet avec ton IP (donc le blacklistage éventuel de ton IP si la personne est indélicate), et surtout ta responsabilité légale (tu dois mettre en l'œuvre les moyens permettant d'éviter l'usage frauduleux de ta connexion, c'est écrit dans les CGV).

Par ailleurs, l'accès à l'interface de gestion, au Webmail (tant IMP que Zimbra), au POP, IMAP est en clair chez Free. Gare au sniffage de mdp si tu le fais par un Wifi non sécurisé.

Mais si tu actives le Wifi avec WPA/AES (PSK) en choisissant une clef aléatoire, je ne vois pas de problèmes.
Go to the top of the page
+Quote Post
Wildelder
posté Friday 21 November 2008 à 12:52
Message #12


Petit nouveau
*

Groupe : Gazetteux
Messages : 2
Inscrit : 20/11/2008
Membre no 5340



Bonjour biggrin.gif ,

Je suis tombé sur ce topic et je dois avouer que je suis très intéressé wink.gif ...En effet j'ai récemment eu une freeBox HD (l'ancienne version, a 3 antenne et en 9v, car celle livré a l'origine avec freeplug ne fonctionnais pas) et je suis un peu embêté pour la gestion de mon réseau...J'aimerais bien avoir quelques informations/confirmations, et il semble qu'ici il y ai des personnes compétentes pour répondre a mes question (et me donner des avis éclairés)

Pour commencer, j'aimerais savoir si dans le boitier ADSL il y a une "différence" entre les 4 prises "classiques" et la "prise jaunes". D'après 'corrector' il ne semble pas.
CITATION(corrector @ jeudi 06 novembre 2008 à 12:07) *
...
Tu ne te trompes pas, tout est ponté : le mini-switch, la prise jaune, le Wifi et la liaison USB (interface Ethernet virtuelle).
...


Quand je parle de "différence" je veux dire :
si le boitier ADSL est en mode "Modem" seul, les 5 ports sont ils "sur le même brin Ethernet" ou sur 2 sous réseaux ?
si le boitier ADSL est en mode "Routeur" est ce que ces 5 prises sont sur le même réseau (je parle en IP classique) ?

Dans les 2 cas, j'ai du mal a comprendre car d'après le post de 'doh' les IP des 2 boitiers sont en 192.168.27.x
J'ai -personnellement- du mal a comprendre comment sur un réseau (ou sous réseau dans le cas ou le boitier ADSL est en routeur) 2 machines peuvent cause entre elles avec un sous réseau différent... Mais bon, peut être que la pile ARP ou IP des PC ne prend pas les messages qui ne concerne pas le sous réseau ?

En fait j'aimerais dans un premier temps avoir une configuration suivante (je vais moi aussi essayer de faire de l'art a ski heh.gif )
Dans cette config, le boitier ADSL est en mode routeur
CODE
Fxb ADSL  +--- FreePlug #1 <-- on change physiquement de pièce --> FreePlug #2 +----- Switch +------- FreeBox HD
          +--- PC1                                                                           +-----  PC 4
          +--- PC2
          +--- PC3
          +--- AP Wifi (je veux couper le Wifi quand je veux, avec un bouton ON/OFF  <_<  )

D'ou mes doutes :
  1. La Freebox HD peut elle être connecté sur le même (sous)réseau que les PC ?
  2. Le port jaune est il "vraiment identique" aux autres ports (et si oui, pourquoi qu'il est jaunes dis blink.gif ?)


Bon, déjà si ca c'est possible je serais contant (reste a comprendre après comment c'est possible entre le boitier ADSL et la Box HD rolleyes.gif )
Ensuite, moi aussi j'aimerais utiliser mon propre routeur (comme je le fait actuellement sous OpenWrt) pour utiliser des services comme Vnc répéteur, serveur VPN ... Du coup j'aimerais faire (a terme, je suis pas pressé)

CODE
Fxb ADSL +--- routeur  +--- FreePlug #1 <-- on change physiquement de pièce --> FreePlug #2 +----- Switch +------- FreeBox HD
                       +--- PC1                                                                           +-----  PC 4
                       +--- PC2
                       +--- PC3
                       +--- AP Wifi

Dans ce dernier cas, je rejoins la discutions et je cherche a comprendre ce qu'il faudrait faire sur le routeur pour permettre la discutions entre le boitier ADSL et le boitier HD.L'idée DMZ est astucieuse tongue.gif mais je me demande comment faire autrement... Au sujet du 803.1Q, dois je comprendre qu'en fait on crée un "lien ethernet virtuel" dans les 2 réseaux (ce qu'a fait 'nemo136' pour que cela marche) ?
Voila, en fait je pense que je vais essayer de comprendre un peux mieux EBTables (surtout ce que cela fait, ou est le VLAN 100 et le 803.1Q)

Dernière question (si vous avez encore de la patience doh.gif ) est ce que je peux mettre l'alim de mon FreePlug2 (12v) sur le boitier HD (l(ancien donc qui est indiqué 9v) , il me semble que non, mais avoir au niveau du boitier HD 2 prises de prises (sans jeux de mots) c'est domage...

Merci beaucoup !!!
Go to the top of the page
+Quote Post
corrector
posté Saturday 22 November 2008 à 19:44
Message #13


Campeur du forum
***

Groupe : Gazetteux
Messages : 2660
Inscrit : 27/09/2008
Lieu : Paris
Membre no 5030
Sexe:

Raccordé en: Dégroupage Total
Modem: Freebox V5 & HD



CITATION(Wildelder @ vendredi 21 novembre 2008 à 13:52) *
Je suis tombé sur ce topic et je dois avouer que je suis très intéressé wink.gif ...En effet j'ai récemment eu une freeBox HD (l'ancienne version, a 3 antenne et en 9v, car celle livré a l'origine avec freeplug ne fonctionnais pas)

Du point de vue de la gestion du réseau, je présume qu'elles sont toutes équivalentes.

CITATION(Wildelder @ vendredi 21 novembre 2008 à 13:52) *
et je suis un peu embêté pour la gestion de mon réseau...J'aimerais bien avoir quelques informations/confirmations, et il semble qu'ici il y ai des personnes compétentes pour répondre a mes question (et me donner des avis éclairés)

Pour commencer, j'aimerais savoir si dans le boitier ADSL il y a une "différence" entre les 4 prises "classiques" et la "prise jaunes". D'après 'corrector' il ne semble pas.

...jusqu'à preuve du contraire. Disons que si quelqu'un en trouve une, je serais curieux de savoir laquelle. J'ai déjà posé la question dans plusieurs forums. Si quelqu'un a une idée de différence observable, c'est facile à tester.

CITATION(Wildelder @ vendredi 21 novembre 2008 à 13:52) *
Quand je parle de "différence" je veux dire :
si le boitier ADSL est en mode "Modem" seul, les 5 ports sont ils "sur le même brin Ethernet" ou sur 2 sous réseaux ?
si le boitier ADSL est en mode "Routeur" est ce que ces 5 prises sont sur le même réseau (je parle en IP classique) ?

Comme je l'ai écris, le port jaune, le mini-switch, le Wifi et l'interface USB sont pontés, c'est tout. Quel que soit le mode, même, je crois, sans branchement de la prise xDSL (mais je ne peux pas vérifier pour l'instant!).

Pour le vérifier, envoie un broadcast Ethernet (il suffit d'un broadcast IP local, p.e. ping broadcast : ping 192.168.0.255) sur un port et regarde sur les autres (WireShark est ton ami).

CITATION(Wildelder @ vendredi 21 novembre 2008 à 13:52) *
Dans les 2 cas, j'ai du mal a comprendre car d'après le post de 'doh' les IP des 2 boitiers sont en 192.168.27.x

Entre eux. Ces adresses sont "privées"; pour utiliser les services Freebox, on utilise les adresses 212.27.40.254 (hd1.freebox.fr), 212.27.40.253 (hd2.freebox.fr), 212.27.38.253 (mafreebox.freebox.fr). Toutes ces adresses sont prises en charge directement par la Freebox réseau.

CITATION(Wildelder @ vendredi 21 novembre 2008 à 13:52) *
J'ai -personnellement- du mal a comprendre comment sur un réseau (ou sous réseau dans le cas ou le boitier ADSL est en routeur) 2 machines peuvent cause entre elles avec un sous réseau différent... Mais bon, peut être que la pile ARP ou IP des PC ne prend pas les messages qui ne concerne pas le sous réseau ?

Ton paquet qui n'est pas destiné à une machine qui n'est pas routeur (ou pont) est ignoré, toujours. C'est le B-A-BA du réseau IP (ou Ethernet). En fait, il est tout à fait possible d'utiliser un même "lien local" (link) avec plusieurs sous-réseaux IP - il y a un paramètre prévu pour ça dans linux, "shared_media" (je ne me souviens plus de ce que ça fait exactement).

En l'occurrence, ce n'est pas le cas : comme indiqué dans le premier message, il y a "trunk" VLAN pour la communication entre les box, qui n'apparait donc pas sur le même "lien local" que l'IP entre ordinateurs et Freebox. Il n'y a aucun mélange, d'aileurs, tu peux vérifier que si tu ne vois pas les ARP entre les box sur ton interface (si différente de celle utilisée pour relier les box).

CITATION(Wildelder @ vendredi 21 novembre 2008 à 13:52) *
En fait j'aimerais dans un premier temps avoir une configuration suivante (je vais moi aussi essayer de faire de l'art a ski heh.gif )

C'est quand même plus facile avec de vrais skis!

CITATION(Wildelder @ vendredi 21 novembre 2008 à 13:52) *
Dans cette config, le boitier ADSL est en mode routeur
CODE
Fxb ADSL  +--- FreePlug #1 <-- on change physiquement de pièce --> FreePlug #2 +----- Switch +------- FreeBox HD
          +--- PC1                                                                           +-----  PC 4
          +--- PC2
          +--- PC3
          +--- AP Wifi (je veux couper le Wifi quand je veux, avec un bouton ON/OFF  <_<  )

FreePlug ~ câble Ethernet
(est équivalent à)

Switch + Switch ~ Switch

Donc tout ça équivaut à tout mettre sur le switch de la box (en supposant qu'il ai suffisamment de prises). Donc il n'y a pas de raison de ça ne marche pas.

CITATION(Wildelder @ vendredi 21 novembre 2008 à 13:52) *
D'ou mes doutes :
La Freebox HD peut elle être connecté sur le même (sous)réseau que les PC ?

Non. La Freebox TV est sur un sous réseau différent, point. On ne peut pas changer ça!

CITATION(Wildelder @ vendredi 21 novembre 2008 à 13:52) *
Le port jaune est il "vraiment identique" aux autres ports (et si oui, pourquoi qu'il est jaunes dis blink.gif ?)

Pour aller avec la couleur du fils.

Si tu subodores une différence entre deux prises, c'est trivial à vérifier : tu inverses les branchements!

CITATION(Wildelder @ vendredi 21 novembre 2008 à 13:52) *
Dernière question (si vous avez encore de la patience doh.gif ) est ce que je peux mettre l'alim de mon FreePlug2 (12v) sur le boitier HD (l(ancien donc qui est indiqué 9v) , il me semble que non, mais avoir au niveau du boitier HD 2 prises de prises (sans jeux de mots) c'est domage...

Sans problèmes, c'est prévu pour. (Sans doutes qu'ils pensaient laisser tomber les alims 9 V un jour. Et faciliter l'envoie d'alim de remplacement.)

J'en reste là, pas le temps de répondre en détail à tout maintenant, je verrai pour répondre au reste plus tard...
Go to the top of the page
+Quote Post
Wildelder
posté Monday 24 November 2008 à 12:31
Message #14


Petit nouveau
*

Groupe : Gazetteux
Messages : 2
Inscrit : 20/11/2008
Membre no 5340



Bonjour,
CITATION(corrector @ samedi 22 novembre 2008 à 20:44) *
... J'en reste là, pas le temps de répondre en détail à tout maintenant, je verrai pour répondre au reste plus tard...

C'est déjà très bien! ça va me permettre de faire des essais, et si je trouve ou comprend mieux certaines point j'essayais de les mettre ici...
En tout cas, merci beaucoup pour toutes ces explications smile.gif

A+


Go to the top of the page
+Quote Post
corrector
posté Wednesday 03 December 2008 à 07:26
Message #15


Campeur du forum
***

Groupe : Gazetteux
Messages : 2660
Inscrit : 27/09/2008
Lieu : Paris
Membre no 5030
Sexe:

Raccordé en: Dégroupage Total
Modem: Freebox V5 & HD



CITATION(corrector @ mardi 04 novembre 2008 à 18:01) *
Il te faut donc configurer un brouter avec ebtables.

Là ("il faut"), j'ai dis une grosse c^Hbêtise. On peut faire du brouting, mais ça n'est absolument pas indispensable : en effet, la Freebox ADSL gère deux sous-réseaux (avec le ou les PC, avec la Freebox TV), mais ne les mélange pas dans sur un même lien, puisque comme le dit l'OP, il y a un VLAN à part pour la communication entre les Freebox.

Donc il suffit de ponter ce VLAN là de part et d'autre du PC routeur, pas besoin des "acrobaties" du brouting.

Go to the top of the page
+Quote Post
Alexis_1905
posté Tuesday 03 February 2009 à 20:36
Message #16


Petit nouveau
*

Groupe : Gazetteux
Messages : 2
Inscrit : 03/02/2009
Membre no 5582



Bonjour,
je suis tombé avec grand intérêt sur cette conversation. Je comprends un peu mieux le fonctionnement du protocole de communication entre les 2 FBX.
Je voudrais faire la même chose que vous mais avec un routeur Lynksys à la place du Switch. J'avoue que je galère un peu dans les règles de routage sous DD-WRT! (d'autant qu'il n'y a pas ebtables)

Si quelqu'un s'y connait ou si quelqu'un a déjà réussi à faire ça, je suis preneur.

Merci
Go to the top of the page
+Quote Post
corrector
posté Wednesday 04 February 2009 à 02:39
Message #17


Campeur du forum
***

Groupe : Gazetteux
Messages : 2660
Inscrit : 27/09/2008
Lieu : Paris
Membre no 5030
Sexe:

Raccordé en: Dégroupage Total
Modem: Freebox V5 & HD



CITATION(Alexis_1905 @ mardi 03 février 2009 à 21:36) *
je suis tombé avec grand intérêt sur cette conversation. Je comprends un peu mieux le fonctionnement du protocole de communication entre les 2 FBX.
Je voudrais faire la même chose que vous mais avec un routeur Lynksys à la place du Switch. J'avoue que je galère un peu dans les règles de routage sous DD-WRT! (d'autant qu'il n'y a pas ebtables)

Bonsoir,

Précisément, il n'y a aucun routage à faire (avec "route" ou "ip route"), c'est un pontage qu'il faut.

Et il n'y a pas besoin d'ebtables.

CITATION(Alexis_1905 @ mardi 03 février 2009 à 21:36) *
Si quelqu'un s'y connait ou si quelqu'un a déjà réussi à faire ça, je suis preneur.

Je ne connais pas, est-ce que tu peux faire un dump de la configuration : interfaces, ponts, routes, règles?
Go to the top of the page
+Quote Post
Alexis_1905
posté Wednesday 04 February 2009 à 10:50
Message #18


Petit nouveau
*

Groupe : Gazetteux
Messages : 2
Inscrit : 03/02/2009
Membre no 5582



CITATION(corrector @ mercredi 04 février 2009 à 03:39) *
Je ne connais pas, est-ce que tu peux faire un dump de la configuration : interfaces, ponts, routes, règles?


En fait j'ai suivi ce tuto: http://spin0us.free.fr/?page=article&id=007 où ils expliquent comment créer plusieurs VLAN et faire les règles de routage sur un Lynksys.
Pour info, l'interface WEB du DD-WRT ressemble à ça:
http://www.informatione.gmxhome.de/DDWRT/S...PN/index-2.html

Je pensais que mon problème provient du fait que je n'attribue pas le VID 100 au VLAN que je crée.
Go to the top of the page
+Quote Post
corrector
posté Wednesday 04 February 2009 à 12:25
Message #19


Campeur du forum
***

Groupe : Gazetteux
Messages : 2660
Inscrit : 27/09/2008
Lieu : Paris
Membre no 5030
Sexe:

Raccordé en: Dégroupage Total
Modem: Freebox V5 & HD



CITATION(Alexis_1905 @ mercredi 04 février 2009 à 11:50) *
En fait j'ai suivi ce tuto: http://spin0us.free.fr/?page=article&id=007 où ils expliquent comment créer plusieurs VLAN et faire les règles de routage sur un Lynksys.
Pour info, l'interface WEB du DD-WRT ressemble à ça:
http://www.informatione.gmxhome.de/DDWRT/S...PN/index-2.html

Je pensais que mon problème provient du fait que je n'attribue pas le VID 100 au VLAN que je crée.

Ces systèmes de configuration avec un patron où il suffit de remplir les cases, avec une jolie GUI par dessus, c'est simple, j'ai jamais réussi en m'en dépatouiller. Encore, pour configurer quelque chose de très compliqué, d'accord. Mais là, pour faire des commandes ip, vconfig, brctl je vois pas le besoin.

Je pense qu'il vaut mieux travailler directement en ligne de commande à coups de vconfig et de brctl. Reste à voir comment ça s'intègre dans le système existant.
Go to the top of the page
+Quote Post
nemo136
posté Monday 02 March 2009 à 13:58
Message #20


Petit nouveau
*

Groupe : Gazetteux
Messages : 10
Inscrit : 03/11/2008
Membre no 5286



CITATION(corrector @ mercredi 03 décembre 2008 à 07:26) *
Donc il suffit de ponter ce VLAN là de part et d'autre du PC routeur, pas besoin des "acrobaties" du brouting.


Désolé pour le temps de réponse de deux mois heh.gif . Pour l'instant, ça tourne avec un brouter, mais ce n'est pas très propre effectivement (je fais d'abord le bridge, puis je vire de ce dernier tout ce qui n'est pas sur le vlan de la freebox / freebox HD). De plus, je dois faire gaffe au bridge pour toutes mes manips (network restart...) sad.gif. Si tu as des références pour ponter uniquement le VLAN de part et d'autre du routeur linux en utilisant un outil du noyau, c'est encore mieux, mais là, sans référence, je sèche...

[EDIT] : j'y travaille, ça devrait fonctionner bientôt, je posterai la solution d'ici ce soir...

Ce message a été modifié par nemo136 - Monday 02 March 2009 à 14:33.
Go to the top of the page
+Quote Post

3 Pages V   1 2 3 >
Reply to this topicStart new topic
1 utilisateur(s) sur ce sujet (1 invité(s) et 0 utilisateur(s) anonyme(s))
0 membre(s) :

 



RSS Version bas débit Nous sommes le : Friday 21 November 2014 à 01:57