#1 24-06-2022 12:04:15

michelangelo
On est bien ici
Date d'inscription: 17-10-2015
Messages: 103

Livebox fibre en double NAT. Puis-je la configurer en pont ?

HISTORIQUE.

Quand ma ligne était une ligne analogique classique configurée en ADSL, j'étais parvenu à configurer mon modem-routeur Zixel en pont devant mon pare-feu PF-Sense, ce qui, ensuite, simplifie tout.

Depuis, je suis passé successivement au vDSL, puis à la fibre Orange. Dans ces deux derniers cas, j'ai du renoncer à utiliser un modem acheté dans le commerce, et ai du configurer mon réseau en double NAT: le premier routeur étant la Livebox imposée par Orange, sur le LAN de laquelle mon pare-feu PF-Sense est, lui aussi, configuré en routeur, ce qui me donne une configuration en double NAT. 

Pourquoi ? Cette configuration compliquée résulte du fait que, par principe, je considère comme non sécurisée la protection offerte par le routeur Livebox d'Orange alors que j'accorde toute ma confiance au pare-feu pf-Sense configuré par mes soins. Pour réaliser une installation de confiance, il me suffit donc d'adjoindre à mon pare-feu les fonctions modem fibre, voix sur IP pour la ligne fixe Orange sur IP et (s'il y a lieu) TV Orange.

Voix sur IP ? Il semble possible de souscrire avec un autre prestataire un contrat pas cher pour la ligne téléphonique fixe, mais il m'a semblé que le décodage de la solution Orange de voix sur IP est propriétaire et donc impossible à configurer ailleurs que sur une Livebox d'Orange.

TV ? J'utilise actuellement un AppleTV et Molotov TV. L'AppleTV prend son signal sur mon VLAN privé sans aucun privilège. Je n'utilise donc pas la TV Orange.

Quand je suis passé du VDSL double NAT sur Livebox Play à la fibre Orange, je suis resté en double NAT Sur Livebox 5. Ça fonctionne, bien.

NOUVEAU.

Pour contrôler ma domotique (entre autres), je souhaite maintenant établir une connexion sécurisée entrante à partir de mon ordinateur portable. Cette connexion entrante devrait me permettre un partage d'écran.

En simple NAT, je suis parvenu à réaliser une telle connexion entrante correctement sécurisée sur SSL, mais ne suis pas parvenu à réaliser la même chose sur double NAT.

J'ai alors essayé la solution réseau virtuel proposée (gratuitement) par ZeroTier (https://www.zerotier.com). Mais ZeroTier précise bien qu'il échouera si on lui demande de passer à travers un double NAT. J'ai néanmoins essayé, sans succès (comme prévu).

Il me semble donc que le mieux pour moi est de configurer (même si Orange n'y est pas favorable) ma Livebox en pont, ce qui, comme à l'époque de mon modem Zyxel, me simplifierait tout.

Alternativement, acheter un modem non Orange dans le commerce et le configurer pour la fibre orange, la téléphonie sur IP Orange et, s'il y a lieu, la TV Orange.

Toute suggestion serait la bienvenue: configurer une Livebox d'Orange en pont ou acheter un modem et le configurer.

CONFIGURATION:

EXPOSÉ À L'INTERNET (fibre Orange) par son port WAN: LIVEBOX 5 Fibre configurée en routeur (pas en pont), Wifi désactivé. Un port LAN utilisé par le SG-1000, et sortie VoIP. 

EXPOSÉ AU PORT LAN de la Livebox: microfirewall SG-1000 de Netgate, configuré en routeur créant trois VLANS (privé, invités, internet des objets). La TV est raccordée par ethernet au VLAN privé, sans ligné dédiée.

Un serveur situé dans l'armoire télécom pilote la domotique et fournit des services divers (sauvegardes).

Le tout protégé par UPS.

Les ordinateurs du réseau tournent sur macOS 10.13 (High Sierra) ou 10.14 (Mojave).


--
Michelangelo - Fibre Orange Open Zen 2Go, Livebox 5 en double NAT avec pare-feu routeur Pfsense (Netgate SG-1000) distribuant trois VLAN, WIFI par bornes Airport Extreme et Express et Time Capsule, macOS 10.13.6 (privé, objets et invités)

Hors ligne

 

#2 25-06-2022 09:43:55

shdf
Avant FONO j'avais une vie
Lieu: Maldives
Date d'inscription: 26-03-2012
Messages: 3357
Site web

Re: Livebox fibre en double NAT. Puis-je la configurer en pont ?

Bonjour michelangelo,

Sur la livebox, as-tu mis le pf-sense en DMZ ?

la mise en place d'une DMZ c'est une règle firewall qui renvoie vers un autre routeur toutes les connexions a des ports qui n'ont pas de règle.

Si ta Livebox se trouve en 192.168.1.1 et le pfsense en 192.168.2.1
une connexion depuis internet à ta livebox, sur le port 35000 par exemple, renverra le trafic vers le pfsense, dans la mesure ou il n'existe pas de règle nat concernant le port 35000 sur la livebox.
Coté pfsense il faudra faire la regle NAT qui renvoie le trafic du port 35000 entrant vers l'équipement de destination (IP:port).

As-tu essayé cela ?

Pour contrôler ma domotique (entre autres), je souhaite maintenant établir une connexion sécurisée entrante à partir de mon ordinateur portable. Cette connexion entrante devrait me permettre un partage d'écran.

une autre idée me vient en tête, as-tu essayé Teamviewer ? si le but est de prendre le controle d'un PC à distance.

Sur ton PC/Mac, tu peux installer le client Teamviewer: TeamViewer for Windows/mac
https://www.teamviewer.com/en/download/

Sur le PC/Mac dont tu veux prendre la main a distance, Teamviewer host.
En bas a droite de la page de téléchargement.
il s'agit d'un "service" qui se lancera au démarage et qui tourne 24/24.

TeamViewer Host is used for 24/7 access to remote computers, which makes it an ideal solution for uses such as remote monitoring, server maintenance, or connecting to a PC or Mac in the office or at home. Install TeamViewer Host on an unlimited number of computers and devices. As a licensed user, you have access to them all!

Cette solution te permettra de ne rien changer à ton réseau, ca passe à travers les par-feux.

Dernière modification par shdf (25-06-2022 09:59:38)


Fibre RED FTTH ↓ 1Gbps | ↑ 1Gbps - nPerf

Hors ligne

 

#3 27-06-2022 16:32:29

michelangelo
On est bien ici
Date d'inscription: 17-10-2015
Messages: 103

Re: Livebox fibre en double NAT. Puis-je la configurer en pont ?

Bonjour shdf, et merci mille fois d'avoir cherché des solutions alternatives. J'en déduis que la solution consistant en configurer la Livebox 5 en pont demeure impossible. Dommage car ce serait la solution la plus élégante et sans doute la moins faillible !

Pour mémoire, j'ai aussi interrogé zeroTier hier, leur réponse est:

<quote>One thing you can do: if you can use a router than can run zerotier, then it won’t be double nat’d. Your LAN devices would access the zerotier network through that router instead of via the zerotier app. Here is little list of router/firmware that runs zerotier <https://docs.zerotier.com/devices/opnsense/></unquote>.

J'explore donc aussi cette possibilité de package zeroTier dans le pfSense (dans pfSense) avec le forum de pfSense.

Néanmoins, je préfèrerais régler dans la Livebox la solution au problème causé par le choix d'Orange de m'imposer avec sa Livebox des équipements et une configuration comportant des parties hors de mon contrôle.

DMZ ? une règle firewall qui renverrait vers le pfSense toutes les connexions entrantes vers des ports qui n'ont pas de règle dans la Livebox= ? Une telle règle réduit largement l'entropie des chemins possibles. Cela pourrait être favorable au fonctionnement de zeroTier. J'essaye donc cela. Sur la Livebox, l'adresse du routeur est par défaut 192.168.1.1, ma plage d'adresses est de 2 à 20 (192.168.1.2 à 20), sur la Livebox, je donne l'IP fixe 2 au pfSense (192.168.1.2) et je mets alors, toujours dans la Livebox, le pfSense dans la DMZ de la Livebox. Rien d'autre que le pfSense n'est connecté à la Livebox et je ne crée pas de règle particulière dans le routeur concerné du pfSense. J'essaye zeroTier. SANS SUCCÈS. 

Toute autre, ta suggestion était de créer une règle de transfert d'un port vers l'équipement de destination. Son usage serait un partage d'écran sécurisé par un passage par un tunnel SSL. Une telle solution devrait être réalisable mais est bien éloignée de mon domaine de confort. Je m'y attaquerai donc à mes heures perdues, ou jamais...

TeamViewer ? Je n'avais pas non plus envisagé cela. Apple propose une solution de contrôle à distance qui semble simple et efficace pour les professionnels. Je l'avais écartée pour des raisons de coût. Je n'avais pas envisagé TeamViewer.

Je vens d'explorer TeamViewer, que je croyais payant. Cette application offre une foule de services et en devient, de ce fait, difficile à configurer de manière simple.  Une fois le mode d'emploi maîtrisé, c'est remarquablement efficace. TeamViewer est presque mieux que le partage d'écran à l'intérieur de mon réseau local que j'utilise quotidiennement quand je suis chez moi. 

J'adopte donc cette solution sans plus attendre.

Merci pour l'excellent conseil.


--
Michelangelo - Fibre Orange Open Zen 2Go, Livebox 5 en double NAT avec pare-feu routeur Pfsense (Netgate SG-1000) distribuant trois VLAN, WIFI par bornes Airport Extreme et Express et Time Capsule, macOS 10.13.6 (privé, objets et invités)

Hors ligne

 

#4 27-06-2022 17:58:04

shdf
Avant FONO j'avais une vie
Lieu: Maldives
Date d'inscription: 26-03-2012
Messages: 3357
Site web

Re: Livebox fibre en double NAT. Puis-je la configurer en pont ?

Si tu te sens un peu "aventurier" et si tu es prêt à dépenser quelques euros, tu peux complètement te passer de la livebox. Ce n'est pas simple à faire, ca dépend du niveau et de la motivation de chacun. il faut aller sur le forum lafibre.info, dans cette section plus précisément : https://lafibre.info/remplacer-livebox/
Se passer de la livebox c'est résoudre tous tes problèmes, ca vaut peut-etre le coup de se pencher dessus.

il y a de nombreux exemples, dont certains avec pfsense.

Dans ton cas, tu as une livebox 5 donc pas d'ONT externe. Ta fibre se connecte directement à la livebox.
il te faudrait donc acheter un module ONT SFP, qu'il faudra parametrer avec les même informations que l'ONT interne de ta livebox. Ces infos sont indiquées dans son interface web. Le but étant de faire croire à l'OLT que c'est bien l'ONT de ta livebox qui se connecte au réseau.
l'ONT en question est celui ci :
https://www.fs.com/fr/products/133619.html

Ensuite il te faudra un switch SFP dans lequel tu devras mettre cet ONT :
https://www.amazon.fr/MikroTik-CRS305-1 … 07LFKGP1L/
C'est pour l'exemple, il y a peut etre moins cher ailleurs.

Ensuite pour relier ce switch à ton PFsense, tu devra acheter un module SFP/RJ45 10Gb (multigigabit), le Mikrotik S+Rj10 :
https://www.amazon.fr/Mikrotik-S-RJ10/dp/B084383RZL

Si tu as un PFsense custom (monté par tes soins à partir d'un PC) équipé d'une ou de cartes reseaux 2.5Gbps, tu pourras avoir les 2Gbps sur chaque équipement qui dispose d'une carte réseau 2.5Gbps. Avec la livebox 5, les 2Gbps sont partagés vu que les ports ne sont que de 1Gbps. bon ça je pense que tu le sais déjà.

Si tu as un équipement Pfsense (netgate) tu as donc des ports 1Gbps, tu peux réduire la facture en prenant un adaptateur SFP/RJ45 à 1Gbps au lieu de la version 10Gb, un poil moins cher.
https://www.amazon.fr/Mikrotik-S-RJ01-G … B00N9ZI0MI
Par contre dans ce cas il ne sortira que 1Gbps du switch, sur les 2Gb de ton offre orange.

Le topic sur lequel tu peux te baser pour la mise en place du matériel c'est celui-ci :
https://lafibre.info/remplacer-livebox/ … -la-cos-6/

Ensuite pour le parametrage du pfsense ce ne sont pas les topics qui manquent sur lafibre.info
ce n'est pas compliqué, mais ce n'est pas "simple" non plus. il faudra récupérer avec liveboxinfos les options DHCP que la livebox 5 envoie. les options 77/90 en particulier. et les mettre dans ton pfsense, pour permettre l'authentification et obtenir ton adresse IPV4 et V6.

voili/voilà big_smile

Dernière modification par shdf (27-06-2022 18:01:40)


Fibre RED FTTH ↓ 1Gbps | ↑ 1Gbps - nPerf

Hors ligne

 

#5 27-06-2022 18:06:21

shdf
Avant FONO j'avais une vie
Lieu: Maldives
Date d'inscription: 26-03-2012
Messages: 3357
Site web

Re: Livebox fibre en double NAT. Puis-je la configurer en pont ?

Autre schema possible pour se passer de la livebox, et peut-etre bien plus simple pour toi :
https://lafibre.info/remplacer-livebox/ … 0-dhcp-ko/
Par contre ce sera 1Gbps max, car l'adaptateur TP-Link MC220L ne sait pas faire du 2Gbps.

l'adaptateur SFP/RJ45 coute 30€ environ, ca remplace le switch SFP Mikrotik. il faudra quand meme acheter l'ONT de fs.com indiqué plus haut, pour y brancher la fibre Orange.

Dernière modification par shdf (27-06-2022 18:12:28)


Fibre RED FTTH ↓ 1Gbps | ↑ 1Gbps - nPerf

Hors ligne

 

#6 28-06-2022 17:25:57

michelangelo
On est bien ici
Date d'inscription: 17-10-2015
Messages: 103

Re: Livebox fibre en double NAT. Puis-je la configurer en pont ?

Bonjour shdf. Merci pour cette attention. Cela me semble en effet etre la solution que je cherchais sans être certain de son existence. Reformulons ton post (c'est pour me rassurer sur ma compréhension).

Tu disais: "Livebox 5 donc pas d'ONT externe". Mon DTI Opérateur (Orange) n'a qu'une seule sortie optique 'jaune). L'équivalent de mon modem ADSL est ici l'Optical Network Terminal. Celui-ci est intégré à la Livebox 5. Comme c'est auprès de lui que je m'authentifie, il me faudra une connexion pour configuration et, comme je n'utilise pas de console, il lui faudra un accès internet. Je me souviens que c'est une part difficile de la configuration. .

Cet équivalent Modem est un Module ONT SFP @ 67,20€ TTC
<https://www.fs.com/fr/products/133619.html>

Tu dis alors : "Ensuite il te faudra un switch SFP dans lequel tu devras mettre cet ONT :
<https://www.amazon.fr/MikroTik-CRS305-1 … 07LFKGP1L/>


Là, je ne suis pas certain de comprendre. Si on est en fils de cuivre, c'est bien du RJ45 ? Dans la brochure "Guide pour le raccordement des logements neufs à la fibre optique" présentée sur le forum fibre, ils préconisent bien, pour les deux sorties TV d'une box d'opérateur, de les raccorder chacune directement (sans passer par le commutateur ethernet RJ45), à un des postes TV du domicile (via le décodeur implanté sous la TV) par une ligne ethernet dédiée (même pas un VLAN: via une ligne physique dédiée), et de rajouter un commutateur SFP s'il faut desservir ainsi plus de deux postes de TV dans le domicile. Je suppose donc que ce commutateur SFP est là pour multiplier les sorties dédiées TV pour les TV utilisant chacune un décodeur. Avec mon Molotov sur AppleTV, je me passe de tout ce fourbi en branchant l'AppleTV directement sur mon LAN (ethernet) ordinaire (plus précisément mon VLAN privé). Dans cette hypothèse, je me passerais d'acheter un commutateur Gigabit SFP. Je connecterais directement le port RJ45 de l'ONT SFP à l'interface configuré en port WAN de mon micro-pare-feu pfSense (étant entendu que j'aurais toujours, connecté à l'interface configuré en port LAN unique, mon commutateur actuel Netgear).

Tu dis ensuite: "Ensuite pour relier ce switch à ton pfSense [...] si tu as un équipement pfSennse de Netgate, tu as donc des ports passant 1Gb et peux réduire la facture  en prenant un adaptateur SFP/RJ45 à 1Gb/s...". Ici, je suis bien en dessous. Mon équipement pfSense est le SG-1000 créé dès son lancement par Netgate pour drainer le chaland en entrée de gamme. Cet appareil a depuis longtemps été abandonné par Netgate qui recommande maintenant en entrée de gamme un appareil trois fois plus cher, à 4 interfaces au lieu de 2 et qui passe le Gb. Sous-équipé en mémoires, le SG-1000 bride mon débit de 400 Mbps (débit de mon contrat Orange) à environ 80 Mbps. Mesuré en sortie de box à vide (400 Mb/s) et en sortie du pfSense (80 Mb/s). Je suis donc bien loin du Gigabit et ça m'est bien égal. Remplacer mon petit SG-1000 par son successeur actuel de chez Netgate me coûterait dans les 300 à 400 €, me permettrait instantanément d'atteindre le Gb/s (en boostant mon contrat Orange) mais je ne le ferai que quand j'en verrai objectivement l'utilité chez moi.

Enfin, au port LAN de mon pfSense, mon commutateur Netgear fait son office.

Tu dis enfin : "Ensuite pour le parametrage du pfsense ce ne sont pas les topics qui manquent sur lafibre.info - ce n'est pas compliqué, mais ce n'est pas "simple" non plus. il faudra récupérer avec liveboxinfos les options DHCP que la livebox 5 envoie. les options 77/90 en particulier. et les mettre dans ton pfsense, pour permettre l'authentification et obtenir ton adresse IPV4 et V6." Pour avoir plus d'une fois configura des modems tels que Sagem ou Zyxel en pont (ADSL) ET en conservant l'accès internet. J'ai le souvenir de grandes galères. J'imagine que ce sera pareil ici.

Téléphonie sur IP enfin; S'il suffit vraiment de s'authentifier sur l'ONT pour que le téléphone passe, ce sera une bonne nouvelle pour moi car je redoutais l'éventualité de crypto confidentielle d'Orange sans possibilité de configurer simplement. 

Merci encore pour tes indications. C'est ce qu'il faut mais, comme l'objectif est atteint avec teamViewer, je me donne un an pour ce changement. Je le ferai et ferai un retour sur le forum.


--
Michelangelo - Fibre Orange Open Zen 2Go, Livebox 5 en double NAT avec pare-feu routeur Pfsense (Netgate SG-1000) distribuant trois VLAN, WIFI par bornes Airport Extreme et Express et Time Capsule, macOS 10.13.6 (privé, objets et invités)

Hors ligne

 

#7 28-06-2022 17:40:51

shdf
Avant FONO j'avais une vie
Lieu: Maldives
Date d'inscription: 26-03-2012
Messages: 3357
Site web

Re: Livebox fibre en double NAT. Puis-je la configurer en pont ?

Là, je ne suis pas certain de comprendre. Si on est en fils de cuivre, c'est bien du RJ45 ?

non a ce stade, l'ONT à en entrée la prise fibre que tu branches actuellement dans la livebox 5. En sortie de cet ONT c'est du SFP. il faut donc un switch pour le brancher cet ONT SFP...
une fois l'ONT branché dans le switch, sur un port SFP donc, il faut sortir en RJ45, pour aller se brancher sur des équipements réseaux standards. Ton netgate donc. le module en question est un convertisseur SFP/RJ45. Le Mikrotik S-RJ10 ou le S-RJ01.

Mais en fait je t'ai dit une petite béetise puisqu'il y a un port RJ45 1Gbps sur le switch, donc le S-RJ01 (à 1Gbit) n'est pas utile.
le S-RJ10 est utile si tu veux sortir plus que 1Gbps sur ce port (les 2Gbps de ton abonnement).

Concernant ton SG-1000, j'ai confondu avec un SG-3100. effectivement, ca n'a rien a voir...

Pour la téléphonie, je n'y avais pas pensé, mais si tu veux la conserver tu ne pourras pas te passer de la livebox. ce qui va encore plus compliquer les choses.

je résume le branchement :

Ton PTO mural sur lequel arrive la fibre --> une jaretiere fibre --> l'ONT --> le switch SFP --> un cable réseau sur le port RJ45 du switch --> la prise réseau RJ45 de ton routeur Pfsense

Dans ce schema, 2 Gbps arrivent jusqu'au swtich, et 1Gbps en ressortent vers le routeur pfsense.

Pour avoir les 2Gbps de bout en bout :
Ton PTO mural sur lequel arrive la fibre --> une jaretiere fibre --> l'ONT --> le switch SFP --> un module 10Gbps SFP/RJ45 dans un des ports SFP --> un cable réseau sur ce module --> la prise réseau RJ45 de ton routeur Pfsense (qui devra être équipé d'une carte réseau 2.5Gbps)

Au final ca va te faire pas mal d'investissement pour arriver a ce que tu veux, mais difficile de faire sans...

Dernière modification par shdf (28-06-2022 18:01:43)


Fibre RED FTTH ↓ 1Gbps | ↑ 1Gbps - nPerf

Hors ligne

 

#8 28-06-2022 18:10:13

shdf
Avant FONO j'avais une vie
Lieu: Maldives
Date d'inscription: 26-03-2012
Messages: 3357
Site web

Re: Livebox fibre en double NAT. Puis-je la configurer en pont ?

je vais juste dévier le sujet un peu, en t'expliquant mon cas big_smile
Je suis chez RED maintrenant, et c'est 1000x plus simple de se passer de leur box.
il y a juste un parametre à indiquer dans son routeur perso, et quasiment tous les routeurs grand public du commerce supportent nativement ce parametre. il n'y a que TP-Link qui ne le met pas...
Les routeurs Openwrt, pfsense, Mikrotik etc... ca fonctionne sans souci
Asus, Netgear, zyxel, etc ... aucun probleme.

peut-etre que la solution la moins "prise de tête" se trouve chez un autre opérateur...

Le seul problème avec RED/SFR c'est le risque de se retrouver du jour au lendemain en IPV4 CGNAT + ipv6, ce qui peut poser des problèmes pour accéder a tes équipements depuis l'exterieur, en fait c'est un faut problème car l'IPV6 est justement là pour ça, mais tous les équipements ne supportent pas l'IPV6. Donc à voir.


Fibre RED FTTH ↓ 1Gbps | ↑ 1Gbps - nPerf

Hors ligne

 

Powered by PunBB
© Copyright 2002–2008 PunBB