• Forums
  •  » LiveBox Pro
  •  »  Routeur derrière une LiveBox Pro pour créer un double réseau

#1 13-11-2011 02:19:43

athon34
On est bien ici
Lieu: AGDE
Date d'inscription: 17-10-2007
Messages: 269

Routeur derrière une LiveBox Pro pour créer un double réseau

Bonjour

Le firewall de la LB pro v2 n'est pas désactivable directement.
Ce petit tutorial (modifié selon les conseils de @matrix dans ses post ultérieurs)
vous montre comment faire pour réaliser un réseau de PC sécurisé placé derrière un routeur connecté par son interface WAN (Internet) à un port ethernet de la LB (le rouge par exemple) et au final réussir à désactiver le pare-feu de la LB pour les PC connectés en ethernet derrière le routeur sur ses ports LAN.

Il est facilement transposable à votre situation et à tout type de matériels.

Le pare-feu de la LB possède plusieurs niveaux de protection

* faible (bloque tout le trafic entrant non sollicité depuis l'intérieur)
* moyen  (bloque tout le trafic entrant non sollicité depuis l'intérieur +
le trafic sortant pour la sollicitation des dangereux ports NETBIOS  (135, 137-139)
* sécurisé (tout est bloqué en /entrée - sortie/ sauf les principaux services)
* personnalisé (à personnaliser soi-même)

Le sujet concerne donc le cas d'un routeur cascadé sur le port WAN (Internet) derrière la Livebox Pro et qui gère donc tout le réseau local, la livebox pouvant alors se contenter de sa fonction de "(bon) modem", car étant un firewall assez médiocre par rapport à celui d'un routeur de bon niveau professionnel.

Comment s'y prendre ?

On aura d'abord établi (sur le papier) un double plan d'adressage des IP qui peut être :

LiveBox:
--------

IP internet  192.168.1.1 
DHCP  On
Adresse IP début : 192.168.1.20  Adresse IP fin  192.168.1.100

Routeur :
--------
Does your Internet connexion require a login ? = NO (c'est toujours la lb qui initie le processus de connexion : synchro, PPP,...)

côté WAN (Internet):
-------------------
adresse IP fixé manuellement dans le Range des adresses DHCP de la LB, disons
IP Wan (Internet) : 192.168.1.23

Use Static IP Adress

IP   Adress    192.168.1.23
Mask           255.255.255.0
Passerelle     192.168.1.1    (La LB)

Pour les DNS serveurs

Use these DNS Servers
DNS1 : 192.168.1.1           (La LB)
DNS2 : 208.67.222.222        (ou d'autres ...)

côté LAN (réseau local):
-----------------------

Adresse IP de base du routeur : 192.168.0.2  (N.B : il faut souvent la changer dès le départ car de nombreux routeurs modernes ont une adresse de base identique à celle de la LB soit 192.168.1.1  !) et n'oubliez pas aussi de mettre avec PPOE des paquets MTU size = 1492 (et pas 1500 par défaut).

DHCP serveur du routeur = ON
pour affecter automatiquement les adresses réseau aux PC connectés derrière, soit de
192.168.0.3  à  192.168.0.100

Ces adresses IP des PC seront AUSSI réservées directement dans le routeur pour disposer toujours des mêmes (réseau, adress reservation) et cela via leur MAC adress

N°   IP adress     Device  Name    Mac Adress
1    192.168.0.3        PC1          00:23:02:2E:56:F9
2    192.168.0.4        PC2          xx.xx.xx.xx.xx.xx
3    192.168.0.5        PC3          xx.xx.xx.xx.xx.xx

Donc l'IP du routeur, ici 192.168.0.2, servira de passerelle (gateway) vers la
LiveBox 192.168.1.1

Pour vérifier, taper sous DOS
arp -a
sur un PC (PC1) connecté derrière le routeur

interface 192.168.0.3    0x10004
adresse internet     Mac adress          type
192.168.0.2          00:23:02:2E:56:F9   dynamique

puis taper sous DOS
netstat -r
et à la fin de la liste vous voyez ...
Passerelle par defaut : 192.168.0.2

Il ne reste plus qu'à aller sur la LB pour ajouter l'adresse IP Wan (Internet) du routeur
soit 192.168.1.23 , cela
dans le tableau de configuration DHCP, adresses IP statique

Nom            Adresse IP          Adresse MAC
FVS318G       192.168.1.23        00:b7:ad:67:be:04

Pour terminer (Ouf !) il faut ENFIN désactiver la fonction FIREWALL (pare-feu) de la LB.

Il suffit d'aller dans Paramètres Avancés - NAT/PAT - et d'indiquer une règle générale de redirection qui ouvre tous les ports de 1 à 65534 concernant l'adresse IP Wan du routeur, règle ici nommée NetgearFVS318G.

Application/Service  Port externe Port Interne Protocole Equipement/Adresse IP   Activer
NetgearFVS318G            1           65534    Les deux       FVS318G              Oui
                                                               ou bien 192.168.1.23

Et voilà,la LB pro ne sert plus maintenant que de "bon modem ayant initié la connexion" (ceci pour notre réseau de PC derrière le routeur !) et le routeur de qualité cascadé derrière sur son port WAN (Internet) reçoit tout le trafic de la LB et si le firewall de ce routeur est correctement initialisé (par défaut il bloque tout le trafic entrant non sollicité et laisse passer tout le trafic sortant) l'on peut dormir tranquille !

Pour le tester aller sur le site www.pcflank.com et faites les tests de firewall proposé : il faut être invisible  (stealth) et ne laisser passer aucun "exploit".

A noter que rien ne vous empêche de connecter encore des PC sur les ports Ethernet (ou via le WiFi) de la LB, mais ces PC ne pourront pas accéder aux PC connectés derrière le routeur : en quelque sorte l'on aura créé un réseau PRIVÉ (protégé par le firewall de la LB que l'on peut régler sur MOYEN) que l'on dédiera aux amis de passage pour éviter de leur montrer le réseau professionnel qui est derrière le routeur.

Bien sur pour tous les PC connectés derrière le routeur ou la LiveBox, la configuration TCP/IP de chaque interface réseau est mise en AUTOMATIQUE :

Panneau de Configuration / Connexion réseau / Sélection de l'interface réseau active sur le PC / Protocole TCP/IP /
* Obtenir une adresse IP automatiquement 
* Obtenir les adresses des services DNS automatiquement

En outre, il faut savoir que chaque PC du réseau derrière le routeur (ici un Netgear FVS318G) pourra toujours accéder au réseau derrière la LiveBox, car le routeur Netgear a déjà une interface (IPwan) connectée en permanence dessus (dans les Logs de la LB apparaît toujours l'adresse IPWan 192.168.1.23 .... lorsque l'on travaille uniquement avec le réseau derrière le routeur).

Cela découle du fait que dans la table de routage du routeur (afficher table de routage) on trouve la règle suivante (créée toute seule lors de son initialisation) :

Interface Name    destination     mask        gateway       metric
Broadband           default      0.0.0.0      192.168.1.1     0

Ce qui signifie que pour aller "partout (destination=default) et si on ne sait pas y aller autrement (mask 0.0.0.0), alors le passage se fera par la livebox (192.168.1.1)

A l'inverse, les PC du réseau LiveBox sont isolés et ne peuvent accéder au réseau derrière le  Routeur car ce dernier est un réseau NATP, donc protégé.

Pour mémoire, je vous rappelle que sous DOS, la commande

ipconfig /all 

affiche la connexion réseau active et ses caractéristiques principales (adresse IPv4, MAC adress, passerelle,..) qui vous seront utiles pour réaliser le montage d'un réseau isolé derrière un routeur cascadé derrière votre LB.

ET n'oubliez pas de changer pour des raisons de sécurité évidentes le password de la LiveBox !


Bon courage

Dernière modification par athon34 (15-11-2011 01:26:11)

Hors ligne

 

#2 13-11-2011 09:14:30

infobarquee
V.I.P Ancien Administrateur
Lieu: mesquer
Date d'inscription: 11-06-2009
Messages: 6842
Site web

Re: Routeur derrière une LiveBox Pro pour créer un double réseau

bonjour,
pourquoi ne pas mettre la DMZ directement sur le routeur? ca revient au même.


Hooo quel hasard, ma boite MP refonctionne ce matin, mais la modération a oublié de réactiver les mails lors d'un MP hahahahaha
Coché Notification des messages privés par courriel

Hors ligne

 

#3 13-11-2011 12:58:51

athon34
On est bien ici
Lieu: AGDE
Date d'inscription: 17-10-2007
Messages: 269

Re: Routeur derrière une LiveBox Pro pour créer un double réseau

Bien sur, on peut mettre une DMZ, mais pas dans le routeur, mais dans la LiveBox laquelle ouvrira tous les ports de l'adresse IP Wan du routeur qui ne sera  donc plus protégé par le firewall de la LB, lequel firewall bloque tout en entrée SAUF les ports qui sont ouverts spécifiquement.
Ici donc on peut mettre une DMZ vers l'adresse IP Wan (Internet) 192.168.1.23  du routeur.

Cela est équivalent à la règle NAT qui ouvre tous les ports de 1 à 65534.

Hors ligne

 

#4 13-11-2011 13:14:25

matrix-bx
J'y suis, j'y reste !
Date d'inscription: 02-09-2008
Messages: 774

Re: Routeur derrière une LiveBox Pro pour créer un double réseau

Bonjour athon34,

Ahhhhh, ben voilà, celui-là est mieux, mais alors beaucoup mieux que le précédent, bravo !!

2, 3 trucs à corriger quand même ...

Il possède plusieurs niveaux de protection
* faible (bloque tout le trafic entrant non sollicité depuis le réseau LAN)
* moyen  (bloque tout le trafic entrant non sollicité depuis le réseau LAN +...

Ca devrait plutôt être "WAN" au lieu de "LAN"

LiveBox:
--------
IP internet  192.169.1.1 ...
Adresse IP de base du routeur : 192.169.0.2 ....

Ces "9" devraient être des "8"

Le firewall de la LB pro v2 n'est pas désactivable directement.
...
Pour terminer il faut ENFIN désactiver la fonction FIREWALL (pare-feu) de la LB.

La 1ère phrase est vraie, la seconde est pour le moins contradictoire et donc fausse.

Il ne reste plus qu'à aller sur la LB et ajouter l'adresse IP Wan (Internet) du routeur
soit 192.168.1.23
dans le tableau de configuration DHCP, adresses IP statique
Nom            Adresse IP          Adresse MAC
FVS318G       192.168.1.23        00:b7:ad:67:be:04

Ici, il faudrait probablement préciser d'adapter à SA propre config (nom, adresse IP et MAC)

Reste un problème,

la livebox pouvant alors se contenter de sa fonction de (bon) modem
...
la LB pro ne sert plus maintenant que de bon modem

Non, non, non et NON !
Dans ce mode, la livebox gère toujours la connexion Internet, c'est elle qui établie la session PPP, c'est elle qui a l'adresse IP publique, elle garde donc forcément son rôle de routeur/NATPT/Firewall.
Je comprends parfaitement ce que tu veux dire, mais c'est très différent de ce que tu dis dans les faits.
Encore une fois, pense aux personnes sans compétence particulière en réseau qui vont lire et prendre pour argent comptant ton tuto, évite de leur farcir l’esprit avec des notions parfaitement fausses.

A noter que rien ne vous empêche de connecter encore des PC sur les ports Ethernet (ou via le WiFi) de la LB, mais ces PC ne seront pas visible des PC connectés derrière le routeur : en quelque sorte on aura créé un réseau PRIVÉ (protégé par le firewall de la LB que l'on peut régler sur MOYEN) que l'on dédira aux amis de passage pour éviter de leur montrer le réseau professionnel qui est derrière le routeur.

ALors, je n'ai pas réalisé de tests mais je pense que les PC du LAN de la box seront accessibles (partage réseau) depuis le LAN du netgear mais seulement via leurs adresses IP et pas via le "voisinage réseau", l'inverse ne sera par contre pas possible (les PC du LAN de la box n'auront pas accès à ceux du LAN du netgear).

Autre point TRES IMPORTANT, tous les PC du LAN de la box et du LAN du Netgear, auront accès par défaut à votre compte Orange et à votre webmail en se connectant sur www.orange.fr.
Tant que vous ne créez pas une boite mail secondaire, l'authentification y est implicite.

PENSEZ Y !

Pour finir, concernant la remarque d'infobarquee
Faire une redirection en TDP et UCP des ports 1-65535 ou faire une "DMZ" c'est, en théorie, sensiblement différent, il n'y a pas que TDP et UCP au dessus d'IP.
Je ne sais pas si une de ces 2 possibilités est plus adaptée ou pas, ça dépend probablement des cas.
Je ne sais pas non plus si la Livebox pro V2, gère convenablement les protocoles au dessus d'IP autres que TCP, UDP, ICMP et IGMP, je crois ma souvenir qu'elle n'est pas "au top" avec GRE par exemple.

Trés bonne continuation.

Dernière modification par matrix-bx (13-11-2011 13:17:14)

Hors ligne

 

#5 13-11-2011 14:01:01

athon34
On est bien ici
Lieu: AGDE
Date d'inscription: 17-10-2007
Messages: 269

Re: Routeur derrière une LiveBox Pro pour créer un double réseau

@matrix

Bonjour et merci de ta contribution

* Effectivement il faut lire 192.168.1.0 et pas 192.169.1.0 (coquille corrigée).

* Il est vrai que c'est la Livebox pro qui initie la session Internet (synchro,PPP) car le routeur filaire cascadé derrière elle par son port WAN n'a pas de login de connexion (dans le routeur : does your Internet connexion require a login = NO).

* En outre la LB garde son pare-feu activé sur niveau moyen, mais ce dernier n'est actif que pour les PC qui sont connectés derrière elle (le réseau privé 192.168.1.X).

Pour les PC qui sont connectés derrière le routeur (le réseau professionnel 192.168.0.X), la règle de redirection NAT mise dans la LB de tous les ports 1 à 65534 en TCP/UDP vers l'adresse IP Wan du routeur (ici : 192.168.1.23) dirige la partie concernée du trafic entrant sur la LB vers le routeur qui est alors protégé par son propre pare-feu et c'était là le but recherché.

* Bien entendu, il faut adapter cette configuration à son propre cas (ce qui est assez facile), mais chez moi tout cela fonctionne parfaitement avec un routeur Netgear FVS318G
(8 ports dont un port dédié DMZ, réseau Gigabit, 5 VPN clients maxi, 8 Méga Ram flash et 32 Méga RAM, processeur 250 Mhz) et une LiveBox pro V2 Sagem.

Hors ligne

 

#6 13-11-2011 14:32:19

matrix-bx
J'y suis, j'y reste !
Date d'inscription: 02-09-2008
Messages: 774

Re: Routeur derrière une LiveBox Pro pour créer un double réseau

Re,

...on aura créé un réseau PRIVÉ (protégé par le firewall de la LB que l'on peut régler sur MOYEN) que l'on dédira aux amis de passage...

J'ai oublié de préciser que dans cette optique, changer le mot de passe de la livebox n'est peut être pas une mauvaise idée ...

Hors ligne

 

#7 13-11-2011 14:53:00

athon34
On est bien ici
Lieu: AGDE
Date d'inscription: 17-10-2007
Messages: 269

Re: Routeur derrière une LiveBox Pro pour créer un double réseau

* Surement pour le mot de passe à changer sur la LB.

* Pour info le réseau privé 192.168.1.x  derrière la LB est bien accessible par le réseau professionnel 192.168.0.X situé derrière le routeur car dans ce dernier il est créé une route statique par défaut vers le réseau livebox :

Interface name     destination      mask        gateway      metric
broadband           default       0.0.0.0    192.168.1.1      0

Cela parait logique.

* L'inverse n'est pas vrai : on ne peut pas depuis le réseau privé 192.168.1.X placé derrière la LB atteindre le réseau professionnel 192.168.0.X derrière le routeur  : il n'y a pas de route statique mise à cet effet dans la LB et de toute façon une telle route statique ne marcherait pas (déjà testé).

Hors ligne

 

#8 13-11-2011 15:06:14

matrix-bx
J'y suis, j'y reste !
Date d'inscription: 02-09-2008
Messages: 774

Re: Routeur derrière une LiveBox Pro pour créer un double réseau

@athon34,
Tu devrais éditer ce tuto et y intégrer les diverses remarques / corrections, il est plus que probable que les gens lisent le tuto mais pas les différents posts après.

... le réseau privé 192.168.1.x  derrière la LB est bien accessible par le réseau professionnel 192.168.0.X situé derrière le routeur car dans ce dernier il est créé une route statique par défaut vers le réseau livebox :
Interface name     destination      mask        gateway      metric
broadband           default       0.0.0.0    192.168.1.1      0

Cette route "ne dit pas ça", elle dit : "pour aller partout (destination 0.0.0.0 ou default) et si je ne sais pas y aller autrement (mask 0.0.0.0) alors passer par la livebox (192.168.1.1)"
Pour aller sur le réseau de la box, le netgear n'a besoin de rien de plus, il est déjà dessus (il a une interface directement connectée, regarde donc sa table de routage, tu devrait y trouver quelque chose ressemblant à :
destination:192.168.1.0     gateway:0.0.0.0         mask:255.255.255.0).

Le fait que les PC du LAN de la box n'accèdent pas aux PC du LAN du netgear ne doit rien au fait qu'il n'y ait pas de route définie dans la box vers le LAN du netgear, (tu as testé et ça ne suffit pas). Cet isolement est le résultat du fait que ton netgear n'est pas un "simple routeur" mais un "routeur/NATPT", il masque (NAT) son réseau local, c'est (une partie de) son boulot.
Quand tu accèdes depuis le LAN du netgear à un des PC du LAN de la box, celui-ci "pense" être accédé par ton netgear (c'est son IP 192.168.1.23 qui accède au pc du LAN de la box)

Dernière modification par matrix-bx (13-11-2011 15:48:51)

Hors ligne

 

#9 13-11-2011 17:44:55

athon34
On est bien ici
Lieu: AGDE
Date d'inscription: 17-10-2007
Messages: 269

Re: Routeur derrière une LiveBox Pro pour créer un double réseau

Merci @matrix  pour tes conseils approfondis.

On est d'accord sur tout le fond de ce dossier. Ceux qui sont intéressés devront donc lire l'intégralité de ce sujet : quand on aime on ne compte pas, surtout si l'on veut arriver correctement à placer un routeur derrière sa livebox et définir ainsi un réseau plus professionnel.

Ce qui compte pour la plupart des personnes, c'est que ça marche, au-delà si ça devient complexe, ça intéresse plus trop grand monde.

Hors ligne

 

#10 13-11-2011 19:01:01

matrix-bx
J'y suis, j'y reste !
Date d'inscription: 02-09-2008
Messages: 774

Re: Routeur derrière une LiveBox Pro pour créer un double réseau

Bonsoir athon34

On est d'accord sur tout le fond de ce dossier.

A peu de chose près, oui il semblerait.

Ceux qui sont intéressés devront donc lire l'intégralité de ce sujet

Oui, c'est ce qu'ils devraient faire mais ils ne le feront, plus que probablement, pas tous ...
Ceux là ne liront probablement pas qu'il est plus que conseillé de changer le mot de passe de la box (HADOPI, toussa) et qu'il est quasiment impératif de créer un compte mail secondaire pour "protéger" l'accès de leur compte sur orange.fr.

Ça te couterait tant que ça d'éditer ton tuto pour y intégrer ces quelques choses et ainsi éviter aux "feignasses qui ne liront pas tout" de se mettre en danger sans le savoir ??
Tu dis vouloir "aider les gens", mais alors juste ceux qui lisent tout, c'est ça ? smile

quand on aime on ne compte pas

Vu le temps que je passe à essayer de te faire saisir certaines choses, je n'aurais pas mieux dit smile

Ce qui compte pour la plupart des personnes, c'est que ça marche, au-delà si ça devient complexe, ça intéresse plus trop grand monde.

Ça, c'est un très bon moyen pour se planter de manière magistrale !
Pourquoi se compliquer la vie à mettre un pare feu et un antivirus sous Windows hein ? Ça marche juste bien sans (voir mieux, plus rapidement) !
Jusqu'au jour où ça marche plus du tout ... Ben là c'est un peu pareil smile

Tu es en train de refaire le même type de bourde que dans ton tuto précédent.
L'essentiel et l'important ce n'est pas que j'aie eu raison (franchement ça on s'en bat l’oeil !)
Ce n'est pas, non plus, que tu aies eu tord sur une certain nombre de point, après tout, tout le monde peux se tromper et personne ne sait "tout sur tout".

Non, l'essentiel et l'important c'est que pleinement averti des imperfections et lacunes de ton précédent tuto (par moi ou par un autre, là encore, on s'en bat l'oeil) tu as rejeté en bloc ces avertissements et refusé d'y accorder la moindre attention.
Tu n'as pas remis en question tes certitudes, tu n'as pas (vraiment) cherché à voir si, par hasard, ces avertissements étés fondés. Tu n'as donc pas "progressé".
En étant un rien cruel, je dirais qu'à la rigueur "tant pis pour toi" seulement je pense à ceux qui ont lu et mis en oeuvre ton précédent tuto et qui se sont potentiellement retrouvé (dans la m...) avec "un LAN coupé en deux" sans comprendre pourquoi comme toi 2 ans plus tard.
Ceux là t'ont fait confiance en appliquant ton tuto, et d'une certaine manière, tu as trahi cette confiance, par entêtement et aveuglement je dirais.
C'est le "plus grave" à mes yeux et c'est pourquoi j'étais si véhément.

Aujourd'hui je pense à ceux qui liront ce tuto (au fait, le titre est affreux) et qui risquent de recevoir un mail d'HADOPI parce qu'ils ont laissé "admin" sur la box, et qu'un indélicat en a profité ; ou plus grave encore qui perdront des contrats parce que quelqu'un aura accédé à leur web mail sur Orange.fr en utilisant le réseau "invités" qu'ils mettent très généreusement à disposition de leurs visiteurs ... des "choses anodines" en somme.

Bref, tu *sais* et tu ne *veux pas* faire ce qu'il faut pour l'éviter, ça c'est limite "impardonnable".

Bon, c'était la minute du pénible "père la morale", mais essais d'y penser quand même.

Bonne continuation.

Dernière modification par matrix-bx (13-11-2011 19:46:10)

Hors ligne

 

#11 13-11-2011 19:19:34

athon34
On est bien ici
Lieu: AGDE
Date d'inscription: 17-10-2007
Messages: 269

Re: Routeur derrière une LiveBox Pro pour créer un double réseau

C'est fait, ami @matrix

Hors ligne

 

#12 13-11-2011 20:25:12

infobarquee
V.I.P Ancien Administrateur
Lieu: mesquer
Date d'inscription: 11-06-2009
Messages: 6842
Site web

Re: Routeur derrière une LiveBox Pro pour créer un double réseau

infobarquee a écrit:

bonjour,
pourquoi ne pas mettre la DMZ directement sur le routeur? ca revient au même.

il fallait comprendre dmz vers le router et non sur le router, ce qui coule de source.

je viens de relire ton "tuto", ayant une configuration presque similaire, mais plus complexe et connaissant un peu les réseaux, une personne qui le lit, va arrêter et décrocher rapidement.

mais je peux te dire que ton réseau n'est pas sécurisé, surtout pour ceux qui sont sur le réseau privé.
une personne se connecte sur la lb, analyse le trafique et se connecte sur tes sessions sans rentrer de mdp ou login wink

la seule solution valable est l'isolation AP, qui elle va vraiment isoler tous les pc sur le réseau.

par contre le fait de changer le mdp de la lb, n'empêche en rien d'accéder à la messagerie orange du propriétaire et n'incombe en rien avec Hadopi.
mettre une email poubelle en se déconnectant à chaque fois de sa messagerie est une solution, mais lorsque tu es sur ta messagerie via le portail, tout le monde peux y acccéder.
le mieux est d'utiliser un logiciel de messagerie.

pour ce qui est d'Hadopi, lorsque l'on met à disposition sa connexion à des amis ou visiteurs, ne te couvre aucunement des téléchargements et agissements des autres.
A moins d'avoir un server de log et justifier les connexions et sites visités par tes invités.
mais là on tombe dans le domaine du hotspot.


Hooo quel hasard, ma boite MP refonctionne ce matin, mais la modération a oublié de réactiver les mails lors d'un MP hahahahaha
Coché Notification des messages privés par courriel

Hors ligne

 

#13 13-11-2011 21:10:20

matrix-bx
J'y suis, j'y reste !
Date d'inscription: 02-09-2008
Messages: 774

Re: Routeur derrière une LiveBox Pro pour créer un double réseau

Bonsoir infobarquee,

... une personne se connecte sur la lb, analyse le trafique ...

A moins de faire un empoisonnement ARP (dont je ne vois pas comment protéger la box à moins qu'on puisse définir une entrée ARP statique sur le Netgear), les personnes connectées à la box ne voient pas passer le trafic venant du LAN du Netgear à destination de la box ou d'Internet. Dans l'autre sens, il n'est pas possible de définir une entrée ARP statique dans la box, on peux donc imaginer un détournement du trafic descendant avec à la rigueur, usurpation des jetons de session.
Sans "voir le trafic" montant (qui contient à priori l'authentification) difficile de l'analyser, non ? J'ai raté un truc ? (si tu expliques, soit pédagogue smile )

Quand je proposais de changer le mot de passe admin, c'était pour ne pas trop faciliter la tâche d'un éventuel visiteur indélicat. Si le mot de passe de la box est connu, bien qu'il y ait une redirection complète vers le netgear (ou un DMZ), il est enfantin de se connecter à la box pour y configurer une redirection de port pour son client P2P préféré smile Sans redirection de port, le P2P devrait marcher moins bien.
Ça ne "protège" pas d'HADOPI, on est d'accord.

Dans la même optique et pour les mêmes raisons, je pense que désactiver UPnP dans la box est à envisager (sinon même pas besoin du mot de passe admin de la box pour faire une redirection de port).

mettre une email poubelle en se déconnectant à chaque fois de sa messagerie est une solution ... le mieux est d'utiliser un logiciel de messagerie

Avis partagé, le web mail c'est une vraie plaie.

Bonne soirée.

Hors ligne

 

#14 13-11-2011 22:23:44

infobarquee
V.I.P Ancien Administrateur
Lieu: mesquer
Date d'inscription: 11-06-2009
Messages: 6842
Site web

Re: Routeur derrière une LiveBox Pro pour créer un double réseau

la lb n'ayant pas à l'origine une AP isolation, avec certains logiciels, il est très facile de voir le trafic sortant et de se mettre sur la même session de l'utilisateur usurpé (face de bouc, msn, twit et j'en passe), sans prendre le controle total évidemment(changement du mdp, etc...

je n'ai pas dit que l'on pouvait récupérer le trafic montant wink , quoique.

pour le mail, un thunderbird (outlook, on en parle même pas) est mieux que d'aller directement sur le portail pour voir ses mails.

désactiver l'upnp, est un peu hasardeux avec certaines imprimante reliées directement sur la lb.


Hooo quel hasard, ma boite MP refonctionne ce matin, mais la modération a oublié de réactiver les mails lors d'un MP hahahahaha
Coché Notification des messages privés par courriel

Hors ligne

 

#15 13-11-2011 22:57:09

matrix-bx
J'y suis, j'y reste !
Date d'inscription: 02-09-2008
Messages: 774

Re: Routeur derrière une LiveBox Pro pour créer un double réseau

Bonsoir infobarquee,

J'avoue ne pas bien saisir. Dans le cas décrit par athon34, le wifi de la box n'est pas utilisé ou ne l'est QUE par les visiteurs, je vois mal pourquoi le fait que la box n'ait pas de fonctionnalité "AP isolement" met en danger le trafic des PC du LAN du Netgear.
L'absence d'AP isolation sur la box fait que le trafic des visiteurs n'est pas, lui protégé.

Pour la désactivation de l'UPnP et toujours dans le cas décrit ici, il n'y a rien de raccordé sur la box sauf d'éventuels visiteurs et le Netgear. C'est le Netgear qui dessert le "LAN pro" (donc je suppose PC, imprimantes etc).

Dernière modification par matrix-bx (13-11-2011 22:58:36)

Hors ligne

 

#16 14-11-2011 12:50:05

athon34
On est bien ici
Lieu: AGDE
Date d'inscription: 17-10-2007
Messages: 269

Re: Routeur derrière une LiveBox Pro pour créer un double réseau

Bonjour,

Tout à fait, le routeur NETGEAR a de connecté sur un des ses ports LAN un point d'accès WIFI qui dessert le réseau dit "professionnel" 192.168.0.X ainsi que divers autres périphériques, dont une imprimante réseau.

Adressage de ce P.A  Wi-Fi

IP :      192.168.0.101
Gateway : 192.168.0.2

Le réseau "Privé" 192.168.1.X placé derrière la LB (WiFi ou filaire) ne sert que pour les amis de passage... qui ne sont pas des "pirates".

Je pense qu'il ne faut pas davantage complexifier ce dossier, l'objectif étant de montrer simplement comment CHEZ SOI monter en cascade un routeur derrière une Livebox et de bloquer le firewall de cette dernière.

Merci de vos contributions respectives.

Hors ligne

 

#17 14-11-2011 15:19:05

athon34
On est bien ici
Lieu: AGDE
Date d'inscription: 17-10-2007
Messages: 269

Re: Routeur derrière une LiveBox Pro pour créer un double réseau

@infobarquee

Pourrait-on changer le titre de cette discussion en
"Routeur placé derrière une LiveBox Pro pour créer un double réseau"

Ce qui me parait plus explicite que le titre actuel
"Bloquer le firewall de la LB Pro dans un réseau sous routeur cascadé"

merci
athon34

Hors ligne

 

#18 14-11-2011 17:56:15

infobarquee
V.I.P Ancien Administrateur
Lieu: mesquer
Date d'inscription: 11-06-2009
Messages: 6842
Site web

Re: Routeur derrière une LiveBox Pro pour créer un double réseau

modification effectuée


Hooo quel hasard, ma boite MP refonctionne ce matin, mais la modération a oublié de réactiver les mails lors d'un MP hahahahaha
Coché Notification des messages privés par courriel

Hors ligne

 

#19 28-10-2012 09:02:01

osef31
Je viens d'arriver !
Date d'inscription: 28-10-2012
Messages: 2

Re: Routeur derrière une LiveBox Pro pour créer un double réseau

athon34 a écrit:

* Surement pour le mot de passe à changer sur la LB.

* Pour info le réseau privé 192.168.1.x  derrière la LB est bien accessible par le réseau professionnel 192.168.0.X situé derrière le routeur car dans ce dernier il est créé une route statique par défaut vers le réseau livebox :

Interface name     destination      mask        gateway      metric
broadband           default       0.0.0.0    192.168.1.1      0

Cela parait logique.

* L'inverse n'est pas vrai : on ne peut pas depuis le réseau privé 192.168.1.X placé derrière la LB atteindre le réseau professionnel 192.168.0.X derrière le routeur  : il n'y a pas de route statique mise à cet effet dans la LB et de toute façon une telle route statique ne marcherait pas (déjà testé).

Bonjour,

Je me permets de déterrer ce post car je suis justement en train de manipuler un petit réseau possédant la même architecture sauf que moi je veux que mes postes du LAN de la livrebox puisse accéder aux postes du LAN du routeur. Et je ne comprends pas très bien pourquoi en créant une route statique sur la livebox on ne peut pas y arriver ...
Cela te parait logique dans un sens et pourquoi pas dans l'autre avec cette route statique dans la livebox :
Dest             Interface       Métrique
192.168.0.0/24   192.168.1.2/24  1

Bref, merci pour vos éclaircissements smile

Dernière modification par osef31 (28-10-2012 09:02:18)

Hors ligne

 

#20 28-10-2012 10:01:06

patrick_91
Avant FONO j'avais une vie
Lieu: Essonne 91
Date d'inscription: 19-09-2008
Messages: 10063
Site web

Re: Routeur derrière une LiveBox Pro pour créer un double réseau

Bonjour,

Oui,tous les paquets confiés a la livebox (192.168.1.2)  et adressés a une destination n'appartenant pas au réseau local sont systématiquement renvoyé au gateway Internet.
Sauf route spécifique  :

Réseau de destination
192.168.0.0
Masque de sous-réseau de destination 255.255.255.0
Passerelle 192.168.1.23
Interface LAN
Métrique 10

Ceci devrait fonctionner, mettre la livebox comme gateway n'est pas correct, en toute rigueur c'est l'interface du réseau local (192.168.1.23) l'entrée WAN du routeur en aval de la livebox qui devrait être capable de faire ce boulot.
Dans le cas de ta config la livebox refuse (logique) de forwarder un paquet provenant du réseau local vers une autre adresse locale ..

Essayes je pense qu'il y a un probleme d’architecture du routeur qui m'échappe car cela ne fonctionne peut être pas non plus.
A plus


Patrick Essonne 91,Livebox 2 SoftAtHome SG20_sip-fr-5.1.8.1 version step4-sip-fr

Hors ligne

 

#21 28-10-2012 11:55:58

athon34
On est bien ici
Lieu: AGDE
Date d'inscription: 17-10-2007
Messages: 269

Re: Routeur derrière une LiveBox Pro pour créer un double réseau

En toute logique cela ne fonctionne pas , même avec une route indiquée spécialement.

Hors ligne

 

#22 28-10-2012 12:07:45

patrick_91
Avant FONO j'avais une vie
Lieu: Essonne 91
Date d'inscription: 19-09-2008
Messages: 10063
Site web

Re: Routeur derrière une LiveBox Pro pour créer un double réseau

Hello, on sait que ça ne fonctionne pas, c'est clair, mais est ce logique ? par rapport a l'architecture de la livebox 2 forcément mais est  ce logique par rapport à un routeur normalement constitué ?? je ne le crois pas ... Si non comment peut on utiliser la fonction "routage" ? ou a quoi est elle destinée ?
Je n'ai pas les réponses , juste des questions ..
A plus


Patrick Essonne 91,Livebox 2 SoftAtHome SG20_sip-fr-5.1.8.1 version step4-sip-fr

Hors ligne

 

#23 28-10-2012 20:28:38

osef31
Je viens d'arriver !
Date d'inscription: 28-10-2012
Messages: 2

Re: Routeur derrière une LiveBox Pro pour créer un double réseau

@patrick_91 : Merci mais il n'y a rien à faire hmm Je ne peux être que d'accord avec toi : cette fichue livebox pro V2 ne contient pas un routeur normal. Bref il va falloir faire avec wink Si quelqu'un a compris la logique (peut-être athon34 ?) je suis preneur. Merci !

Dernière modification par osef31 (28-10-2012 20:29:41)

Hors ligne

 

#24 29-10-2012 08:45:00

matrix-bx
J'y suis, j'y reste !
Date d'inscription: 02-09-2008
Messages: 774

Re: Routeur derrière une LiveBox Pro pour créer un double réseau

Bonjour,
Oui, c'est parfaitement normal et logique et non ce n'est ni un problème matériel ni un problème logiciel, que ce soit dans la box ou dans le Routeur/NAPT en aval.
C'est dit au post #8

matrix-bx a écrit:

Le fait que les PC du LAN de la box n'accèdent pas aux PC du LAN du netgear ne doit rien au fait qu'il n'y ait pas de route définie dans la box vers le LAN du netgear, (tu as testé et ça ne suffit pas).
Cet isolement est le résultat du fait que ton netgear n'est pas un "simple routeur" mais un "routeur/NATPT", il masque (NAT) son réseau local, c'est (une partie de) son boulot.
Quand tu accèdes depuis le LAN du netgear à un des PC du LAN de la box, celui-ci "pense" être accédé par ton netgear (c'est son IP 192.168.1.23 qui accède au pc du LAN de la box)

On ne traverse pas un NAT en spécifiant une route, c'est normal et c'est heureux.

Hors ligne

 

#25 29-10-2012 10:40:51

patrick_91
Avant FONO j'avais une vie
Lieu: Essonne 91
Date d'inscription: 19-09-2008
Messages: 10063
Site web

Re: Routeur derrière une LiveBox Pro pour créer un double réseau

Eh oui, le NETGEAR n'est pas un pur routeur, j'avais oublié le "détail" du NAT & PT.
A plus


Patrick Essonne 91,Livebox 2 SoftAtHome SG20_sip-fr-5.1.8.1 version step4-sip-fr

Hors ligne

 
  • Forums
  •  » LiveBox Pro
  •  »  Routeur derrière une LiveBox Pro pour créer un double réseau

Powered by PunBB
© Copyright 2002–2008 PunBB