pas d'accès internet avec routeur perso

Démarré par Renegamy91, 25 Mars 2015 à 19:15:47

« précédent - suivant »

0 Membres et 3 Invités sur ce sujet

Bonjour à tous,

Je suis raccordé à la fibre dans le 91 (Europ'Essonne). Je souhaiterai remplacer le routeur fourni par K-NET par le mien (petit PC fonctionnant avec l'OS pfsense) ou à la limite mettre le routeur K-NET en bridge et le mien derrière (même si ça m'embête d'avoir un équipement supplémentaire de branché et qui servira à rien au final ...).

1) J'ai essayé de mettre le routeur K-NET en bridge et en indiquant l'adresse MAC de l'interface WAN de mon routeur sur l'interface de gestion web K-NET afin d'autoriser le mien sur votre réseau.

2) J'ai aussi tenté de brancher mon routeur directement relié au boitier fibre (donc à la place du routeur K-NET que j'ai temporairement retiré), et cette fois bien sûr je n'avais pas activé le mode bride sur l'interface de gestion K-NET, j'ai simplement cloné l'adresse MAC de l'interface WAN du routeur fourni par K-NET vers l'interface WAN du mien.

Dans les 2 cas mentionnés ci-dessus, j'ai paramétré l'interface WAN de mon routeur en DHCP pour qu'elle récupère automatiquement les différents paramètres réseaux.
Comme vous pouvez le voir sur la 1ère capture d'écran ci-jointe, mon routeur récupère bien l'adresse IP (que j'ai partiellement masquée) ainsi que les serveurs DNS fournis par K-NET.
Le problème étant qu'il n'y a aucun trafic internet (d'ailleurs le message de pfsense "Unable to check for updates" montre bien qu'il n'arrive pas à se connecter sur leurs serveurs afin de vérifier les MaJ).

Afin d'écarter tout problème de configuration lié à mon routeur, j'ai réitéré le test 2) chez un ami , également sur le réseau Europ'Essonne mais chez un autre FAI (Kiwi pour ne pas le nommer), toujours en clonant l'adresse MAC de l'interface WAN du routeur de son FAI vers celle du mien.
Et là en branchant mon PC portable sur l'interface LAN de mon routeur, l'accès à internet fonctionne bien et le message de pfsense "Unable to check for updates" a bien disparu (il indique simplement que c'est déjà la dernière version qui est instalée), cf. la 2ème capture d'écran.

Je me demande donc ce qui pourrait bien bloquer l'accès à internet? Il y a peut-être une autre méthode d'authentification que l'adresse MAC du routeur?


Merci par avance pour votre aide  :)

En fait, sur ces réseaux, le DHCP envoie une IP en /32, avec une gateway qui est de facto en dehors de ce subnet (logique!)
C'est une pratique que nous utilisons pour des raisons diverses, et qui est tout à fait "légal" au niveau DHCP

Cependant, beaucoup de client DHCP ont "oublié" de gérer ce cas (j'imagine que ton équipement en est un)

Quant à l'obligation d'utiliser le DHCP, c'est tout simplement parcque DHCP snooping et MFF sont activés sur les ports de collectes :
- MFF pour limiter le broadcast sur le réseau Knet
- DHCP snooping pour s'assurer que tu ne peux pas discuter avec une autre IP que la tienne (comprendre: que celle attribuée par DHCP). C'est une protection globalement efficace contre l'IP spoofing : pour emprunter l'IP de ton voisin, il te faut sa mac. Et si tu veux pouvoir utiliser "ta" connexion tranquillement, il faut également t'assurer que le routeur de ton voisin n'est pas branché (sinon: conflit IP)

Bref, avec tout cela, dans le pire des cas, tu ne peux que pourrir la connexion de ton voisin, ce qui limite grandement ce genre de problème

Pour en revenir à ton cas, si tu le peux, rajoute une route spécifique qui ne sera pas écrasée par le DHCP : gateway via eth0 par exemple
Mes propos sont le fruit exclusif de mon cerveau, et ne sont pas soumis au maître esprit.

Merci pour ta réponse jack  :)

Donc tu penses que le souci proviendrait du fait que mon routeur ne parvienne pas à récupérer l'adresse IP de la gateway à cause de l'@ IP publique qu'il récupère associée à un MSR en /32?
Car je suis presque certain d'avoir aussi fait le test en IP fixe (pas de DHCP) et j'avais spécifié l'adresse IP suivante comme passerelle: 185.45.35.254
Et de mémoire, le résultat était exactement le même qu'en DHCP (trafic internet impossible).

Autrement, tu penses que logiquement ça devrait aussi bien fonctionner pour le cas N° 1 que pour le N°2 (avec bridge versus sans bridge mais en spoofant l'@ MAC WAN du routeur fourni par K-NET)?

Non si j'ai compris :
-Tu mets le routeur k-net en Bridge (obligé)
-Tu mets ton routeur derrière
-Tu mets en DHCP ton routeur
-Tu ajoutes une route sur ton routeur : gateway via eth0 par exemple

Citation de: Renegamy91 le 25 Mars 2015 à 21:49:10
Merci pour ta réponse jack  :)

Donc tu penses que le souci proviendrait du fait que mon routeur ne parvienne pas à récupérer l'adresse IP de la gateway à cause de l'@ IP publique qu'il récupère associée à un MSR en /32?
Car je suis presque certain d'avoir aussi fait le test en IP fixe (pas de DHCP) et j'avais spécifié l'adresse IP suivante comme passerelle: 185.45.35.254
Et de mémoire, le résultat était exactement le même qu'en DHCP (trafic internet impossible).

Autrement, tu penses que logiquement ça devrait aussi bien fonctionner pour le cas N° 1 que pour le N°2 (avec bridge versus sans bridge mais en spoofant l'@ MAC WAN du routeur fourni par K-NET)?

En fait il faut absolument que ton routeur soit en DHCP sinon ça bloque.

OK, donc je laisse mon routeur en DHCP, et je spécifie manuellement la route vers la passerelle c'est bien ça?
Par contre au niveau config, qu'est-ce qui fait je devrais obligatoirement utiliser le routeur fourni par K-NET en mode bridge? Je veux dire, à partir du moment où j'ai cloné son adresse MAC de l'interface WAN sur mon routeur perso, qu'y aurait-il d'autre qui pourrait poser problème?

Tu es sur réseau Tutor, donc la Kbox est obligatoire pour des raisons non-techniques.
Mes propos sont le fruit exclusif de mon cerveau, et ne sont pas soumis au maître esprit.

Tu peux élaborer un petit peu sur les raisons non techniques stp? Je ne pense pas que ce soit une obligation "contractuelle" liée à leur réseau.
Car en effet, toujours sur le même réseau Tutor, dans la même ville (et très certainement raccordé au même NRO vu la proximité entre les deux adresses), avec un autre FAI le fait de retirer le routeur qu'il fournit ne pose aucun problème comme je l'ai déjà expliqué (également en DHCP et en clonant la bonne adresse MAC).
Je trouve d'autant plus dommage que si ce n'est pas une raison technique qui en est à l'origine, d'empêcher les abonnés de choisir eux-même leur routeur (c'est entre autres, une des raisons qui fait que j'ai quitté Free).

Owh
Je ne suis pas expert en juridique etc, je crois me souvenir que c'est du fait de l'absence de CPE sur les réseaux Tutor, c'est donc une limite de responsabilité entre le réseau de la société et le réseau de l'abonné

Ce n'est pas parcque le voisin fait n'importe quoi qu'il faut faire pareil, n'est-ce pas ?

Citation
Je trouve d'autant plus dommage que si ce n'est pas une raison technique qui en est à l'origine, d'empêcher les abonnés de choisir eux-même leur routeur (c'est entre autres, une des raisons qui fait que j'ai quitté Free).
Ben, tu peux mettre ton propre routeur, tu dois seulement utiliser également la Kbox en mode bridge.
Mes propos sont le fruit exclusif de mon cerveau, et ne sont pas soumis au maître esprit.

C'est rigolo, j'ai tenté exactement les même manips l'autre jour, avec les même résultats.

https://forum.k-net.fr/index.php/topic,3302.0.html

La raison pour laquelle je voudrais utiliser PfSense est la suivante dans mon cas: j'ai un server x3550 IBM avec Esxi dessus, PfSense me permet d'isolé les VM qui me serviront pour mon taf et le réseau maison pour la petite famille, ce que ne permet pas le routeur en place (et qui le lui reprochera, on est pas dans un cas classique).

Il semble dans mon cas que je sois tombé dans une fenêtre de temps où mon routeur avait du mal a appliquer les changements fait dans l'interface de gestion K-net, depuis ce souci semble résolu.

Pour l'instant, j'ai tout coupé et je suis revenu a ma config initiale, je retente le mode bridge dès demain :)

Citation de: Renegamy91 le 25 Mars 2015 à 23:28:33
Tu peux élaborer un petit peu sur les raisons non techniques stp? Je ne pense pas que ce soit une obligation "contractuelle" liée à leur réseau.
Car en effet, toujours sur le même réseau Tutor, dans la même ville (et très certainement raccordé au même NRO vu la proximité entre les deux adresses), avec un autre FAI le fait de retirer le routeur qu'il fournit ne pose aucun problème comme je l'ai déjà expliqué (également en DHCP et en clonant la bonne adresse MAC).
Je trouve d'autant plus dommage que si ce n'est pas une raison technique qui en est à l'origine, d'empêcher les abonnés de choisir eux-même leur routeur (c'est entre autres, une des raisons qui fait que j'ai quitté Free).

Les autres FAIs utilisent l'offre activé de Tutor je crois, ce qui n'est pas notre cas.

Comme promis, aujourd'hui est une journée dédiée a la résolution de ce cas d'utilisation :)

pour ma part, a la maison, j'ai reconfiguré mon routeur en bridge sur la mac voulue: contrairement a l'autre jour, le dhcp me renvoi instantanément la bonne config, cad mon ip en /32, les dns! (je pense que vraiment l'autre jour l'interface d'admin du routeur était pas en forme, aujourd'hui tout va tellement mieux).
Ceci étant, coté routeur perso (Pfsense), j'ai effectivement mes bons paramètres, mais il faut tuner un peu pour avoir la gateway en dehors du subnet (soit, j'ai lu les raisons, je les ai même soumises a mes experts réseaux, tout est plutot bien fait, rien a redire ^^)

pour ça, grand classique (en mode bsd):

route add -host 185.45.34.254 -iface em0
ou
route add -net 185.45.34.254/32 -iface em0

puis bien sur la route plus générale:

route add default 185.45.34.254
(ou encore)
route add -net 0.0.0.0/0 185.45.34.254

et normalement, on devrait être bon... sauf que ce n'est pas le cas, ok soit, la gateway ne ping pas, mais c'est voulu, mais je n'arrive a sortir aucun paquets.

par acquis de concience, j'ai demandé a mes collègues un réseau de test similaire au travail, ce qu'on a fait, le dhcp renvoi un /32 identique, ce qui fait que la passerelle est hors subnet, même install (en réalité, c'est carrément la même VM), mais résultat différent.

Je sais bien que dans ce cas, on est un peu en dehors des clous classique d'une utilisation de la ligne, donc le support est moins prioritaire la dessus (merci mes 4 ans de supports qui m'ont appris la gestion de priorité), malgré tout, je pense que du coup, la fonctionnalité offerte de bridge n'est soit pas assez documentée, soit dans notre cas (Europ'Essonne), pas totalement possible.

on va y arriver, et promis, je pond un beau guide de comment on se dépatouille dans une situation pareille :)

Hum hum
Tu peux ping 178.250.208.80, et me donne un tcpdump ?
Je lance le mien de mon côté également
Mes propos sont le fruit exclusif de mon cerveau, et ne sont pas soumis au maître esprit.

Citation de: jack le 25 Mars 2015 à 23:47:00
Owh
Je ne suis pas expert en juridique etc, je crois me souvenir que c'est du fait de l'absence de CPE sur les réseaux Tutor, c'est donc une limite de responsabilité entre le réseau de la société et le réseau de l'abonné

Ce n'est pas parcque le voisin fait n'importe quoi qu'il faut faire pareil, n'est-ce pas ?

Citation
Je trouve d'autant plus dommage que si ce n'est pas une raison technique qui en est à l'origine, d'empêcher les abonnés de choisir eux-même leur routeur (c'est entre autres, une des raisons qui fait que j'ai quitté Free).
Ben, tu peux mettre ton propre routeur, tu dois seulement utiliser également la Kbox en mode bridge.

Oui, je ne sais pas si effectivement l'autre FAI en question respecte le contrat qui le lie à Tutor.

Concernant le mode bridge, je suis au courant que ça permet d'utiliser mon propre router avec celui fournit par K-NET, c'est ce que je faisais avant avec une Freebox également en mode bridge (sinon pas de TV). C'est simplement par principe, d'avoir un périphérique de plus branché qui ne serve à rien (d'un point de vue technique j'entends) qui me dérange un peu .. Enfin bon je vais faire avec vu que je n'ai pas vraiment d'autre choix  ;)
J'ai donc retenté en mode bridge, mais pour l'instant, toujours au même point (DHCP OK, par contre pas d'accès internet).


woufi => J'avais vu ton topic aussi, mais la différence c'est que toi tu ne récupérais pas les différents paramètres réseau en DHCP contrairement à moi :) Enfin apparemment ce souci là est résolu de ton côté, donc on doit en être au même niveau maintenant.

Pour en revenir à cette histoire de paserelle, j'ai l'impression que le fait d'obtenir une @ IP en /32 ne semble pas poser de problème en soi à pfsense, car en fait j'obtiens bien la gateway en DHCP (cf. capture N° 1) donc je pense pas que ce soit nécessaire de spécifier manuellement une route statique en plus de celle par défaut obtenue par le DHCP (donc avec la même gateway dans les 2 cas et pour la même interface). C'est même déconseillé en manière générale j'imagine, en tout cas ça l'est par pfsense c'est certain  ;D (voir la "Note" de la capture N°2).

Donc du coup, je ne vois vraiment pas ce qui pourrait bloquer le trafic internet!?

Citation de: Damien le 26 Mars 2015 à 09:36:50
Citation de: Renegamy91 le 25 Mars 2015 à 23:28:33
Tu peux élaborer un petit peu sur les raisons non techniques stp? Je ne pense pas que ce soit une obligation "contractuelle" liée à leur réseau.
Car en effet, toujours sur le même réseau Tutor, dans la même ville (et très certainement raccordé au même NRO vu la proximité entre les deux adresses), avec un autre FAI le fait de retirer le routeur qu'il fournit ne pose aucun problème comme je l'ai déjà expliqué (également en DHCP et en clonant la bonne adresse MAC).
Je trouve d'autant plus dommage que si ce n'est pas une raison technique qui en est à l'origine, d'empêcher les abonnés de choisir eux-même leur routeur (c'est entre autres, une des raisons qui fait que j'ai quitté Free).

Les autres FAIs utilisent l'offre activé de Tutor je crois, ce qui n'est pas notre cas.

C'est peut-être pour cette raison qu'avec l'offre activée de tutor on puisse mettre n'importe quel routeur derrière alors. Enfin je sais pas si c'est lié, mais la latence avec KIWI (de 3 à 21 ms) varie beaucoup plus qu'avec vous (3-4 ms pour le même serveur et presque en même temps). Le seul truc un peu bizarre, c'est que pour joindre un serveur situé à Londres là globalement le ping avec K-NET est plus élevé (45-50 ms, 30-35 en moyenne avec KIWI et en utilisant un serveur VPN situé en France ça descend à 11-13 ms avec K-NET !), ça doit venir du routage différent je pense (il y avait moins de sauts lors d'un traceroute).

enfin c'est un peu HS   ::)