Sauf que c'est une solution pour un problème qui ne devrait pas exister.
Tous les hosts ne sont pas fait pour être front facing, sans un gros coup de hardening. Pourquoi devrait-on avoir a faire tourner un tunnel restrictif ou autre pour obtenir le même résultat qu'un port forwarding+loopback qui devrait être fonctionnel en premier lieu?
Le seul cas qui le justifierait est le cas présent: un firmware de routeur écrit par des singes, et personne d'assez compétent à mériter son salaire pour faire de la relecture avant le déploiement, et une circonvolution de mesures totalement artificielles pour rendre difficile d'utiliser un autre matériel (qui marche!) que le leur (qu'ils ne savent pas maintenir) sur leur réseau alors que ce serait possible en levant certaines restrictions.
J'aurais du mal a trouver un routeur, 1gbps ou 10gbps, fibre ou cuivre, de chez Cisco, Microtik ou Ubiquiti qui ai d'énormes problèmes.
Un routeur Sagemcom/Orange qui a de gros problèmes par contre? Pas compliqué à trouver, Allez sur la page d'accueil, maintenant ou sur wayback machine, n'importe quelle année depuis la création de leur offre internet.
Le premier routeur que vous verrez sera toujours un routeur avec beaucoup de problèmes, car ils ont et/ou ont eu tous un problème majeur jusqu'à maintenant.
Que des tables NAT sautent, ça peut arriver. Vous avez une config qui marche, vous en faites une backup. Il y a un problème? Vous restaurez la backup de configuration. Problème réglé. Si vous avez pas de backup... la faute n'est pas que du coté du matériel, mais aussi de l'utilisateur.
Mais recourrir au DMZ parce qu'ils sont a ce point incompétents qu'ils déploient un firmware pour routeur qui rempli même pas des fonctions basiques d'un routeur... router le traffic? J'ai pas envie de changer la topologie de tout mon réseau pour palier à ce genre de stupidités.
Un loopback DOIT fonctionner. Point.
Dans les années à venir, je vais probablement aller mettre mon pognon chez un autre FAI, à moins qu'Orange soit autorise le matériel tiers sans avoir à flasher des SFP+ sourcés sur un site asiatique (et qui peut se voir non-fonctionel du jour au lendemain), soit aient un boiter ONT fibre-> 10gbps base T, pas comme l'horreur actuelle qui est capée a 1gbps.
Serait-ce si difficile, si vous voulez garder un réseau uniforme mais sans pourrir la vie à vos clients, de simplement proposer de louer un connecteur SFP+, supporté et garanti de rester fonctionnel car made-in-home et pas bricolé, pour qu'on puisse simplement les connecter au WAN d'un routeur digne de ce nom, en rack, fait par des gens qui ne s'en balancent pas, plutot que de louer un calle-porte a LEDs que vous appelez une boite de vie mais qu'on veut tous mettre à mort?
(Actuellement je suis sur l'offre à 2gbps et je cape a 1.7gbps... ce qui est correct vu comme ça, MAIS c'est uniquement avec deux machines simultanées que j'atteins ce genre de vitesses, car évidement, intelligents les mecs, 2gbps sur le WAN fibre mais la LB5 n'a que des ports LAN 1gbps aux fesses, et ne supporte pas l'aggrégation de liens... avant je trouvais ça presque drôle, mais de voir qu'ils font de pire en pire avec des firmwares foireux tartinés par dessus, je n'en ri plus vraiment.)
