internet & fixe ma connexion

Voir tous les sujets internet & fixe

salut @yvonne11 

tu ne peux pas faire/vouloir tout et son contraire, si tu veux un réseau isolé, il aura forcément son propre serveur DHCP

donc tu dois mettre un routeur derrière la box, c'est la seule chose qui te donnes tout

ou un proxy, mais ce n'est pas le même prix, ni les même compétences pour le faire

Bonjour,

 merci pour la réponse .  Effectivement il faut que je fasse attention à la précision des termes ,mais comme je ne maitrise pas du tout le sujet ... Disons que l'idée générale de la manipulation serait de séparer deux  groupes de machines   qui ne puissent se voir , un aurait accès à la configuration de la box , l'autre non .  Pour faire des économies j'aurais aimé que les deux groupes utilisent le même serveur dhcp et dns ... à moins que la box offre la possibilité de créer un serveur dns et dhcp pour chaque groupe  séparé . Ne sachant pas comment fonctionne la box , j'imaginais quelque chose du genre un liste blanche d'adresse mac qui serait affecté à un groupe d'ip qui pourrait tout faire  , aller sur internet , configurer la box ,  et un groupe qui n'appartient pas à la liste blanche et qui ne pourrait qu'aller sur internet et utiliser le serveur dns et dhcp .

re @yvonne11 

@PhilDur 

je ne connais pas assez les livebox pro, mais je doute que ce soit possible, il n'y a qu'un seul serveur DHCP et il distribue toujours des adresses en 192.168.1.xxx

le DNS restera de toutes manières celui de orange, ce qui n'est pas un souci en soi

sachant qu'un routeur ethernet/wifi ne coûte qu'une cinquantaine d'euros, l'investissement ne sera pas énorme, et la mise en œuvre simplissime :

- les machines derrière la box seront branchées directement sur la box et/ou derrière un simple switch (suivant le nombre de machines)

- le routeur sera branché via sa prise WAN (ou équivalent) sur un port de la box et toutes les machines qui seront branchées dessus seront sur un sous réseau isolé du reste

j'ai payé mon TP-Link A5 50 euros, 4 ports ethernet gigabit et wifi (désactivable)

Bonjour

Je vois très bien ce que tu cherches à faire. Ne serais-tu pas un parent avec des ados qui ont le téléphone soudé à la main, et qui ne sont pas prêts à respecter spontanément leurs nuits de sommeil ?

Il est possible de créer un sous réseau chez toi destiné à certaines machines, seulement la Livebox n'est pas un routeur "évolué". Toutes les prises Ethernet de la box portent la même adresse MAC.

Dans ton cas il faudrait lui adjoindre un second routeur qui piloterait son propre réseau par exemple le 192.198.2.0 avec un masque de 24 bits.

Ce routeur ferait passerelle entre le réseau de la box 192.168.1.0/24 et le sien 192.168.2.0/24.

Il faudrait installer toutes les machines accessibles sur ce réseau : imprimante, NAS, ... toute machine accessible aux utilisateurs des deux réseaux devraient être connectées sur ce sous réseau.

Dans le routeur il faudrait ajouter une règle de filtrage : aucune connexion au réseau de la box n'est permise depuis le sous réseau.

Pour qu'une machine du réseau de la box  (192.168.1.yy) ait accès à l'imprimante (adresse en 192.168.2.xx), il faudra déclarer une route statique vers ce réseau  (la règle : si l'adresse est dans le réseau 2 utiliser la passerelle ajoutée et pas la passerelle par défaut).

A partir de là tu aurais ce qu'il faut.

A mon avis il y a plus simple.

Mettre la box sous clé tout en la laissant bien ventilée et cacher l'afficheur en face avant si c'est une LB3 ou 4.

Changer la le mot de passe admin de la box et t'en réserver l'usage.

Pour le wifi que tu pourras rétablir : tu peux planifier des heures de fonctionnement.

Tu peux aussi créer des plages par appareil.

Tu peux aussi utiliser le filtrage par adresse MAC, ça empêche d'utiliser des adresses MAC aléatoires dans les téléphones ; attention le filtrage par adresse MAC rend lourdingue l'ajout d'une machine Wifi dans le réseau.

Cordialement

PhilDur

Bonjour PhilDur ,

Merci pour la réponse . Pour le contexte , il s'agit d'une association , il y a les membres de l'association et des invités  .  les membres de l'association ont leur propres matériels ( ordi ,imprimante  ,etc ) ce qui forme un groupe  , et les invités auront aussi leur propres matériels dans une pièce à part .  aucun des deux  groupes n'aura de matériels partagés sauf la livebox bien entendu en bout de chaine .   La box est déjà isolée dans un autre petit local qui peut être fermé à clé .

salut @yvonne11 

@PhilDur 

alors le plus simple, un routeur

  ok je vois qu'il y a consensus entre vous deux , donc je passerai par la solution routeur branché entre la box et le groupe invité .

     Merci pour vos réponse et votre aide .

bon Dimanche

bonjour,

il vous faut un bridge filtrant avec trois interfaces ethernet :

- ca laisse passer ce que vous voulez sans interférer avec le routage, les dns, le dhcp, etc. 

- ca filtre et priorise ce qui le traverse donc les accès vers la livebox. traduction vous pouvez ajouter une règle explicite genre 

"block drop in on eth0 from any to livebox port http"

"block drop in on eth0 from any to livebox port https"

avec eth0 l'interface vers le réseau invité. 

- ca filtre le transit du reseau invité vers le reseau local avec des regles genre :

"block drop in on eth0 from any to <eth1:network>"

avec eth1:network le reseau genre 192.168.1.0/24. Ca a aussi le mérite de couvrir implicitement la réglé précédente.

Si vous avez un libriste linuxien ou pas dans l'asso : il vous fera ça les doigts dans le nez avec un tagazou de recup'.

Sur un routeur avec votre cahier des charges pour faire propre on aurait créer des tables de routages virtuelles pour chaque interface et on aurait ajouté des règles de transit entre tables avec le firewall... même si c'est conceptuellement propre, c'est un truc plus migraineux surtout pour une assos. Et ca n'aurait pas gardé un réseau physiquement unique vu que vous voulez garder un dhcp, dns, etc unique celui de la livebox même si les deux réseaux ont la même plage d'adressage.

Si vous n'aviez pas de requis d’empêcher l’accès a la livebox (ici c'est un firewall -ou assimilé- qui doit faire le job) : un switch managé aurait fait le job a partir du moment ou il sait gérer des "groupes". un groupe c'est une liste d'interfaces ethernet qui communiquent avec une interface unique mais qui ne peuvent pas communiquer entre eux;

Hop!