Messages

[tout]

Ne router que les ports vraiment utilisés en est une autre 
Quelle est l'utilité de tout router vers le WAN Asus ? ne plus avoir de taches administratives sur le routeur externe ?

Oui tout à fait. Juste le confort.
Pareil j'ai un PFsense, et ca me fait pas trop peur qu'il se retrouve avec tous ses ports sur internet ;-)
Et pas de probleme de UPNP..

Perso, j'ai laché l'affaire, j'ai un routeur Asus RT AC68U et meme flashé avec dd-wrt ou tomatos, rien ne fonctionne.

Laisse ta kbox en mode routeur, mets lui juste une IP en dehors de ton subnet LAN.
Connectes le port WAN de ton Asus sur la box. Ton Asus recupere une IP par la Kbox (si tu as laissé le serveur DHCP actif)
Dans la Kbox, regle une allocation statique d'IP pour ton routeur asus, puis mets une regle pour router tous tes ports 1-65535 vers ton Asus.
Ca y est, la kbox est transparente et ne fait plus rien, et tu gere tout depuis ton Asus.

/klona

Hello,
j'ai laché un peu l'affaire.
J'ai vu avec Knet pour qu'il me fasse une regle de routage de tous les ports (1-65535) vers mon routeur (ca foirait depuis mon interface), et voila 2 mois que cela tourne comme cela, sans reboot.
Pas de deconnexion, 100Mbit full duplex (sauf quand je mets une connerie dans ma config QoS mais Knet n'y peut pas grand chose..)

Bon, le jour ou ils remettent une GW dans le subnet je serais pas contre, mais au final, ca marche, c'est stable et c'est quand meme l'essentiel.
Ils ont fait des choix, ils assument leur choix et comme ça marche bien, je vois pas trop ce qu'on peut leur reprocher.
Chez Numericable, t'as une GW dans le subnet, mais....      

Et j'adore leur support. Pro, compétent mais en meme temps, si t'as tort, t'as tort et il vont pas dire oui juste pour te faire plaisir.

Houla....

Vu que je me sens investi dans ce post, meme si je ne suis pas celui qui a lancé le post...

Bon, la gateway en dehors du subnet.. Bon... c'est vrai que c'est un peu casse pied du point de vue user.
Mais franchement, c'est un choix technique de Knet qui a coté de cela nous offre beaucoup d'autres choses.
Allez y, regardez les autres opérateurs. Par mon boulot, je les ai tous les jours en ligne ou par ticket..

Ip Fixe : Simple, mais pas nombreux les opérateurs qui offrent cela avec l'abonnement particulier..
Reverse DNS : la plupart ne savent meme pas répondre à la question..
Téléphonie : sur la box ou en SIP. Combien ?
Tu as un DECT gigaset ? humm, regarde le forum...
IPTV : par la boxTV, ou bien de tout les devices avec un simple m3u.
Newsgroup ? humm, cherche dans le forum et bonheur tu trouveras...
(ça finit biscuit chinois..)


Et je garde le meilleur pour la fin.. Quand tu bug vraiment sur un probleme technique, tu as un support d'enfer. Celui par Knet sur leur mail quand tu utilises leur box, et celui du forum quand tu veux aller un peu plus loin avec ton propre matos.
Tu veux essayer avec un autre opérateur ? "Merci de connecter votre ****box pour que l'on puisse faire des tests, sinon nous ne pourrons pas ouvrir de ticket..."
Franchement, je me bats tous les jours avec des fibres pro à 800 à 2000 euros HT/mois, et j'ai rarement un interlocuteur en face capable de comprendre et répondre au types de post que j'ai mis un peu plus haut. Et c'est pas dans un contexte perso pour le plaisir; Des fois j'ai 200 users sans téléphonie parce qu'un niais a bloqué un Vlan ou changé une QoS dans un switch chez l'opérateur sans comprendre à aucun moment ce qu'il faisait.


Donc, je suis Ok pour raler, et dire qu'une gateway dans la plage, ca serait quand meme vachement plus simple, mais d'un autre coté, Knet a fait le choix de maitriser sa propre infra et de proposer plein de services, tout en ouvrant aux geeks (les plus chiants par défintion) et en assurant le support dans tous les cas, jusqu'à la limite du raisonnable.
Le raisonnable, c'est que KNETne peut pas maitriser tous les routeurs hardware et software que nous pourrons avoir envie d'utiliser..


Mais, oui, une GW en .254 sur la meme plage, franchement, ca serait mieux.

/klona

Super ! Merci.
D'autant plus pour du support le dimanche ! Je pense pas que beaucoup d'opérateurs fassent cela..


Pour mon problème de perte de trafic en direct ou en bridge, je vais essayer de trouver un routeur hardware qui accepte une GW hors plage pour voir si j'ai le même comportement , et faire un log en me branchant en sonde entre le routeur et le convertisseur, et je reposterais ici les résultats.
Mais je pense que ce sera plutôt en septembre.

Merci encore.

/klona

J'ai voulu ajouter des routages de ports dans le netgear par l'interface Knet, mais quand je coche la case pour en activer un, ça m'en désactive un autre...

Serait il possible supprimer toutes mes regles de routage de port et d'en mettre une seule et me l'activer ?

Nom : DMZ
Protocole :  TCP/UDP
IP source : *
Port Source : 1 :65535
Ip destination : 192.168.1.22
Port destination : 1 :65535

Merci !

PS : Mon identifiant client :  9809-FTYV

Hum, tu veux dire que si tu ping ta machine depuis l'extérieur, tu ne reçois pas les paquets ?
Comment fais-tu tes traces ? Depuis l'équipement ou depuis une autre machine habilement branchée ?

Oui, plus rien n'arrive de l'extérieur (Ping, FTP,SSH..)
Pour les traces c'est en fait un tshark dans le Pfsense (basé sur un FreeBSD 10.1)
Il faut que je mette un switch avec du port mirroring et que je fasse le Tshark entre le routeur et l'adaptateur RJ/fibre pour avoir une vraie capture de ce qui se passe.
Juste pas eu le temps poru l'instant.. ni le courage..
Je pars en congé dans 1 semaine alors j'ai remis le netgear en mode routeur qui route des ports (exchange et FTP) vers mon Pfsense.
J'ai essayé de faire un routage de port "DMZ" mais si je l'applique, dés que je reviens sur la page Knet "avancé", il a sauté..

La mac "untag" n'est pas la même que la mac "vlan 2012"

OK...
Et pour le Vlan Video c'est une autre MAC Encore ?

Nous sommes bien d'accord : ton équipement arrête d'envoyer des paquets ?

Et n'en reçoit plus..
On est d'accord que le serveur Knet me renvoie les bonnes infos via le DHCP, que les DNS et GW fonctionnent et tout et tout.

Le truc c'est que je me sers de Pfsense depuis des années, que j'en ai des dizaines en prod avec des config complexes y compris des GW hors plage (serveurs dédiés ou hosted chez OVH par exemple) et que c'est la première fois que j'ai un probleme de ce genre.

Est ce que le probleme vient de mon routeur, d'une config fausse chez Knet ou d'un cas particulier d'assemblage du réseau Knet + Pfsense qui pose un probleme ?
J'en sais rien.

Je cherche vraiment de mon coté mais si Knet pouvait m'aider de l'autre coté, ca serait top.. Meme si je comprends bien que le support de l'opérateur n'inclut pas le support de matériel divers et variés de ses clients.

Je voudrais bien tester avec un autre routeur, mais ceux que j'ai essayé ne veulent pas entendre parler d'une GW hors plage.

J'ai par contre testé des Pfsense de différentes versions et en VM ou sur hardware dédié. Je fais mes tests avec un petit PC Atom, 6 controlleur gigabit Intel pour éviter toute bizarrerie lié à ESX.

J'ai fait un log Wireshark cette nuit. Routeur de test séparé, juste un ping sur le 8.8.8.8 + les qq requetes NTP. Ce qui m'étonne c'est cette requete ARP juste avant que le flux ne recommence.. la coincidence est troublante. Et ma table ARP contient bien la correlation.

853   02:51:54.518393   76-34-45-185.ftth.cust.kwaoo.net   185.45.34.76   8.8.8.8   google-public-dns-a.google.com   ICMP   98   Echo (ping) request  id=0x08dd, seq=106/27136, ttl=64 (no response found!)
854   02:51:55.120376   185.45.34.76   a4:2b:8c:92:86:64         ARP   42   Who has 185.4.79.254?  Tell 185.45.34.76
856   02:51:55.125574   185.4.79.254   74:8e:f8:63:e5:81         ARP   60   185.4.79.254 is at 74:8e:f8:63:e5:81
857   02:51:55.162821   google-public-dns-a.google.com   8.8.8.8   185.45.34.76   76-34-45-185.ftth.cust.kwaoo.net   ICMP   94   Echo (ping) reply    id=0x423e, seq=11021/3371, ttl=59 (request in 717)


Je reçois d'ailleurs des requêtes ARP de pas mal de monde vu que j'ai ouvert en grand mon firewall pour les tests.
1284   02:55:09.282668   185.45.35.42   a4:2b:8c:92:87:f8         ARP   56   Who has 185.4.79.254?  Tell 185.45.35.42
1285   02:55:09.620313   185.73.233.30   e8:fc:af:7b:4d:54         ARP   56   Who has 185.4.79.254?  Tell 185.73.233.30
1290   02:55:11.292443   185.4.79.122   04:a1:51:30:15:62         ARP   56   Who has 185.4.79.254?  Tell 185.4.79.122
1291   02:55:11.867448   185.4.79.145   04:a1:51:2f:f4:24         ARP   56   Who has 185.4.79.254?  Tell 185.4.79.145
1296   02:55:14.347760   185.4.79.244   c4:04:15:5c:56:e2         ARP   56   Who has 185.4.79.254?  Tell 185.4.79.244


Question bonus qui m'intrigue meme si je pense que cela n'a rien a voir :
le reverse de 185.4.79.254 c'est border1-th2.kwaoo.net
et border1-th2.kwaoo.net ça pointe sur 178.250.208.18...

Super. Merci pour ce détail qui tue !
Effectivement, je récupère la bonne IP, c'est mieux.
Mais je comprends pas. Sur mon interface Knet, c'est bien la 65 qui est notée.. C'est la MAC LAN qui est dans l'interface web Knet ?

Pas encore gagné sinon.
J'ai ajouté une route pour la gateway (celle donnée par le DHCP) vu qu'elle est hors plage
route add -inet 185.4.79.254 -iface em0_vlan2012
route add default 185.4.79.254

et tada ! ca marche !
Mais pour 10 minutes..  puis 10 minutes de vide de communication (pas de trame) puis ça revient pour 10 minutes, etc..
J'ai loggué, quand ca part, aucun paquet particulier, et quand ca revient, c'est sans qu'une nouvelle session DHCP soit réalisée.
L'interface est toujours UP avec son IP, c'est juste que plus rien ne passe.
Le meme probleme (qui n'a aucun sens) que celui rencontré lorsque je mets mon netgear en bridge...(Autre post séparé que j'ai abandonné faute de piste)
Pendant le "blanc", couper l'interface logique, forcer un DHCP release/renew, supprimer les routes et les refaire : Aucun changement.
Débrancher le cable réseau et le remettre : C'est bon, ca repart directement.

Je désespère vraiment avec ce truc en direct ou en bridge.

Si je suis en routeur avec le netgear, pas de soucis la connection est stable, mais je fais du NAT de NAT en chainant les 2 routeurs, ce qui n'est pas propre du tout et me pose des soucis sur des VPN.

Je ne me souvenais plus.
En fait j'ai bien une IP, mais c'est pas la bonne...

Je récupère la 10.8.2.235 par le serveur DHCP 172.16.100.9 de Knet, mais c'est pas du tout l'IP que je devrais avoir... moi c'est 185.45.a.b.
Sinon, je récupère aussi un mask en 255.255.0.0 (?) et des DNS 178.250.208.135 et 178.250.209.34, mais pas de gateway.

Ci- joint le log wiresharp de la session DHCP.

Je laisse mon routeur de test connecté sur Knet en direct, je suis connecté par Free pour l'instant pour mon réseau.

Merci.

J'avais déja eu cette info, et déja regardé. Vlan 2012.
Mais impossible à faire marcher.
MAC Spoofing sur mon Pfsense (pour présenter la meme MAC que mon netgear) WAN taggé 2012, client DHCP.
Bilan, pas d'IP, aucune réponse à quoique ce soit (log type wiresharp sur l'interface WAN2012.

Je retente à zéro, j'avais peut etre fait mal un truc..

Hello,
j'en profite pour revenir sur le sujet.
Quels sont les bon paramètres Vlan pour moi ?
Réseau 91 Nozay ?

Hello,
si tu n'as pas passé ton netgear Knet en bridge, tu as juste 2 routeurs chainés. Ca doit marcher, mais tu ne dois surtout pas avoir les meme plages IP des 2 cotés.

Tu mets par exemple le LAN Knet en 192.168.2.254, DHCP activé, ton routeur WRT coté WAN récupère une adresse IP 192.168.2.x, et tu mets coté LAN de ton WRT une adresse IP pour ton LAN avec tes PC.

Et si tu n'as pas l'option bridge sur ton interface Knet... aucune idée.. sorry.. Il va falloir qu'un GO Knet regarde...

Bonjour ebouchez,
de mon coté,je n'ai pas trouvé de routeur qui accepte de fonctionner en DHCP + gateway hors plage.. Encore tenté hier avec un Cisco Meraki Z1 et un MX100 mais ... ben..non..
J'ai peur que ce soit ce probleme aussi avec le WNDR3700V.

La meilleure solution est de mettre une vraie borne wifi en plus, comme une WAP321. Ou à cout plus réduit une Draytek ou une netgear (celles en boitier metal je sais plus la ref). Ou si on aime bien avoir des problemes, une Dlink..

Hello,
merci pour l'action à minuit !

Premier changement déja suite au reset, je n'ai plus d'erreur quand je sauvegarde le routage DMZ.
Mais il reste inactif.. La case "actif" se décoche toute seule..
J'ai laissé en l'état. Je n'ai aucun service critique sur la ligne Knet pour l'instant, en tout cas rien qui ne soit redondé en adsl free et orange.. Tu peux reseter, casser, refaire tout ce que tu veux sur le routeur, avec coupure de service, pas de pb.

Plus je creuse plus je pense qu'il y a un bug dans mon netgear.
Je testerais ce soir le bridge pour voir.

On lance une ouverture Knet pour un de nos clients à saint michel sur orge.Et je suis sur qu'on aura pas ces problèmes (hormis peut etre la gateway hors subnet qui peut facher le routeur actuel du client)

/klona

EDIT : Oui, toujours DHCP, j'ai vu que vous aviez des sécurités basées la dessus.
C'est juste une route vers la gateway qui est ajoutée manuellement.