Aller au contenu

RT2600AC en DMZ derrière Livebox4 et Configuration IPTV


oracle7

Messages recommandés

Bonjour,

Mon contexte : j'ai installé un routeur Synology RT2600AC dans la DMZ d'une LiveBox 4 Fibre pour qu'il fasse tout le travail de gestion DHCP et sécurisation de mon LAN à la place de la dite LiveBox. Tout marche très bien jusqu'à présent.

Maintenant je souhaiterai configurer mon décodeur TV Orange (dernière version) pour regarder la TV. Mais là, je "sèche". Je ne sais ni comment faire, ni et où quels paramètres rentrer.
Pour l'instant, le décodeur est raccordé via un switch à mon LAN (Internet -> Livebox -> Routeur -> Switch -> LAN -> décodeur TV), mais bien évidemment, il ne se connecte pas. Pourquoi ? C'est un grand  mystère pour moi et mes faibles connaissances en réseau ne me sont pas d'un grand secours dans ce cas.  :-\
J'ai bien ou mal fouillé le net et notamment le présent site, mais pas de solution en vue.
Pour mémoire, cela marchais très bien dans ma configuration précédente sans routeur RT2600AC : càd Internet -> Livebox -> Switch -> LAN -> décodeur TV.
Je précise aussi que je n'ai qu'un seul câble Ethernet qui relie mon coffret de communication dans le garage à mes périphériques dans mon salon et que je n'envisage aucunement l'utilisation de boitiers CPL.

Donc, si une bonne âme pouvait m'aider et m'expliquer ce qu'il faut faire, je lui en serai très reconnaissant.

MERCI d'avance.  :D :D :D

Cordialement

oracle7


 

Lien vers le commentaire
Partager sur d’autres sites

Bonsoir, @oracle7

Pour faire simple il faut que ça soit la Livebox qui lui donne son DHCP ainsi que son DNS.

Il faut donc que le décodeur dans ton installation soit branché sur la Livebox (ou dans le sous réseau de la Livebox).

 

Après on peu contourner le problème avec des VLAN (il faut que les switchs soient administrable)

Ou il doit sans doute être possible de bidouiller quelque chose ?????

 

Modifié par maxou56
Lien vers le commentaire
Partager sur d’autres sites

Je me suis récemment lancé dans les VLAN pour isoler certaines parties de mon réseau. Et bien les décodeurs sont les éléments les plus durs à faire fonctionner. En tout cas chez Proximus ce n'est pas évident du tout.

Si ça répond réellement à un besoin, tu peux persévérer mais renseignes-toi un maximum sur les forums ou autres sites d'informations. Si c'est juste pour le côté pratique, je peux t'assurer que tu vas t'éviter de belles prises de tête à le laisser brancher sur ta Livebox.

Bonne m*rde. 🙂

Lien vers le commentaire
Partager sur d’autres sites

Hello !

Je confirme ce qui a été décrit précédemment. Ton décodeur TV doit être en lien direct avec ta Livebox (cable RJ45, CPL, Wifi, etc). En dehors d'un switch simple, tout périphérique qui viendra s’intercaler entre la Livebox et le décodeur TV va rompre la communication entre les éléments fournis par ton FAI.

De fait, si tu n'es pas en mesure d'établir ce lien direct, il faudra passer par un switch en mesure de tagger les paquets destinés à la TV (VLAN) pour les acheminer à travers ton réseau local et les délivrer spécifiquement à ton décodeur TV. Ce n'est clairement pas à la portée de tout le monde du fait qu'il faut disposer du matériel adéquat et que les FAI communiquent peu/pas/pas toujours sur les paramètres et VLAN utilisés.

 

 

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

Merci à @.Shad. et @church pour vos réponses. J'entends bien et comprend bien vos arguments mais comme le l'ai dit dans mon post initial : " je n'ai qu'un seul câble Ethernet qui relie mon coffret de communication dans le garage à mes périphériques dans mon salon et que je n'envisage aucunement l'utilisation de boitiers CPL".

Donc, la piste évoquée par @maxou56 qui utilise des VLAN sur le lien existant me parait plus intéressante à suivre.

Je ne reviendrais vers une solution de lien direct Livebox --- DécodeurTV qu'en dernier ressort, car aujourd'hui il ne m'est pas envisageable de tirer un câble supplémentaire entre mon coffret de communication et mon salon (quoique ce ne soit pas impossible  MAIS ce serait très compliqué et nécessiterait beaucoup de travaux !!!  Donc si je peux éviter, il est alors urgent d'attendre ...).

Il y a 21 heures, maxou56 a dit :

Après on peu contourner le problème avec des VLAN (il faut que les switchs soient administrable)

Cela tombe bien mes switch sont administrables : ce sont des NETGEAR GS108Ev3. Du coup, en mettant les mains dans le cambouis, je me dis que je dois pouvoir les configurer correctement pour aboutir au but voulu.

Sauf que je n'y connais rien aux VLAN et le schéma que @maxou56 m'avait déjà indiqué dans le post "DHCP et décodeur orange" reste encore pour moi difficile à appréhender.

Dans tous les cas je joins ci-après le schéma de mon câblage actuel :

image.png.85472b21cf0cae2d3e47f798e7bee188.png

Maintenant, @maxou56 je ne sais comment faire pour configurer les VLAN 1 & 2 "croisés" comme sur ton schéma si j'ai bien compris.

Livebox <--------> Routeur <-------> Switch n°1 (VLAN 1)                                                                                     Switch n°2 (VLAN 2)<--------> Décodeur (comme si il était brancher physiquement à la livebox)              

               <---------------------------------> Switch n°1 (VLAN 2)                                                                                     Switch n°2 (VLAN 1)<--------> PC (comme si il était brancher physiquement au routeur)

                                                         Switch n°1                  <----- Liaison entre switch par 1 seul cable ------> Switch n°2

A la limite, mettre le switch n°2 en VLAN 2, je pense savoir puisque je l'avais déjà mis en VLAN 1. Mais ajouter au switch N°1 le VLAN 2 et inversement ajouter au switch N°2 le VLAN1 (puisque déjà passé en VLAN 2), là je sèche et j'espère beaucoup que tu pourras m'expliquer. Merci d'avance.

Dernière question : avec mon schéma faut-il corriger et donner une @IP fixe au Décodeur TV dans le sous-réseau LAN de la Livebox (par ex : 192.168.1.3) ou bien je peux conserver l'@IP fixe actuelle attribuée dans le sous-réseau LAN du Routeur soit : 192.168.2.2 ?

Cordialement

oracle7

 

Modifié par oracle7
Lien vers le commentaire
Partager sur d’autres sites

Bonsoir, @oracle7

63865149_Capturedcran2020-01-2819_52_33.thumb.png.f644d975e5bfb73842052f2714854c5e.png

Chaque switch fonctionne différemment. Mais il faut que les VLAN est le même numéro entre les switchs, le nom est optionnel.

Pour la liaison entres les switchs ou avec un appareil sachant géré les interfaces virtuelle mettre le port en trunk(Vlan) ou en Tagged (pour chaque VLAN).

Pour les ports il faut mettre Untagged (par ex VLAN 2) ou acces, ou encore VLAN PVID (avec le numéro de VLAN)

 

 

Ci-dessous un schéma qui montre les possibilités/avantages que permet les VLAN

119607194_Capturedcran2020-01-2819_57_05.thumb.png.18cb787f6fecc59ae686411928eb105e.png 

Il y a 2 heures, oracle7 a dit :

donner une @IP fixe au Décodeur TV dans le sous-réseau LAN de la Livebox (par ex : 192.168.1.3)

C'est la Livebox qui lui donnera l'IP et le DNS au décodeur.

Modifié par maxou56
Lien vers le commentaire
Partager sur d’autres sites

Bonsoir @maxou56

Tout d'abord JE TE REMERCIE pour avoir pris le temps de faire un schéma. Cela clarifie déjà pas mal de choses.

Maintenant après avoir essayé de déchiffrer la doc de mes switch et de ce que j'en ai compris, il faut assigner aux ports de chaque switch le N° de VLAN qui va bien.

Donc sur la base du schéma que tu as fait, j'ai repris le mien en détaillant le VLAN pour chaque port. Voilà ce que cela donne. En fait, dans l'interface de configuration j'avais deux possiblités :

  • Advanced Port Based : que j'ai appliquée sur le schéma ci-après.
  • Advanced 802.1Q VLAN : qui permet en plus (si j'ai bien compris) de taguer ou non les ports individuellement et de leur affecter un PVID (mais pour ce dernier PVID je crains de ne pas avoir compris grand chose ...🤔

Du coup, j'ai peut-être été trop restrictif dans le choix de la méthode à utiliser. Oui/Non ? J'ai retenu celle qui le paraissait la plus simple à mettre en oeuvre ...

Dans le schéma sous chaque switch, j'ai aussi coller une copie d'écran du paramétrage potentiel. Est comme cela qu'il faut faire ?

image.thumb.png.166de94ffb3a774f694a2f3703539fbe.png

J'attends ton avis approbateur ou non, avant de configurer directement les switch. J'espère que ce schéma sera lisible et surtout compréhensible.

Cordialement

oracle7

 

Modifié par oracle7
Lien vers le commentaire
Partager sur d’autres sites

il y a 56 minutes, oracle7 a dit :

J'attends ton avis approbateur ou non, avant de configurer directement les switch. J'espère que ce schéma sera lisible et surtout compréhensible.

Je n'utilise pas le mode "Advanced Port Based", je suis en "802.1Q VLAN".

Le schéma semble bon.

Il faut que le DHCP et DNS de la Livebox soient actifs.

 

 

Si cela ne marche pas avec le mode "Advanced Port Based", en "802.1Q VLAN" il faut (mais dans les réglages ce généralement pas "user friendly")

Pour le switch1: Untagged VLAN1 ports n° 1-3-4-5-6-7, Untagged VLAN2 port n°2 et Tagged VLAN 1 et VLAN 2 port n°8

Pour le switch2: Untagged VLAN1 ports n° 3-4-5-6-7-8, Untagged VLAN2 port n°2 et Tagged VLAN 1 et VLAN 2 port n°1

Modifié par maxou56
Lien vers le commentaire
Partager sur d’autres sites

Bonjour @maxou56

BINGO !!! Cà marche 😀

Après quelques reboot LiveBox, décodeurTV, switch, ... : cà marche du feu de Dieu !!! ÉNORME MERCI à toi maxou56 pour tes conseils.

Pour ton information (et celle de tous ceux qui sont concernés par le sujet), au final j'ai appliqué la méthode " Advanced 802.1Q VLAN " et j'ai réglé les tags des ports sur chaque switch comme indiqué précédemment. J'ai aussi mis le câblage physique en conformité avec le schéma et voili voilou ...

Sur la LiveBox comme je voyais le DécodeurTV dans son sous-réseau, j'en ai profité pour attribué à ce dernier un bail statique.

A coté de cela, il y a juste un truc un peu bizarre mais c'est sûrement normal (ton avis STP ?).

Mon switch n°2 s'est vu attribué une @IP par le DHCP de la LiveBox (vu avec "Advanced IP Scanner") mais je ne le vois pas dans la liste des baux dynamiques de cette dernière, ni dans la liste des équipements connectés. A la réflexion, je me dis que cela est normal parce que via le VLAN2, ce switch est de fait dans le sous-réseau LAN de la LiveBox (j'ai bon ?). Néanmoins et c'est là que c'est bizarre, je lui avais initialement attribué un bail statique dans le sous-réseau LAN du routeur. Mais là aussi il n'est plus vu comme actif par "Advanced IP Scanner" (logique) tout en étant quand même toujours vu comme "client DHCP" du sous-réseau LAN du routeur (moins logique ???). Du coup, est-il encore nécessaire de faire une réservation DHCP pour lui dans le sous-réseau LAN du routeur ?

Enfin, j'aurais bien aimé lui attribué quand bien même un bail statique dans le sous-réseau LAN de la LiveBox (@IP plus facile à mémoriser). Tu crois que je peux forcer cela (via son @MAC) malgré son "invisibilité" dans l'interface de la LiveBox ?

Cordialement

oracle7

 

Lien vers le commentaire
Partager sur d’autres sites

  • 3 mois après...
Le 27/01/2020 à 20:02, oracle7 a dit :

j'ai installé un routeur Synology RT2600AC dans la DMZ d'une LiveBox 4 Fibre pour qu'il fasse tout le travail de gestion DHCP et sécurisation de mon LAN à la place de la dite LiveBox. Tout marche très bien jusqu'à présent.

@oracle7

Pourrais tu stp m'aider pour le démarrage.

J'ai mon NAS (accessible en local et en VPN) derrière une Livebox.

Pour différentes raisons, dont la robustesse l'amélioration du WIFI et la meilleure gestion DNS / DHCP je viens de mettre un routeur Synology derrière ma Livebox : aujourd'hui j'ai donc internet > livebox (avec décodeur TV branché en direct dessus) > routeur synology > NAS


Problème : mon NAS n'est plus accessible mais tous mes équipement sont toujours affichés dans la page de gestion de ma BOX. Peut-êtr un problème de pare-feu avec le sports 8000 pour le routeur ?

Je ne sais pas vraiment par où commencer ...

Modifié par TuringFan
Lien vers le commentaire
Partager sur d’autres sites

@TuringFan

Bonjour,

Ci-après une trame à suivre si tu le veux, en tout cas c'est celle que j'ai personnellement suivie et çà marche pour le RT2600ac !

1 - Préliminaires sur la LB

  • Connecter un PC sur le port LAN2 de la LB. Laisser libre le port LAN1 de la LB
  • Sur le PC fixer manuellement l'@IP du PC sur le réseau de la LB par ex 192.168.1.12
  • dans un navigateur se connecter à la LB 192.168.1.1
  • Faire une sauvegarde en local des paramètres de la LB
  • Désactiver la sauvegarde automatique
  • Réinitialiser la LB aux paramètres usine
  • Quand la LB a redémarré, s'y connecter
  • Dans "Réseau DHCP" : conserver la plage d'@IP par défaut 192.168.1.10 à 192.168.1.150, DHCP actif
  • Dans "Réseau NAT/PAT" : fixer les ports à transférer vers le routeur (80, 443, 500, 4500, 1194 + éventuellement FTP 20, 21 et enfin SSH 22 ??? mais pas recommandé.
  • Dans "Réseau UpnP" : activer le service (nécessaire pour le décodeur TV)
  • Dans "Parefeu" : régler le niveau de sécurité sur "Faible"
  • dans WIFI : désactiver les 2 antennes 2,4 et 5 Ghz
  • Ne pas quitter l'interface d'administration de la LB

2 - Connexion du routeur à la LB (en espérant que c'est la même chose pour un RT2200ac que pour un RT2600ac !)

  • Connecter le port WAN du RT au port LAN1 de la LB
  • Démarrer le RT et pour être sûr de partir sur une base saine : réinitialiser le RT aux paramètres usine (Appui long 10sec sur le bouton "reset".
  • Patienter plusieurs minutes ... C'est très long !
  • Sur le PC lancer une recherche avec Synology Assistant
  • Le RT doit être trouvé à l'@IP 192.168.1.x, noter cette @IP
  • Vérifier que l'@MAC est bien celle indiquée sur l'emballage du RT, (@MAC0 par la suite)

3 - Configuration LB

  • Se connecter à la LB
  • Vérifier dans "Mes Equipements connectés" la présence du RT (nommé SynologyRouter)
  • Dans "Réseau DHCP" : attribuer un bail statique au RT par ex 192.168.1.2
  • Désactiver le serveur DHCP de la LB
  • Redémarrer la LB
  • Redémarrer le RT Patienter plusieurs minutes
  • Vérifier avec Synology Assistant que le RT est bien trouvé à l'àIP 192.168..2 avec l'@MAC0
  • Se connecter à la LB
  • Dans "Réseau DMZ" : intégrer le RT à la DMZ : sélectionner  SyologyRouter dans le Popup

4 - Configuration du RT

  • Déconnecter le câble réseau du PC du port LAN2 de la LB et le brancher sur le port LAN1 du RT
  • Sur le PC lancer une recherche avec Syology Assistant. Le RT doit être trouvé à l'@IP 192.168.1.1 avec l'@MAC1 correspondante du port LAN1 du RT (ce sont des paramètres usine non modifiables !)
  • Dans un navigateur se connecter au RT (192.168.1.1 ou router.synology.com)
  • Dés la connexion établie cliquer sur Démarrer
  • Suivre et renseigner les écrans selon
  • Sélectionner mode de fonctionnement "RT sans fil" et désactiver "Accès externe à SRM"
  • Sélectionner le type de connexion Internet "IP manuelle"
    • Saisir @IP 192.168.1.2 masque 255.255.255.0
    • Passerelle : @IP de la box (normalement 192.168.1.1)
    • DNS Server : 192.168.1.1
    • Définir comme valeur par défaut : activé
    • Appliquer
  • Un message de notification de l’assistant SRM indique alors que les sous-réseaux WAN et LAN spécifiés se recouvrent, ce qui peut bloquer la connexion à Internet. Pour mémoire, cette alerte est normale et logique puisque l’actuelle @IP de connexion pour configuration du routeur est « 192.168.1.1 » et que l’on est en train de définir l’@IP « 192.168.1.2 » comme @IP de connexion à Internet, ces deux @IP appartenant au même sous-réseau « 192.168.1.0 », d’où le recouvrement).
    Nota : Pour éviter cette notification, une autre solution aurait été de fixer au départ le sous-réseau de la LBen « 192.168.0.0 » avec pour l’@IP de la LB« 192.168.0.1 » et de fixer l’@IP du bail statique du routeur à « 192.168.0.2 ». Pour ma part je ne voulais pas reprendre tout le plan d'adressages de mes clients, d'où ce choix.
  • L’assistant SRM propose alors de corriger cette anomalie en créant lui-même un autre sous-réseau LAN. Cliquer sur « OUI » pour accepter la correction de configuration.
  • L'assistant poursuit la configuration du RT. Patienter plusieurs minutes, c'est assez long !!!
  • A la fin, cliquer sur "Lancer le RT"
  • Le sous-réseau LAN du routeur étant différent du sous-réseau LAN courant du PC, l’interface SRM ne s’affiche pas. Logique !
  • Sur le PC, lancer une recherche avec Synology Assistant : Le routeur doit être trouvé avec l’@IP du sous-réseau LAN que l’assistant SRM lui aura attribué, par exemple : 10.0.14.1 avec l’@MAC1 (@MAC du port LAN1 du routeur).
  • Sur le PC, fixer manuellement l’@IP du PC (par ex : 10.0.14.12) sur le sous-réseau LAN du routeur (10.0.14.0).
  • Ouvrir un navigateur WEB, se connecter au routeur avec le compte administrateur spécifié précédemment, en saisissant l’URL : "http://10.0.14.1:8000".
  • Ouvrir "Centre réseau – Statut" et vérifier que le routeur est bien connecté à Internet. L’affichage de l’état de la connexion n’est pas instantané il faut patienter quelques secondes.
  • Ouvrir "Centre réseau – Internet" et vérifier que le routeur utilise bien l’@IP qui lui a été attribué dans le sous-réseau de la LB : 192.168.1.2.
  • Ouvrir "Centre réseau – Réseau local" et modifier les paramètres de sous-réseau local du routeur pour lui attribuer l’@IP : 192.168.2.1. Renseigner en corrélation du sous-réseau 192.168.2.0, les @IP de la plage du serveur DHCP (fixées de 192.168.2.150 à 192.168.2.254) ainsi que celles de la passerelle (192.168.2.1) et du serveur DNS (192.168.2.1).
    Nota : Les @IP inférieures à 150 sont réservées pour les « Réservations DHCP » (@IP constante de certains périphériques) ce qui laisse pas mal de marge.
  • Modifier l’@IP du serveur DHCP invité pour lui attribuer l’@IP 192.168.3.1. De même, renseigner en corrélation du sous-réseau 192.168.3.0, les @IP de la plage du serveur DHCP invité (fixées de 192.168.3.2 à 192.168.3.254) ainsi que celles de la passerelle (192.168.3.1) et du serveur DNS principal (192.168.3.1).
  • Cliquer sur Appliquer pour enregistrer les modifications.
  • Redémarrer le routeur.
  • Dans un navigateur se connecter au RT : "http://192.168.2.1:8000" ou "router.synology.com"

  • Poursuivre le paramétrage et la sécurisation du RT sur la base du Tuto de @unPixel

Voilà, c'est un peu long, il faut "jongler" avec les sous-réseaux, mais si tu es attentif cela ne devrait pas te poser de problèmes.

EDIT : Penser aussi à attribuer un bail statique dans la LB au décodeur TV ainsi que rétablir/activer le DHCP de la LB qui nécessaire au fonctionnement du décodeur.

Cordialement

oracle7 😉

@GrOoT64

Mes réglages WIFI :

image.png.dd3c28a7840e9364ef8e3039cfcffb80.png

Pour les autres cases, tout est coché sauf le calendrier.

Cordialement

oracle7😉

Modifié par oracle7
Lien vers le commentaire
Partager sur d’autres sites

Il y a 9 heures, GrOoT64 a dit :

J'ai une petite question sur le pare feu de la livebox. Doit on le "desactiver ?" genre le régler sur personnalisé, on supprime tout et on coche réponse au ping ?

Le pare-feu de la Livebox fonctionne uniquement sur le réseau qu'elle gère, si tu as activé le DMZ vers le Routeur Synology, cela n'as plus vraiment d'inportance.

Moi je l'ai laissé en Moyen. (sur les les Livebox non pro, pour répondre au Ping il faut personnaliser le pare-feu, encore un bizarrerie d'Orange).

Si la réponse au Ping est désactivé sur la Livebox alors il est transit via le DMZ (protocole ICMP) par contre je ne sais pas si le Routeur Synology répond au Ping sur la WAN (pas vraiment cherché, mais si quelqu'un à la réponse?? @oracle7??)

 

@oracle7

Il faut mieux ne pas cocher le 802.11r

Extrait du TUTO:

"802.11r : Activez cette option pour une itinérance rapide entre différents points Wi-Fi (Failles connues sur les serveurs et les clients. Résolu côté Synology mais ne le sera certainement jamais sur les clients.)"

Modifié par maxou56
Lien vers le commentaire
Partager sur d’autres sites

@maxou56

Bonjour,

il y a 15 minutes, maxou56 a dit :

mais si quelqu'un à la réponse?? @oracle7??)

Je ne sais pas, mais je me dis (peut-être à tord) comme je n'ai pas vu de possibilité de paramétrer ce type de réponse dans le RT cela ne veux pas forcément dire qu'il ne le fait pas par défaut comme tout périphérique Ethernet.

En tout cas, chez moi il répond bien au ping sur le réseau local LAN du moins, c'est qui rassurant.

Depuis le WAN, son @IP n'est-elle pas la même que la LB en amont ? Du coup je serais enclin à dire que ce serait elle (la LB) qui répond en premier malgré la DMZ. Mais ce n'est que mon avis, à confirmer donc !

il y a 16 minutes, maxou56 a dit :

Résolu côté Synology mais ne le sera certainement jamais sur les clients.

Et si le réseau local WIFI est entièrement géré par des équipements Synology : alors pas de problèmes effectivement. Mais je ne comprends pas en quoi cela est gênant avec les clients ?

Cordialement

oracle7😉

 

Modifié par oracle7
Lien vers le commentaire
Partager sur d’autres sites

Merci pour vos retours !
Comme ça ça marche plutôt pas mal image.png.f813436628d2a92c1143bd41cfbc76f0.png

il y a 25 minutes, maxou56 a dit :

sur les les Livebox non pro, pour répondre au Ping il faut personnaliser le pare-feu, encore un bizarrerie d'Orange

Alors ça j'ai testé, ça n'a jamais répondu MDR --> via la WAN hein 😉
Cependant j'ai aussi testé de connecter le Syno sans la LiveBox et le Syno répond bien au ping lui.

par contre pour le réglage niveau de sécurité je met WPA2 ou WPA2/WPA3 ?  (je n'ai rien qui soit compatible au WPA3 à ma connaissance)

Modifié par GrOoT64
Lien vers le commentaire
Partager sur d’autres sites

il y a 1 minute, oracle7 a dit :

 

En tout cas, chez moi il répond bien au ping sur le réseau local LAN du moins, c'est qui rassurant.

Depuis le WAN, son @IP n'est-elle pas la même que la LB en amont ? Du coup je serais enclin à dire que ce serait elle (la LB) qui répond en premier malgré la DMZ. Mais ce n'est que mon avis, à confirmer donc !

Oui en LAN il répond, (normal 😉)

Par contre en WAN 1 ou 2, il ne répond pas au Ping (et je n'est pas trouvé de réglage faisant mention du Ping, sauf dans le DoS)

(testé via l'ip externe, et via l'ip local de la WAN)

Normalement (mais bon avec la Livebox), lorsque que l'on fait du DMZ, tous est transmit (sauf si il y a des règles NAT/PAT, ou si l'on coche "répondre au Ping", qui sont prioritaires).

Lien vers le commentaire
Partager sur d’autres sites

MERCI @oracle7 pour ce message si complet : un véritable tuto que je suis en train de suivre !

De mon côté pas de message sur le recouvrement de WAN / LAN.

Pas certain de comprendre non plus la partie sur la réattribution d IP dans le réseau local : à quoi cela sert-il ?

In fine ça a l'air de fonctionner (je touche du bois) et j'accède maintenant à mon NAS avec une adresse en 10.x.y.z quand je suis sur le wifi du routeur.

J'ai également l'impression que je peux accéder à la page d’administration de ma LiveBox depuis le réseau de mon routeur mais que l'inverse n'est pas possible : est-ce bien logique ?

Niveau VPN et domaine comment dois-je donc maintenant adapter ça ?

Je vais maintenant suivre le tuto de sécurisation.

Merci encore en tous cas pour toutes ces explications.

Modifié par TuringFan
Lien vers le commentaire
Partager sur d’autres sites

@TuringFan

Il y a 14 heures, TuringFan a dit :

De mon côté pas de message sur le recouvrement de WAN / LAN.

Pas certain de comprendre non plus la partie sur la réattribution d IP dans le réseau local : à quoi cela sert-il ?

Pour bien comprendre tes soucis et pouvoir te donner la bonne réponse, il faudrait STP que tu me précises quelques points :

  • Sur quel sous-réseau est ta LB ? 192.168.1.0 si tu as suivi la trame
  • Quel sous-réseau est géré par ton routeur ? 192.168.2.0 si tu as suivi la trame
  • As-tu créé un sous-réseau spécifique pour le WIFI invité ?

Normalement si tu as suivi la trame, tu aurais dû avoir le message de recouvrement, c'est obligé ! Sinon, c'est le pourquoi de mes questions précédentes. Ce n'est pas que cela serve précisément à quelque chose, c'est plutôt une correction de configuration qu'il faut apporter.

Néanmoins, saches que la réattribution d'@IP dans le réseau local est la conséquence de l’existence d'un recouvrement de réseau WAN et LAN. C'est la façon utilisée par l'assistant Synology pour remédier automatiquement à ce recouvrement. Pour éviter ce recouvrement, il attribue un sous-réseau LAN par ex en 10.x.y.z qui est par essence différent du sous-réseau WAN ( le WAN du RT est ici en fait le LAN de la LB) que l'on avait précédemment fixé soit 192.168.1.2 (pour mémoire à ce moment là le RT avait pour @IP LAN 192.168.1.1 et on fixait l'@IP 192.168.1.2 comme @IP WAN d'accès à Internet, en fait c'est aussi son @IPLAN dans le sous-réseau de la LB). D'où le recouvrement. Je sais c'est pas simple à appréhender ... Juste de la logique réseau. Je te conseille de faire un schéma avec les @IP, tu y verras tout de suite plus clair.

Il y a 14 heures, TuringFan a dit :

J'ai également l'impression que je peux accéder à la page d’administration de ma LiveBox depuis le réseau de mon routeur mais que l'inverse n'est pas possible : est-ce bien logique ?

OUI, puisque je suppose que le PC que tu utilises pour faire cela, est sur le sous-réseau LAN du routeur (i.e. il a une @IP 192.168.2.x). Ton routeur sert de passerelle qui te permet d'accéder à la LB.

Dans le sens inverse, il faudrait que ton PC soit sur le sous-réseau LAN de la LB (i.e. qu'il ai une @IP 192.168.1.x) pour voir le RT mais il ne devrait pas voir plus loin en aval du RT. (à tester avec des ping pour confirmer)

Il y a 14 heures, TuringFan a dit :

j'accède maintenant à mon NAS avec une adresse en 10.x.y.z quand je suis sur le wifi du routeur.

Cela, par contre, ne me parait pas normal. Le WIFI étant délivré par le RT, c'est le sous-réseau du RT qui s'applique donc en 192.168.2.0.

Ou alors, c'est que tu utilises le WIFI invité du RT que tu aurais configuré, lui, en 10.x.y.z. Je ne vois que cette explication.🤔

Cordialement

oracle7😉

Modifié par oracle7
Lien vers le commentaire
Partager sur d’autres sites

@oracle7

Pardon pour mon retour très tardif et merci pour toutes tes explications et réponses jusque là.

Cci-dessous un petit topo de mon histoire et quelques nouvelles questions (en bleu).

Très longue histoire mais voyant que certaines choses n'allaient pas j'ai recommencé intégralement en refaisant des reset usine de ma LiveBox et mon routeur.
Problème, après le reset usine de mon routeur j'ai eu des "fatal error" ou "vous n’êtes pas autorisé à accéder" pendant le démarrage et avant même de pouvoir créer un compte, un wifi, choisir le mode de fonctionnement.

Bref après probablement une trentaine de resets usines de la livebox et/ou du routeur je pense avoir un truc qui tient la route grace à tes explications et le tuto de unPixel.
Toujours pas de message de recouvrement WAN / LAN car j'ai commencé par une IP automatique lors du démarrage du routeur puis fait le paramétrage manuel ensuite.

Aujourd'hui j'ai donc :

  • Une IP Privée LiveBox en 192.168.1.1
  • Une IP privée de la DMZ livebox pour le routeur synology en 192.168.1.N
  • Une IP internet du routeur synology en 192.168.X.Y (avec X <>1) : je ne comprends pas bien à quoi correspond cette adresse, IP privée mais internet ?
  • Un sous réseau local géré par le routeur synology en 192.168.Z.y (avec Z <>1 et Z<>X)
  • Un sous réseau invité géré par le routeur synology en 192.168.Z'.y' (avec Z' <>1 et Z'<>X et Z'<>Z )

Paramétrage actuel de ma Livebox :

  • WIFI désactivé
  • Pare-feu en mode moyen (par défaut)
  • DHCP activé (pour le décodeur TV) et avec un bail fixe pour l'IP du routeur synology
  • Une DMZ dont l'IP est celle du routeur synology
  • Deux règles NAT historiques (pré routeur Synology) pour un accès au NAS en VPN. Vers quelle IP locale dois-je pointer : celle du routeur synology ou celle du NAS ?
  • Trois uniques périphériques branchés en direct en filaire sur ma Livebox (Routeur Synology, Décodeur TV, Téléphone fixe)

Paramétrage du routeur synology

  • Idem au préconisations du tuto de unPixel
  • Un DNS préférentiel qui pointe vers l'IP locale du NAS en 192.168.Z.a
  • Des règles pare-feu + transmission de ports identiques aux NAT de la livebox pour permettre un accès VPN au NAS et qui pointent vers l'IP locale du NAS en 192.168.Z.a


Il faut maintenant que j'adapte ma configuration "de bout en bout" :

  • Sur le NAS, j'imagine que je dois couper mon serveur DHCP ?
  • Que dois-je faire sur la configuration de ndd.eu (domaine OVH), vers quelle IP doit il maintenant pointer pour que mon accès VPN (utilisant ce ndd.eu comme adresse) soient fonctionnels ?
  • Comment dois-je faire pour que ce même ndd.eu pointe vers mon NAS en externe (via mon tunnel VPN) et en local sur mon sous-réseau routeur synology ?
  • J'oublie encore des choses ?

Je suis preneur de tes éventuelles remarques.

En tout cas un TRÈS GRAND MERCI pour toutes tes explications !

Cordialement,

Lien vers le commentaire
Partager sur d’autres sites

@TuringFan

Je constate que comme moi tu as eu droit à de multiples reboot usine pour y arriver. Quelque part cela me rassure et c'est bien un problème d'initialisation Synology et pas de notre fait. On se demande ce qui est fait car vu le temps que cela prend !

il y a 15 minutes, TuringFan a dit :

Une IP internet du routeur synology en 192.168.X.Y (avec X <>1) : je ne comprends pas bien à quoi correspond cette adresse, IP privée mais internet ?

X ne peut être <> 1 mais forcément  = 1 vu que la LB est en 192.168.1.1.

Tu veux donc dire une " privée @IP internet" en 192.168.1.Y. N'oublies pas que le RT est un client du sous-réseau local de la LB. Dans la configuration Internet du RT, cela peut effectivement paraître bizarre de mettre une @IP privé pour joindre internet, je prends cela pour juste un abus de langage.

il y a 20 minutes, TuringFan a dit :

Deux règles NAT historiques (pré routeur Synology) pour un accès au NAS en VPN. Vers quelle IP locale dois-je pointer : celle du routeur synology ou celle du NAS ?

Vers le RT. N'oublies pas non plus d'inclure le transfert des ports 80 et 443.

il y a 26 minutes, TuringFan a dit :

Sur le NAS, j'imagine que je dois couper mon serveur DHCP ?

OUI, puisque c'est celui du RT qui fait maintenant le boulot à la place de la LB. Sinon tes nouveaux clients de ton réseau local ne se verront pas attribuer d'@IP automatiquement. De plus si tu laisses deux serveurs DHCP actifs sur le même sous-réseau local, cela ne va pas le faire, tu auras des conflits d'@IP. Donc DHCP du RT = ACTIF et DHCP du NAS = INACTIF.

il y a 28 minutes, TuringFan a dit :

Que dois-je faire sur la configuration de ndd.eu (domaine OVH), vers quelle IP doit il maintenant pointer pour que mon accès VPN (utilisant ce ndd.eu comme adresse) soient fonctionnels ?

Chez OVH, ndd.eu doit pointer (enregistrement A de mémoire) vers @IP externe de la LB (c'est le point d'entrée vers chez toi).

il y a 30 minutes, TuringFan a dit :

Comment dois-je faire pour que ce même ndd.eu pointe vers mon NAS en externe (via mon tunnel VPN) et en local sur mon sous-réseau routeur synology ?

Il n'y a rien à faire de plus sauf erreur de ma part (i.e. si tout est configuré correctement comme tu viens de le faire).

C'est moi qui maintenant espère ne rien oublier ...

Il faut avouer que ce n'est quand même pas simple tout cela, beaucoup de notions à intégrer en même temps, mais on y arrive avec un peu de méthode.😂

Cordialement

oracle7😉

 

 

Lien vers le commentaire
Partager sur d’autres sites

Sinon pour ne pas faire mon rabats joie, sachez que la durée de vie de votre RT sera fonction de son utilisation, si vous activez des paquets (tread & safe surtout) ou l'historique web (pour les stats de down/up... encore plus si vous choisissez les sites), votre routeur ne vivra au max 2/3 ans... la faute à synology qui a intégré pour le système de la mémoire flash bon marché...

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.