internet & fixe Livebox

Voir tous les sujets internet & fixe

Bonjour @Arnaud000 

Tu aurais une box spéciale ???

Dans l'interface :

Puis

Bonjour @JuanLucas38,

Merci pour ton temps et pour ton retour ! C'est apprécié.

Ma box semble similaire à la tienne.

Le problème, c'est que je ne cherche pas à créer une règle NAT mais une règle de routage.

Et l'une n'a rien à voir avec l'autre. 

Règle NAT : Redirection du port X vers l'IP Y et le port Z

Règle de routage : Pour atteindre le réseau X, interroger l'IP Y.

Dans l'interface Livebox "en configuration Pro" (source), voilà ce qui semble être disponible :

Et cette option n'apparait pas dans mon interface de configuration. 

Cela était pourtant réalisable depuis l'interface de la livebox 5 ou même de la 4.

Merci pour votre aide !

Arnaud

Bonjour,

Ça n'existe pas sur les livebox grand-public, malheureusement !

Ça nous éviterait a tous le double NAT d'ailleurs...

Hop!

Hello @Eric_Le_Grompf,

Hum, mauvaise nouvelle alors.

J'ai une seconde plage d'adressage en 192.168.100.0/24, gérée par un routeur qui derrière ma livebox.
Avec la règle de routage, j'informe les devices sur la plage 192.168.1.0/24 de la livebox où s'adresser pour contacter les devices de la seconde plage.

En particulier la box TV qui doit récuperer des contenus sur cette plage là.

On peut gérer ça avec un double NAT ? 

Merci !

Arnaud

Salut @Arnaud000 

Je te laisse entre les mains de @Eric_Le_Grompf  qui te sera d'une plus grande aide que moi.

bonjour,

on peut juste avec le double NAT empiler les routeurs sachant que ce sera massivement unidirectionnel a l'exception des règles PAT sur chaque routeur. Un moyen pour se simplifier la vie est d'avoir le routeur secondaire comme DMZ réglée sur la livebox.

Une solution ch**nt* mais efficace, car demandant un jeu de règles par machine sur le réseau secondaire, est d'avoir la livebox qui fait son NAT et le routeur secondaire qui fait du bi-NAT et aussi du scrubing, la QoS et firewall sur ce qui transite. A savoir, donc,  en faisant  de la traduction d'adresse bidirectionnelle sur chaque interface ethernet. Adressage fixe obligatoire sur tous les réseaux.

Ici on arrive vite sur du Cisco, Juniper, etc pour du commercial sauf a passer sur du linux ou une machine BSD avec pf. Sur ces dernières, ça se fait les doigts dans le nez et jusqu'au coude tellement la syntaxe est claire/simple/etc comparativement à iptables. Éventuellement donc voir avec un routeur opensense basé sur pf si vous voulez du commercial. Et si pas commercial, un petit pc avec N interfaces qu'on trouve sur aliexpress peut très bien le faire.

Hop!

Bonjour,

Concernant la box TV : pensez a vérifier sur ça passe en unicast ou en multicast...

Le multicast implique des règles firewallistiques assez différentes, voire même un peu d'IGMP snooping au niveau du daemon de routage multicast. 

L'unicast par contre c'est la routine usuelle. 

Hop!

Hello hello, 

Merci pour ces retours, je vais me pencher là dessus.
Je dispose d'un routeur Unifi Dream Machine, qui est effectivement positionné en DMZ sur la Livebox. 

La box TV est branchée en direct sur la Livebox, pour éviter d'avoir à recréer tous les VLAN propriétaires d'Orange.
Mon NAS, lui, qui héberge un service DLNA pour partager ses contenus est derrière mon routeur perso. 

Problème : impossible d'indiquer (sans règle de routage) à la box qu'elle peut joindre ma seconde plage d'adressage en 192.168.100.0/24 via l'IP (fixe) de mon second routeur sur la plage 192.168.1.0/24 de la Livebox. 

Une adresse IP fixe est également assignée au NAS via le DHCP de mon routeur perso.

Tu as une idée ? 

Thanks,

Arnaud

Bonjour,

Je dispose d'un routeur Unifi Dream Machine, qui est effectivement positionné en DMZ sur la Livebox. 

Ca c'est un bel outil... dommage que la doc dispo en ligne ne soit pas plus étoffée surtout concernant l'interface utilisateur.

La box TV est branchée en direct sur la Livebox, pour éviter d'avoir à recréer tous les VLAN propriétaires d'Orange.
Mon NAS, lui, qui héberge un service DLNA pour partager ses contenus est derrière mon routeur perso. 

Bah là... faut pas abuser non plus : il y en a deux. le général 832 et le multicast 840. Switcher ces VLANs permet aussi de placer la box ou on veut. le 832 est inutile en sortie de switch de la livebox par contre pour le 840 je n'ai pas cherché a connaitre son mode d'utilisation mais il n'y a semble-t'il rien a faire en sortie.

Par contre sur du matériel derrière la livebox, il faut activer : 

- la QoS 802.3p

- l'IGMP snooping

-le routing multicast (ca peut être implicite avec l'IGMP snooping selon les machines)

Par contre si le 832 et le 840 sont dispo quelque part en sortie de la box... vu que c'est le seul moyen d'avoir un peu d'intersession avec dieu... Ça ouvrirait pas mal de possibilité vu que c'est ce qui sort de l'ONT ! a voir... bonne idée ça.

Problème : impossible d'indiquer (sans règle de routage) à la box qu'elle peut joindre ma seconde plage d'adressage en 192.168.100.0/24 via l'IP (fixe) de mon second routeur sur la plage 192.168.1.0/24 de la Livebox. 

Une adresse IP fixe est également assignée au NAS via le DHCP de mon routeur perso.

Deux possibilités : 

- Garder les deux domaines, auquel cas il faut jouer avec des règles de binat comme je l'ai listé avant. Ça existe au moins chez cisco, et pf (packet filter). Pour iptable ça doit surement exister aussi et pour les autres matériels je ne sais pas.

- Ne pas garder deux domaines mais tout mettre sur le même, celui de la livebox sauf si l'inverse provoque moins de boulot ! Et donc configurer le routeur en bridge transparent. Il ne va plus router... mais faire communiquer les deux sides du réseau, et vous, vous y deviendrez dieu et vos voies deviendront impénétrable car généralement on ajoute une troisième interface réseau pour l'administration hors flux ou une troisième interface mais virtuelle  connectée en "switch logiciel" sur l'interface ethernet  du réseau interne ! Enfin dieu... car invisible et capable de tout modifier dans ce qui passe sur le bridge. Le bridge sera aussi capable de rendre des machines invisibles sur le "réseau orange". En plus ça règle, ou presque, tout les problèmes d'accès a ce qui passe sur le "accès au réseau de communication public" comme  stipulé dans les lois. C'est ce que j'ai mis en place chez moi, et en plus ça règle la gestion différentiée de l'IPv4 (routeur NAT usuellement) et de l'IPv6 (un peu spéciale avec orange... pas de "prefix delegation" et donc perte de 255 sous-réseaux sur les 256 alloués...). Ca plus des switches manageables et je suis le pape local, je peux buller dru !

Dans tous les cas attention a la gestion du multicast en IPv4 et IPv6.

Hop!