Nous utilisons au quotidien des appareils reliés à Internet, parfois même chez nous, à travers un réseau dit local. Mais savez-vous comment il fonctionne, ce qui le compose ou même quel est le rôle de la box de votre fournisseur d'accès ? Pour le comprendre, il faut revenir aux bases.
Au commencement était l'ordinateur. Aux prémices de l'informatique, dans les années 40, il s'agissait de grosses machines qui occupaient des pièces entières. Rapidement, on a cherché à y connecter plusieurs utilisateurs, nous étions à l'époque des mainframes, pas si éloignée du « tout cloud » actuel.
Les débuts du réseau informatique, du protocole Ethernet né dans les années 70 au Xerox Parc, du projet 802 de l'Institute of Electrical and Electronics Engineers (IEEE), de la topologie en série, puis en étoile et du connecteur 8P8C (souvent nommé à tort RJ45) tel que nous le connaissons aujourd'hui. Une histoire que l'on vous a déjà racontée.
Désormais, les réseaux sont partout. Dans nos foyers, ils relient nos ordinateurs, tablettes, smartphones, mais aussi des périphériques plus spécialisés comme les NAS pour le stockage et autres objets connectés. On parle alors de réseau local (LAN pour Local Area Network), en opposition aux réseaux étendus (WAN, pour Wide Area Network) qui consistent à relier ensemble les réseaux locaux de plusieurs lieux géographiques.
Sans le savoir, vous en utilisez d'ailleurs pour vous connecter au réseau des réseaux : Internet. C'est d'ailleurs l'une des victoires de l'informatique moderne : avoir masqué toute la complexité des infrastructures réseau au grand public qui s'y connecte de manière naturelle, sans se poser de questions ni connaissances préalables.
Mais pour mieux comprendre comment cela fonctionne, disposer d'un bon réseau à la maison et savoir quels produits choisir, il vaut tout de même mieux avoir quelques connaissances de base. De quoi comprendre le rôle de chacun des outils que vous utilisez quotidiennement sans en avoir conscience. Laissez-nous faire, on vous guide !
Box Internet et réseau local : une imbrication pas si naturelle
On pense souvent qu'un réseau local dépend de la « box » du fournisseur d'accès (FAI), à tort. On peut créer un tel réseau sans elle. Il s'agit par contre d'un appareil à tout faire mais limité dans ses possibilités... et donc simple à utiliser, qui met automatiquement en place un réseau local ET le connecte à Internet. Dans le modèle français tel qu'il est généralement mis en œuvre, ces deux fonctionnalités sont indissociables.
Internet, téléphonie, réseau filaire, Wi-Fi, USB, même sans son boîtier multimédia une « box » est déjà très complète
Au point que cette box ne vous appartient pas, elle est considérée comme un élément du réseau de votre FAI, celui qu'il place chez vous pour vous connecter à ses équipements à travers l'ADSL, le VDSL, le câble ou la fibre. D'ailleurs il vous le loue, en précisant parfois son coût sur votre facture bien que cet équipement vous soit imposé. Certains communiquaient d'ailleurs leurs tarifs hors location de la box, avant d'être recadrés par la DGCCRF.
Ce modèle s'est imposé avec l'arrivée de l'ADSL, puis du triple play et la fameuse Freebox en 2002 intégrant également des services de téléphonie et de TV. Jusqu'à cette époque, on achetait ou louait un modem comme la fameuse raie manta dont le rôle était simplement de convertir le signal de la liaison téléphonique.
Pour les FAI, ce changement de stratégie avait plusieurs avantages : la box est devenue un péage pour de nombreux services facturés aux clients, notamment à travers le boîtier multimédia qui l'accompagne (ou qu'elle intègre). Tout en assurant un certain contrôle sur ce que peut faire le client et la sécurité de sa connexion Internet.
À une époque, les modems ne faisaient pas routeur, mais fax, répondeur et minitel
Un routeur Wi-Fi pas comme les autres
Car en réalité, la partie réseau de la box est un modem-routeur-point d'accès Wi-Fi-base téléphonique clé en main. Il suffit de l'alimenter et de le connecter au réseau de votre FAI via un câble RJ11 (xDSL), coaxial ou une fibre pour qu'il distribue un accès Internet à tous les appareils qui y seront connectés, de manière filaire ou non.
En pratique, il s'agit comme tout équipement réseau d'une sorte d'ordinateur très compact avec un processeur, de la mémoire, du stockage, des entrées/sorties et un système d'exploitation spécifique, développé par votre FAI comme Freebox OS chez Free, ou en partenariat avec un tiers (généralement le constructeur de la box).
Ainsi, ce boîtier regroupe plusieurs fonctions. Outre le fait qu'il prend la place de ce qui était auparavant un modem – en assurant la connexion de votre réseau à celui du FAI et donc à Internet – il s'agit principalement d'un routeur, soit « un équipement réseau informatique assurant le routage des paquets » selon la définition Wikipédia.
Comme un concentrateur (hub) ou un commutateur (switch), il sert à interconnecter des appareils au sein d'un réseau informatique. Mais là où le premier va distribuer tout élément entrant sur l'ensemble de ses ports, le second intervient port par port. Le routeur est plus complexe, suivant les règles de sa table de routage.
On dit que ce routage intervient en couche 3 du modèle OSI (Open Systems Interconnection), sur les paquets IP. C'est une différence subtile mais importante, car il peut ainsi relier différents réseaux ensemble, là où hub et switch n'agissent qu'au sein du réseau local où ils se trouvent, puisqu'ils n'interviennent qu'en couche 1 et 2.
Les 7 couches du modèle OSI et les différentes unités de données - Crédit : Offnfopt
La connexion d'appareils à un routeur peut se faire via une connectique filaire, comme un câble réseau. Mais il est de plus en plus courant qu'ils fournissent nativement un accès sans fil via le Wi-Fi. C'est le cas des box de FAI.
- Wi-Fi : tout ce qu'il faut savoir des différentes normes et technologies
- Le Wi-Fi 6 c’est quoi ? On vous explique tout, simplement
- Le Wi-Fi 7 (802.11be) jusqu’à 46 Gb/s se prépare, que faut-il en attendre ?
IP, DHCP, DMZ, DNS, MAC, NAT, PAT & co : un monde d'acronymes
Les box intègrent également un serveur DHCP (Dynamic Host Configuration Protocol). Ainsi, chaque appareil qui se connecte au réseau local se voit attribuer une adresse IP (v4 et/ou v6, nous y reviendrons) servant d'identifiant unique. Celle-ci peut être figée, de manière à lui attribuer toujours la même en fonction de son adresse MAC. Pratique pour des appareils auxquels on se connecte régulièrement via leur IP comme une caméra ou un serveur.
Le DHCP fournit des informations annexes mais importantes telles que l'adresse IP de la passerelle (ou gateway) et des résolveurs DNS. La passerelle est l'appareil permettant d'accéder à Internet au sein de votre réseau. Les résolveurs DNS (Domain Name System) servent notamment à faire le lien entre les URL que vous tapez dans votre navigateur et les adresses IP des serveurs qui les hébergent. Deux rôles en général remplis par la box.
- Qu'est-ce que DNS over HTTPS (DoH), qu'est-ce que cela peut vous apporter ?
- Connaître l'IP publique de votre connexion Internet (IPv6)
Autre fonction essentielle de la box : son pare-feu (firewall) NAT (Network Address Translation) permettant d'avoir d'un côté l'adresse IP publique de votre connexion – pour vous identifier sur Internet – et de manière isolée toutes les adresses IP privées des appareils connectés à votre réseau local. Ces dernières ne sont pas directement accessibles depuis l'extérieur. Pour cela on utilise un type particulier de NAT, le PAT (Port Adress Translation).
Imaginons que votre connexion soit identifiée sur Internet par l'IP 203.0.113.42. La box crée un réseau local où elle fait office de passerelle, son IP y est 192.168.1.254. Vous y utilisez un serveur dont l'adresse IP locale est 192.168.1.42, qui héberge un site Internet accessible à travers son port 80 (celui par défaut pour HTTP).
La redirection de port permet de donner accès à ce site depuis l'extérieur. Par exemple en redirigeant le port 4242 de votre connexion à celui du port 80 de votre serveur. Cette redirection peut se faire parfois sur une plage de ports source (de la connexion Internet) via le protocole TCP (plus fiable) ou UDP (plus rapide).
Le formulaire de redirection de port de Freebox OS
Dès lors, chaque personne tapant cette adresse dans son navigateur, obtiendra le site hébergé par votre serveur :
http://203.0.113.42:4242
Si vous voulez partager plusieurs ports d'un unique appareil il y a une autre solution : la zone démilitarisée (DMZ). Elle consiste à indiquer l'IP d'un appareil sur votre réseau local. Toute requête entrante sur votre connexion Internet y sera renvoyée, port par port, sans protection aucune. Il ne faut donc l'utiliser que si vous savez ce que vous faites.
Notez que certains outils et services ont parfois besoin d'agir sur le réseau de manière automatisée, pour ouvrir/fermer des ports par exemple. Ils utilisent pour cela le protocole UPnP (Universal Plug and Play), en général activé par défaut et ne nécessitant pas de réglages particuliers. Nous ne le détaillerons donc pas ici.
Adresse IP, masque de sous-réseau : késako ?
Revenons maintenant à une notion basique en matière de réseau mais qu'il faut maitriser : l'adresse IP. Elle peut être de type IPv4 et est alors représentée par une suite de quatre nombres compris entre 0 et 255, séparés par un point. Une adresse IP courante pour une passerelle comme la box d'un FAI est 192.168.0.1, mais elle peut aussi bien être 192.168.1.254 ou 10.0.0.1. Cela dépend en général des habitudes du fabricant, il n'y a pas de règle précise.
Dans les paramètres d'un appareil, son adresse IP est toujours associée à un masque de sous-réseau utilisant un format similaire. Il permet de déterminer la partie de l'adresse IP qui définit le réseau et celui qui définit les appareils, et donc le nombre d'appareils que l'on peut connecter à un même réseau.
Cette notion est complexe et nous ne la détaillerons pas ici, mais sachez par exemple que si l'adresse IP de votre machine est 192.168.1.42 avec un masque de sous-réseau de type 255.255.255.0 (souvent utilisé par défaut), cela signifie que votre machine pourra échanger avec tous les appareils dont l'IP est comprise entre 192.168.1.1 et 192.168.1.254. Avec un masque de sous réseau 255.255.0.0, cela irait de 192.168.0.1 à 192.168.255.254.
Jusque dans les années 90, les adresses IP ont été organisées en classes selon les usages, certaines plages étant réservées. Ce modèle a progressivement été remplacé par le Classless Inter-Domain Routing (CIDR). Cette notation permet d'indiquer de manière plus compacte l'adresse IP et son masque. Les deux exemples précédents donneraient ainsi 192.168.1.42/24 et 192.168.1.42/16. Vous trouverez un calculateur et les règles par ici.
Pour un réseau local privé, il faut utiliser des plages spéciales. Il s'agit de 10.0.0.0/8 (de 10.0.0.0 à 10.255.255.255), 172.16.0.0/12 (de 172.16.0.0 à 172.31.255.255) et 192.168.0.0/16 (de 192.168.0.0 à 192.168.255.255).
L'IPv4 est une notation décimale simple à mémoriser, mais cela en fait une ressource limitée puisque correspondant à un identifiant sur 32 bits, soit 4 294 967 296 adresses à se partager dans le monde. Pour dépasser ce problème, l'IPv6 a été finalisé à la fin des années 90 avant une standardisation en 2017.
Il s'agit cette fois d'un identifiant sur 128 bits prenant la forme d'un maximum de 8 groupes de 4 caractères hexadécimaux (16 bits) séparés par le signe « : ». Dans chaque groupe, on peut ne pas intégrer des blocs de un à trois zéros considérés comme non significatifs. On peut également remplacer plusieurs blocs à 0 par « :: ». 2001:2002:2003:2004:aaaa:bbbb:cccc:dddd et 2001:0:abba:1337:42:: sont par exemple valables. La notation CIDR est ici la seule admise, plutôt que de mentionner l'adresse IP et le masque de sous-réseau.
Les adresses IPv4/v6 et leur représentation binaire - Source : Wikipédia
Réseau Wi-Fi, SSID et VLAN : gare aux idées préconçues
Passons à une autre erreur courante introduite par le fonctionnement des box de FAI : elles embarqueraient un réseau Wi-Fi, auquel on se connecte. En réalité, c'est un peu plus complexe.
Elles font office de point d'accès Wi-Fi. Comme nous l'avons évoqué précédemment, il n'y a pas un réseau filaire et un réseau Wi-Fi, mais un même réseau local auquel on peut se connecter de différentes manières, avec ou sans fil. Dans le cas du Wi-Fi, le SSID (Service Set IDentifier) représente un point d'entrée permettant de se connecter.
Il peut être diffusé ou non. Dans le premier cas, il est visible par tous les appareils aux alentours. Dans le second, il faut le connaître par avance. La connexion peut être « en clair », sans chiffrement des flux et sans mot de passe comme sur les réseaux Wi-Fi ouverts que l'on trouve dans certains lieux publics. Il faut donc les éviter, ne rien y faire de sensible ou utiliser des protections complémentaires, comme un VPN.
Les méthodes de connexion impliquant un chiffrement des flux peuvent passer par un mot de passe et le protocole WPA, dont la version 3 est la plus récente et la plus sécurisée (WEP ayant été abandonné il y a plusieurs années). Ce protocole permet d'autres méthodes d'identification, notamment utilisées en entreprises (comme RADIUS).
Un point d'accès Wi-Fi tel qu'une box n'est pas limité à un SSID, il peut en diffuser plusieurs. Au sein d'un même local/foyer on peut d'ailleurs installer différents points d'accès diffusant ou non tel SSID selon les besoins.
Un réseau Wi-Fi opéré par un contrôleur (UniFi Cloud Key) et un point d'accès Ubiquiti
Leur configuration peut se faire dans l'interface de gestion de chaque point d'accès ou de manière centralisée, via ce que l'on appelle un contrôleur (matériel ou logiciel), qui peut être un petit boîtier ou un service hébergé dans le cloud. On parle alors de Software Defined Networking (SDN).
- Netgear Insight : passez au Software Defined Network (SDN) « dans le cloud »
- UniFi Controller d'Ubiquiti : utilisez un Raspberry Pi comme une Cloud Key
La multiplicité des SSID peut avoir un intérêt pour segmenter les usages du réseau. Un exemple couramment rencontré dans les usages grand public est celui du réseau invité. Il permet de donner accès à votre connexion Internet à des amis sans mot de passe ou un différent de celui associé à votre SSID principal.
Vous pouvez y réduire le débit, ne l'activer que dans certaines plages horaires ou par exemple empêcher l'accès aux autres appareils de votre réseau local. Pour cela, le point d'accès crée un réseau local virtuel (VLAN), isolé, où ne seront présents que les appareils connectés au réseau invité, mais ayant tout de même accès à Internet. Il dispose en général d'un second serveur DHCP avec une plage d'IP différente à attribuer.
La solution Orbi Pro de Netgear permet de gérer trois SSID et d'avoir un portail captif pour l'accueil du public
Cette fonctionnalité a plusieurs utilités, en créant plusieurs SSID qui se verront attribuer des VLAN différents. En entreprise, elle permet de séparer les réseaux de différents services et celui proposé aux clients et visiteurs. À la maison on peut y recourir pour différencier le réseau accessible aux parents et aux enfants, isoler des objets connectés, etc. D'ailleurs, la box de votre FAI utilise souvent les VLAN sans que vous ne le sachiez.
Ce sont par exemple eux qui permettent d'isoler le flux téléphonique ou de ne rendre celui des chaînes de TV accessibles que du boîtier multimédia fourni. Un VLAN n'est ainsi pas forcément associé à un SSID. Il peut aussi l'être à un port d'un équipement réseau ou un tag (sous la forme d'un nombre). Nous en reparlerons sous peu.
(Presque) se passer de box, c'est possible
Dernière chose à savoir : utiliser la box de votre fournisseur d'accès n'est pas une fatalité, même si presque tout est fait pour vous y obliger. Il est néanmoins possible d'utiliser des routeurs tiers si vous êtes clients fibre Orange en reliant le bloc de terminaison optique (ONT) via un câble RJ45 à certains modèles Netgear équipés pour cela.
L'autre possibilité est de configurer la box pour qu'elle se limite au rôle de « bridge » lorsqu'elle le permet. Comprendre que, comme un modem, elle n'assurera que le lien entre votre réseau et celui du FAI. Vous devrez donc utiliser vos propres équipements : routeur, switchs, points d'accès Wi-Fi, etc. De plus, il arrive parfois que certains services ne fonctionnent pas dans ce mode de configuration comme la téléphonie ou les services TV.
On trouve parfois des utilisateurs utilisant leur propre routeur derrière la box du FAI, notamment lorsqu'aucun mode bridge n'est proposé. Mais cela risque de créer ce que l'on appelle un double NAT, pouvant poser problème pour certains usages. On peut limiter cela en plaçant le routeur dans la DMZ de la box.
N'hésitez pas à nous faire part de vos remarques et questions en commentaires. Si nécessaire, nous mettrons à jour cet article pour y répondre afin qu'il fasse office de référence sur ces sujets pour de prochains dossiers.
Commentaires (86)
#1
aaahhh
merci pour l’explication sur le /16 (ou /24 …) pour les notations ipv4
c’est pour dire que les machines n’ont accès qu’aux autres qui ont les mêmes 16 (ou 24 …) premiers bits comme ip
je capte mieux :)
#2
L’intérêt principal de la box pour le FAI, c’est la réduction énorme que ça engendre en SAV. Avec la box, tu branches à la ligne téléphonique, tu branche ton PC en Ethernet dessus, ton PC fait automatiquement du DHCP, la box monte automatiquement la connexion PPP préconfigurée, et ça marche.
Sans box, avec un modem à l’ancienne, c’est au client de configurer manuellement la connexion PPP, le partage de connexion, etc.
#3
Comme dit, les FAI ont de multiples interêt à la box tout en un. La simplification en est une mais pas la seule. Surtout que pas mal de ces problématiques disparaissent avec la fibre. Il n’en reste pas moins que le brodge devrait être activable systématiquement pour éviter la plaie du double NAT à ceux qui le souhaitent
#4
Le bridge est en effet souhaitable, mais pas forcément évident à implémenter si toute l’infrastructure n’a pas été prévue pour. En effet, comment faire passer les connexions SIP dans le lien PPP si ce n’est pas la box qui le pilote ? Le mode DMZ est, la plupart du temps, une solution acceptable.
Je suis chez OVH, je peux faire du bridge avec le modem, ou même me passer complètement de modem en me branchant au cul de l’ONT depuis que je suis passé à la fibre, mais dans ce cas je perds le téléphone. Logique.
#5
Certains vont chez un FAI pour accéder à internet, point. Pour la téléphonie IP, OVH sait la faire sans être le FAI. C’est que ça ne doit pas être un problème insurmontable (mais ce n’est pas le sujet principal de l’article, autant éviter la digression)
#6
La téléphonie à part, ça se fait avec un boîtier dédié, installé et configuré séparément. La configuration est délicate au niveau du firewall, ce n’est pas pour Mme Michu. Il n’est pas étonnant qu’on ne trouve ça que chez les FAIs de geek, et que les FAIs “grand public” se concentrent sur la solution avec tout intégré dans la box (ce qui est justement le sujet principal de l’article). Il faut juste bien choisir son FAI en fonction de ses besoins.
#7
Hors sujet mais… le parefeu ipv6 des freebox est toujours désactivé par défaut? En décembre 2020 il l’était sur une nouvelle free box pop.
#8
De mémoire (j’étais client il y a une paire d’années) la base arrive préconfigurée, sans rien à faire sur le routeur. Tu branches au réseau et ça fonctionne.
Oui comme dit, les FAI proposent la simplicité avant tout, d’autant que c’est leur intérêt commercial. Mais le forcing opéré sur l’ensemble des clients n’est pas acceptable pour autant.
Le sujet de l’article c’est expliquer les différents protocoles et principes de base du réseau. La box n’est ici qu’un support/exemple vu qu’elle est connue du plus grand nombre et présente chez quasiment tout le monde puisque les clients n’ont pas le choix. Mais elle est surtout la source de pas mal de mauvaises compréhension de pas mal de sujet (notamment parce que tout ce qu’elle fait, elle le fait assez mal ou de manière très limitée pour rester dans la volonté de simplisme des FAI).
Si le choix libre était proposé chez plus de FAI, ce serait vrai, mais c’est faux. Le pire étant que même quand tu as des offres sans TV en mode forcing comme chez Sosh par exemple, la box reste imposée sans mode bridge possible.
Oui il l’est toujours (de mémoire pour éviter les soucis d’incompatibilité)
#9
En gros oui. Le nombre derrière le / indique le nombre de bit définissant le réseau. Mais il peut y avoir des subtilités. Exemple :
3 machines sur un même réseau.
IP :
Dans ce cas, la 1 pourra dialoguer avec la 2, la 2 avec la 1 et la 3, la 3 avec la 2. La 3 peut envoyer des paquets à la 1 mais la 1 ne saura pas répondre car pour elle 192.168.2.1 n’est pas en /16 mais en /24 et donc pas sur le même réseau.
(bon aspirine ;) )
#10
Maintenant tu fais la même en IPv6
#11
Et on parle des masques non contigus?
, c’est géré / implémenté dans très peu d’équipements (est-ce que ça l’est encore?), mais ça me rappelle de “bons” souvenirs d’école! 
Ok c’est pas dans les normes
Sinon très bon article au demeurant pour les non initiés
#12
yep j’avais pigé pour le coup des masques, c’était surtout la notation que je comprenais pas jusque là :)
ça je veux bien voir ce que ça donne
#13
.
Voilà
#14
T’es sur de toi ?
#15
Autre fonction essentielle de la box : son pare-feu (firewall) NAT (Network Adress Translation) permettant d’avoir
C’est un pare-feu ou ça fait du NAT ? le NAT n’étant pas un élément de sécurité ça n’a rien à faire là
#16
Pare-feu et routeurs, sous les 10000€ sont souvent agrégé en une seule solution. Les vrais routeurs n’existent quasiment plus que chez les prestataires d’accès / cloud.
#17
Yep
#18
La machine 192.168.1.42 pourra échanger avec l’ensemble des adresses IP entre 192.168.1.1 et 192.168.1.254, les adresses ip 192.168.1.0 et 192.168.1.255 étant respectivement l’adresse de réseau et l’adresse de broadcast. Il faut toujours enlever la première et la dernière adresse d’une plage IP pour avoir le nombre d’adresses IP assignables.
Si je ne m’abuse (je suis plus système que réseau) les masques de sous-réseau plus fins que le /24 (254 adresses), /25 par exemple (126 adresses soit 255.255.255.128) permettent, historiquement en tout cas de limiter les domaines de broadcast qui peuvent poser des problèmes de saturation des liens.
Sinon l’article est super pour vulgariser un peu tout ça :) Merci !
Edit : mise en forme
#19
Je pense que ce qu’il veut dire par là est que le NAT/PAT est une fonction de routage, pas une fonction de pare-feu. Il y a encore tout un tas de petits “routeurs” qui n’ont pas de fonction pare-feu (autre que SPI, type Cisco RV320) à minima dans les TPE.
#20
Oui, ça avait été détecté en relecture mais…
corrigé en tous cas merci 
#21
Autre incompatibilité du mode Bridge sur une Freebox Delta : l’agrégation xDSL/4G…
Quelqu’un a une explication technique à cela ?
#22
A la louche, lorsque tu passes un routeur en mode bridge il n’y a plus aucune fonction de routage active, la 4G et le xDSL étant deux réseaux différents ils ont besoin d’un routage pour atteindre le LAN. J’imagine que la box privilégie le lien xDSL dans ce genre de cas (ou que l’on peut le basculer à la main). Peut être qu’un passage du routeur aval en DMZ (sans bridge du coup) résout le problème.
Pas 100% sûr de ma réponse, mais elle me parait logique
#23
Je ne sais pas si la delta fait du multipath tcp mais ça y ressemble et dans ce cas l’équipement qui agrège les liens physique doit aussi avoir les adresses IP. Et vu qu’en mode bridge, ce n’est plus la box qui gère les adresses IP, il ne peut plus y avoir d’agrégation.
#24
Merci
Donc, si je met ma Freebox en Routeur avec DMZ sur un autre routeur (tel que proposé dans l’article) l’agrégation ne marche pas (bien) ? Je n’ai pas réessayé depuis que j’ai mon antenne 4G … mais de mémoire c’était moins performant …
#25
Tant que tu es en mode routeur, ça va marcher ( dmz ou non) puisque c’est la box qui a les IP wan/lan. Qu’importe le nombre de routeur que tu colles derrière ;)
#26
Le SPI est un pare-feu, extrêmement pratique. C’est lui qui permet de créer des DMZ ainsi que les règles basiques. Le DPI est de plus haut niveau et est plus complexe (comme l’inspection HTTPS, l’IPS, ..) mais le SPI est déjà super en soit.
Quand, dans ta règle PAT, tu as une limitation de l’adresse source, c’est le pare-feu SPI qui bosse avant que le routeur fasse la translation. Idem quand tu mets des limitations Wifi sur une MAC particulière (en tandem avec le DHCP). D’où la complémentarité extrême des fonctions pare-feu / routeur.
En même temps, tu ne voudrais pas d’un routeur qui t’enverrait une fois sur l’IP xDSL et une fois sur l’IP 4G. Parce que je ne pense pas que Free fasse de l’aggrégation mais plutôt de la répartition de charge (et donc une autre IP dans ce cas).
Le problème, c’est le double NAT en faisant ainsi. C’est plutôt moyen mais perso, faisant une double pile ipv4/ipv6, avec le temps j’aurais de moins en moins de NAT.
#27
En agrégation de lien tu n’as qu’une seule adresse. Ce qui est configuré ensuite, c’est la stratégie de choix de l’interface de sortie.
En multipath tcp, par contre, tu as bien des adresses différentes. Mais, du fait que tous les équipements n’implémentent pas la RFC 6824 et 6897, un équipement supplémentaire est ajouté pour reconstituer le lien (solution OVH et Apple)
Concernant Free, je ne sais pas si il font de la répartition, de l’agrégation ou du mptcp (je vais tester ce weekend, je n’ai la delta que depuis hier ;) )
#28
Merci, je ne pensais pas que le SPI gérait tout ça, et du coup oui, la complémentarité pare-feu / routeur prend tout son sens.
#29
C’est bien de la répartition sur la Freebox Delta (j’ai fait un petit test perso). Pour moi, si tu mets ta Delta en mode routeur que que tu mets ton second routeur en DMZ ; Ta Freebox ne voit pas les IP du LAN de ton second routeur. Comment fait-elle pour gérer la répartition ? Ca me parait compliqué.
#30
Source: https://lafrite.medium.com/xdsl-4g-de-la-freebox-delta-mon-test-676f472ad84f
“Par contre, un constat peut être fait : Ce n’est pas l’adresse IP (fixe) de la ligne xDSL qui est vu par les différents services de test dans le cas de l’utilisation de l’agrégation avec la 4G …”
Je penche pour un routage dynamique en fonction du poids de la route, l’âge du capitaine et la mobilité d’une hirondelle uniailliste.
#31
Dans le sens interne -> externe(download ou upload), la répartition fonctionne même quand cela vient d’une même adresse IP du moment qu’il y a plusieurs connexions au sens tcp du terme (d’après mes observations et de ce que dit @patos).
Dans l’autre sens, ça passera obligatoirement par le lien xDSL
#32
Oki. Merci pour le lien. Donc Free fait de la répartition.
#33
Pour une raison évoquée en commentaire d’un autre article, je me demande si ce serait pas intéressant de me procurer un routeur distinct de ma Livebox 3. Peut-être un prochain article ?
#34
Je suis passé ce weekend à un réseau 10gb via un QNAP managé avec SFP+ etc, moi qui pensait “être né avec internet”, ben je suis retourné sur les bancs de l’école virtuelle pendant un mois quasiment, le temps de comprendre la différence entre ‘transceiver lc sr oms/mmf”, “passive vs active dac”, sans parler d’agrégation de liens, de cartes HS qui font douter, des incompatibilités à faire passer une boite de nuggets pour une comptine de maternelle, des protocoles bloqués par magie et quantité d’erreurs…
Je conseille d’ailleurs à ceux voulant s’ennuyer le weekend de passer directement sur des produits très “HDG” comme le QSW-M1208-8C, des transceivers et des cartes chinoises, ça marche uniquement si l’intégralité des petites lignes sont lues, parfait en période de confinement ^^
#35
Et encore, si tu rajoutes les communications ARP derrière, cela ne vas plus du tout marcher…
C’est pour cela que sur certains logiciels, la configuration réseau était indiquée avec: IP, masque, gateway et broadcast.
Même si le broadcast est lié aux 2 premiers…
#36
J’ai bien précisé sur le même réseau, donc arp va fonctionner (heureusement, autrement difficile de faire le lien MAC <-> IP)
#37
Il faut voir le masque comme une facon de découper les plages d’adresses en petits réseaux indépendants
#38
A mon avis, c’est lié au fait que les réseau 4G font un usage très large du NAT et on est assez loin de l’architecture des réseaux cablés tels qu’ils sont proposés au grand public.
#39
Quels sont les problèmes pratiques avec le double NAT ? Je fonctionne comme ça depuis longtemps, avec mon routeur déclaré en DMZ sur la box, et je n’ai eu aucun problème du à ça ni aucune difficulté à router un port uniquement depuis le routeur sans avoir à toucher à la box.
Pas chez moi.
J’ai lu ton article mais je ne suis pas d’accord sur le fait que tu étais obligé d’abandonner ton routeur et les fonctions qui allaient avec. A moins d’un cas particulier qui t’empêche d’utiliser le double NAT (voir ma question posée à David plus haut), tu pouvais déclarer ton routeur en DMZ sur la box, et continuer à l’utiliser comme routeur de tout le reste de ton LAN.
#40
Souvent dans des usages de type jeu en ligne ou autre (sans parler d’UPnP et de la redirection de port qui est de fait compliquée par le double routage)
#41
UPnP va se faire sur le routeur qui est dans la dmz, il n’y a pas besoin d’ouvrir quoique ce soit sur la box (puisque dmz). Donc je ne vois pas le problème (mais il y a sans doute quelque chose qui m’échappe).
#42
J’ai une question concernant justement le bridge : en dehors de Free qui a l’air d’offrir assez systématiquement de passer en bridge sur ses box, quels sont les opérateurs (de préférence grand public) qui permettent d’activer cette option ou mieux, se débarrasser de sa box ? C’est assez complexe de trouver ces infos :/
#43
Le NAT fonctionne de la manière suivante: un couple ip source/port source veut se connecter à un couple ip distant/port distant. Le routeur NAT utilise un de ses ports sur son ip côté internet pour l’attribuer à ce couple ip distant/port distant et savoir que c’est pour ip source/port/source.
Si tu fais du double NAT, ça veut dire qu’à chaque fois, l’ip source vu depuis ta box internet sera ton routeur perso: tu n’as plus “que” 64535 connexions simultanées possibles (TCP, et autant en UDP).
Quand tu es un particulier, tu culmines à quelques dizaines / centaines de connexions. Ok. Mais si tu fais du PeerToPeer? Et que t’as des ados à la maison, etc… Ta box va épuiser ses ports et tu ne pourras plus établir de nouvelles connexions. En TPE, on franchit rarement cette limite, mais ça peut arriver selon les usages.
Bref, le double NAT, c’est mal, m’voyez.
#44
Oui comme dit dans l’article, si tu places dans une DMZ ça évite une bonne part des problèmes, mais sans ça, un double NAT pose souci
Parce que ça change selon le temps et les modèles de box. De mémoire SFR le proposait parfois, Orange dans le cas évoqué pour Netgear par exemple. Mais sinon le double NAT avec éventuellement la DMZ reste la seule solution en l’état.
#45
je vois pas comment le double NAT va épuiser la quantité de port plus vite qu’un NAT classique. Ça change pas le nombre de ports à NATer et le rapport entre le 1er et deuxième appareil à NATer est 1⁄1. Et puis bon arriver à bout de 65k ports dans un contexte perso faut y aller, même avec un serveur perso.
#46
Dans le cas d’un NAT simple, il y a 64535 ports accessibles par IP distante…
En double NAT, il n’y a plus qu’une seule IP (celle du second routeur) donc seulement 64535 ports.
#47
Le soucis c’est surtout qu’il n’est pas configurable. Soit tu l’actives, et tu n’as plus aucune connexion entrante possible en IPv6, soit tu ouvres ta box aux quatre vents en IPv6 en faisant confiance aux pare-feux de tes équipements (spoiler: beaucoup n’ont pas de pare-feu IPv6, comme les NAS Asustor par exemple…)
#48
On en reparlera sous peu d’ailleurs
#49
#50
#51
Il me semble que tu confonds NAT et PAT.
(Edit : Après, dans les faits, les Box font du PAT, pas du NAT)
#52
Pour le NAT statique, oui.
Mais tout le reste, il passe en NAT dynamique avec un couple IP/port (exemple)
#53
Pour les jeux en ligne je ne vois pas de cas où le double NAT pose problème et pas le simple NAT. Mais j’ai effectivement oublié de préciser que je désactive sur le routeur l’UPnP et toute autre protocole de modification de firewall à distance ou traversée de NAT.
OK j’avais pas pensé à ça, même si ça me paraît assez difficile à atteindre, même à plusieurs, même avec du P2P qui représente quelques milliers de connexions, ça fait jamais que 10%. Faut voir éventuellement ce qui est fait des connexions non actives, est-ce que les slots sont réutilisés si besoin ou est-ce qu’ils sont bloqués jusqu’à la fin du timeout (plusieurs minutes).
Faut pas exagérer non plus, mais il faut être conscient des limitations.
#54
C’est parce que les box grand publique font du PAT (port adresse translation), donc ne translate qu’un port externe (depuis internet) vers un couple IP/Port interne (le PC ou NAS ou autre de ton réseau local). dans ce cas effectivement tu n’as toujours “que” 65535 possibilités tant bien même tu ferais 2-3-4-5 ou plus PAT successifs.
Le NAT (Network Adresse Translation) lui transforme une IP source en IP cible, donc tu as 65535 possibilité par couple IP. Mais je ne pense pas l’avoir vu utilisé ailleurs qu’en entreprise, et jamais en box opérateur.
#55
Merci pour cet article.
J’espérai justement plus de détails sur le dernier chapitre: se débarrasser de sa box.
Je n’ai jamais pris le temps d’essayer de franchir le pas mais ça m’intéresserait, et il y a pas mal de points qui me paraissent flous.
Par exemple j’imagine qu’il doit y avoir un espèce de mécanisme d’authentification auprès du FAI (standardisé ?), quel est-il ?
Le flux tv peut-il fonctionner ? D’ailleurs comment fonctionne-t-il ? (même si pour le coup ça ne me servirait pas car pas de tv)
Bref je pense que ce chapitre pourrait faire l’objet d’un ou plusieurs articles à part entière qui me paraitraient très intéressants :)
#56
Celui là (d’article) je l’attends avec impatience.
#57
meme question . Comment puis je me debarrasser de ma freebox et avoir ma propree box? je n’ai besoin que de deux sortie rj45 chez moi, rien d’autre: pas de wifi, pas de télé(phone),pas d’haut parleur, pas de télécomande, pas de disque dur et que sais je encore. Juste une boite , la plus petite possible, qui consomme le moins possible, et fibre.
#58
On a déjà évoqué le sujet dans les articles sur Netgear/Livebox où une auth est nécessaire (les VLAN pour la vidéo étant notamment préservés de mémoire). Le reste du temps (Bridge ou double NAT) la box reste présente et utilisable, donc la question de l’auth ne se pose pas.
#59
Je l’ai atteins une fois sur ma box de sfr, jamais sur ma livebox 5.
C’est une formule de South Park ;) On peut faire avec mais c’est mieux de faire sans
Quel est l’intérêt de se débarrasser de sa box? Personnellement, un switch manageable avec private vlan, une borne wifi avec l’isolation des clients et un pare-feu transparent entre le switch, la box et le wifi.
Cracher sur les box parce que ce sont des boxs, ça ne sert à rien. Les boxs actuelles font le taff, plutôt bien. Si tu veux du contrôle, le pare-feu t’en donnera, si tu veux de l’isolation, le pare-feu & le switch t’en donneront, etc… Y’a des solutions, fiables et WAF !
#60
C’est très bien documenté sur des forums tels que https://lafibre.info/routeurs/
Perso je le fait pour un abonnement SFR (RED) avec un Turris Omnia directement branché sur l’ONT. Ça marche très bien, et j’ai la télé (sans avoir pris l’option de location de la box TV) et la téléphonie qui sont fonctionnels. C’est le jour et la nuit avec une box routeur parce que ça permet justement de tout configurer sans être confronté aux limitation de la box opérateur et sans complexifier le cheminement entre l’opérateur et ton LAN. Tout ça en IPv4 et IPv6.
#61
Je ne crache pas sur la box, c’est principalement de la curiosité technique :)
#62
Il y a des switchs qui font de la QoS, mais on reste quand même limités sur ce que l’on y fait, sans parler de la gestion du Wi-Fi limitée, des boxs & co (et ceux qui vont chez Ubiquiti par exemple veulent en général un routeur maison pour avoir l’expérience complète).
Sur le fond, le problème reste simple : quand la box suffit, qu’elle existe est une bonne chose. Qu’on ne puisse pas la remplacer ou ne l’utiliser que pour l’accès internet en complément d’autres appareils simplement est un problème.
#63
Je parle pas QoS, je parle isolation pour le switch, filtrage pour le parefeu.
Pour ma part, je ne fais que part d’un seul regret: l’impossibilité de rajouter une route statique sur ces putains de box: ça aurait de sacrées vertus !
#64
Tiens par curiosité tu l’utiliserai dans quel contexte/pour quoi faire ?
#65
han! le self-memory 2000, je l’avait avec le “forfait illimité” d’aol
de mémoire, il se branchait en serial…
#66
Une route statique?
Permettre justement d’avoir un routeur/parefeu pour une zone de la maison et avoir une autre zone plus habituelle (tout en permettant de filtrer pour faire maison <>réseau protégé)
Créer une zone sans DHCP, même si elle est routable: du coup, ça permet d’avoir un DHCP personnalisé (avec un pi?) pour faire du PXE sans péter le lan de la maison
Avoir deux accès internet qui amènent vers la même zone protégée, de manière plutôt simple.
C’est con mais une route statique, on sait jamais quoi en faire, mais c’est souvent la solution à un problème IP….
#67
Ah tous ces commentaires sur le double NAT et le PAT me font m’interroger du coup sur mon installation.
J’ai conservé ma box (une SFR avec branchement coax), branché derrière un routeur Syno. J’ai choisi de ne pas mettre ce dernier sur la DMZ pour ne pas l’exposer (j’ai souvent eu des scans de ports).
Je fais donc du routage de port “Box vers routeur, routeur vers machine”, mais effectivement, dans ce cas, je n’ai qu’un couple IP/Port à chaque fois. Donc sur ce point, je maîtrise les services que j’expose et cela me permet de déménager ou changer de box en ne touchant pas le réseau interne derrière le routeur (il n’y a que le transfert de port à refaire sur la box).
Du coup, est-ce que les connaisseurs pourraient illustrer d’autres cas de figure qui pourraient poser problème ? deux machines qui se connectent à un même service (IP/port) derrière le routeur et donc un souci de renvoi du flux retour qui ne saurait pas vers qui le renvoyer ? ou alors tout autre chose ?
#68
merci pour ta suggestion , mais quand je lie ca:
“Ca ne marchera jamais en 10G-EPON. Le SFP(+) de Free n’est pas un ONU. En ZMD ou ZTD 10G-EPON (C’est le cas d’Antibes), se passer de l’ONU n’est pas une option.”
Je me dit que j’ai vraiment pas le niveau!
#69
ZMD/ZTD : Zone Moyennement/Très Dense (qui définit les zones géographiques où la fibre est déployée, avec parfois des règles différentes selon les cas)
10G-EPON : la solution utilisée dernièrement par Free pour sa fibre à 10 Gb/s, en opposition à son précédent réseau pair-à-pair (P2P) avec une différence : dans le 1er cas les lignes des abonnés sont regroupées avant d’arriver au nœud optique (NRO), dans le second chaque fibre abonné va jusqu’au NRO.
EPON : Ethernet Passive Optical Network
ONU/SFP(+) : Pour connecter une fibre tu as différentes solutions. Parfois la box intègre une cage SFP(+) pour accueillir un transceiver qui recevra directement la fibre optique et transformera le signal optique en signal électrique que la box peut gérer. C’est ce que l’on utilise dans les cartes/équipements réseau fibre 1G (SFP) ou 10G (SFP+).
Dans certains cas, cela passe par une unité réseau optique (ONU) qui prend la forme d’un gros boîtier alimenté. C’est globalement le même dispositif, mais en plus gros. D’un côté tu places la fibre, de l’autre tu as un connecteur à insérer dans le port “fibre” de ta box. Cela n’est pas au choix de l’utilisateur, ça dépendra de sa zone et de sa box.
#70
Je suis chez Sosh, avec une livebox 4 en bridge.
Par ailleurs, il est tout à fait possible de se passer de la box chez presque tous les opérateurs (“bizarrement” pas chez free qui lie l’abonnement à l’adresse mac de la box), on trouve des coupleurs xDSL pour tous les types de réseau.
Les boxes opérateurs sont des équipements grand public qui atteignent très vite leurs limites dès qu’on veut faire autre chose que poster sur Facebook qu’on n’a pas aimé le dernier truc qu’on a regardé sur Netflix. Je dirais que la pire de toutes est la Revolution avec son tarif démentiel et son marketing “pour les geeks”.
En outre, les boxes opérateur n’évoluent pas. Les éléments de mon réseau domestique, oui. Pas envie d’attendre une dizaine d’année pour que mon FAI me propose la nouvelle version de sa box qu’il file en priorité aux nouveaux abonnés…
Le FAI idéal pour moi, serait celui qui pose une prise, m’attribue une IP et basta. Qu’il soit simplement un fournisseur d’accès, pas un vendeur de contenus. Ce que j’ai trouvé qui ressemble le plus dans ce qui est dispo chez moi c’est Sosh sans aucune option..
A part ça, je ne suis pas le seul à faire la remarque que la translation d’adresse n’est pas assurée par la partie firewall.
#71
Tu entends quoi par bridge sur une Livebox 4 (qui de mémoire ne propose pas une telle option) ?
Possible oui, que ce soit simple et à portée du plus grand nombre comme si la box n’était pas un élément commercialisé en mode forcing, non. Et encore ça dépend pas mal de la technologie de réception (entre xDSL ou fibre, les contraintes ne sont pas les mêmes par exemple.
#72
Ne plus payer la location d’un matériel qui n’évoluera jamais et dont tu ne te sers que de la partie “modem” puisque tu as justement un switch, un vrai, une borne WiFi, une vraie, et un pare-feu, un vrai.
Payer la location d’une box qu’on met en bridge quand un coupleur ADSL correct se trouve à partir de 30€, c’est quand même pénible.
#73
Un bail fixe pour brancher mon routeur en DMZ et désactivation de toutes les fonctionnalités de la LB. C’est ce que j’ai trouvé de plus propre.
On se débrouillait très bien avant les boxes, on continue à très bien se débrouiller sans box hors de France.
Franchement, louer un équipement imposé quand un coupleur qui coûte 30€ à l’achat ferait le job, ça me fait une sorte de fussoir
#74
Ok donc pas du mode bridge quoi
Par contre j’ai du mal à comprendre ton histoire de coupleur qui permet de se passer de box chez presque tous les FAI ?
#75
Je préfère le terme coupleur à celui, erroné, de modem, dans le cas de transmissions qui sont numériques des 2 côtés.
On trouve également des “boxes” avec coupleur, routeur, switch et AP WiFi pour moins de 100€. Le D-Link DSL-3788 par exemple. Ou ce lien vers la boutique Orange qui ressemble à de la provocation !
#76
Ok je comprends mieux. Tu peux, mais du coup on ne comprends pas de quoi tu parles (surtout qu’on évoques en général un coupleur pour simplement relier deux câbles de connectique similaire ou différente, ce qui ne correspond pas plus à la fonction dont il est question ici).
#77
Dans mes cours d’électronique, j’avais la même définition de coupleur que toi.
Dans mes cours de réseau et télécom, j’ai toujours appelé coupleur un dispositif permettant de passer d’un signal numérique sur une techno à un signal numérique sur une autre.
C’est que du vocabulaire, si tu demandes à un cheminot il te dira que c’est le dispositif permettant d’accrocher les voitures, les wagons et les locos.
#78
L’important, c’est d’être compris par les gens avec qui tu échanges ;)
#79
J’ai testé :
en ADSL, avec Netgear DM200 en mode modem + Synology RT2600ac
OK avec SFR, Orange,
Free j’ai laché l’affaire vu que le mode bridge existe,
Bouygues c’était compliqué.
en Fibre : ONT + Synology RT2600ac
OK avec Orange
SFR j’avais fait du double NAT, j’avais pas trouvé un ONT digne de ce nom pour brancher a l’entrée du routeur comme avec Orange.
Sinon double NAT Livebox + DIR600 chez mes parents (je me suis adapté a leur souhait pour la conf).
L’accès distant au NAS chez eux se fait, mais le taux de synchro NAS-NAS est digne de l’adsl alors qu’ils ont la fibre :/
#80
Ca se discute, la couche physique de l’ADSL ressemble plus à de l’analogique qu’à du numérique, et il y a bien modulation et démodulation (DMT). Comme exemple de numérique pur non modulé, il y a le port série RS-232 ou l’USB.
D’après ton raisonnement, on classerait le modem 56k dans les transmissions numériques, donc coupleur, vu que ce sont bien des données numériques qui sont transmises.
#81
C’est la latence qui te fait ça. Augmente le nombre de thread de synchro.
Je ne sais pas si tu connais, mais rclone est excellent pour synchroniser, et est hautement configurable.
#82
Excellent article ! Merci.
Juste un détail
NAT n’est pas vraiment un pare-feu : un pare-feu permet de fermer/filtrer un canal déjà ouvert.
Là, c’est l’inverse les réseaux sont isolés par le routeur, et NAT/PAT permet de traverser le routage.
Donc NAT n’améliore pas la sécurité, il l’affaiblie.
D’ailleurs attention avec NAT mal utilisé tu peux laisser des points d’entrée ouvert sur ton réseau. (une règle oubliée, ou alors une règle sur IP fixe alors que t’es en DHCP sans bail statique :-/ )
NAT est bête : La porte est ouverte peu importe que ce soit la bonne machine ou la bonne appli derrière.
UPnP est nettement plus sécurisé : c’est l’applicatif qui demande l’ouverture du port : tant que l’applicatif n’est pas actif, aucun port n’est ouvert. uPnp inclus une notion de timeout au bout d’un moment la règle expire est la règle de routage est supprimée.
#83
Oui sur un “vrai” firewall, il faut 1- ouvrir le port 2- créer une règle de translation de port (NAT)
l’UPnP c’est aussi à double tranchant : il n’existe aucun mécanisme d’identification - ce n’est absolument pas sécurisé. Ni plus sécurisé qu’un NAT “normal” (fixe/fait main sur le routeur) d’ailleurs.
En UPnP, n’importe quel troyen/vérole peut s’ouvrir et se rediriger le(s) port(s) qu’il veut.
C’est user friendly mais c’est considéré comme une possible faille
#84
Chez orange c’est assez simple de remplacer sa livebox par un routeur maison, les TP Link sous openwrt marchent très bien. On peut même récupérer le bon VLAN pour brancher la box TV derrière.
Chez SFR ca marche aussi, et on peut même récupérer le téléphone, je n’ai pas essayé pour la TV.
#85
Je fais ça chez Bouygues, mais le soucis c’est la présence de la prise fibre directement dans la box.
Surtout chez Bouygues qui utilise du GPON et fait de l’authentification avec l’IMEI de l’équipement, pour remplacer ça c’est compliqué.
Si quelqu’un est capable de m’expliquer si c’est possible, envisageable, avec quoi, etc. (j’ai actuellement un routeur sous ddwrt avec l’ONT de Bouygues qui fonctionne bien, mais j’appréhende le changement d’équipement)
#86
Comme dit dans mon message précédent, pas de mode Bridge sur le BBox, mais c’est possible d’utiliser l’ONT, mais tu perds une partie des services.