Synology RT1900AC - Firewall sans mode Router

[kyuden]

Bonjour a tous,

Afin de pouvoir gérer un peu de sécurité dans une association, je pense mettre en place un RT1900AC pour sa partie firewalling et sa facilité de management.

Néanmoins, je possède moi même un R7000 de Netgear, et celui ci ne propose que très peu d'option réseau lorsqu'il est seulement en mode Access Point et non pas juste devant le WAN en mode router.

Donc admettons que je ne puisse pas connecter le RT1900AC directement au WAN a l'Association, aurais-je toujours des fonctionnalités de firewalling (filtrage uniquement LAN<>Internet, pas de filtrage nécessaire en LAN<>LAN), ou rencontrerais-je les mêmes problème que sur mon R7000  ? 

Surtout que cet article n'est pas rassurant : https://www.synology.com/fr-fr/knowledgebase/SRM/help/SRM/RouterApp/security_firewall

Citation

Les règles de pare-feu ne s'appliquent qu'au trafic réseau entre Internet et le réseau local hébergé par le Synology Router. Le trafic réseaux au sein du même réseau local ou entre des réseaux locaux câblés et sans fil n'est pas soumis à ces règles.

Du coup comment le Synology définit ou est le réseau "internet" ? Via l'interface qui porte la default gateway ? Seulement ce qui est derrière "l'interface Jaune" ? définissable manuellement ?

Merci pour vos lumières !

Alexandre.

 

[Fenrir]

Je ne vois pas en quoi tu as un soucis, y compris avec ton netgear, si tu veux qu'il fasse firewall, il doit faire routeur (même s'il y d'autres technos, mais hors de ta portée). Si sa partie WAN n'est pas compatible avec ton fai, rien ne t’empêche de le laisser en routeur derrière le routeur du fai

Internet----box opérateur en mode routeur-----ton routeur en mode routeur------tes clients

Au pire tu perds juste les fonctions multimédia de la box

il y a une heure, kyuden a dit :

Du coup comment le Synology définit ou est le réseau "internet" ? Via l'interface qui porte la default gateway ? Seulement ce qui est derrière "l'interface Jaune" ? définissable manuellement ?

Je n'en ai jamais eu, mais je suppose que pour lui, Internet c'est qui entre par l'interface WAN (bleu sur la doc).

[kyuden]

 

Hello Fenrir !

Un poil condescendant comme retour, ou peut-être suis-je juste susceptible ^^ Tu ne devrais pas juger des compétences des gens sans savoir. Mais mon post était peut être a double sens et laissait supposer une question sur le réseau en lui même plutot que sur le SRM en lui même.

Figure toi que sur le Netgear si la partie "Configuration Internet" n'est pas paramétrée, le menu "Paramétrage LAN" devient grisé, tout comme une pétrachiée d'autres. Toutes les feature (QOS, VPN/Firewalling/NAT/etc) impliquant des fonctionnalitée de routeur disparaissent. Bref il passe en mode bridge, juste parce qu'il n'a pas la connexion WAN activée/configurée.

D'ou ma seule question, que je vais reformuler du coup: "Si je n'ai rien a cul du port WAN sur le RT1900AC, est-ce que je pourrais bien utiliser/exploiter la fonctionnalité de Firewalling LAN<>Internet (et donc évidemment le placer en Gateway quand même, mais placé en LAN(interco)/LAN(client) plutot que WAN/LAN(client))?". 

D’ailleurs, quand on lis la quote que j'ai mis, et la réponse que tu y donne, il semblerait que j'ai bien fais de poser la question. Si seule l'if WAN est bindé au service de firewalling, l'équipement ne répond pas au besoin (mais d'une façon différente de mon stupide Netgear certe).

bref, je ne suis pas venu ici pour prendre un cours de réseau, par contre j'ai besoin d'info sur le SRM/le matos Synology :) . Il est claire que c'est le firmware du Netgear qui est complètement pourris, et comme je n'ai pas d'autres points de comparaison que mon r7000 dans le matos grand public, je voulais confirmer que tout était OK sur le SRM a ce sujet avant que 200 balles ne soient claqués. 

Quand aux solutions "hors de ma portée", je suppose que tu parle de me baser sur de l'open source, type Pfsence, iptables, Tomatoe, dd-wrt, squid, etc ---> Trop de temps a investir, de la maintenance, de la doc et de la formation pour que des gens qui n'y connaisse absolument rien puissent s'en servir. Or j'aide ponctuellement des proches a ce sujet, je ne fais pas partis de cette association et je n'ai pas autant de temps a investir pour gérer la chose surtout que je suis a Paris et l'assoc' a Poitiers. D'ou l'idée du Synology car ils ont une super WUI, MaJ automatique, Appli de prise en main via le smartphone quand y'a vraiment un cas urgent, etc.

Ou alors tu parle d'autres Solutions propriétaire grand publique et du coup je suis tout ouie, tant que ca coûte toujours moins de 200e.

Merci pour ton retour en tout cas. Une idée d'où je pourrais confirmer l'histoire du port WAN obligatoire pour faire du firewalling ?

Alex

 

[Fenrir]

il y a 49 minutes, kyuden a dit :

Un poil condescendant comme retour, ou peut-être suis-je juste susceptible ^^

Ni l'un, ni l'autre à mon avis, tu n'as juste pas certaines connaissances en réseau, d'où ton erreur, ce qui n'est en rien un problème bloquant (je pars toujours du principe que tout le monde peut apprendre). Si tu as ces connaissances, c'est moi qui suis totalement à coté de la plaque ou il y a un problème de compréhension entre nous.

Quand je parlais de choses hors de ta portée (pas forcement en terme de compétences, mais de matériel), je pensais à du 802.1x couplé à du 802.1q et du 802.1p, à ebtables ou encore à du DPI.

Pour ta demande, je reformule pour être certain de bien la comprendre, si ma reformulation est fausse n'hésites pas à me reprendre.

=>Tu veux séparer ton LAN en plusieurs réseaux en fonction de la population (par exemple admin, membres ou encore invités) avec un firewall entre chaque population et un accès Internet (plus ou moins ouvert) pour tout ce petit monde. Le boitier permettant ça doit être administrable à distance et/ou par des personnes dont ce n'est pas le métier.

Même si je pense que c'est réalisable avec le RT (c'est un linux, donc techniquement c'est faisable), tu vas devoir pas mal bricoler car ça n'est pas prévu de base (extrait de la doc : "Remarque : les règles de pare-feu peuvent s'appliquer au trafic de WAN à LAN ou de WAN à SRM"). Mais dans tous les cas, le port WAN va être mis à contribution.

Si tu branches tout le monde sur les ports switchs (wifi inclus), tu obtiendras un switch. Au mieux tu pourras segmenter le trafic avec des vlans, mais cela implique d'avoir des équipements compatibles en face.

Dans la liste que tu cites, seul pfsense ou openwrt (pas dd-wrt) pourraient répondre au besoin (si je l'ai bien compris), mais peu de chance de t'en tirer à moins de 200€ sans mettre les mains dans le cambouis.

En fait ta demande n'est absolument pas grand public (du point de vue des fabricants), donc presque aucune chance de trouver un matos clef en main pour ça dans ces tarifs.

Par contre j'ai d'autres solutions à te proposer qui entrent (largement) dans ton budget, mais elles sont nettement moins user-friendly qu'une Interface Syno.

il y a une heure, kyuden a dit :

Une idée d'où je pourrais confirmer l'histoire du port WAN obligatoire pour faire du firewalling ?

Ce n'est pas le port WAN qui est "obligatoire" mais le fait de "router" le trafic. Pour t'en convaincre, sauf à te faire un cours réseau (et tu n'es pas là pour ça), je ne peux que te proposer des sites comme openclassroom.

[kyuden]

Il y a 2 heures, Fenrir a dit :

 

Je pense qu'il y a clairement un problème de compréhension entre nous, et comme j'ai parlé de condescendance, tu me considère a ton tour comme tel, ca se mort un peu la queue ^^ 

Du coup je propose que nous reprenions sur des bases saines :)

Pour bien commencer : Je pense que tu as répondu a ma question avec le point ci après, apparemment trouvé dans une doc constructeur. C'est THE info que je cherchais a confirmer :

Citation

Même si je pense que c'est réalisable avec le RT (c'est un linux, donc techniquement c'est faisable), tu vas devoir pas mal bricoler car ça n'est pas prévu de base (extrait de la doc : "Remarque : les règles de pare-feu peuvent s'appliquer au trafic de WAN à LAN ou de WAN à SRM"). Mais dans tous les cas, le port WAN va être mis à contribution.

•  Je suis donc bel et bien obligé d'utiliser l'interface physique WAN du boitiers pour faire fonctionner du firewalling. Quel que soit le reste de la topology.
•  Je ne peux donc pas connecter la chose de la manière suivante et profiter du firewalling NET<>LAN sans aller faire mumuse en CLI pour tuner la chose car je n'utilise pas le port physique WAN du boitiers: (toutes les interfaces dans l'exemple sont adressée de manière adaptée selon le subnet)
  • FAI <----> Port WAN [Box] Port LAN <----{Subnet d'interco privé A}----> Port LAN [RT1900] Port LAN<----{Subnet d'interco privé B}----> Client direct (ou via Switch) avec pour  default Gateway l'IP du port LAN du RT1900
• A moins que le port WAN ne soit qu'un port physique comme tous les autres et que je puisse faire ça, auquel cas je pense qu'on aura trouver la source ne notre incompréhension car pour moi ce port ne peux que se connecter a l'arrivée ADSL :
  • FAI <----> Port WAN [Box] Port LAN <----{Subnet d'interco privé A}----> Port MAN[RT1900] Port Lan <----{Subnet d'interco privé B}----> Client direct ou Switch

 

Citation

Ce n'est pas le port WAN qui est "obligatoire" mais le fait de "router" le trafic

Oui, pour faire du firewalling, forcément, faut bien que je route mes flux a travers le firewall a un moment ou un autre, on est d'accord. Mais tu te trompe si tu considère que routage, interface, et firewalling sont décorélés :

-> Je route ma default gw via un subnet, lui meme associé a une interface, donc oui l'interface peut être limitante pour la création de regle de firewall selon comment fonctionne SRM (exemple ci-apres sur netfilter, mais la notion ifIN et ifOUT associé a un flux sont présentes aussi sur ASA, Stonesoft ou Fortigate entre autre). Le pire c'est que je dis ca mais je me doute que tu le sais déjà.

 

Il est encore plus certains qu'on ne se comprend pas, car clairement un routeur Linux accompagné d'iptables et 2 interfaces pourrait parfaitement faire le taff, et je pense que tu connais cette techno. Tien d’ailleurs, je vais essayer d'utiliser ça pour essayer de t'expliquer ce que je cherche a savoir, ça nous aidera peut-être si on compare a un truc sur lequel on se comprend : 

Citation

 

Soyons fou, et admettons le routeur RT1900 comme étant un vulgaire routeur linux avec netfilter configuré comme ca :

• - wan1 est la fameuse interface physique dédiée au WAN dont on arrête pas de parler ici. Elle est Débranchée/Disable car la connexion ADSL arrive directement sur la box opérateur
• - eth0 est mon interface vers la box internet, elle même connectée a l'ADSL. Pour éviter un routage asymétrique, l'interco box<>eth0 est dans un autre subnet que l'interface wlan0<>lan. Disons que l'interco BOX<>RT est sur le 172.16.0.0/24 (box en .1, RT en .254)
• - wlan0 est mon interface wifi coté LAN, et est gateway des poste dans le LAN en question (on va dire 192.168.100.0/24 pour le LAN, gateway du RT en .254).

- La table de routage de mon RT ressemblerait grosso modo a ca:

• 0.0.0.0/0 via 172.16.0.1, dev eth0
• 172.16.0.0/24 Direct Connect, dev eth0
• 192.168.100.0/24 direct connect, dev wlan0
• J'la met quand meme : dev wan1 disable

- La table de routage de la box resemblerait a ca :

• 0.0.0.0/0 via FAI, dev "wan-interface-de-la-box"
• 192.168.100.0/24 via 172.16.0.254, dev "lan-interface-de-la-box"

- La table de routage d'un client ressemblerait a ca :

• 0.0.0.0/0 via 192.168.100.254, dev osef
• 192.168.100.0/24 direct connect, dev osef

---> sachant ceci, est ce que les nouvelles regles que j'ajoute sur le RT1900 via sa GUI induiront forcément un fonctionnement via interface strict comme dans cet exemple équivalent sur iptables ?

• iptables -A FORWARD  -s ip.du.client.lan  -o wan1     -p tcp -m multiport --dport 6881-6999 -j DROP

ou

• iptables -A FORWARD    -i wan1 -d ip.du.client.lan    -p tcp -m multiport --dport 6881-6999 -j DROP

Si c'est le cas, alors mon flux ne passera pas par wan1, la default étant sur eth0, et ne matchera pas en DROP, du coup ma couche firewalling est inopérante

---> Utiliser wan1 est donc nécessaire

Pour aller plus loins :

• ---> Mais du coup, puis-je modifier la conf pour dire que eth0 doit être utilisé a la place de wan1 ?
• ---> Ou mieux, wan1 est-elle une interface comme toute les autres capable de se connecter sur la partie LAN de la box et d'être adressée dans le subnet d'interco privé (172.16.0.0/24

Ma question de base est vraiment simple au fond, et du coup de ce que je comprend du dernier quote de doc que tu as fait, il semble en effet nécessaire d'utiliser l'interface physique WAN du boitiers pour que les règles s'appliquent, merci pour l'info ! :) ET c'est donc bien un problème pour l'achat du matos comme je le redoutais (même si je cherchais a la base un autre type d'emmerde, comme celle sur mon netgear).

Et du coup maintenant qu'on a trouvé la première réponse,  la nouvelle question pour sauver l'achat du RT19000 est (enfin c'est un redit, j'en parle ci-avant dans ce post) : Est ce que le port physique WAN (le bleu donc apparemment), peut être connecté directement sur un des ports LAN de la box et adressé pour communiquer a travers un subnet privé. ->  Si c'est le cas, alors je peux faire fonctionner le firewalling comme espéré, autrement non. Ou sinon peut être connais-tu un tuto/une doc sur la modification a faire en CLI pour pouvoir utiliser un autre port que WAN quand on configure des regles de firewall?

Je ne vais pas répondre sur le "802.1x couplé à du 802.1q et du 802.1p, à ebtables ou encore à du DPI", c'est même pas imaginable avec le budget et le temps a accorder donc non, clairement je n'y avais pas pensé. La QoS n'est pas requise et le DPI c'est clairement too much pour juste bloquer quelques port en entrée et sortie, un truc basique pour un bon vieux firewall L4.

Voila, au fond, on avance ;)

Merci pour tes recherches !

Alex

 

 

NB : Je viens de me rendre compte que je basais tout mon raisonnement sur le fait que les interfaces ethernet "LAN" (pas la prise dédiée WAN donc, mais les Jaunes) du RT1900 étaient chacunes adressables dans differents subnet et non pas seulement en mode switch. En effet plus rien ne marche si ce n'est pas le cas. M'enfin quand même ca serait vraiment abusé si c'était pas le cas pour un "routeur".

Modifié le 15 janvier 2017 par kyuden

[Fenrir]

Pour ce qui est du pb de compréhension, je pensais vraiment que tu cherchais à segmenter tes réseaux coté LAN (ce qui est peut être le cas finalement à la vue de ton "edit").

Dans ce que tu proposes, je ne vois pas l’intérêt de ne pas utiliser le port WAN si c'est pour en recréer un à l'identique ou presque comme dans tes exemples, il doit me manquer une info quelque part.

La seule différence entre tes tables de routage et ce qu'il se paresserait si tu branchais n'importe quel routeur grand public comme le RT, c'est que ce dernier ferait probablement du nat en sortie de son interface wan (-j MASQUERADE), ce qui rendrait la route "192.168.100.0/24 via 172.16.0.254" inutile (même si c'est plus propre de router que de faire du nat).

C'est d'ailleurs ce que font la plupart des utilisateurs lorsqu'ils ont une box qui ne peut pas fonctionner en bridge et qu'ils veulent mettre un routeur plus avancé.

il y a 52 minutes, kyuden a dit :

Est ce que le port physique WAN (le bleu donc apparemment), peut être connecté directement sur un des ports LAN de la box et adressé pour communiquer a travers un subnet privé

C'est ce que je t'ai proposé dès le premier post. Ça revient à faire 2 nat de suite, ce qui n'est pas très propre, mais ça fonctionne.

Pour ce qui est de transformer les ports switch en ports individuels, je pense que c'est possible (ça dépend du hard) mais je suis presque certain que ça n'est pas géré dans l'interface, donc ça ne te conviendras pas puisque ton installation est destinée à :

Il y a 5 heures, kyuden a dit :

des gens qui n'y connaisse absolument rien

Si tu cherches un routeur pas cher, regardes du coté du EdgeRouter X (er-x) chez Ubiquiti, c'est environ 60€. Il faudra juste ajouter une simple borne wifi derrière (si besoin).

Ce n'est certainement pas aussi simple que du syno, mais ça devrait rester accessible.

----------

il y a 53 minutes, kyuden a dit :

Mais tu te trompe si tu considère que routage, interface, et firewalling sont décorélés

Je n'ai nul part dit ça, mais j’aurai pu puisque c'est le cas, on peut faire du firewalling sans routage (ce n'est juste pas prévu dans un routeur grand public comme le RT) et on peut évidemment faire du routage sans firewalling.

il y a une heure, kyuden a dit :

Il est encore plus certains qu'on ne se comprend pas, car clairement un routeur Linux accompagné d'iptables et 2 interfaces pourrait parfaitement faire le taff, et je pense que tu connais cette techno.

Pas besoin de 2 interfaces pour faire un routeur (ou un firewall), une seule est nécessaire, même pas besoin d'avoir plusieurs adresses dessus (et je ne parle pas de vlan ni de tunnel).

[gaetan.cambier]

Il y a 4 heures, Fenrir a dit :

Pas besoin de 2 interfaces pour faire un routeur (ou un firewall), une seule est nécessaire

bon, c le matin, faudra m'excuser, mais pour moi un router = 1 entrée et une sortie ... tu m'explique ? 

[Fenrir]

rien ne t’empêche d'utiliser la même interface pour les 2 (entrée et sortie), un exemple sale, c'est le loopback des box (sauf que la tu as du nat en plus)