Connexion
Abonnez-vous

Routeur, Wi-Fi, box de FAI et autres technologies : qui fait quoi ?

Guide pratique en milieu connecté

Routeur, Wi-Fi, box de FAI et autres technologies : qui fait quoi ?

Le 24 février 2021 à 14h10

Nous utilisons au quotidien des appareils reliés à Internet, parfois même chez nous, à travers un réseau dit local. Mais savez-vous comment il fonctionne, ce qui le compose ou même quel est le rôle de la box de votre fournisseur d'accès ? Pour le comprendre, il faut revenir aux bases. 

Au commencement était l'ordinateur. Aux prémices de l'informatique, dans les années 40, il s'agissait de grosses machines qui occupaient des pièces entières. Rapidement, on a cherché à y connecter plusieurs utilisateurs, nous étions à l'époque des mainframes, pas si éloignée du « tout cloud » actuel.

Les débuts du réseau informatique, du protocole Ethernet né dans les années 70 au Xerox Parc, du projet 802 de l'Institute of Electrical and Electronics Engineers (IEEE), de la topologie en série, puis en étoile et du connecteur 8P8C (souvent nommé à tort RJ45) tel que nous le connaissons aujourd'hui. Une histoire que l'on vous a déjà racontée.

Désormais, les réseaux sont partout. Dans nos foyers, ils relient nos ordinateurs, tablettes, smartphones, mais aussi des périphériques plus spécialisés comme les NAS pour le stockage et autres objets connectés. On parle alors de réseau local (LAN pour Local Area Network), en opposition aux réseaux étendus (WAN, pour Wide Area Network) qui consistent à relier ensemble les réseaux locaux de plusieurs lieux géographiques.

Sans le savoir, vous en utilisez d'ailleurs pour vous connecter au réseau des réseaux : Internet. C'est d'ailleurs l'une des victoires de l'informatique moderne : avoir masqué toute la complexité des infrastructures réseau au grand public qui s'y connecte de manière naturelle, sans se poser de questions ni connaissances préalables.

Mais pour mieux comprendre comment cela fonctionne, disposer d'un bon réseau à la maison et savoir quels produits choisir, il vaut tout de même mieux avoir quelques connaissances de base. De quoi comprendre le rôle de chacun des outils que vous utilisez quotidiennement sans en avoir conscience. Laissez-nous faire, on vous guide !

Box Internet et réseau local : une imbrication pas si naturelle

On pense souvent qu'un réseau local dépend de la « box » du fournisseur d'accès (FAI), à tort. On peut créer un tel réseau sans elle. Il s'agit par contre d'un appareil à tout faire mais limité dans ses possibilités... et donc simple à utiliser, qui met automatiquement en place un réseau local ET le connecte à Internet. Dans le modèle français tel qu'il est généralement mis en œuvre, ces deux fonctionnalités sont indissociables.

Livebox 5 Fibre Internet, téléphonie, réseau filaire, Wi-Fi, USB, même sans son boîtier multimédia une « box » est déjà très complète

Au point que cette box ne vous appartient pas, elle est considérée comme un élément du réseau de votre FAI, celui qu'il place chez vous pour vous connecter à ses équipements à travers l'ADSL, le VDSL, le câble ou la fibre. D'ailleurs il vous le loue, en précisant parfois son coût sur votre facture bien que cet équipement vous soit imposé. Certains communiquaient d'ailleurs leurs tarifs hors location de la box, avant d'être recadrés par la DGCCRF.

Ce modèle s'est imposé avec l'arrivée de l'ADSL, puis du triple play et la fameuse Freebox en 2002 intégrant également des services de téléphonie et de TV. Jusqu'à cette époque, on achetait ou louait un modem comme la fameuse raie manta dont le rôle était simplement de convertir le signal de la liaison téléphonique.

Pour les FAI, ce changement de stratégie avait plusieurs avantages : la box est devenue un péage pour de nombreux services facturés aux clients, notamment à travers le boîtier multimédia qui l'accompagne (ou qu'elle intègre). Tout en assurant un certain contrôle sur ce que peut faire le client et la sécurité de sa connexion Internet.

Self Memory 2000 Olitec
À une époque, les modems ne faisaient pas routeur, mais fax, répondeur et minitel

Un routeur Wi-Fi pas comme les autres

Car en réalité, la partie réseau de la box est un modem-routeur-point d'accès Wi-Fi-base téléphonique clé en main. Il suffit de l'alimenter et de le connecter au réseau de votre FAI via un câble RJ11 (xDSL), coaxial ou une fibre pour qu'il distribue un accès Internet à tous les appareils qui y seront connectés, de manière filaire ou non.

En pratique, il s'agit comme tout équipement réseau d'une sorte d'ordinateur très compact avec un processeur, de la mémoire, du stockage, des entrées/sorties et un système d'exploitation spécifique, développé par votre FAI comme Freebox OS chez Free, ou en partenariat avec un tiers (généralement le constructeur de la box).

Ainsi, ce boîtier regroupe plusieurs fonctions. Outre le fait qu'il prend la place de ce qui était auparavant un modem – en assurant la connexion de votre réseau à celui du FAI et donc à Internet – il s'agit principalement d'un routeur, soit « un équipement réseau informatique assurant le routage des paquets » selon la définition Wikipédia.

Comme un concentrateur (hub) ou un commutateur (switch), il sert à interconnecter des appareils au sein d'un réseau informatique. Mais là où le premier va distribuer tout élément entrant sur l'ensemble de ses ports, le second intervient port par port. Le routeur est plus complexe, suivant les règles de sa table de routage.

On dit que ce routage intervient en couche 3 du modèle OSI (Open Systems Interconnection), sur les paquets IP. C'est une différence subtile mais importante, car il peut ainsi relier différents réseaux ensemble, là où hub et switch n'agissent qu'au sein du réseau local où ils se trouvent, puisqu'ils n'interviennent qu'en couche 1 et 2. 

Modèle OSI Couches
Les 7 couches du modèle OSI et les différentes unités de données - Crédit : Offnfopt

La connexion d'appareils à un routeur peut se faire via une connectique filaire, comme un câble réseau. Mais il est de plus en plus courant qu'ils fournissent nativement un accès sans fil via le Wi-Fi. C'est le cas des box de FAI.

IP, DHCP, DMZ, DNS, MAC, NAT, PAT & co : un monde d'acronymes

Les box intègrent également un serveur DHCP (Dynamic Host Configuration Protocol). Ainsi, chaque appareil qui se connecte au réseau local se voit attribuer une adresse IP (v4 et/ou v6, nous y reviendrons) servant d'identifiant unique. Celle-ci peut être figée, de manière à lui attribuer toujours la même en fonction de son adresse MAC. Pratique pour des appareils auxquels on se connecte régulièrement via leur IP comme une caméra ou un serveur.

Le DHCP fournit des informations annexes mais importantes telles que l'adresse IP de la passerelle (ou gateway) et des résolveurs DNS. La passerelle est l'appareil permettant d'accéder à Internet au sein de votre réseau. Les résolveurs DNS (Domain Name System) servent notamment à faire le lien entre les URL que vous tapez dans votre navigateur et les adresses IP des serveurs qui les hébergent. Deux rôles en général remplis par la box.

Autre fonction essentielle de la box : son pare-feu (firewall) NAT (Network Address Translation) permettant d'avoir d'un côté l'adresse IP publique de votre connexion – pour vous identifier sur Internet – et de manière isolée toutes les adresses IP privées des appareils connectés à votre réseau local. Ces dernières ne sont pas directement accessibles depuis l'extérieur. Pour cela on utilise un type particulier de NAT, le PAT (Port Adress Translation).

Imaginons que votre connexion soit identifiée sur Internet par l'IP 203.0.113.42. La box crée un réseau local où elle fait office de passerelle, son IP y est 192.168.1.254. Vous y utilisez un serveur dont l'adresse IP locale est 192.168.1.42, qui héberge un site Internet accessible à travers son port 80 (celui par défaut pour HTTP).

La redirection de port permet de donner accès à ce site depuis l'extérieur. Par exemple en redirigeant le port 4242 de votre connexion à celui du port 80 de votre serveur. Cette redirection peut se faire parfois sur une plage de ports source (de la connexion Internet) via le protocole TCP (plus fiable) ou UDP (plus rapide).

Redirection de port Freebox OS
Le formulaire de redirection de port de Freebox OS

Dès lors, chaque personne tapant cette adresse dans son navigateur, obtiendra le site hébergé par votre serveur : 

http://203.0.113.42:4242

Si vous voulez partager plusieurs ports d'un unique appareil il y a une autre solution : la zone démilitarisée (DMZ). Elle consiste à indiquer l'IP d'un appareil sur votre réseau local. Toute requête entrante sur votre connexion Internet y sera renvoyée, port par port, sans protection aucune. Il ne faut donc l'utiliser que si vous savez ce que vous faites.

Notez que certains outils et services ont parfois besoin d'agir sur le réseau de manière automatisée, pour ouvrir/fermer des ports par exemple. Ils utilisent pour cela le protocole UPnP (Universal Plug and Play), en général activé par défaut et ne nécessitant pas de réglages particuliers. Nous ne le détaillerons donc pas ici.

Adresse IP, masque de sous-réseau : késako ?

Revenons maintenant à une notion basique en matière de réseau mais qu'il faut maitriser : l'adresse IP. Elle peut être de type IPv4 et est alors représentée par une suite de quatre nombres compris entre 0 et 255, séparés par un point. Une adresse IP courante pour une passerelle comme la box d'un FAI est 192.168.0.1, mais elle peut aussi bien être 192.168.1.254 ou 10.0.0.1. Cela dépend en général des habitudes du fabricant, il n'y a pas de règle précise.

Dans les paramètres d'un appareil, son adresse IP est toujours associée à un masque de sous-réseau utilisant un format similaire. Il permet de déterminer la partie de l'adresse IP qui définit le réseau et celui qui définit les appareils, et donc le nombre d'appareils que l'on peut connecter à un même réseau. 

Cette notion est complexe et nous ne la détaillerons pas ici, mais sachez par exemple que si l'adresse IP de votre machine est 192.168.1.42 avec un masque de sous-réseau de type 255.255.255.0 (souvent utilisé par défaut), cela signifie que votre machine pourra échanger avec tous les appareils dont l'IP est comprise entre 192.168.1.1 et 192.168.1.254. Avec un masque de sous réseau 255.255.0.0, cela irait de 192.168.0.1 à 192.168.255.254.

Jusque dans les années 90, les adresses IP ont été organisées en classes selon les usages, certaines plages étant réservées. Ce modèle a progressivement été remplacé par le Classless Inter-Domain Routing (CIDR). Cette notation permet d'indiquer de manière plus compacte l'adresse IP et son masque. Les deux exemples précédents donneraient ainsi 192.168.1.42/24 et 192.168.1.42/16. Vous trouverez un calculateur et les règles par ici.

Pour un réseau local privé, il faut utiliser des plages spéciales. Il s'agit de 10.0.0.0/8 (de 10.0.0.0 à 10.255.255.255), 172.16.0.0/12  (de 172.16.0.0  à 172.31.255.255) et 192.168.0.0/16 (de 192.168.0.0 à 192.168.255.255).

L'IPv4 est une notation décimale simple à mémoriser, mais cela en fait une ressource limitée puisque correspondant à un identifiant sur 32 bits, soit 4 294 967 296 adresses à se partager dans le monde. Pour dépasser ce problème, l'IPv6 a été finalisé à la fin des années 90 avant une standardisation en 2017.

Il s'agit cette fois d'un identifiant sur 128 bits prenant la forme d'un maximum de 8 groupes de 4 caractères hexadécimaux (16 bits) séparés par le signe « : ». Dans chaque groupe, on peut ne pas intégrer des blocs de un à trois zéros considérés comme non significatifs. On peut également remplacer plusieurs blocs à 0 par « :: ». 2001:2002:2003:2004:aaaa:bbbb:cccc:dddd et 2001:0:abba:1337:42:: sont par exemple valables. La notation CIDR est ici la seule admise, plutôt que de mentionner l'adresse IP et le masque de sous-réseau.

IPv4IPv6
Les adresses IPv4/v6 et leur représentation binaire - Source : Wikipédia

Réseau Wi-Fi, SSID et VLAN : gare aux idées préconçues

Passons à une autre erreur courante introduite par le fonctionnement des box de FAI : elles embarqueraient un réseau Wi-Fi, auquel on se connecte. En réalité, c'est un peu plus complexe.

Elles font office de point d'accès Wi-Fi. Comme nous l'avons évoqué précédemment, il n'y a pas un réseau filaire et un réseau Wi-Fi, mais un même réseau local auquel on peut se connecter de différentes manières, avec ou sans fil. Dans le cas du Wi-Fi, le SSID (Service Set IDentifier) représente un point d'entrée permettant de se connecter.

Il peut être diffusé ou non. Dans le premier cas, il est visible par tous les appareils aux alentours. Dans le second, il faut le connaître par avance. La connexion peut être « en clair », sans chiffrement des flux et sans mot de passe comme sur les réseaux Wi-Fi ouverts que l'on trouve dans certains lieux publics. Il faut donc les éviter, ne rien y faire de sensible ou utiliser des protections complémentaires, comme un VPN.

Les méthodes de connexion impliquant un chiffrement des flux peuvent passer par un mot de passe et le protocole WPA, dont la version 3 est la plus récente et la plus sécurisée (WEP ayant été abandonné il y a plusieurs années). Ce protocole permet d'autres méthodes d'identification, notamment utilisées en entreprises (comme RADIUS).

Un point d'accès Wi-Fi tel qu'une box n'est pas limité à un SSID, il peut en diffuser plusieurs. Au sein d'un même local/foyer on peut d'ailleurs installer différents points d'accès diffusant ou non tel SSID selon les besoins.

Ubiquiti Installation Un réseau Wi-Fi opéré par un contrôleur (UniFi Cloud Key) et un point d'accès Ubiquiti

Leur configuration peut se faire dans l'interface de gestion de chaque point d'accès ou de manière centralisée, via ce que l'on appelle un contrôleur (matériel ou logiciel), qui peut être un petit boîtier ou un service hébergé dans le cloud. On parle alors de Software Defined Networking (SDN).

La multiplicité des SSID peut avoir un intérêt pour segmenter les usages du réseau. Un exemple couramment rencontré dans les usages grand public est celui du réseau invité. Il permet de donner accès à votre connexion Internet à des amis sans mot de passe ou un différent de celui associé à votre SSID principal.

Vous pouvez y réduire le débit, ne l'activer que dans certaines plages horaires ou par exemple empêcher l'accès aux autres appareils de votre réseau local. Pour cela, le point d'accès crée un réseau local virtuel (VLAN), isolé, où ne seront présents que les appareils connectés au réseau invité, mais ayant tout de même accès à Internet. Il dispose en général d'un second serveur DHCP avec une plage d'IP différente à attribuer.

Netgear Orbi ProNetgear Orbi Pro
La solution Orbi Pro de Netgear permet de gérer trois SSID et d'avoir un portail captif pour l'accueil du public

Cette fonctionnalité a plusieurs utilités, en créant plusieurs SSID qui se verront attribuer des VLAN différents. En entreprise, elle permet de séparer les réseaux de différents services et celui proposé aux clients et visiteurs. À la maison on peut y recourir pour différencier le réseau accessible aux parents et aux enfants, isoler des objets connectés, etc. D'ailleurs, la box de votre FAI utilise souvent les VLAN sans que vous ne le sachiez.

Ce sont par exemple eux qui permettent d'isoler le flux téléphonique ou de ne rendre celui des chaînes de TV accessibles que du boîtier multimédia fourni. Un VLAN n'est ainsi pas forcément associé à un SSID. Il peut aussi l'être à un port d'un équipement réseau ou un tag (sous la forme d'un nombre). Nous en reparlerons sous peu.

(Presque) se passer de box, c'est possible

Dernière chose à savoir : utiliser la box de votre fournisseur d'accès n'est pas une fatalité, même si presque tout est fait pour vous y obliger. Il est néanmoins possible d'utiliser des routeurs tiers si vous êtes clients fibre Orange en reliant le bloc de terminaison optique (ONT) via un câble RJ45 à certains modèles Netgear équipés pour cela.

L'autre possibilité est de configurer la box pour qu'elle se limite au rôle de « bridge » lorsqu'elle le permet. Comprendre que, comme un modem, elle n'assurera que le lien entre votre réseau et celui du FAI. Vous devrez donc utiliser vos propres équipements : routeur, switchs, points d'accès Wi-Fi, etc. De plus, il arrive parfois que certains services ne fonctionnent pas dans ce mode de configuration comme la téléphonie ou les services TV.

On trouve parfois des utilisateurs utilisant leur propre routeur derrière la box du FAI, notamment lorsqu'aucun mode bridge n'est proposé. Mais cela risque de créer ce que l'on appelle un double NAT, pouvant poser problème pour certains usages. On peut limiter cela en plaçant le routeur dans la DMZ de la box.

N'hésitez pas à nous faire part de vos remarques et questions en commentaires. Si nécessaire, nous mettrons à jour cet article pour y répondre afin qu'il fasse office de référence sur ces sujets pour de prochains dossiers.

Commentaires (86)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

aaahhh
merci pour l’explication sur le /16 (ou /24 …) pour les notations ipv4
c’est pour dire que les machines n’ont accès qu’aux autres qui ont les mêmes 16 (ou 24 …) premiers bits comme ip
je capte mieux :)

votre avatar

L’intérêt principal de la box pour le FAI, c’est la réduction énorme que ça engendre en SAV. Avec la box, tu branches à la ligne téléphonique, tu branche ton PC en Ethernet dessus, ton PC fait automatiquement du DHCP, la box monte automatiquement la connexion PPP préconfigurée, et ça marche.
Sans box, avec un modem à l’ancienne, c’est au client de configurer manuellement la connexion PPP, le partage de connexion, etc.

votre avatar

Comme dit, les FAI ont de multiples interêt à la box tout en un. La simplification en est une mais pas la seule. Surtout que pas mal de ces problématiques disparaissent avec la fibre. Il n’en reste pas moins que le brodge devrait être activable systématiquement pour éviter la plaie du double NAT à ceux qui le souhaitent

votre avatar

Le bridge est en effet souhaitable, mais pas forcément évident à implémenter si toute l’infrastructure n’a pas été prévue pour. En effet, comment faire passer les connexions SIP dans le lien PPP si ce n’est pas la box qui le pilote ? Le mode DMZ est, la plupart du temps, une solution acceptable.



Je suis chez OVH, je peux faire du bridge avec le modem, ou même me passer complètement de modem en me branchant au cul de l’ONT depuis que je suis passé à la fibre, mais dans ce cas je perds le téléphone. Logique.

votre avatar

Certains vont chez un FAI pour accéder à internet, point. Pour la téléphonie IP, OVH sait la faire sans être le FAI. C’est que ça ne doit pas être un problème insurmontable (mais ce n’est pas le sujet principal de l’article, autant éviter la digression)

votre avatar

La téléphonie à part, ça se fait avec un boîtier dédié, installé et configuré séparément. La configuration est délicate au niveau du firewall, ce n’est pas pour Mme Michu. Il n’est pas étonnant qu’on ne trouve ça que chez les FAIs de geek, et que les FAIs “grand public” se concentrent sur la solution avec tout intégré dans la box (ce qui est justement le sujet principal de l’article). Il faut juste bien choisir son FAI en fonction de ses besoins.

votre avatar

Hors sujet mais… le parefeu ipv6 des freebox est toujours désactivé par défaut? En décembre 2020 il l’était sur une nouvelle free box pop.

votre avatar

(quote:55558:alex.d.)
La téléphonie à part, ça se fait avec un boîtier dédié, installé et configuré séparément. La configuration est délicate au niveau du firewall, ce n’est pas pour Mme Michu.


De mémoire (j’étais client il y a une paire d’années) la base arrive préconfigurée, sans rien à faire sur le routeur. Tu branches au réseau et ça fonctionne.




Il n’est pas étonnant qu’on ne trouve ça que chez les FAIs de geek, et que les FAIs “grand public” se concentrent sur la solution avec tout intégré dans la box


Oui comme dit, les FAI proposent la simplicité avant tout, d’autant que c’est leur intérêt commercial. Mais le forcing opéré sur l’ensemble des clients n’est pas acceptable pour autant.




(ce qui est justement le sujet principal de l’article).


Le sujet de l’article c’est expliquer les différents protocoles et principes de base du réseau. La box n’est ici qu’un support/exemple vu qu’elle est connue du plus grand nombre et présente chez quasiment tout le monde puisque les clients n’ont pas le choix. Mais elle est surtout la source de pas mal de mauvaises compréhension de pas mal de sujet (notamment parce que tout ce qu’elle fait, elle le fait assez mal ou de manière très limitée pour rester dans la volonté de simplisme des FAI).




Il faut juste bien choisir son FAI en fonction de ses besoins.


Si le choix libre était proposé chez plus de FAI, ce serait vrai, mais c’est faux. Le pire étant que même quand tu as des offres sans TV en mode forcing comme chez Sosh par exemple, la box reste imposée sans mode bridge possible.




lansing a dit:


Hors sujet mais… le parefeu ipv6 des freebox est toujours désactivé par défaut? En décembre 2020 il l’était sur une nouvelle free box pop.


Oui il l’est toujours (de mémoire pour éviter les soucis d’incompatibilité)

votre avatar

En gros oui. Le nombre derrière le / indique le nombre de bit définissant le réseau. Mais il peut y avoir des subtilités. Exemple :
3 machines sur un même réseau.
IP :




  1. 192.168.1.124

  2. 192.168.1.216

  3. 192.168.2.116



Dans ce cas, la 1 pourra dialoguer avec la 2, la 2 avec la 1 et la 3, la 3 avec la 2. La 3 peut envoyer des paquets à la 1 mais la 1 ne saura pas répondre car pour elle 192.168.2.1 n’est pas en /16 mais en /24 et donc pas sur le même réseau.
(bon aspirine ;) )

votre avatar

Maintenant tu fais la même en IPv6 :D

votre avatar

Et on parle des masques non contigus? :jesquate:
Ok c’est pas dans les normes :windu: , c’est géré / implémenté dans très peu d’équipements (est-ce que ça l’est encore?), mais ça me rappelle de “bons” souvenirs d’école! :francais:



Sinon très bon article au demeurant pour les non initiés :inpactitude:

votre avatar

yep j’avais pigé pour le coup des masques, c’était surtout la notation que je comprenais pas jusque là :)



ça je veux bien voir ce que ça donne :D

votre avatar

.




  1. 2001:0:1337:480::157

  2. 2001:0:1337:480::256

  3. 2001:0:1337:400::156



Voilà :D

votre avatar

T’es sur de toi ? :francais:

votre avatar

Autre fonction essentielle de la box : son pare-feu (firewall) NAT (Network Adress Translation) permettant d’avoir



C’est un pare-feu ou ça fait du NAT ? le NAT n’étant pas un élément de sécurité ça n’a rien à faire là

votre avatar

xillibit a dit:


Autre fonction essentielle de la box : son pare-feu (firewall) NAT (Network Adress Translation) permettant d’avoir



C’est un pare-feu ou ça fait du NAT ? le NAT n’étant pas un élément de sécurité ça n’a rien à faire là


Pare-feu et routeurs, sous les 10000€ sont souvent agrégé en une seule solution. Les vrais routeurs n’existent quasiment plus que chez les prestataires d’accès / cloud.

votre avatar

Yep :8

votre avatar

Cette notion est complexe et nous ne la détaillerons pas ici, mais sachez par exemple que si l’adresse IP de votre machine est 192.168.1.42 avec un masque de sous-réseau de type 255.255.255.0 (souvent utilisé par défaut), cela signifie que votre machine pourra échanger avec tous les appareils dont l’IP est comprise entre 192.168.1.0 et 192.168.1.255


La machine 192.168.1.42 pourra échanger avec l’ensemble des adresses IP entre 192.168.1.1 et 192.168.1.254, les adresses ip 192.168.1.0 et 192.168.1.255 étant respectivement l’adresse de réseau et l’adresse de broadcast. Il faut toujours enlever la première et la dernière adresse d’une plage IP pour avoir le nombre d’adresses IP assignables.
Si je ne m’abuse (je suis plus système que réseau) les masques de sous-réseau plus fins que le /24 (254 adresses), /25 par exemple (126 adresses soit 255.255.255.128) permettent, historiquement en tout cas de limiter les domaines de broadcast qui peuvent poser des problèmes de saturation des liens.



Sinon l’article est super pour vulgariser un peu tout ça :) Merci !



Edit : mise en forme

votre avatar

Je pense que ce qu’il veut dire par là est que le NAT/PAT est une fonction de routage, pas une fonction de pare-feu. Il y a encore tout un tas de petits “routeurs” qui n’ont pas de fonction pare-feu (autre que SPI, type Cisco RV320) à minima dans les TPE.

votre avatar

Oui, ça avait été détecté en relecture mais… :transpi: corrigé en tous cas merci :chinois:

votre avatar

Autre incompatibilité du mode Bridge sur une Freebox Delta : l’agrégation xDSL/4G…
Quelqu’un a une explication technique à cela ?

votre avatar

A la louche, lorsque tu passes un routeur en mode bridge il n’y a plus aucune fonction de routage active, la 4G et le xDSL étant deux réseaux différents ils ont besoin d’un routage pour atteindre le LAN. J’imagine que la box privilégie le lien xDSL dans ce genre de cas (ou que l’on peut le basculer à la main). Peut être qu’un passage du routeur aval en DMZ (sans bridge du coup) résout le problème.



Pas 100% sûr de ma réponse, mais elle me parait logique :transpi:

votre avatar

Je ne sais pas si la delta fait du multipath tcp mais ça y ressemble et dans ce cas l’équipement qui agrège les liens physique doit aussi avoir les adresses IP. Et vu qu’en mode bridge, ce n’est plus la box qui gère les adresses IP, il ne peut plus y avoir d’agrégation.

votre avatar

Merci



Donc, si je met ma Freebox en Routeur avec DMZ sur un autre routeur (tel que proposé dans l’article) l’agrégation ne marche pas (bien) ? Je n’ai pas réessayé depuis que j’ai mon antenne 4G … mais de mémoire c’était moins performant …

votre avatar

Tant que tu es en mode routeur, ça va marcher ( dmz ou non) puisque c’est la box qui a les IP wan/lan. Qu’importe le nombre de routeur que tu colles derrière ;)

votre avatar

Le SPI est un pare-feu, extrêmement pratique. C’est lui qui permet de créer des DMZ ainsi que les règles basiques. Le DPI est de plus haut niveau et est plus complexe (comme l’inspection HTTPS, l’IPS, ..) mais le SPI est déjà super en soit.



Quand, dans ta règle PAT, tu as une limitation de l’adresse source, c’est le pare-feu SPI qui bosse avant que le routeur fasse la translation. Idem quand tu mets des limitations Wifi sur une MAC particulière (en tandem avec le DHCP). D’où la complémentarité extrême des fonctions pare-feu / routeur.



En même temps, tu ne voudrais pas d’un routeur qui t’enverrait une fois sur l’IP xDSL et une fois sur l’IP 4G. Parce que je ne pense pas que Free fasse de l’aggrégation mais plutôt de la répartition de charge (et donc une autre IP dans ce cas).



Le problème, c’est le double NAT en faisant ainsi. C’est plutôt moyen mais perso, faisant une double pile ipv4/ipv6, avec le temps j’aurais de moins en moins de NAT.

votre avatar

En agrégation de lien tu n’as qu’une seule adresse. Ce qui est configuré ensuite, c’est la stratégie de choix de l’interface de sortie.



En multipath tcp, par contre, tu as bien des adresses différentes. Mais, du fait que tous les équipements n’implémentent pas la RFC 6824 et 6897, un équipement supplémentaire est ajouté pour reconstituer le lien (solution OVH et Apple)



Concernant Free, je ne sais pas si il font de la répartition, de l’agrégation ou du mptcp (je vais tester ce weekend, je n’ai la delta que depuis hier ;) )

votre avatar

Merci, je ne pensais pas que le SPI gérait tout ça, et du coup oui, la complémentarité pare-feu / routeur prend tout son sens.

votre avatar

C’est bien de la répartition sur la Freebox Delta (j’ai fait un petit test perso). Pour moi, si tu mets ta Delta en mode routeur que que tu mets ton second routeur en DMZ ; Ta Freebox ne voit pas les IP du LAN de ton second routeur. Comment fait-elle pour gérer la répartition ? Ca me parait compliqué.

votre avatar

Source: https://lafrite.medium.com/xdsl-4g-de-la-freebox-delta-mon-test-676f472ad84f
“Par contre, un constat peut être fait : Ce n’est pas l’adresse IP (fixe) de la ligne xDSL qui est vu par les différents services de test dans le cas de l’utilisation de l’agrégation avec la 4G …”
Je penche pour un routage dynamique en fonction du poids de la route, l’âge du capitaine et la mobilité d’une hirondelle uniailliste.

votre avatar

Dans le sens interne -> externe(download ou upload), la répartition fonctionne même quand cela vient d’une même adresse IP du moment qu’il y a plusieurs connexions au sens tcp du terme (d’après mes observations et de ce que dit @patos).
Dans
l’autre sens, ça passera obligatoirement par le lien xDSL

votre avatar

Oki. Merci pour le lien. Donc Free fait de la répartition.

votre avatar

Pour une raison évoquée en commentaire d’un autre article, je me demande si ce serait pas intéressant de me procurer un routeur distinct de ma Livebox 3. Peut-être un prochain article ? :francais:

votre avatar

Je suis passé ce weekend à un réseau 10gb via un QNAP managé avec SFP+ etc, moi qui pensait “être né avec internet”, ben je suis retourné sur les bancs de l’école virtuelle pendant un mois quasiment, le temps de comprendre la différence entre ‘transceiver lc sr oms/mmf”, “passive vs active dac”, sans parler d’agrégation de liens, de cartes HS qui font douter, des incompatibilités à faire passer une boite de nuggets pour une comptine de maternelle, des protocoles bloqués par magie et quantité d’erreurs…



Je conseille d’ailleurs à ceux voulant s’ennuyer le weekend de passer directement sur des produits très “HDG” comme le QSW-M1208-8C, des transceivers et des cartes chinoises, ça marche uniquement si l’intégralité des petites lignes sont lues, parfait en période de confinement ^^

votre avatar

Et encore, si tu rajoutes les communications ARP derrière, cela ne vas plus du tout marcher…



C’est pour cela que sur certains logiciels, la configuration réseau était indiquée avec: IP, masque, gateway et broadcast.
Même si le broadcast est lié aux 2 premiers…

votre avatar

earendil_fr a dit:


Et encore, si tu rajoutes les communications ARP derrière, cela ne vas plus du tout marcher…


J’ai bien précisé sur le même réseau, donc arp va fonctionner (heureusement, autrement difficile de faire le lien MAC <-> IP)

votre avatar

fry a dit:


aaahhh merci pour l’explication sur le /16 (ou /24 …) pour les notations ipv4 c’est pour dire que les machines n’ont accès qu’aux autres qui ont les mêmes 16 (ou 24 …) premiers bits comme ip je capte mieux :)


Il faut voir le masque comme une facon de découper les plages d’adresses en petits réseaux indépendants

votre avatar

mrlafrite a dit:


Autre incompatibilité du mode Bridge sur une Freebox Delta : l’agrégation xDSL/4G… Quelqu’un a une explication technique à cela ?


A mon avis, c’est lié au fait que les réseau 4G font un usage très large du NAT et on est assez loin de l’architecture des réseaux cablés tels qu’ils sont proposés au grand public.

votre avatar

David_L a dit:


Il n’en reste pas moins que le brodge devrait être activable systématiquement pour éviter la plaie du double NAT à ceux qui le souhaitent


Quels sont les problèmes pratiques avec le double NAT ? Je fonctionne comme ça depuis longtemps, avec mon routeur déclaré en DMZ sur la box, et je n’ai eu aucun problème du à ça ni aucune difficulté à router un port uniquement depuis le routeur sans avoir à toucher à la box.




David_L a dit:


Oui, ça avait été détecté en relecture mais… :transpi: corrigé en tous cas merci :chinois:


Pas chez moi.




mrlafrite a dit:


C’est bien de la répartition sur la Freebox Delta (j’ai fait un petit test perso).


J’ai lu ton article mais je ne suis pas d’accord sur le fait que tu étais obligé d’abandonner ton routeur et les fonctions qui allaient avec. A moins d’un cas particulier qui t’empêche d’utiliser le double NAT (voir ma question posée à David plus haut), tu pouvais déclarer ton routeur en DMZ sur la box, et continuer à l’utiliser comme routeur de tout le reste de ton LAN.

votre avatar

Souvent dans des usages de type jeu en ligne ou autre (sans parler d’UPnP et de la redirection de port qui est de fait compliquée par le double routage)

votre avatar

UPnP va se faire sur le routeur qui est dans la dmz, il n’y a pas besoin d’ouvrir quoique ce soit sur la box (puisque dmz). Donc je ne vois pas le problème (mais il y a sans doute quelque chose qui m’échappe).

votre avatar

J’ai une question concernant justement le bridge : en dehors de Free qui a l’air d’offrir assez systématiquement de passer en bridge sur ses box, quels sont les opérateurs (de préférence grand public) qui permettent d’activer cette option ou mieux, se débarrasser de sa box ? C’est assez complexe de trouver ces infos :/

votre avatar

Le NAT fonctionne de la manière suivante: un couple ip source/port source veut se connecter à un couple ip distant/port distant. Le routeur NAT utilise un de ses ports sur son ip côté internet pour l’attribuer à ce couple ip distant/port distant et savoir que c’est pour ip source/port/source.
Si tu fais du double NAT, ça veut dire qu’à chaque fois, l’ip source vu depuis ta box internet sera ton routeur perso: tu n’as plus “que” 64535 connexions simultanées possibles (TCP, et autant en UDP).



Quand tu es un particulier, tu culmines à quelques dizaines / centaines de connexions. Ok. Mais si tu fais du PeerToPeer? Et que t’as des ados à la maison, etc… Ta box va épuiser ses ports et tu ne pourras plus établir de nouvelles connexions. En TPE, on franchit rarement cette limite, mais ça peut arriver selon les usages.



Bref, le double NAT, c’est mal, m’voyez.

votre avatar

Oui comme dit dans l’article, si tu places dans une DMZ ça évite une bonne part des problèmes, mais sans ça, un double NAT pose souci



Parce que ça change selon le temps et les modèles de box. De mémoire SFR le proposait parfois, Orange dans le cas évoqué pour Netgear par exemple. Mais sinon le double NAT avec éventuellement la DMZ reste la seule solution en l’état.

votre avatar

je vois pas comment le double NAT va épuiser la quantité de port plus vite qu’un NAT classique. Ça change pas le nombre de ports à NATer et le rapport entre le 1er et deuxième appareil à NATer est 11. Et puis bon arriver à bout de 65k ports dans un contexte perso faut y aller, même avec un serveur perso.

votre avatar

Dans le cas d’un NAT simple, il y a 64535 ports accessibles par IP distante…
En double NAT, il n’y a plus qu’une seule IP (celle du second routeur) donc seulement 64535 ports.

votre avatar

Le soucis c’est surtout qu’il n’est pas configurable. Soit tu l’actives, et tu n’as plus aucune connexion entrante possible en IPv6, soit tu ouvres ta box aux quatre vents en IPv6 en faisant confiance aux pare-feux de tes équipements (spoiler: beaucoup n’ont pas de pare-feu IPv6, comme les NAS Asustor par exemple…)

votre avatar

On en reparlera sous peu d’ailleurs :chinois:

votre avatar

Mihashi a dit:


Dans le cas d’un NAT simple, il y a 65535 ports accessibles par IP locale… En double NAT, il n’y a plus qu’une seule IP (celle du second routeur) donc seulement 65535 ports.


:cap:

votre avatar

(reply:55610:Mihashi) Je comprends pas. Quand tu NAT un port sur ton routeur, tu définis qu’un port en écoute côté WAN doit rediriger vers un port d’un autre appareil côté LAN. Côté WAN tu n’as donc que 65k ports, avoir 1 ou 10 appareils derrière ne change pas ça. Tu ne peux pas rediriger un seul port vers plusieurs appareils différents (pour le même protocole).


votre avatar

Il me semble que tu confonds NAT et PAT.



(Edit : Après, dans les faits, les Box font du PAT, pas du NAT)

votre avatar

Pour le NAT statique, oui.



Mais tout le reste, il passe en NAT dynamique avec un couple IP/port (exemple)

votre avatar

David_L a dit:


Souvent dans des usages de type jeu en ligne ou autre (sans parler d’UPnP et de la redirection de port qui est de fait compliquée par le double routage)


Pour les jeux en ligne je ne vois pas de cas où le double NAT pose problème et pas le simple NAT. Mais j’ai effectivement oublié de préciser que je désactive sur le routeur l’UPnP et toute autre protocole de modification de firewall à distance ou traversée de NAT.




patos a dit:


Si tu fais du double NAT, ça veut dire qu’à chaque fois, l’ip source vu depuis ta box internet sera ton routeur perso: tu n’as plus “que” 64535 connexions simultanées possibles (TCP, et autant en UDP).


OK j’avais pas pensé à ça, même si ça me paraît assez difficile à atteindre, même à plusieurs, même avec du P2P qui représente quelques milliers de connexions, ça fait jamais que 10%. Faut voir éventuellement ce qui est fait des connexions non actives, est-ce que les slots sont réutilisés si besoin ou est-ce qu’ils sont bloqués jusqu’à la fin du timeout (plusieurs minutes).




patos a dit:


Bref, le double NAT, c’est mal, m’voyez.


Faut pas exagérer non plus, mais il faut être conscient des limitations.

votre avatar

Soraphirot a dit:


C’est parce que les box grand publique font du PAT (port adresse translation), donc ne translate qu’un port externe (depuis internet) vers un couple IP/Port interne (le PC ou NAS ou autre de ton réseau local). dans ce cas effectivement tu n’as toujours “que” 65535 possibilités tant bien même tu ferais 2-3-4-5 ou plus PAT successifs.



Le NAT (Network Adresse Translation) lui transforme une IP source en IP cible, donc tu as 65535 possibilité par couple IP. Mais je ne pense pas l’avoir vu utilisé ailleurs qu’en entreprise, et jamais en box opérateur.

votre avatar

Merci pour cet article.
J’espérai justement plus de détails sur le dernier chapitre: se débarrasser de sa box.
Je n’ai jamais pris le temps d’essayer de franchir le pas mais ça m’intéresserait, et il y a pas mal de points qui me paraissent flous.
Par exemple j’imagine qu’il doit y avoir un espèce de mécanisme d’authentification auprès du FAI (standardisé ?), quel est-il ?
Le flux tv peut-il fonctionner ? D’ailleurs comment fonctionne-t-il ? (même si pour le coup ça ne me servirait pas car pas de tv)
Bref je pense que ce chapitre pourrait faire l’objet d’un ou plusieurs articles à part entière qui me paraitraient très intéressants :)

votre avatar

David_L a dit:


On en reparlera sous peu d’ailleurs :chinois:


Celui là (d’article) je l’attends avec impatience.

votre avatar

meme question . Comment puis je me debarrasser de ma freebox et avoir ma propree box? je n’ai besoin que de deux sortie rj45 chez moi, rien d’autre: pas de wifi, pas de télé(phone),pas d’haut parleur, pas de télécomande, pas de disque dur et que sais je encore. Juste une boite , la plus petite possible, qui consomme le moins possible, et fibre.

votre avatar

On a déjà évoqué le sujet dans les articles sur Netgear/Livebox où une auth est nécessaire (les VLAN pour la vidéo étant notamment préservés de mémoire). Le reste du temps (Bridge ou double NAT) la box reste présente et utilisable, donc la question de l’auth ne se pose pas.

votre avatar

Inodemus a dit:


OK j’avais pas pensé à ça, même si ça me paraît assez difficile à atteindre, même à plusieurs, même avec du P2P qui représente quelques milliers de connexions, ça fait jamais que 10%. Faut voir éventuellement ce qui est fait des connexions non actives, est-ce que les slots sont réutilisés si besoin ou est-ce qu’ils sont bloqués jusqu’à la fin du timeout (plusieurs minutes).


Je l’ai atteins une fois sur ma box de sfr, jamais sur ma livebox 5.




Inodemus a dit:


Faut pas exagérer non plus, mais il faut être conscient des limitations.


C’est une formule de South Park ;) On peut faire avec mais c’est mieux de faire sans :D




Le_CuLtO a dit:


Merci pour cet article. J’espérai justement plus de détails sur le dernier chapitre: se débarrasser de sa box. Je n’ai jamais pris le temps d’essayer de franchir le pas mais ça m’intéresserait, et il y a pas mal de points qui me paraissent flous. Par exemple j’imagine qu’il doit y avoir un espèce de mécanisme d’authentification auprès du FAI (standardisé ?), quel est-il ? Le flux tv peut-il fonctionner ? D’ailleurs comment fonctionne-t-il ? (même si pour le coup ça ne me servirait pas car pas de tv) Bref je pense que ce chapitre pourrait faire l’objet d’un ou plusieurs articles à part entière qui me paraitraient très intéressants :)


Quel est l’intérêt de se débarrasser de sa box? Personnellement, un switch manageable avec private vlan, une borne wifi avec l’isolation des clients et un pare-feu transparent entre le switch, la box et le wifi.



Cracher sur les box parce que ce sont des boxs, ça ne sert à rien. Les boxs actuelles font le taff, plutôt bien. Si tu veux du contrôle, le pare-feu t’en donnera, si tu veux de l’isolation, le pare-feu & le switch t’en donneront, etc… Y’a des solutions, fiables et WAF !

votre avatar

C’est très bien documenté sur des forums tels que https://lafibre.info/routeurs/



Perso je le fait pour un abonnement SFR (RED) avec un Turris Omnia directement branché sur l’ONT. Ça marche très bien, et j’ai la télé (sans avoir pris l’option de location de la box TV) et la téléphonie qui sont fonctionnels. C’est le jour et la nuit avec une box routeur parce que ça permet justement de tout configurer sans être confronté aux limitation de la box opérateur et sans complexifier le cheminement entre l’opérateur et ton LAN. Tout ça en IPv4 et IPv6.

votre avatar

patos a dit:


Cracher sur les box parce que ce sont des boxs, ça ne sert à rien. Les boxs actuelles font le taff, plutôt bien. Si tu veux du contrôle, le pare-feu t’en donnera, si tu veux de l’isolation, le pare-feu & le switch t’en donneront, etc… Y’a des solutions, fiables et WAF !


Je ne crache pas sur la box, c’est principalement de la curiosité technique :)

votre avatar

Il y a des switchs qui font de la QoS, mais on reste quand même limités sur ce que l’on y fait, sans parler de la gestion du Wi-Fi limitée, des boxs & co (et ceux qui vont chez Ubiquiti par exemple veulent en général un routeur maison pour avoir l’expérience complète).



Sur le fond, le problème reste simple : quand la box suffit, qu’elle existe est une bonne chose. Qu’on ne puisse pas la remplacer ou ne l’utiliser que pour l’accès internet en complément d’autres appareils simplement est un problème.

votre avatar

Je parle pas QoS, je parle isolation pour le switch, filtrage pour le parefeu.
Pour ma part, je ne fais que part d’un seul regret: l’impossibilité de rajouter une route statique sur ces putains de box: ça aurait de sacrées vertus !

votre avatar

Tiens par curiosité tu l’utiliserai dans quel contexte/pour quoi faire ?

votre avatar

han! le self-memory 2000, je l’avait avec le “forfait illimité” d’aol :D
de mémoire, il se branchait en serial…

votre avatar

Une route statique?
Permettre justement d’avoir un routeur/parefeu pour une zone de la maison et avoir une autre zone plus habituelle (tout en permettant de filtrer pour faire maison <>réseau protégé)
Créer une zone sans DHCP, même si elle est routable: du coup, ça permet d’avoir un DHCP personnalisé (avec un pi?) pour faire du PXE sans péter le lan de la maison
Avoir deux accès internet qui amènent vers la même zone protégée, de manière plutôt simple.



C’est con mais une route statique, on sait jamais quoi en faire, mais c’est souvent la solution à un problème IP….

votre avatar

Ah tous ces commentaires sur le double NAT et le PAT me font m’interroger du coup sur mon installation.
J’ai conservé ma box (une SFR avec branchement coax), branché derrière un routeur Syno. J’ai choisi de ne pas mettre ce dernier sur la DMZ pour ne pas l’exposer (j’ai souvent eu des scans de ports).



Je fais donc du routage de port “Box vers routeur, routeur vers machine”, mais effectivement, dans ce cas, je n’ai qu’un couple IP/Port à chaque fois. Donc sur ce point, je maîtrise les services que j’expose et cela me permet de déménager ou changer de box en ne touchant pas le réseau interne derrière le routeur (il n’y a que le transfert de port à refaire sur la box).



Du coup, est-ce que les connaisseurs pourraient illustrer d’autres cas de figure qui pourraient poser problème ? deux machines qui se connectent à un même service (IP/port) derrière le routeur et donc un souci de renvoi du flux retour qui ne saurait pas vers qui le renvoyer ? ou alors tout autre chose ?

votre avatar

merci pour ta suggestion , mais quand je lie ca:
“Ca ne marchera jamais en 10G-EPON. Le SFP(+) de Free n’est pas un ONU. En ZMD ou ZTD 10G-EPON (C’est le cas d’Antibes), se passer de l’ONU n’est pas une option.”
Je me dit que j’ai vraiment pas le niveau!

votre avatar

ZMD/ZTD : Zone Moyennement/Très Dense (qui définit les zones géographiques où la fibre est déployée, avec parfois des règles différentes selon les cas)



10G-EPON : la solution utilisée dernièrement par Free pour sa fibre à 10 Gb/s, en opposition à son précédent réseau pair-à-pair (P2P) avec une différence : dans le 1er cas les lignes des abonnés sont regroupées avant d’arriver au nœud optique (NRO), dans le second chaque fibre abonné va jusqu’au NRO.



EPON : Ethernet Passive Optical Network



ONU/SFP(+) : Pour connecter une fibre tu as différentes solutions. Parfois la box intègre une cage SFP(+) pour accueillir un transceiver qui recevra directement la fibre optique et transformera le signal optique en signal électrique que la box peut gérer. C’est ce que l’on utilise dans les cartes/équipements réseau fibre 1G (SFP) ou 10G (SFP+).



Dans certains cas, cela passe par une unité réseau optique (ONU) qui prend la forme d’un gros boîtier alimenté. C’est globalement le même dispositif, mais en plus gros. D’un côté tu places la fibre, de l’autre tu as un connecteur à insérer dans le port “fibre” de ta box. Cela n’est pas au choix de l’utilisateur, ça dépendra de sa zone et de sa box.

votre avatar

David_L a dit:



Si le choix libre était proposé chez plus de FAI, ce serait vrai, mais c’est faux. Le pire étant que même quand tu as des offres sans TV en mode forcing comme chez Sosh par exemple, la box reste imposée sans mode bridge possible.


Je suis chez Sosh, avec une livebox 4 en bridge.
Par ailleurs, il est tout à fait possible de se passer de la box chez presque tous les opérateurs (“bizarrement” pas chez free qui lie l’abonnement à l’adresse mac de la box), on trouve des coupleurs xDSL pour tous les types de réseau.



Les boxes opérateurs sont des équipements grand public qui atteignent très vite leurs limites dès qu’on veut faire autre chose que poster sur Facebook qu’on n’a pas aimé le dernier truc qu’on a regardé sur Netflix. Je dirais que la pire de toutes est la Revolution avec son tarif démentiel et son marketing “pour les geeks”.
En outre, les boxes opérateur n’évoluent pas. Les éléments de mon réseau domestique, oui. Pas envie d’attendre une dizaine d’année pour que mon FAI me propose la nouvelle version de sa box qu’il file en priorité aux nouveaux abonnés…



Le FAI idéal pour moi, serait celui qui pose une prise, m’attribue une IP et basta. Qu’il soit simplement un fournisseur d’accès, pas un vendeur de contenus. Ce que j’ai trouvé qui ressemble le plus dans ce qui est dispo chez moi c’est Sosh sans aucune option..



A part ça, je ne suis pas le seul à faire la remarque que la translation d’adresse n’est pas assurée par la partie firewall.

votre avatar

Cumbalero a dit:


Je suis chez Sosh, avec une livebox 4 en bridge.


Tu entends quoi par bridge sur une Livebox 4 (qui de mémoire ne propose pas une telle option) ?




Par ailleurs, il est tout à fait possible de se passer de la box chez presque tous les opérateurs


Possible oui, que ce soit simple et à portée du plus grand nombre comme si la box n’était pas un élément commercialisé en mode forcing, non. Et encore ça dépend pas mal de la technologie de réception (entre xDSL ou fibre, les contraintes ne sont pas les mêmes par exemple.

votre avatar

patos a dit:



Quel est l’intérêt de se débarrasser de sa box? Personnellement, un switch manageable avec private vlan, une borne wifi avec l’isolation des clients et un pare-feu transparent entre le switch, la box et le wifi.


Ne plus payer la location d’un matériel qui n’évoluera jamais et dont tu ne te sers que de la partie “modem” puisque tu as justement un switch, un vrai, une borne WiFi, une vraie, et un pare-feu, un vrai.



Payer la location d’une box qu’on met en bridge quand un coupleur ADSL correct se trouve à partir de 30€, c’est quand même pénible.

votre avatar

David_L a dit:


Tu entends quoi par bridge sur une Livebox 4 (qui de mémoire ne propose pas une telle option) ?


Un bail fixe pour brancher mon routeur en DMZ et désactivation de toutes les fonctionnalités de la LB. C’est ce que j’ai trouvé de plus propre.




Possible oui, que ce soit simple et à portée du plus grand nombre comme si la box n’était pas un élément commercialisé en mode forcing, non. Et encore ça dépend pas mal de la technologie de réception (entre xDSL ou fibre, les contraintes ne sont pas les mêmes par exemple.


On se débrouillait très bien avant les boxes, on continue à très bien se débrouiller sans box hors de France.



Franchement, louer un équipement imposé quand un coupleur qui coûte 30€ à l’achat ferait le job, ça me fait une sorte de fussoir

votre avatar

Ok donc pas du mode bridge quoi :D Par contre j’ai du mal à comprendre ton histoire de coupleur qui permet de se passer de box chez presque tous les FAI ?

votre avatar

David_L a dit:


Ok donc pas du mode bridge quoi :D Par contre j’ai du mal à comprendre ton histoire de coupleur qui permet de se passer de box chez presque tous les FAI ?


Je préfère le terme coupleur à celui, erroné, de modem, dans le cas de transmissions qui sont numériques des 2 côtés.
On trouve également des “boxes” avec coupleur, routeur, switch et AP WiFi pour moins de 100€. Le D-Link DSL-3788 par exemple. Ou ce lien vers la boutique Orange qui ressemble à de la provocation ! :fou:

votre avatar

Ok je comprends mieux. Tu peux, mais du coup on ne comprends pas de quoi tu parles (surtout qu’on évoques en général un coupleur pour simplement relier deux câbles de connectique similaire ou différente, ce qui ne correspond pas plus à la fonction dont il est question ici).

votre avatar

Dans mes cours d’électronique, j’avais la même définition de coupleur que toi.



Dans mes cours de réseau et télécom, j’ai toujours appelé coupleur un dispositif permettant de passer d’un signal numérique sur une techno à un signal numérique sur une autre.



C’est que du vocabulaire, si tu demandes à un cheminot il te dira que c’est le dispositif permettant d’accrocher les voitures, les wagons et les locos.

votre avatar

L’important, c’est d’être compris par les gens avec qui tu échanges ;)

votre avatar

J’ai testé :



en ADSL, avec Netgear DM200 en mode modem + Synology RT2600ac
OK avec SFR, Orange,
Free j’ai laché l’affaire vu que le mode bridge existe,
Bouygues c’était compliqué.



en Fibre : ONT + Synology RT2600ac
OK avec Orange
SFR j’avais fait du double NAT, j’avais pas trouvé un ONT digne de ce nom pour brancher a l’entrée du routeur comme avec Orange.



Sinon double NAT Livebox + DIR600 chez mes parents (je me suis adapté a leur souhait pour la conf).
L’accès distant au NAS chez eux se fait, mais le taux de synchro NAS-NAS est digne de l’adsl alors qu’ils ont la fibre :/

votre avatar

Cumbalero a dit:


Je préfère le terme coupleur à celui, erroné, de modem, dans le cas de transmissions qui sont numériques des 2 côtés.


Ca se discute, la couche physique de l’ADSL ressemble plus à de l’analogique qu’à du numérique, et il y a bien modulation et démodulation (DMT). Comme exemple de numérique pur non modulé, il y a le port série RS-232 ou l’USB.



D’après ton raisonnement, on classerait le modem 56k dans les transmissions numériques, donc coupleur, vu que ce sont bien des données numériques qui sont transmises.

votre avatar

C’est la latence qui te fait ça. Augmente le nombre de thread de synchro.
Je ne sais pas si tu connais, mais rclone est excellent pour synchroniser, et est hautement configurable.

votre avatar

Excellent article ! Merci.



Juste un détail




son pare-feu (firewall) NAT


NAT n’est pas vraiment un pare-feu : un pare-feu permet de fermer/filtrer un canal déjà ouvert.
Là, c’est l’inverse les réseaux sont isolés par le routeur, et NAT/PAT permet de traverser le routage.
Donc NAT n’améliore pas la sécurité, il l’affaiblie.
D’ailleurs attention avec NAT mal utilisé tu peux laisser des points d’entrée ouvert sur ton réseau. (une règle oubliée, ou alors une règle sur IP fixe alors que t’es en DHCP sans bail statique :-/ )
NAT est bête : La porte est ouverte peu importe que ce soit la bonne machine ou la bonne appli derrière.
UPnP est nettement plus sécurisé : c’est l’applicatif qui demande l’ouverture du port : tant que l’applicatif n’est pas actif, aucun port n’est ouvert. uPnp inclus une notion de timeout au bout d’un moment la règle expire est la règle de routage est supprimée.

votre avatar

Oui sur un “vrai” firewall, il faut 1- ouvrir le port 2- créer une règle de translation de port (NAT)



l’UPnP c’est aussi à double tranchant : il n’existe aucun mécanisme d’identification - ce n’est absolument pas sécurisé. Ni plus sécurisé qu’un NAT “normal” (fixe/fait main sur le routeur) d’ailleurs.



En UPnP, n’importe quel troyen/vérole peut s’ouvrir et se rediriger le(s) port(s) qu’il veut.



C’est user friendly mais c’est considéré comme une possible faille

votre avatar

Chez orange c’est assez simple de remplacer sa livebox par un routeur maison, les TP Link sous openwrt marchent très bien. On peut même récupérer le bon VLAN pour brancher la box TV derrière.
Chez SFR ca marche aussi, et on peut même récupérer le téléphone, je n’ai pas essayé pour la TV.

votre avatar

Je fais ça chez Bouygues, mais le soucis c’est la présence de la prise fibre directement dans la box.



Surtout chez Bouygues qui utilise du GPON et fait de l’authentification avec l’IMEI de l’équipement, pour remplacer ça c’est compliqué.



Si quelqu’un est capable de m’expliquer si c’est possible, envisageable, avec quoi, etc. (j’ai actuellement un routeur sous ddwrt avec l’ONT de Bouygues qui fonctionne bien, mais j’appréhende le changement d’équipement)

votre avatar

Comme dit dans mon message précédent, pas de mode Bridge sur le BBox, mais c’est possible d’utiliser l’ONT, mais tu perds une partie des services.

Routeur, Wi-Fi, box de FAI et autres technologies : qui fait quoi ?

  • Box Internet et réseau local : une imbrication pas si naturelle

  • Un routeur Wi-Fi pas comme les autres

  • IP, DHCP, DMZ, DNS, MAC, NAT, PAT & co : un monde d'acronymes

  • Adresse IP, masque de sous-réseau : késako ?

  • Réseau Wi-Fi, SSID et VLAN : gare aux idées préconçues

  • (Presque) se passer de box, c'est possible

Fermer