Pourquoi avoir déporté la configuration des routeurs chez vous ?

[saulot]

Bonjour,
Faisant suite à ma migration d'un routeur old school K-Net au nouveau routeur, j'ai découvert que la configuration de ce dernier se faisait via le site k-net.
Ok, j'ai surement raté l'épisode où c'était annoncé. Mea culpa.

Néanmoins, ça me travaille quand même un peu pour plusieurs raisons :
- La première : Si on vous hack, toutes les configs de vos clients sont chez vous et notamment les filtres mac (qui ne sont pas la sécurité ultime, j'en conviens, mais toutefois un premier rempart). Si on pousse le vice un peu plus loin, ça sous entend également que vous pouvez rentrer sur n'importe quel réseau de vos clients sans trop de soucis.
- La seconde : les fonctionnalités accessible via l'interface web k-net sont minimaliste (surement prévu d'étendre je suppose)
- La troisième : Si on perd le net, on ne peut plus effectuer de modification de son réseau domestique comme rajouter un nouveau périphérique avec son adresse mac.

De fait, deux questions :
- Pourquoi cette centralisation des configurations ?
- A-t-on toujours la possibilité de monter son propre routeur (pour les informaticiens comme moi) ?

PS : Loin de moi l'idée de critiquer. Je cherche juste à comprendre la philosophie car elle me dérange en terme de "vie privée". D'autant plus que je suis tout à fait satisfait du service et encore plus de la réactivité de l'équipe !

PS2 : Merci encore pour le remplacement du routeur !

Merci à vous

[Damien]

Bonjour,
je vais tâcher de répondre, pas forcément dans l'ordre.

Vous pouvez utiliser votre propre routeur si vous le souhaitez. Mais il devra être branché sur le port 2 du CPE.
Si le choix a été fait de déporter la configuration, c'est parce que 90% des clients ne savent pas ou ne veulent pas configurer leur routeur. Si vous saviez le nombre de clients nous appelant pour connaître leur mot de passe wifi...
Pour des raisons de sécurité, déporter la gestion du routeur nous permet d'y accéder de manière directe et sécurisée. Ca évite de devoir ouvrir un port d'accès depuis le web.
Après, ça ne veut pas dire qu'on peut rentrer comme on veut sur votre réseau. Certes on a accès au routeur, on voit les équipements connectés, mais comme avant, dans les 9 cas sur 10 où le client demandait à ce qu'on gère son routeur à distance.

Côté hack, mes collègues ont bien bossé là dessus et, même s'il n'est pas impossible de déclarer le système inviolable, je pense que le client n'a pas de soucis à se faire.

[TiTi]

De toute façon le réseau transit chez eux donc je vois pas la différence. Et c'est quand même notre FAI, il a pas que ça à faire que de rentrer voir ce que l'on fait ...
Après d'autres opérateurs le font aussi, comme Free.

[fb]

Concernant la vie privée, 
oui nous pouvons entrer sur chaque réseau local, utiliser vos lignes téléphoniques, lire vos mails, prélever sur vos comptes bancaires ce qu'on veut. Autant bien choisir son FAI !

Vous avez la possibilité de monter votre propre FAI en vous rapprochant de FFDN.

Ce qui empêche de faire n'importe quoi en interne, ce sont les logs et la plainte.
Nous avons l'obligation de garder 1an de log de ce que chaque client à fait sur Internet, tout comme votre banquier garde les relevés de comptes.

Concernant la sécurité,
La mac est associée au dhcp option 82 qui permet de connaître le port de collecte sur lequel est branché votre équipement.
Un hacker qui récupére une adresse mac d'un autre client laisserait des traces sur nos logs.
On saura par exemple depuis quel cpe il s'est connecté et qu'elle IP il a récupérée.

Concernant les fonctionnalités,
Il faut demander celle qu'il vous manque.

Concernant l'indisponibilité du réseau, 
On perd en effet la possibilité de configurer le routeur. Par chance les pannes sont plus que rares.

Concernant la centralisation des données,
Damien vous a mis en avant un exemple, je peux ajouter le client qui bloque le port 80 dans le firewall, le client qui branche le lan sur le cpe, ou enfin le client qui n'a rien branché.
Dans tous les cas il se plaint que rien ne fonctionne.
Côté client, j'ai dû remplacer un routeur qui avait eu la foudre, après un reboot le réseau local était opérationnel.
Redirection de port, les réservations dans le dhcp, SSID wifi... du bonheur.

[TiTi]

Damien m'avait demandé des petites suggestions mais pas de retour. Un peu débordé ?

[fb]

On chôme pas en effet.
J'avais proposé de faire un post avec les fonctionnalités demandées et de les mettre au vote pour les prioriser.
Quand tu auras fini avec Vivien et que tu as du temps, je t'expliquerai en détail.

[TiTi]

On chôme pas en effet.
J'avais proposé de faire un post avec les fonctionnalités demandées et de les mettres au vote pour les prioriser.
Quand tu auras fini avec Vivien et que tu as du temps, je t'expliquerais en détail.

Je viens de finir. Le reste de presse pas. Niveau temps je trouve toujours quelques choses à faire . Surtout que là je suis en cours et après c'est les fêtes.

[GC]

Pour rester sur le sujet de la configuration des routeurs K-Net, qu'en est-il concernant la Côte Fleurie ? Je fais partie des chanceux beta testeurs  et je voulais savoir s'il est ou sera possible d'installer son propre routeur avec des firmwares type tomato...?  D'autres fonctions plus basiques comme la consultation des logs, le mappage du réseau local ou l'utilisation du routeur comme point d'accès wifi en cas de panne réseau seraient les bienvenues.

Pour finir, je lis ici ou là des informations concernant "l'intégration" en un seul flux de la TV et du Net, là encore qu'en est-il ?

[Damien]

@GC, j'ai zappé votre message, vous avez bien fait de nous relancer.

Sur 4CF, vous pouvez utiliser votre propre routeur, mais le notre est indispensable en amont. Sur reso-liain, il y a un CPE avant le routeur, ce qui n'est pas le cas sur 4CF. Là, notre routeur fait office de CPE et de routeur, et si vous voulez utiliser le votre, le notre doit toujours être présent pour faire le travail du CPE.

Pour la TV sur chaque port du routeur, ça arrivera tout début 2013.

[GC]

Merci Damien.

Est-il possible de mettre le votre en mode bridge ?

[Damien]

Oui, j'ai oublié de le préciser, justement, le notre sera en mode bridge

[GC]

Cette possibilité (mode bridge) est-elle déjà possible ? Faut il vous le demander ou une activation est/sera possible via l'interface web ?

[Damien]

Oui elle est possible. Il faut nous donner votre @mac wan. Ce sera très vite possible de le faire depuis l'espace client

[mike.struik]

Fontionalite qui me manque!: pouvoir desactiver l'access a des adresses mac individuelles selon um horaire (tout les machines des enfants dans mon cas).

[TiTi]

Dans l'espace client, dans routeur il y a : "Mode bridge" qui est nouveau. C'est quoi ?