[Résolu] Fibre d'Orange : pas de VPN

[Loraga]

Bonjour à tous,

 

Nous avons enfin été raccordés à la fibre ici au bureau, j'avais tellement hâte, surtout pour la fluidité du contrôle à distance

 

Je rencontre cependant depuis l'installation un souci que je n'arrive pas à résoudre. Nous sommes équipés d'un Edge Router Lite de chez Ubiquiti, la box ne nous servant qu'a fournir internet au sein du réseau local. Du coup, la configuration de la box est toute simple : on fourni au Edge Router une adresse IP statique sur le réseau local de la box (192.168.1.XXX) et on laisse passer toutes les connexions vers le routeur. Du moins, c'était comme ça que l'ancienne box SFR était configuré, rien de plus, et ça fonctionnait très bien.

 

Vu qu'on est passé à la fibre d'Orange, on a évidement changé de box, je l'ai alors configuré pareil que l'ancienne sur l'interface de la box :

 

• Le routeur à la même adresse fixe qu'auparavant sur le réseau de la nouvelle Livebox, afin de n'avoir rien a changer du côté de la config du routeur
• Un DMZ pointe sur l'adresse du routeur sur le réseau local de la box, ce qui devrait logiquement tout laisser passer

 

Et, chose bizarre, mon accès par VPN ne fonctionne pas (c'est l'Edge Router qui gère ça)

Le petit site web qu'on héberge en local est parfaitement accessible depuis l'extérieur du réseau avec son adresse fournie par DuckDNS, mais quand on est connecté au réseau local, impossible d'y accéder... Bon, c'est moins grave que le VPN mais ça reste curieux

 

Je ne vois rien de louche du côté de la configuration du routeur non plus

 

Je me demande si j'ai loupé quelque chose du côté de la config de la Livebox, pourtant j'ai bien pris le temps de tester tout ce qui était configurable du côté de l'interface de la box... Si l'un d'entre vous à une idée sur où enquêter pour résoudre ce problème, votre aide est la bienvenue

 

Merci d'avance !

 

Loraga

 

 

 

[Masenate]

Bonjour, 

 

Tu as bien fait ta redirection de ports?

[Loraga]

Bonjour Masenate,

 

Oui, j'ai bien redigé les ports 500, 4500 et 1701 avec le protocole UDP...

[Masenate]

Un test simple à faire : tu déconnectes le lien de ton router dans la DMZ et tu colles ton pc dedans avec l'ip de ton router puis tu sniffes le réseau avec wireshark ou autres. Si la redirection fonctionne correctement tu devrais rapidement voir des trames arrivées sur les ports dédiés à ton VPN.

[Masenate]

Ton site Web est dans une DMZ ou sur ton LAN?

[Loraga]

il y a 41 minutes, Masenate a dit :

Un test simple à faire : tu déconnectes le lien de ton router dans la DMZ et tu colles ton pc dedans avec l'ip de ton router puis tu sniffes le réseau avec wireshark ou autres. Si la redirection fonctionne correctement tu devrais rapidement voir des trames arrivées sur les ports dédiés à ton VPN.

 

N'étant pas une flèche en réseaux, voilà ce que j'ai fait :

- Je me suis connecté au réseau local de la Livebox (sinon mon IP n'est pas sur le 192.168.1.xxx)

- La box m'attribue une adresse IP, je met cette adresse à la place de celle du routeur dans la DMZ

- Je lance WireShark, filtre les infos, et tente me connecter à mon VPN.

 

Mon ordi émet des requêtes, je vois aussi les réponses à ces requêtes. De ce que j'ai cru comprendre, mon ordi demande quelle est l'adresse IP de mon serveur et DuckDNS lui répond. Ensuite mon serveur ne fait que renvoyer des "Identity Protection (main mode)" avec le protocole ISAKMP. C'est tout ce que je vois. ça te parle ?

 

 

il y a 19 minutes, Masenate a dit :

Ton site Web est dans une DMZ ou sur ton LAN?

 

Mon site web est bien sur mon LAN, hébergé sur notre serveur principal.

 

Merci pour ton aide !

[Masenate]

Petite précision ton pc qui sniffe le réseau ne doit pas être celui qui lance la demande de connexion VPN. Comme ca tu n'as pas à t'inquiéter de comprendre ce que cela signifie. Dès lors que tu vois des trames sur les ports destinés à ton VPN c'est que ta LiveBox fait bien la redirection.

 

Ce qui de toute façon semble être le cas sinon ton serveur web ne serait pas joignable depuis l’extérieur. 

 

Ton ip publique est bien full-stack ?

 

Pour l'accès à ton site en interne tu n'aurais pas une entrée statique dans ton DNS qui viendrait mettre la zone?

 

 

[Pyrithe]

Tu as désactivé le parefeu de la box pour voir?

Pour le site web c'est normal, les livebox ne gèrent pas le loopback.

[ramius179]

Petite question,

Est ce que tu utilise les services de téléphonie et de télévision de la livebox ?

 

si tu ne t'en sers pas, je peux t'aider a la retirer.

a ce moment la, tu auras l'ONT et le edgerouter en direct.

 

edit: tu peux également trouvé des tutoriels pour garder la livebox, mais uniquement pour la voix et la tv.

mais je n'ai jamais eu besoin de le faire perso.

[yul]

Redirige le protocole GRE.

Une DMZ ne suffit pas.

Testé chez plusieurs clients et chez nous ( c'est d'ailleurs assez récent, avant la livebox était incompatible avec le L2TP .... )

[Loraga]

Bonjour à tous et merci pour votre aide !

 

Il y a 17 heures, Masenate a dit :

Petite précision ton pc qui sniffe le réseau ne doit pas être celui qui lance la demande de connexion VPN. Comme ca tu n'as pas à t'inquiéter de comprendre ce que cela signifie. Dès lors que tu vois des trames sur les ports destinés à ton VPN c'est que ta LiveBox fait bien la redirection.

 

Ce qui de toute façon semble être le cas sinon ton serveur web ne serait pas joignable depuis l’extérieur. 

 

Ton ip publique est bien full-stack ?

 

Pour l'accès à ton site en interne tu n'aurais pas une entrée statique dans ton DNS qui viendrait mettre la zone?

 

 

 

Je teste ça tout à l'heure et reviens vers vous. Merci pour la précision

Full stack, c'est lorsque l'entièreté des ports de communication sont disponibles c'est ça ? Du coup, j'ai un doute : notre ligne fibre Orange pro est a priori mutualisée. C'est ma chef qui s'est occupée de la souscription au nouveau contrat Orange et la ligne dédiée était à priori trop chère. Une ligne fibre mutualisée est-elle donc fullstack ? Si le souci vient de là, ça va être galère

 

Il y a 17 heures, Pyrithe a dit :

Tu as désactivé le parefeu de la box pour voir?

Pour le site web c'est normal, les livebox ne gèrent pas le loopback.

 

C'est ce que j'ai dû faire en premier même, sachant que même réglé sur "Faible" (le niveau le plus bas), l'interface indique ça :

"Le pare-feu ne filtre rien.

Attention : ce niveau est réservé aux utilisateurs avertis pour qui la sécurité n'est pas une priorité ; notez aussi que même dans ce mode, une connexion initiée depuis Internet ne sera pas permise en l'absence de règle NAT/PAT dédiée"

 

Peu importe le réglage du pare-feu, et même en le réglant finement en "personnalisé", ça ne change rien.

 

Bien reçu pour le site web, tout s'explique

 

Il y a 2 heures, ramius179 a dit :

Petite question,

Est ce que tu utilise les services de téléphonie et de télévision de la livebox ?

 

si tu ne t'en sers pas, je peux t'aider a la retirer.

a ce moment la, tu auras l'ONT et le edgerouter en direct.

 

edit: tu peux également trouvé des tutoriels pour garder la livebox, mais uniquement pour la voix et la tv.

mais je n'ai jamais eu besoin de le faire perso.

 

Alors non, pas de TV et le téléphone vient d'un autre fournisseur. La Livebox ne me sert donc vraiment qu'à fournir Internet. La retirer serait intéressant, j'étais tombé sur un tuto pour le faire avec l'Edge Router en plus... C'était peut être même toi qui le partageait sur le forum il me semble Je retiens cette solution qui à mon avis résoudrait tout, je dois juste retrouver ce tuto

 

Il y a 2 heures, yul a dit :

Redirige le protocole GRE.

Une DMZ ne suffit pas.

Testé chez plusieurs clients et chez nous ( c'est d'ailleurs assez récent, avant la livebox était incompatible avec le L2TP .... )

 

J'ai essayé... toujours pareil

 

[Pyrithe]

Et ton NAT est fait correctement?

Tu peux nous envoyer une capture?

[Masenate]

Une FO dédiée ou mutualisée ne change rien sur les ports.  

[Loraga]

Il y a 20 heures, Masenate a dit :

Petite précision ton pc qui sniffe le réseau ne doit pas être celui qui lance la demande de connexion VPN. Comme ca tu n'as pas à t'inquiéter de comprendre ce que cela signifie. Dès lors que tu vois des trames sur les ports destinés à ton VPN c'est que ta LiveBox fait bien la redirection.

 

J'ai fait comme indiqué, mon ordi écoute le réseau, la DMZ pointe sur lui, et je tente la connexion VPN avec un autre poste. Je reçois alors immédiatement un énorme nombre d'infos en écoutant le réseau et en filtrant avec le protocole UDP.

 

Il y a 2 heures, Pyrithe a dit :

Et ton NAT est fait correctement?

Tu peux nous envoyer une capture?

 

Voici la capture. Je redirige tout vers l'ERL...

[Masenate]

Tu reçois bien du trafic sur les ports de ton VPN?

 

Sur ton screenshot on voit le nom de l'équipement "Edge Router Lite". Peux tu tester en indiquant l'IP de ton router?

[Loraga]

Quand je regarde le contenu des paquets UDP, et plus précisément les Source Port et Destination Port, j'ai ça qui revient souvent :

 

Src port : 3283

Dst port : 46071

 

Src port : 46071

Dst port :  3283

 

Et de temps en temps :

 

Src port : 3283

Dst port :  59757

 

Curieux non ?!

 

Côté config de la box, j'ai testé avec son adresse brute, c'est pareil. Si le nom "Edge Router Lite" apparait, c'était parce qu'il était nommé ainsi dans la table DHCP.

[ramius179]

Il y a 7 heures, Loraga a dit :

Bonjour à tous et merci pour votre aide !

 

 

Je teste ça tout à l'heure et reviens vers vous. Merci pour la précision

Full stack, c'est lorsque l'entièreté des ports de communication sont disponibles c'est ça ? Du coup, j'ai un doute : notre ligne fibre Orange pro est a priori mutualisée. C'est ma chef qui s'est occupée de la souscription au nouveau contrat Orange et la ligne dédiée était à priori trop chère. Une ligne fibre mutualisée est-elle donc fullstack ? Si le souci vient de là, ça va être galère

 

 

C'est ce que j'ai dû faire en premier même, sachant que même réglé sur "Faible" (le niveau le plus bas), l'interface indique ça :

"Le pare-feu ne filtre rien.

Attention : ce niveau est réservé aux utilisateurs avertis pour qui la sécurité n'est pas une priorité ; notez aussi que même dans ce mode, une connexion initiée depuis Internet ne sera pas permise en l'absence de règle NAT/PAT dédiée"

 

Peu importe le réglage du pare-feu, et même en le réglant finement en "personnalisé", ça ne change rien.

 

Bien reçu pour le site web, tout s'explique

 

 

Alors non, pas de TV et le téléphone vient d'un autre fournisseur. La Livebox ne me sert donc vraiment qu'à fournir Internet. La retirer serait intéressant, j'étais tombé sur un tuto pour le faire avec l'Edge Router en plus... C'était peut être même toi qui le partageait sur le forum il me semble Je retiens cette solution qui à mon avis résoudrait tout, je dois juste retrouver ce tuto

 

 

J'ai essayé... toujours pareil

 

 

Contact moi en MP pour le faire.

 

si tu veux je peux te faire la config

il me faut une sauvegarde de la config de ton routeur en mode dhcp.

après je te fais la config pour que sur eth0 ce soit ton wan et eth1 ton Lan.

il faudra juste que tu rajoute dans le fichier de conf que je t'enverais les identifiants FTI/ et le mot de passe.

et tu déploie la conf sur ton routeur

 

edit:

si tu veux tu peux partir du post que je viens de faire.

il faut juste supprimer les interfaces qui ne sont pas présente sur ton er lite.

remettre ta config réseau 

le fti/ et le mot de passe

et c'est bon

[Loraga]

Salut Ramius, merci pour ta proposition, c'est très sympa de ta part

 

Cependant, tout l’intérêt de ce forum pour moi, c'est d'en apprendre encore plus, j'ai des lacunes en réseau et je souhaite m'améliorer. Je n'apprendrai pas grand chose en te laissant tout faire

 

J'aimerais bien partir de ma config actuelle si c'est possible, et n'avoir qu'à configurer Et0 pour qu'il fonctionne sans la box. Eth0 est actuellement relié à la box, Eth1 correspond à mon réseau principal (172.16.10.X) et Eth2 correspond à un autre réseau (172.16.100.X) sur lequel se trouve nos machines dédiées aux stagiaires (pas d'internet, seulement un intranet, un serveur de partage de fichiers, et surtout aucun accès au réseau Eth1).

 

C'était ce tuto que j'avais lu, il me semble à la fois bien documenté mais pas facile non plus. Si je bloque sur une étape en particulier je pourrai te solliciter ?

 

Si je n'ai pas d'autre solution pour régler mes problèmes de VPN et de loopback sur le site hébergé localement, s'affranchir de la Livebox est une idée séduisante. Il semblerait même que le réseau soit plus stable et même un peu plus rapide sans box... La semaine prochaine, mes collègues ne sont pas au bureau et j'aurais donc du temps et de la tranquillité pour effectuer le changement (et surtout personne sur le réseau !). Ça tombe plutôt bien

 

Merci à tous pour votre aide !

[ramius179]

Oui sans problème.

 

Le plus simple a mon sens serais de prendre mon fichiers de config.

et de mettre le tiens a coté.

et de modifier ta config en fonction

 

au pire, tu le déploie sur ton routeur, cherche pourquoi ça ne fonctionne pas, et essaye de corriger au fur et a mesure

 

 

le tuto que tu suis présente également la récupération du décodeur TV.

[Loraga]

Bonjour à tous !

 

Je me rend compte que je n'ai pas donné de retour suite à mes problèmes avec cette Livebox Pro.

 

Finalement, j'ai trouvé la solution, et elle tenait vraiment pas à grand chose. Dans l'interface admin de la Livebox, il suffisait de se rendre dans "Mes équipements -> Équipements utilisateurs" puis de sélectionner le routeur. Et j'ajoute dans le champ DNS du routeur l'adresse de mon DNS dynamique. C'est tout !

 

Cette simple solution à tout résolu :

Mon VPN est à nouveau accessible

et le loopback que la box ne gérait pas est aussi réglé, je peux désormais accéder à mon site web local avec son adresse extérieure depuis mon réseau local.

 

Finalement, je n'ai pas eu besoin de virer la box et de reparamétrer l'ERL, tant mieux, car on risque de changer de FAI dans moins d'1 an, il faudrait tout recommencer...

 

Merci à tous pour votre aide en tout cas, en espérant que ma solution puisse aider

 

EDIT : Les redirections de port sur la Livebox ne servent pas, j'ai tout supprimé. Seule la DMZ qui pointe sur le routeur est nécessaire. C'est ensuite l'Edge Router qui se chargera du reste...