yoyolafrite (Auteur du topic), Posté le: Dim 16 Juin 2024, 13:24 Sujet du message: (Ultra) Mode bridge / routeur Asus TUF-AX5400 accès à Canal+
(Ultra) Mode bridge / routeur Asus TUF-AX5400 accès à Canal+181568166302
Bonjour,
J'ai une question un peu spécifique... je ne sais pas si beaucoup se sont essayés à passer une Freebox, notamment la toute dernière Freebox Ultra, en mode Bridge. Après avoir mis ma Freebox Ultra en mode bridge, j'ai réussi à configurer mon routeur Asus TUF-AX5400 pour obtenir Internet via l'IP fixe publique définie au niveau de Free (Full Stack).
Par contre, avec la Freebox Ultra, la chaine canal+ est offerte (sur la chaine numéro 4). J'en disposais avant de passer la Freebox Ultra du mode Router au mode Bridge.
A présent, sur la Freebox Player Pop, elle n'est plus accessible alors que les autres chaines spécifiques comme Eurosport ou Gameone le sont. En faisant quelques recherches, j'ai testé :
- au niveau de la configuration du réseau local (LAN), activation de l'option IPTV (en spécifiant "Free" parmi la liste des FAI proposés).
- dans la même interface, j'ai aussi essayé d'activer en plus le routage DHCP (Microsoft puis RFC3442)
Au niveau de la configuration du réseau étendu (WAN), j'ai aussi essayé d'activer le UPnP. Mais, aucune de ces solutions ne fonctionnent
Il doit y avoir un mécanisme particulier qui permet à l'équipement Freebox Player Pop d'accorder à l'accès de Canal+
Pour ceux qui se demanderait pourquoi je m'embête à passer en mode Bridge la Freebox Ultra, voici l'explication :
J'ai décidé de passer en mode Bridge car j'avais trop de soucis sur mon réseau local géré derrière par mon routeur Asus.
Un test de débit depuis le routeur Asus affichait une valeur au-delà de 900 Mb/s. Alors qu'un test depuis un PC (Linux pour info) connecté en direct sur l'un des ports LAN du routeur Asus démontrait que mon débit était bridé à environ 30 Mb/s en Download. Le même test directement connecté à un port LAN de la Freebox allait bien au-delà de 900 Mb/s.
A peu près le même constat en se connectant au Wifi du routeur Asus (vs Wifi de la Freebox). Et j'avais aussi constaté des soucis d'étanchéité des réseaux LAN de la Freebox et LAN de mon routeur Asus (pour info, ce dernier était connecté via sa "patte" WAN via une adresse IP fixée sur l'adressage réseau du LAN de la Freebox).
En effet, sur ces 2 réseaux j'avais configuré un DHCP, or il arrivait qu'un périphérique connecté au Wifi de mon routeur Asus obtenait au final une adresse IP du LAN de la Freebox, ce qui lui posait des soucis pour accéder à des ressources accessibles uniquement sur le LAN du routeur Asus.
rr, Posté le: Lun 17 Juin 2024, 8:58 Sujet du message: Re: (Ultra) Mode bridge / routeur Asus TUF-AX5400 accès à Ca
Re: (Ultra) Mode bridge / routeur Asus TUF-AX5400 accès à Ca169182155388
yoyolafrite a écrit:
Par contre, avec la Freebox Ultra, la chaine canal+ est offerte (sur la chaine numéro 4). J'en disposais avant de passer la Freebox Ultra du mode Router au mode Bridge.
Il est possible que pour avoir cette chaine sur le Player Pop, le Player ait besoin d'être en IPv6. Côté Freebox, l'attribution de l'IPv6 se fait via SLAAC. Il me semble que ton routeur ne le gère pas.
yoyolafrite a écrit:
Un test de débit depuis le routeur Asus affichait une valeur au-delà de 900 Mb/s. Alors qu'un test depuis un PC (Linux pour info) connecté en direct sur l'un des ports LAN du routeur Asus démontrait que mon débit était bridé à environ 30 Mb/s en Download. Le même test directement connecté à un port LAN de la Freebox allait bien au-delà de 900 Mb/s.
Très étrange, parce que ça confirme quand même que côté box, il n'y a pas de souci sur le débit.
Par contre, côté TUF-AX5400, il y a peut-être une configuration qui crée le bridage ?
Le problème de débit du TUF-AX5400 était détecté aussi sur les appareils connectés sur son Wifi ?
yoyolafrite a écrit:
j'avais aussi constaté des soucis d'étanchéité des réseaux LAN de la Freebox et LAN de mon routeur Asus (pour info, ce dernier était connecté via sa "patte" WAN via une adresse IP fixée sur l'adressage réseau du LAN de la Freebox).
En effet, sur ces 2 réseaux j'avais configuré un DHCP, or il arrivait qu'un périphérique connecté au Wifi de mon routeur Asus obtenait au final une adresse IP du LAN de la Freebox, ce qui lui posait des soucis pour accéder à des ressources accessibles uniquement sur le LAN du routeur Asus.
Tu as la possibilité de passer ton TUF-AX5400 en mode Access point, c'est à dire :
- que ce ne sera plus le TUF-AX5400 qui gèrera le DHCP
- mais ce sera la Freebox qui gèrera la partie réseau
Tous tes appareils seront donc sur le même réseau, se verront donc, et pourront aussi avoir de l'IPv6 via SLAAC (ce qui pourrait résoudre le problème avec Canal+).
yoyolafrite (Auteur du topic), Posté le: Mar 18 Juin 2024, 21:16 Sujet du message:
181568166302
Bonsoir,
Merci pour votre réponse !
Effectivement, j'avais désactivé l'IPv6. Là je l'ai réactivé, mais effectivement cela ne change rien. Si, mon routeur Asus TUF-AX5400 semble gérer l'IPv6 SLAAC. Enfin cela ne s'appelle pas comme ça, mais il semblerait que cela corresponde à de l'IPv6 Native / Stateless.
J'ai testé... pareil, cela ne fonctionne pas. Dans le doute j'ai testé d'autres modes:
Pour répondre à la question : TUF-AX5400, il y a peut-être une configuration qui crée le bridage ?
En fait, la configuration n'a pas changé depuis la mise en place de la Freebox Ultra, j'avais fait les tests de débit c'était bon. Le problème de débit est apparu quelques mois après. Je fais régulièrement des vérifications car par le passé j'ai déjà remarqué qu'avec Free (mais il n'est pas forcément le seul), le débit était bizarrement bien moindre en soirée malgré une connexion via la Fibre.
Et là j'ai vraiment remarqué la diminution du débit aux alentours de Roland Garros... mais sans doute une coïncidence.
Pour la question : Le problème de débit du TUF-AX5400 était détecté aussi sur les appareils connectés sur son Wifi ?
La réponse est oui... en Wifi comme en filaire...
Pour la proposition : Tu as la possibilité de passer ton TUF-AX5400 en mode Access point
Ben non justement, ce n'est pas ce que je veux pour les raisons suivantes:
- je ne veux pas laisser à mon FAI le soin de gérer la protection de mon réseau local, et au-delà ça, je ne veux pas que "potentiellement" il puisse accéder à réseau local
- je veux garder mon indépendance par rapport à mon FAI et ne pas avoir à changer ma configuration au gré des FAI que je prends
Là tout est OK pour ma configuration réseau... le seul hic, c'est cet aspect sur le flux Canal+. J'essaie de voir s'il y a matière à le récupérer... mais au pire, j'y renoncerais.
rr, Posté le: Mer 19 Juin 2024, 9:21 Sujet du message:
169182155388
yoyolafrite a écrit:
En fait, la configuration n'a pas changé depuis la mise en place de la Freebox Ultra, j'avais fait les tests de débit c'était bon. Le problème de débit est apparu quelques mois après.
Je fais régulièrement des vérifications car par le passé j'ai déjà remarqué qu'avec Free (mais il n'est pas forcément le seul), le débit était bizarrement bien moindre en soirée malgré une connexion via la Fibre.
Et là j'ai vraiment remarqué la diminution du débit aux alentours de Roland Garros... mais sans doute une coïncidence.
Dans ta description précédente, je comprenais qu'au même moment,
- le routeur, connecté en Ethernet au Server, avait un débit de 900Mb
- un appareil connecté en Ethernet à ton routeur avait seulement un débit de 30Mb.
Ce n'est donc pas le cas, ça aurait été totalement anormal, et le problème aurait été du côté de ton routeur. Mais, s'il y avait une saturation côté WAN, effectivement, tu ne pourrais rien y faire, côté routeur.
yoyolafrite a écrit:
Pour la proposition : Tu as la possibilité de passer ton TUF-AX5400 en mode Access point
Ben non justement, ce n'est pas ce que je veux
Tu présentais un problème, et à la fin, tu disais "Je prend toutes les idées".
Tu dis que tu utilises l'Ultra. L'avantage de ce mode est que tu pourrais profiter en même temps du Wifi 6 de ton routeur, et du Wifi 7 de la Freebox (et ses éventuels répéteurs), tout en gardant la communication entre tous tes appareils possible, qu'ils soient connectés sur la box, sur les répéteurs, ou sur ton routeur.
Est-ce que tu as quand même pu vérifier, si avec ce mode, ça résout tous tes problèmes ?
yoyolafrite a écrit:
Si, mon routeur Asus TUF-AX5400 semble gérer l'IPv6 SLAAC.
Enfin cela ne s'appelle pas comme ça, mais il semblerait que cela corresponde à de l'IPv6 Native / Stateless.
J'ai testé... pareil, cela ne fonctionne pas.
Le Player Pop n'arrive toujours pas à récupérer une adresse en IPv6, même après redémarrage du routeur, et du Player ?
Regarde ce témoignage de quelqu'un qui a mis un routeur perso:
Ctk, Posté le: Jeu 20 Juin 2024, 13:33 Sujet du message:
239549216340
Hello,
Je ne sais pas si cela va vous aider, mais j'ai un TUF AX4200 et après avoir galéré 10 jours, j'ai enfin trouvé la solution pour être en IPv6 de bout en bout. J'ai fait cela depuis une box SFR7, mais je pense que le problème est le même avec la box de Free car le blocage vient du routeur Asus.
Il faut utiliser le mode "native" avec un peu de paramétrage tant sur le routeur Asus que sur la Box SFR car le mode "native" en automatique ne fonctionne pas.
Sur la Box SFR : il faut déclarer le routeur en IPv6 fixe (c'est mieux), puis mettre l'adresse IPv6 du routeur en DMZv6 et enfin mettre l'adresse IPv6 du routeur en Gateway Next Hop. Sur le routeur Asus, il faut se mettre en "natif" mais il faut désactiver le DHCP-P D, et renseigner dans "Réseau local adresse IPv6" le sous réseau donné par la Box SFR lors de la création de la DMZv6. Et là, c'est magique. L'IPv6 devient pleinement fonctionnel sur le LAN derrière l'Asus, et c'est très propre.
Le résultat est exactement ce que je cherchais : la Box SFR ne voit qu'un seul client (le routeur). Elle ne gère qu'une IPv4 et une IPv6 sur un port LAN. Le Wifi est éteint. Il n'y a aucune raison que la Box SFR sature, elle ne fait que gérer un seul flux filaire.
De son coté, le routeur Asus gère tout : la distribution des IPv4, des IPv6, l'équilibrage des flux... Vous avez un réseau IPv6 de bout en bout.
Voila, je ne sais pas si cela va vous aider, mais au moins, vous aurez de l'IPv6 correctement chainé sur votre réseau grace au Next Hop.
SiliconBox, Posté le: Jeu 20 Juin 2024, 18:08 Sujet du message:
240518217139
Il faut sortir de la période boutonneuse "Kéké" je bridge pour montrer que je maitrise... et en fait je ne maitrise pas grand chose.
Le mode bridge a eu un intérêt sur le Freebox v5 pour court-circuiter un pare feu qui n'était pas totalement neutre, mais depuis la Révolution le mode bridge N'A PLUS AUCUN INTERET !!!! sauf auprès des kékés qui veulent soit crâner, soit pensent gagner en performance... le gain en performance étant de 1 milliardième de milliardième de seconde.
I - IPv4
Il suffit donc de cascader les routeurs. En mode "cascade" le port WAN du routeur Asus va prendre une adresse privée dans le réseau IPv4 Freebox, au lieu de l'adresse publique de Free, ça ne pose aucun souci.
Il est préférable d'assigner dans le réseau Freebox une adresse fixe pour le routeur Asus en fonction de son adresse MAC. Au niveau du routeur secondaire Asus, soit on paramètre le port WAN afin qu'il acquiert une adresse automatique via le DHCP de la Freebox, soit on code une adresse privée en dur en veillant à ce qu'un bail statique soit bien déclaré à l'identique sur la Freebox.
Sur Freebox OS, on renseigne en DMZ cette même adresse IPv4 afin que la Freebox duplique tous les flux externes vers le routeur secondaire, ensuite au niveau du routeur Asus on paramètre le réseau privée IPv4, avec DHCP
Les réseaux privés Freebox et Asus SERONT PARFAITEMENT étanches !!!! Et il ne peut pas en être autrement
Un appareil connecté sur le routeur Asus n'obtiendra qu'une adresse du routeur Asus et pas de la Freebox
Un appareil connecté sur la Freebox n'obtiendra qu'une adresse de la Freebox, pas du routeur Asus
Encore une fois, dans ce schéma le port WAN du routeur secondaire prend une adresse privée pas publique, donc adresse privée IPv4 signifie NAT, NAT signifie que c'est étanche, les deux routeurs ont leurs propres réseaux privés.
Afin d'éviter les embrouilles on veillera toutefois à ce que la Freebox et le routeur Asus ne soient pas paramétrés sur le même réseau privé car si le client swappe d'un routeur à un autre, c'est là où il peut y avoir des problèmes avec des conflits de baux et ajoutons que cela reviendrait à créer un téléscopage au niveau du routeur Asus puisque WAN et LAN seraient sur les mêmes réseaux.
II - IPv6
Il semble y avoir une différence très importante entre Free et SFR
D'après ce que je comprends du dernier message, SFR assigne à ses abonnés une seule adresse IPv6 et recrée un schéma un peu similaire au NAT IPv4 pour partager cette adresse IPv6 avec tous les clients réseau, d'où la présence d'une DMZ IPv6. Bref, ce n'est pas du SLAAC.
C'est une info que je recherchais, j'ai indirectement la réponse, je n'irai pas chez SFR, la gestion de leur IPv6 ne m'intéresse absolument pas, je préfère Free et son système précieux de multi préfixes IPv6
Donc ce qui est indiqué dans le dernier message n'est pas du tout applicable à la Freebox
Notamment, la notion de DMZ IPv6 n'existe pas sur les Freebox car ça n'a aucun sens ici.
En effet Free assigne à ses abonnés 7 blocs d'adresses IPv6 sur 64 bit, on appelle ça préfixes, et c'est là où le SLAAC intervient
Quel est l'intérêt du SLAAC ?
La gestion des adresses est décentralisée (d'où le terme 'staleless'), ce sont les clients qui s'auto-assignent les adresses IPv6, mais toujours confinées au sein d'un bloc 64 bit prédéfini.
On voit ici que les clients réseau ONT TOUS UNE ADRESSE IPv6 DISTINCTE situé dans le bloc prefix, il ne s'agit pas d'une adresse IPv6 unique et partagée comme décrit précédemment, à partir de là le NAT n'a aucun sens, pas plus que la DMZ IPv6
Il va s'en dire que SLAAC et DHCP6 sont totalement antinomiques, DHCP6 étant un système centralisé.
En SLAAC il y a une rotation régulière des adresses IPv6 initiée par le client réseau lui-même.... donc ça revient à recréer une IPv6 variable afin de réduire les attaques.
Sur une adresse IPv4 on n'a qu'une seule adresse publique, et chez Free cette adresse publique est fixe, ce qui est en réalité un très gros inconvénient car les pirates peuvent attaquer facilement cette adresse. Non l'IPv4 fixe ce n'est pas la panacée contrairement à ce que pensent beaucoup de Freenautes, et c'est bien pour cette raison que je suis très prudent quant à l'hébergement d'un serveur public en IPv4... car quand votre serveur est attaqué, c'est toute votre connexion qui peut être "Down"
En IPv6 on a une adresse publique qui va fluctuer dans un bloc de 64 bit, donc l'attaquant devra déployer de très très très très très gros moyens pour attaquer au hasard sur le spectre de ce préfixe.
Vous avez tous compris l'intérêt du SLAAC maintenant ainsi que ces précieux préfixes IPv6 ?
Si l'objectif est d'héberger des serveurs, ces serveurs on les paramètre en SLAAC, puis on utilise le service de DNS dynamique "dynv6.net', le seul service de son genre gérant l'IPv6 et à ce jour gratuit, et le tour est joué, votre serveur est protégé derrière une adresse IPv6 flottante et du coup on a tout intérêt à désactiver l'IPv4 qui va constituer le point faible, car point d'entrée d'attaques massives et ... vive l'IPv6, mort à l'IPv4, beaucoup trop de gens se méprennent totalement sur l'IPv6 en se pensant plus "secure" derrière leur IPv4 unique et fixe... ces gens n'ont rien compris, ou disons n'ont jamais voulu faire l'effort de comprendre l'IPv6.
SLAAC est extrêmement bien foutu. Lors d'une rotation d'adresse, l'adresse dépréciée va temporairement continuer à accepter les flux entrants mais ne sera plus utilisée pour les flux sortants, ultérieurement l'adresse sera totalement dépréciée mais entre temps les clients auront eu le temps de s'adapter à la nouvelle adresse IPv6 active.
Je ne connais pas du tout cet Asus
Hypothèse 1 : il s'agit d'un routeur compatible IPv6 mais ne "manageant" que l'IPv4 comme la plupart des routeurs grand public, dans ce cas c'est la Freebox qui doit continuer à gérer l'IPv6, on ne touche absolument rien.
Hypothèse 2 : le routeur manage bien l'IPv4 et l'IPv6, et possède bien un mode 'stateless' (par opposition à 'statefull' qui désigne le dhcp6). Dans ce cas, au niveau de la Freebox, on active le NEXT HOP sur le second bloc, on laisse le premier bloc à la Freebox, on ne fait surtout pas l'erreur de basculer le segment par défaut sur le routeur secondaire.
Au niveau du NEXT HOP on renseigne l'adresse de lien local du routeur Asus, une adresse qui est impérativement en "fe80...."
Au niveau du routeur Asus il faut activer le mode IPv6 'stateless', donc désactiver le cas échéant le DHCP6
En revanche on active bien le DHCP4, il ne faut en effet pas confondre l'IPv4 et l'IPv6, ce sont deux couches totalement indépendantes.
Et... voilà, et surtout NE PAS S'EMBROUILLER avec la DMZ IPv6 qui n'a pas lieu d'être dans le schéma Freebox
NOTE
- sous Linux le fameux mode 'stateless' revient à lancer au niveau du routeur le "daemon" radvd paramétré sur le bon préfixe... rien de plus
- pour définitivement tordre le coup à des idées reçues, il existe bien en IPv6 un bloc d'adresse privé équivalent aux adresses privée IPv4, ce sont les adresses dans le segment "fc:7" (emoticon parasite qui cache la séquence ": : /") ou plus usuellement "fd:8" MAIS attention, ce n'est pas un NAT, cette notion n'existe pas vraiment en IPv6 (à part le cas spécifique de mécanismes de transition 6to4)
Dernière édition par SiliconBox le Ven 21 Juin 2024, 13:09; édité 4 fois
Ctk, Posté le: Jeu 20 Juin 2024, 19:31 Sujet du message:
239549216340
Merci pour ces explications qui m'aident moi aussi. C'est assez clair, bravo.
En ce qui concerne SFR, je ne pense pas que la Box SFR assigne elle-même les adresses IPv6 sur un modèle en IPv4 avec le mode décrit (c'est à dire configuré dans l'Asus en "native" et sans DHCP P D). La Box SFR ne semble rien assigner du tout dans ce mode.
Elle le fait dans le cas du mode "Passthrough", car on voit bien dans la console SFR les adresses IPv6 des appareils derrière le routeur (alors qu'elle n'affecte pas les IPv4, c'est le routeur qui s'en charge évidemment et de façon étanche comme évoqué).
Mais en mode "native"; la box ne voit plus du tout les IPv6 des appareils branchés au routeur Asus. Suite à la déclaration de l'IPv6 de l'Asus dans la passerelle Next Hop de la box SFR, un préfixe IPv6 est renvoyé par la Box. Ce préfixe IPv6 est à indiquer dans la config de l'Asus. Puis l'Asus affecte les adresses IPv6 en gardant le préfixe et en distribuant les IPv6 complets.
De ce que je comprends, peut-être un peu naïvement car ce n'est pas mon métier, c'est que la BOX SFR ne gére plus grand chose. Elle ne sert que de passerelle avec tout ce qui arrive ou sort en IPv6 avec le préfixe désigné. C'est bien le routeur Asus qui fait ensuite l'adressage IPv6 complet aux machines du réseaux. Cela me parait très propre, la box ne devenant qu'un saut de plus dans un traceroute IPv6.
Je me trompe ? C'est ce que tu appelles une assignation sur le modèle IPv4 ?
En tout cas, depuis l'extérieur et à conditions d'autoriser les accès sur le part feu IPv6 de l'Asus, je peux bien atteindre mes appareils depuis le WAN en utilisant l'adresse IPv6 des machines.
De toutes façons, c'est la seule méthode avec SFR pour se connecter à mon LAN, car je suis en CGNAT.
yoyolafrite (Auteur du topic), Posté le: Jeu 20 Juin 2024, 23:09 Sujet du message:
181568166302
Bonsoir,
rr a écrit:
Dans ta description précédente, je comprenais qu'au même moment,
- le routeur, connecté en Ethernet au Server, avait un débit de 900Mb
- un appareil connecté en Ethernet à ton routeur avait seulement un débit de 30Mb.
Ce n'est donc pas le cas, ça aurait été totalement anormal, et le problème aurait été du côté de ton routeur. Mais, s'il y avait une saturation côté WAN, effectivement, tu ne pourrais rien y faire, côté routeur.
Si c'est bien ça... l'appareil connecté en Ethernet et aussi tout périphérique connecté au Wifi du routeur Asus.
Mais ce comportement est récent, j'avais fait ces mêmes tests il y a quelques mois au moment de la mise en place de la Freebox.
rr a écrit:
Tu présentais un problème, et à la fin, tu disais "Je prend toutes les idées".
Oui oui... aucun soucis, j'expliquais juste ce que je visais comme usage.
rr a écrit:
Tu dis que tu utilises l'Ultra. L'avantage de ce mode est que tu pourrais profiter en même temps du Wifi 6 de ton routeur, et du Wifi 7 de la Freebox (et ses éventuels répéteurs), tout en gardant la communication entre tous tes appareils possible, qu'ils soient connectés sur la box, sur les répéteurs, ou sur ton routeur.
Oui mais Wifi 7 n'est pas la raison pour laquelle j'ai pris l'Ultra.
Je l'ai pris surtout pour l'offre de service qui va avec : Amazon/PrimeVideo, Disney+, Netflix... et Canal+ c'était un peu la cerise sur le gâteau (mais ce n'est pas l'Essentiel)... Mais j'essaie quand même de voir si je peux récupérer Canal+ dans la configuration visée.
rr a écrit:
Est-ce que tu as quand même pu vérifier, si avec ce mode, ça résout tous tes problèmes ?
Ce mode c'est celui que j'avais avant, donc oui je sais qu'il fonctionne dans une certaine mesure.
Si je supprime mon routeur de l'équation, forcément ça résout en quelque sorte les problèmes... sauf que ce n'est pas ce que je veux en rapport à ce que j'ai expliqué précédemment.
rr a écrit:
Le Player Pop n'arrive toujours pas à récupérer une adresse en IPv6, même après redémarrage du routeur, et du Player ?
Non effectivement et pourtant mon PC lui es capable de récupérer une IPv6 dans cette configuration.
rr a écrit:
Regarde ce témoignage de quelqu'un qui a mis un routeur perso:
Merci je vais y jeter un coup d'oeil... je vais d'abord lire les autres messages à suivre des autres personnes qui ont répondu. *** Modération *** Mise en page éditée *** Modération ***
yoyolafrite (Auteur du topic), Posté le: Jeu 20 Juin 2024, 23:20 Sujet du message:
181568166302
Merci pour votre message !
Ctk a écrit:
Sur la Box SFR : il faut déclarer le routeur en IPv6 fixe (c'est mieux), puis mettre l'adresse IPv6 du routeur en DMZv6 et enfin mettre l'adresse IPv6 du routeur en Gateway Next Hop. Sur le routeur Asus, il faut se mettre en "natif" mais il faut désactiver le DHCP-P D, et renseigner dans "Réseau local adresse IPv6" le sous réseau donné par la Box SFR lors de la création de la DMZv6. Et là, c'est magique. L'IPv6 devient pleinement fonctionnel sur le LAN derrière l'Asus, et c'est très propre.
Le résultat est exactement ce que je cherchais : la Box SFR ne voit qu'un seul client (le routeur). Elle ne gère qu'une IPv4 et une IPv6 sur un port LAN. Le Wifi est éteint. Il n'y a aucune raison que la Box SFR sature, elle ne fait que gérer un seul flux filaire.
De son coté, le routeur Asus gère tout : la distribution des IPv4, des IPv6, l'équilibrage des flux... Vous avez un réseau IPv6 de bout en bout.
Voila, je ne sais pas si cela va vous aider, mais au moins, vous aurez de l'IPv6 correctement chainé sur votre réseau grace au Next Hop.
Je vais creuser le sujet. J'ai toujours désactivé l'IPv6 et donc forcément cet usage particulier m'oblige à mettre un peu le nez dedans.
yoyolafrite (Auteur du topic), Posté le: Ven 21 Juin 2024, 0:33 Sujet du message:
181568166302
Merci pour votre réponse très construite et étayée.
SiliconBox a écrit:
Il faut sortir de la période boutonneuse "Kéké" je bridge pour montrer que je maitrise... et en fait je ne maitrise pas grand chose.
Le mode bridge a eu un intérêt sur le Freebox v5 pour court-circuiter un pare feu qui n'était pas totalement neutre, mais depuis la Révolution le mode bridge N'A PLUS AUCUN INTERET !!!! sauf auprès des kékés qui veulent soit crâner, soit pensent gagner en performance... le gain en performance étant de 1 milliardième de milliardième de seconde...
Je suis passé en mode Bridge surtout pour sortir de l'équation le routeur Freebox au regard des problèmes rencontrés. Pas pour faire le "kéké" ni pour chercher un gain de performance dans l'esprit "overclocking".
SiliconBox a écrit:
I - IPv4
Il suffit donc de cascader les routeurs. En mode "cascade" le port WAN du routeur Asus va prendre une adresse privée dans le réseau IPv4 Freebox, au lieu de l'adresse publique de Free, ça ne pose aucun souci.
Il est préférable d'assigner dans le réseau Freebox une adresse fixe pour le routeur Asus en fonction de son adresse MAC. Au niveau du routeur secondaire Asus, soit on paramètre le port WAN afin qu'il acquiert une adresse automatique via le DHCP de la Freebox, soit on code une addresse privée en dur en veillant a ce qu'un bail statique soit bien déclaré à l'identique sur la Freebox.
C'est bien comme ça que je configure classiquement lorsque je passe d'un FAI à un autre.
SiliconBox a écrit:
Sur Freebox OS, on renseigne en DMZ cette même adresse IPv4 afin que la Freebox duplique tous les flux externes vers le routeur secondaire, ensuite au niveau du routeur Asus on paramrètre le réseau privée IPv4, avec DHCP.
Les réseaux privés Freebox et Asus SERONT PARFAITEMENT étanches !!!! Et il ne peut pas en être autrement
Oui proposition intéressante. Je n'avais pas envisagé la solution DMZ parce qu'initialement je me disais qu'en cascadant les 2 routeurs, cela rendait moins facile de prêter le flan à des attaques réussies.
Mais effectivement, à partir du moment où je passe la Box en Bridge, il n'y a pas de raison de ne pas envisager de laisser la Box en mode Routeur et de mettre la config DMZ que vous exposez.
SiliconBox a écrit:
Un appareil connecté sur le routeur Asus n'obtiendra qu'une adresse du routeur Asus et pas de la Freebox.
Un appareil connecté sur la Freebox n'obtiendra qu'une adresse de la Freebox, pas du routeur Asus.
Encore une fois, dans ce schéma le port WAN du routeur secondaire prend une adresse privée pas publique, donc adresse privée IPv4 signifie NAT, NAT signifie que c'est étanche, les deux routeurs ont leurs propres réseaux privés.
Afin d'éviter les embrouilles on veillera toutefois à ce que la Freebox et le routeur Asus ne soient pas paramétrés sur le même réseau privé car si le client swappe d'un routeur à un autre, c'est là où il peut y avoir des problèmes avec des conflits de baux et ajoutons que cela reviendrait à créer des téléscopage puisque WAN et LAN seraient sur les mêmes réseau.
Je confirme que c'était bien ma configuration... Freebox branchée sur le port WAN du Routeur Asus avec un adressage IPv4 différent entre le LAN Freebox et le LAN Routeur Asus... et aussi IPv4 privée attribuée au routeur figée dans la config DHCP de la Freebox et IP figée dans la config du routeur Asus.
SiliconBox a écrit:
II - IPv6
Il semble y avoir une différence très importante entre Free et SFR.
D'après ce que je comprends du dernier message, SFR assigne à ses abonnés une seule adresse IPv6 avec sous réseau, à ses abonnés, et crée à partir de là un réseau sur le modèle IPv4. De ce que je comprends, en réalité la Box SFR assigne elle-même les adresses en mode DHCP6, ce n'est pas du SLAAC.
C'est une info que je recherchais, j'ai indirectement la réponse, je n'irai pas chez SFR, la gestion de leur IPv6 ne m'intéresse absolument pas, je préfère Free et son système précieux de prefix IPv6.
Donc ce qui est indiqué dans le dernier message n'est pas du tout applicable à la Freebox. Notamment, la notion de DMZ IPv6 n'existe pas sur les Freebox.
Car Free assigne 7 blocs d'adresses IPv6 sur 64 bit, on appelle ça préfixe, et c'est là où le SLAAC intervient
Quel est l'intérêt du SLAAC ?
La gestion des adresses est décentralisées (d'où le terme staleless), ce sont les clients qui s'autoassignent les adresses IPv6, mais toujours confiné au sein d'un bloc 64 bit prédéfini. Il va s'en dire que SLAAC et DHCP6 sont totalement antinomiques.
En SLAAC il y a une rotation régulière des adresses IPv6... donc ça revient à recréer une IPv6 variable afin de réduire les attaques.
Sur une adresse IPv4 on n'a qu'une seule adresse publique, et chez Free cette adresse publique est fixe, ce qui est en réalité un très gros inconvénient car les pirates peuvent attaquer facilement cette adresse. Non l'IPv4 fixe ce n'est pas la panacée contrairement à ce que pensent beaucoup de Freenautes, et c'est bien pour cette raison que je suis très prudent quant à l'hébergement d'un serveur public en IPv4... car quand votre serveur est attaqué, c'est toute votre connexion qui peut être "Down".
En IPv6 on a une adresse qui va fluctuer dans un bloc de 64 bit, donc l'attaquant devra déployer de très très très très très gros moyens pour attaquer au hasard sur le spectre de ce préfix.
Vous avez tous compris l'intérêt du SLAAC maintenant ?
Si l'objectif est d'héberger des serveurs, ces serveurs on les paramètre en SLAAC, puis on utilise le service de DNS dynamique "dynv6.net', le seul service de son genre gérant l'IPv6 et à ce jour gratuit, et le tour est joué, votre serveur est protégé derrière une adresse IPv6 flottante et du coup on a tout intérêt à désactiver l'IPv4 qui va constituer le point faible, car point d'entrée massive d'attaques et ... vive l'IPv6, mort à l'IPv4, beaucoup trop de gens se méprennent totalement sur l'IPv6 en se pensant plus "secure" derrière leur IPv4 unique et fixe... ces gens n'ont rien compris, ou disons n'ont jamais voulu faire l'effort de comprendre.
SLAAC est extrêmement bien foutu. Lors d'une rotation d'adresse, l'adresse dépréciée va temporairement continuer à accepter les flux entrants mais ne sera plus utilisé pour les flux sortants, ultérieurement l'adresse sera totalement dépréciée mais entre temps les clients auront eu le temps de s'adapter à la nouvelle adresse IPv6 active.
Je ne connais pas du tout cet Asus.
Hypothèse 1 : il sagit d'un routeur compatible IPv6 mais ne "manageant" que l'IPv4 comme la plupart des routeurs grand public, dans ce cas c'est la Freebox qui doit continuer à gérer l'IPv6, on ne touche absolument rien.
Hypothèse 2 : le routeur manage bien l'IPv4 et l'IPv6, et possède bien un mode Stateless (par opposition à Statefull qui désigne le DHCP 6). Dans ce cas, au niveau de la Freebox, on active le NEXT HOP sur le second bloc, on laisse le premier bloc à la Freebox, on ne fait surtout pas l'erreur de basculer le segment par défaut sur le routeur secondaire.
Au niveau du nexthop on renseigne l'adresse de lien local du routeur Asus, une adresse qui est impérativement en "fe80...". Au niveau du routeur Asus il faut activer le mode IPv6 stateless, donc désactiver le cas échéant le DHCP6.
En revanche on active bien le DHCP4, il ne faut en effet pas confondre l'IP4 et l'IPv6, ce sont deux couches totalement indépendantes.
Et... voilà, et surtout NE PAS S'EMBROUILLER avec la DMZ IPv6 qui n'a pas lieu d'être dans le schéma Freebox
NOTE
- sous Linux le fameux mode stateless revient à lancer au niveau du routeur le "daemon" radvd... rien de plus
- pour définitivement tordre le coup à des idées reçues, il existe bien en IPv6 un bloc d'adresse privé équivalent aux adresses privée IPv4, ce sont les adresses dans le segment "fc:7" (emoticon parasite qui cache la séquence ": : /") ou plus usuellement "fd:8" MAIS attention, ce n'est pas un NAT
Explications très intéressantes... je n'ai jusqu'à présent accordé que peu d'attention à l'IPv6 du fait qu'il peinait à s'imposer face à l'IPv4 malgré les intérêts qu'il est censé apporter face aux limites de l'IPv4. Aussi, je l'ai toujours purement et simplement désactiver de mes configurations pour éviter de prendre trop de risques sur un protocole que je ne maîtrise pas.
Pour le moment, je n'héberge pas de services exposés via mon réseau interne. J'ai toujours préféré séparer les sujets, aussi je prend des serveurs ailleurs pour cela. Mais j'applique le même principe : pas d'IPv6.
Et je bloque en gros quasiment le monde entier... je filtre les blocs IP pour n'autoriser que des IP "françaises" et je "fail2ban" (+ exclusions régulières de certaines IP) en fonction des attaques encaissées... et par-dessus ça dernièrement j'ai rajouté une surcouche "Cloudflare".
Bref... ce n'est pas le sujet
Pour en revenir au routeur Asus, l'IPv6 en mode "stateless" est bien proposé. Mais effectivement, je n'ai pas de recul pour affirmer qu'il le gère bien. En fait, avant de changer ma configuration telle que je l'ai exposée, j'avais brassé mon réseau résidentiel de sorte à ce que le flux du Player Pop soit directement connecté à l'équipement "serveur" (la Freebox Ultra donc). Mais forcément en passant la Freebox Ultra en Bridge, cela m'oblige à tâtonner pour essayer de faire fonctionner les flux du Player Pop via mon routeur Asus.
Sans l'IPv6, cela fonctionnait pour tout... sauf pour le flux CANAL+ (par exemple, les Flux Eurosport, GameOne, ... eux fonctionnaient).
Cela ne m'étonne pas vraiment car pour que ce soit proposé par Free, CANAL+ a dû imposer un usage "spécial" (à noter qu'avec l'offre Freebox Ultra, on est limité au flux "Live" de CANAL+... pas tout le catalogue). Free propose un service OQEE by Free en application mobile qui permet d'accéder à tous les flux qu'on a avec le Player Pop... excepté justement ce flux CANAL+.
Il y a donc bien une particularité propre au flux CANAL+.
Je vais essayer de trouver du temps de faire quelques tests ce WE au niveau de l'IPv6. Sinon, soit je partirai sur la proposition de la DMZ IPv4, soit j'opterai pour une autre solution que je n'avais pas envisager : remettre la Freebox en mode Routeur mais lui couper le Wifi et le DHCP... et remettre en place le brassage du Player Pop en direct sur la Freebox Ultra.
Mais par curiosité, je vais tester un peu la piste IPv6. Merci en tout cas pour toutes ces explications... je reviendrai commenter après mes tests.
Si d'autres ont d'autres propositions techniques à exposer, je les lirai avec attention. *** Modération *** Mise en page éditée *** Modération ***
yoyolafrite (Auteur du topic), Posté le: Lun 15 Juil 2024, 21:00 Sujet du message:
181568166302
Bonsoir,
J'ai trouvé un peu de temps ce soir pour remettre un peu le nez dans la configuration. Bon, je n'ai pas trouvé une configuration qui fonctionne même en faisant des recherches sur le sujet de la configuration IPv6, de la configuration en NEXT HOP sur le 2ème bloc. J'ai donc repassé la Freebox en mode Routeur.
Mais je me rend compte que même comme ça, je n'ai pas accès à la chaîne CANAL+ incluse dans mon forfait Freebox Ultra. Avant en fait, j'avais brassé la prise murale réseau derrière ma TV pour que le Freebox Player accède en direct à la Freebox Server.
Là c'est brassé pour un accès via le réseau de mon routeur Asus. Mais en gros, je pense que je me retrouve dans la même problématique : il faut configurer correctement l'IPv6 pour que le Freebox Player puisse fonctionner au niveau de la chaîne CANAL+.
Bon, je pourrais re-brasser la prise murale en direct sur la Freebox Server, mais j'aimerais quand même creuser le sujet (pour laisser mon brassage tel quel).
Donc côté Freebox OS, on est d'accord, on désactive le DHCPv6 ?!
Et il faut configurer le 2ème bloc, c'est-à-dire le 1er bloc où on voit "Préfixe secondaire" ?
Dans le NEXT HOP de ce bloc, il faut indiquer l'IPv6 "WAN IPv6 Link-Local Address" (non pas "LAN IPv6 Link-Local Address") du routeur Asus ?!
Et côté routeur Asus, config IPv6 ?
Configuration de base :
- Type de connexion : Native
- DHCP-** : Désactiver
Paramètres réseau local IPv6 :
- Réseau local adresse IPv6 : WXYZ:WXYZ:WXYZ:a4d1::254
- Réseau local longueur de préfixe : 64
- Réseau local préfixe IPv6 : => là ça reprend la portion préfixe secondaire Freebox (WXYZ:WXYZ:WXYZ:a4d1:
- Paramètres de configuration automatique : Stateless
Pour la portion préfixe secondaire Freebox (WXYZ:WXYZ:WXYZ:a4d1:, on est sensé renseigner quoi après ?
Vous ne pouvez pas poster de nouveaux sujets dans ce forum Vous ne pouvez pas répondre aux sujets dans ce forum Vous ne pouvez pas éditer vos messages dans ce forum Vous ne pouvez pas supprimer vos messages dans ce forum Vous ne pouvez pas voter dans les sondages de ce forum
FAQ
Rechercher
Liste des Membres
Groupes d'utilisateurs
S'enregistrer
7" (emoticon parasite qui cache la séquence ": : /") ou plus usuellement "fd: