Configuration RT200AC pour séparer Wi-Fi du LAN sur réseaux différents

[mpraljak]

Bonjour,

J'ai fais l'acquisition d'un routeur Synology RT2600AC que j'ai mis en place de manière assez standard avec une Livebox 5 à savoir:

• Mode routeur
• Branchement du Wan du RT (192.168.2.2) sur le LAN de la LB5 qui elle est en 192.168.2.254
• Branchement de mon réseau câblé sur le 1er port du RT qui lui est en 192.168.1.1

Jusque là tout est normal. Mes périphériques comme les PC ou NAS ont accès au web et les périphériques wifi aussi.

Je souhaite en revanche que les appareils wifi sur le réseau 192.168.2.0 ne puissent pas voir ni avoir accès à mon réseau 192.168.1.0 mais le contraire oui.

J'avais mis en place un routeur OpenWrt basé sur un Raspberry PI4 et ça fonctionnait nickel mais c'était le wifi de la LB5 qui donnait accès aux appareils wifi et non le routeur.

Avez-vous une idée pour résoudre cette problématique?

Michel

[Antimousse]

bonsoir,

p'être que ça pourra t'aider:
sur ton RT26600,  dans WIFI connect.. il y a réseau invité.
il te suffit de ne pas cocher la boite à cocher tout en bas

 

Anti🍺

[MilesTEG1]

@Antimousse Ce n'est pas ce que veut faire @mpraljak qui ne veut pas que les périphériques wifi connectés sur la livebox (réseau en 192.168.2.xxx) voient et aient accès aux périphériques connectés sur le RT (réseau en 192.168.1.xxx).
(je t'accorde que ces choix d'IP pour les réseaux n'est pas commun... La LB est normalement de base en 192.168.1.xxx).

Bref, pour faire ce que tu souhaites @mpraljak, il faut que tu mettes une règle dans le parefeu du RT :


 

[maxou56]

il y a 56 minutes, MilesTEG1 a dit :

qui ne veut pas que les périphériques wifi connectés sur la livebox (réseau en 192.168.2.xxx) voient et aient accès aux périphériques connectés sur le RT (réseau en 192.168.1.xxx).

Si c'est bien le cas il n'y a rien à faire.

Si le branchement est Livebox (192.168.2.x) < WAN RT2600ac < LAN +wifi (192.168.1.x) alors le réseau de la livebox ne peut pas voir le réseau du RT2600ac. Pour accéder au réseau du RT depuis le réseau de la Livebox il faut faire de règles de transmission de port et taper l'IP WAN du routeur + le port...

Par contre le réseau du RT2600ac voit le réseau de la livebox.

Le 16/08/2021 à 18:45, mpraljak a dit :

Je souhaite en revanche que les appareils wifi sur le réseau 192.168.2.0 ne puissent pas voir ni avoir accès à mon réseau 192.168.1.0 mais le contraire oui.

Si ce tu décris comme configuration est correct il n'y a rien à faire c'est le fonctionnement normal, le réseau de la livebox ne peut pas voir ou accéder directement au réseau géré par le routeur, mais l'inverse oui le réseau du routeur peut accéder à celui de la livebox.

Livebox (192.168.2.x) <--> WAN RT2600ac <----> LAN RT +wifi RT (192.168.1.x)

(Sauf à créer de règles de transmissions de ports dans le RT par exemple le port 80 vers le périphériques 192.168.1.10, il faudra alors à partir du réseau de la livebox taper http://192.168.2.2:80 pour accéder au port du périphérique 192.168.1.10, sans transmission de port ou VPN c'est impossible de joindre le Réseau du RT depuis celui de la livebox)

Modifié le 17 août 2021 par maxou56

[mpraljak]

Merci pour votre intérêt sur ce post mais j'ai dû mal m'exprimer.

En fait je voulais que tous les périphériques qui sont sur le wifi obtiennent une IP par le biais du DHCP du RT2600ac sur le réseau 192.168.2.0  et ne puissent donc pas avoir accès au réseau 192.168.1.0.

En revanche depuis mon réseau câblé du bureau, qui lui est en 192.168.1.0 (sur le LAN du RT) il faut que je puisse voir les périphériques qui sont connectés sur le réseau 192.168.2.0 et que bien entendu je puisse depuis ce réseau (192.168.1.0) sortir sur le web.

Pour le moment c'est fonctionnel sauf que les périphériques qui se connectent en WIFI obtiennent une IP en 192.168.1.x, ce que je ne veux pas.

Si c'est pas clair je peux faire un petit schéma 🙂

Merci à tous, c'est sympa 🙂

 

Modifié le 17 août 2021 par mpraljak

[MilesTEG1]

Si tu peux faire un schéma 😇

 

[oracle7]

@mpraljak

Bonjour,

@MilesTEG1 a raison un bon schéma (avec des sens de circulation pour les flux souhaités) vaudrait mieux qu'un long discours et ce d'autant plus de tes choix non standards de sous-réseaux qui ne facilitent pas la compréhension de ton problème. Mais ce n'est que mon avis....

Cordialement

oracle7😉

[mpraljak]

Voici le schéma en question, sachant que si j'arrive à mettre le réseau wifi sur la plage d'adresse 192.168.2.x (texte en rouge) le problème devrait être résolu concernant la visibilité de ce réseau vers le 192.168.1.x

Modifié le 17 août 2021 par mpraljak

[MilesTEG1]

Il y a 7 heures, mpraljak a dit :

Voici le schéma en question, sachant que si j'arrive à mettre le réseau wifi sur la plage d'adresse 192.168.2.x (texte en rouge) le problème devrait être résolu concernant la visibilité de ce réseau vers le 192.168.1.x

Tu ne pourras pas avoir les deux réseaux en 192.168.2.x. Il faut choisir.

Et donc pour résumer, quels sont les accès inter-réseau que tu souhaites fonctionnels, et ceux que tu souhaites bloqué ?

[mpraljak]

@MilesTEG1 merci pour ta réponse mais en fait ce ne sont pas 2 réseaux en 192.168.2.x.

Le réseau Wi-Fi doit être dans ce réseau (192.168.2.x) et le filaire en 192.168.1.x.

C'est forcément réalisable par le biais de configuration d'une route ou autre sur le routeur mais je ne sais pas comment le paramétrer.

[PiwiLAbruti]

Le fonctionnement que tu souhaites obtenir est évidemment réalisable, mais pas avec un routeur grand public. Concernant SRM ça correspond à un mix des modes "Routeur sans fil" (pour le filaire) et "AP sans fil" (pour le Wi-Fi).

Au mieux ça pourrait se tenter en associant les interfaces WAN (eth0?) et Wi-Fi (wlan0?) dans un nouveau bridge, mais l'interface de SRM risque de ne pas apprécier.

 

[oracle7]

@mpraljak

Bonjour,

Il y a 13 heures, mpraljak a dit :

En fait je voulais que tous les périphériques qui sont sur le wifi obtiennent une IP par le biais du DHCP du RT2600ac sur le réseau 192.168.2.0

Je crains que cela ne soit pas possible car désolé tu confonds les réseaux WAN et LAN.

Bien voir que le réseau WAN du Routeur RT (vu qu'il est aussi en DMZ de la LB5), est aussi le sous-réseau LAN de la LB5. Sauf erreur de ma part, la LB5 et le routeur RT ne peuvent pas partager un même sous-réseau local.

Donc, le DHCP du routeur RT attribuera toujours une @IP dans son sous-réseau local uniquement soit en 192.168.1.0/24 en aucun cas il ne peut le faire sur un sous-réseau qui pour lui se trouve être sa partie réseau WAN. C'est logique , non ?

Maintenant si j'ai bien compris, si tu veux que tes clients WiFi aient une @IP sur le sous-réseau 192.168.2.0/24 qui est en fait le sous-réseau local de la LB5 alors il faut que tu actives le WiFi sur la LB5 ET c'est seulement le DHCP de la LB5 qui pourra leur attribuer une @IP sur ce sous-réseau.

Bien évidemment il faut aussi que tu désactives le WiFi sur le routeur RT pour que ces mêmes clients ne s'y connectent si d'aventure celui-ci se trouverait être plus puissant du fait de la proximité du client avec le routeur RT à un instant donné. C'est le plus fort qui gagne !🤪

Ainsi, ton routeur RT ne gérera que les clients "filaires Ethernet" et la LB5 les clients "WiFi".

De plus comme te l'a dit justement précédemment @maxou56 ces clients "Wifi" ( comme tous les autres clients du sous-réseau local de la LB5) ne pourront pas avoir accès au sous-réseau local du routeur RT (sauf à ce que tu crées un transfert de port comme il te l'a indiqué et ce qui reste alors une action bien volontaire de ta part). A l'inverse, par contre, depuis le sous-réseau local du routeur RT (via sa passerelle qui se trouve être la LB5) tu pourras voir les clients du sous-réseau local de la LB5.

J'espère que cela répond à ton besoin de séparation des "genres".

Cordialement

oracle7😉

 

[PiwiLAbruti]

il y a 25 minutes, oracle7 a dit :

A l'inverse, par contre, depuis le sous-réseau local du routeur RT (via sa passerelle qui se trouve être la LB5) tu pourras voir les clients du sous-réseau local de la LB5.

À moins d'ajouter la règle de routage 192.168.1.0/24 > 192.168.2.2 à la Livebox, ça ne fonctionnera pas.

Exact @maxou56, je pensais à un réseau simplement routé alors qu'il y a du NAT sur le RT.

Modifié le 18 août 2021 par PiwiLAbruti

[maxou56]

il y a 5 minutes, PiwiLAbruti a dit :

À moins d'ajouter la règle de routage 192.168.1.0/24 > 192.168.2.2 à la Livebox, ça ne fonctionnera pas.

Bonjour,

Non rien a configuré dans la livebox.

N'importe quel périphériques du réseau du RT (192.168.1.0/24) ont accès au réseau de la Livebox (192.168.2.0/24).

[mpraljak]

il y a 7 minutes, PiwiLAbruti a dit :

À moins d'ajouter la règle de routage 192.168.1.0/24 > 192.168.2.2 à la Livebox, ça ne fonctionnera pas.

Merci pour vos réponses

J'avais fais cette config avec un OpenWrt sur un Raspberry Pi4 et ça fonctionnait nickel sauf que c'est la Livebox qui gérait le DHCP WiFi avec cette plage en 2.x et mon réseau LAN était bien en 1.x
Le soucis c'était la portée du WiFi et sa stabilité avec la LB5.
Depuis que j'ai mis le Synology RT200ac j'ai un WiFi super stable et avec une meilleure portée.
C'est un peu la raison pour laquelle je cherche à reproduire la config d'avant et ça évite aussi aux clients du WiFi d'avoir accès au réseau LAN comme les adresses sont différentes (Wifi en 192.168.2.0 et LAN en 192.168.1.0)

 

[maxou56]

il y a 7 minutes, mpraljak a dit :

C'est un peu la raison pour laquelle je cherche à reproduire la config d'avant et ça évite aussi aux clients du WiFi d'avoir accès au réseau LAN comme les adresses sont différentes (Wifi en 192.168.2.0 et LAN en 192.168.1.0)

Ce que tu souhaites n'est pas possibles avec le RT. (De plus tu aurais 2 sous réseaux avec la même plage d'IP192.168.2.0/24 Livebox et Wifi)

Soit tu utilises le Wifi de la livebox pour avoir ce que tu souhaites (ou un autre point d'accès sur le réseau de la Livebox).

Soit tu utilise le wifi invité (avec par ex une plage d'IP 192.168.3.0/24) qui peut ou pas communiquer avec le réseau 192.168.1.0/24

Livebox (192.168.2.x) <--> WAN RT2600ac <-- --> LAN RT +wifi RT (192.168.1.x)

Livebox (192.168.2.x) <--> WAN RT2600ac <----> wifi  "invité" (192.168.3.x)

Modifié le 18 août 2021 par maxou56

[mpraljak]

il y a 2 minutes, maxou56 a dit :

Ce que tu souhaites n'est pas possibles avec le RT. (De plus tu aurais 2 sou réseau avec la même plage d'IP Livebox et Wifi)

Soit tu utilises le Wifi de la livebox pour avoir ce que tu souhaites.

Soit tu utilise le wifi invité (avec par ex une plage d'IP 192.168.3.0/24) qui peut ou pas communiquer avec le réseau 192.168.1.0/24

Livebox (192.168.2.x) <--> WAN RT2600ac <-- --> LAN RT +wifi RT (192.168.1.x)

Livebox (192.168.2.x) <--> WAN RT2600ac <----> wifi  "invité" (192.168.3.x)

Donc si j'active le WiFi invité avec une plage en 3.x, je préserve ma conf avec le 2.x pour la liaison LB5/Routeur et je peux utiliser le LAN du routeur en 1.x, c'est bien ça?

[oracle7]

@mpraljak

Bonjour,

Je comprends aisément que le WiFi du routeur RT soit plus performant et stable que celui de la LB5 mais si tu veux en bénéficier alors forcément tes clients WiFi auront une @IP dans le réseau local du routeur RT. C'est obligé !

Donc ils ne pourront être dans un autre sous-réseau que si tu leur imposes le sous-réseau local "invités" du routeur RT. Mais dans ce cas ce sous-réseau "invité" sera aussi forcément un sous-réseau différent du sous-réseau local de la LB5 (par défaut c'est le 192.168.3.0/24).

Aie !!! grillé par @maxou56🤪

EDIT :

il y a 2 minutes, mpraljak a dit :

Donc si j'active le WiFi invité avec une plage en 3.x, je préserve ma conf avec le 2.x pour la liaison LB5/Routeur et je peux utiliser le LAN du routeur en 1.x, c'est bien ça?

OUI

Cordialement

oracle7😉

Modifié le 18 août 2021 par oracle7

[PiwiLAbruti]

il y a 9 minutes, mpraljak a dit :

Le soucis c'était la portée du WiFi et sa stabilité avec la LB5.
Depuis que j'ai mis le Synology RT200ac j'ai un WiFi super stable et avec une meilleure portée.

Donc si je comprends bien, tu as investi dans un RT2600ac uniquement pour améliorer le signal Wi-Fi ?

Dans ce cas, le RT configuré en mode point d'accès suffirait. Il n'y aurait du coup qu'un seul réseau (filaire et Wi-Fi) en 192.168.2.0/24, sauf si tu souhaites absolument isoler les clients Wi-Fi de ton LAN.

[mpraljak]

Sans compter que j'ai des répéteurs WiFi un peu partout et que ça va être coton pour qu'ils puissent fonctionner en tant "qu'invités".

Bon faut que je réfléchisse à minimiser la sécu au final histoire de pas faire un gros sac de noeuds.

Dommage, j'aime bien quand c'est bien carré mais là j'ai comme l'impression que c'est pas jouable avec ce matos.

Modifié le 18 août 2021 par mpraljak

[oracle7]

@PiwiLAbruti

Bonjour,

il y a 7 minutes, PiwiLAbruti a dit :

sauf si tu souhaites absolument isoler les clients Wi-Fi de ton LAN.

Bah c'est ce qu'il souhaite sauf erreur de ma part ...🤔

@mpraljak

 Bonjour,

il y a 5 minutes, mpraljak a dit :

Sans compter que j'ai des répéteurs WiFi un peu partout et que ça va être coton pour qu'ils puissent fonctionner en tant "qu'invités".

Le plus simple est alors de constituer un réseau MESH avec des points d'accès derrière le Wifi du Routeur RT et là tu resteras dans le réseau "invités" pour tes clients WiFi. Maintenant ce que j'en dit ...

Cordialement

oracle7😉

 

Modifié le 18 août 2021 par oracle7

[mpraljak]

il y a 8 minutes, oracle7 a dit :

@PiwiLAbruti

Bonjour,

Bah c'est ce qu'il souhaite sauf erreur de ma part ...🤔

Cordialement

oracle7😉

 

Oui c'est exactement le but 😉

 

il y a 8 minutes, oracle7 a dit :

@PiwiLAbruti

Bonjour,

Bah c'est ce qu'il souhaite sauf erreur de ma part ...🤔

@mpraljak

 Bonjour,

Le plus simple est alors ce constituer un réseau MESH avec des points d'accès derrière le Wifi du Routeur RT et là tu resteras dans le réseau "invités" pour tes clients WiFi. Maintenant ce que j'en dit ...

Cordialement

oracle7😉

 

ça devient compliqué et onéreux 😁

Modifié le 18 août 2021 par mpraljak

[oracle7]

@mpraljak

Bonjour,

il y a 4 minutes, mpraljak a dit :

ça devient compliqué et onéreux tout ça

OUI certes, mais c'est un peu la conséquence de ton exigence initiale, non ?

Où alors il te faut accepter une solution plus simple en termes d'accès sélectif aux différents sous-réseaux locaux ...

Cordialement

oracle7😉

 

[mpraljak]

il y a 9 minutes, oracle7 a dit :

@mpraljak

Bonjour,

OUI certes, mais c'est un peu la conséquence de ton exigence initiale, non ?

Où alors il te faut accepter une solution plus simple en termes d'accès sélectif aux différents sous-réseaux locaux ...

Cordialement

oracle7😉

 

Certes. Je vais réfléchir ;).

Merci à tous pour votre aide !

[oracle7]

@mpraljak

Bonjour,

Juste pour ta gouverne, dans tes réponses, il n'est pas nécessaire de re citer le post précédant dans sa totalité, ce serait bien que tu ne cites que la partie à la quelle tu réponds, cela surcharge moins les posts et ils sont plus faciles à lire. Merci.

Cordialement

oracle7😉