routeur4g.fr est financé par ses lecteurs. Quand vous achetez en passant par les liens du site, nous pouvons toucher une commission d’affiliation.
Retour expérience B715s/EdgeRouter/VPN
oga83
Membre Messages: 1121
Bonjour,
Je vous fais un petit retour de mon expérience avec un B715s depuis un mois :
J'avais une connexion internet assez faible avec un download à 2.5 Mb/s...
J'ai donc remplaçé ma box ADSL par l'installation suivante :
- B715s-23c avec un abonnement NRJ Mobile 100GB à 9.99 euros
- Routeur Ubiquiti EdgeRouter 4 qui réalise l'interface entre le B715c et le LAN
- VPN vers un serveur Scaleway pour le traffic sortant, mais aussi le traffic entrant (accès à mes équipements depuis l'extérieur)
Le Wifi du router 4G est désactivé et j'ai un point d'accès wifi sur le LAN. De cette manière, tout le traffic sortant passe par le Edgerouter, puis par le B715s.
J'ai choisi d'utiliser un Edgerouter pour les raisons suivantes :
- Il intègre un client OpenVPN. D'une part, c'est plus secure que le L2TP du Huawei. Cela permet aussi d'avoir un VPN compressé, ce qui améliore le débit apparent. Par ailleurs, je prèfère que le traffic qui passe par le routeur Huawei soit déjà chiffré : j'ai entendu parlé de backdoors sur certains des équipements de cette marque...
- Les règles de routage sont très fines et on peut faire en sorte que certains équipements sur le LAN ne passent pas par le VPN. Par exemple, c'est indispensable pour un Firestick Amazon (Amazon détecte les VPN et interdit l'accès à son catalogue vidéo).
- Ce routeur gère très bien les déconnexions/reconnexions du VPN (assez rares) et je n'ai jamais eu besoin de rebooter quoi que ce soit.
Pour le VPN, j'utilise un serveur dédié Scaleway (ARM64-2GB : 3€/mois - https://www.scaleway.com/pricing).
Les VPN classiques d'accès à Internet (style NordVPN, SaferVPN, ...) sont très bien mais on ne maitrise ni l'adresse IP publique du serveur (elle change) ni les redirections de port => le traffic entrant est impossible. Le serveur Scaleway a une adresse IP publique fixe et les ports sont facilement configurables. On peut donc avoir du traffic entrant (accès à ses équipements, site hebergé chez soi, ...) : un nom de domaine pointe sur ce serveur et le traffic entrant arrive chez moi en passant par le VPN. La grosse contrepartie par rapport à un VPN classique est qu'il faut installer et configurer le serveur soi-même.
Comme cela a déjà été indiqué sur ce forum, le VPN permet d'avoir une connexion sortante beaucoup plus stable, sans bridage opérateur, mais aussi d'avoir du traffic entrant, ce qui serait impossible sur le réseau opérateur (contrairement à une connection ADSL, on est pas directement sur internet; le routeur 4G n'a qu'une adresse IP "privée" du réseau de l'opérateur : pas d'adresse IP 'publique' fixe => redirection de port impossible).
L'abonnement NRJ Mobile que j'ai pris passait tout d'abord par SFR. La réception étant assez médiocre, j'ai demandé à passer sur Bouygues, ce qui a été fait sans problème. Résultat : un débit en download toujours supérieur à 40 Mb/s, assez souvent à 60 Mb/s et des pointes à près de 100 Mb/s (record à 97). J'ai un peu peur que le quota de 100 GB soit trop faible, mais si c'est le cas, un 2ème abonnement à 9.99€ fera l'affaire (les 2 abonnements coutent moins chez que celui de l'adsl). Ce prix n'est certes valable qu'un an, mais d'ici là, les offres auront certainement évolué.
Pour le moment, j'utilise les antennes 'oreilles de lapin' mais je vais commander l'antenne Arronna vendue par LowCostMobile (
J'avais également besoin de faire fonctionner le SIP du B715s pour l'interfacer à mon serveur Asterisk (pour que mes téléphones DECT passe par l'abonnement NRJ Mobile) comme je le faisais avec la Freebox.
De ce côté, c'est plutôt une déception :
- Contrairement à ce que j'ai pu lire, le B715s n'est pas un serveur SIP. C'est uniquement un client.
- En plus, c'est un client SIP côté WAN. Pas côté LAN : Il est fait pour se connecter à un provider SIP externe.
Si on tente de se connecter à un serveur SIP sur son LAN (comme Asterisk), c'est l'address WAN qui est présentée, ce qui pose des problèmes pour l'enregistrement.
Mon installation fonctionne maintenant parfaitement depuis plus d'un mois.
J'ai donc résilié mon abonnement ADSL et renvoyé la box !
Je vous fais un petit retour de mon expérience avec un B715s depuis un mois :
J'avais une connexion internet assez faible avec un download à 2.5 Mb/s...
J'ai donc remplaçé ma box ADSL par l'installation suivante :
- B715s-23c avec un abonnement NRJ Mobile 100GB à 9.99 euros
- Routeur Ubiquiti EdgeRouter 4 qui réalise l'interface entre le B715c et le LAN
- VPN vers un serveur Scaleway pour le traffic sortant, mais aussi le traffic entrant (accès à mes équipements depuis l'extérieur)
Le Wifi du router 4G est désactivé et j'ai un point d'accès wifi sur le LAN. De cette manière, tout le traffic sortant passe par le Edgerouter, puis par le B715s.
J'ai choisi d'utiliser un Edgerouter pour les raisons suivantes :
- Il intègre un client OpenVPN. D'une part, c'est plus secure que le L2TP du Huawei. Cela permet aussi d'avoir un VPN compressé, ce qui améliore le débit apparent. Par ailleurs, je prèfère que le traffic qui passe par le routeur Huawei soit déjà chiffré : j'ai entendu parlé de backdoors sur certains des équipements de cette marque...
- Les règles de routage sont très fines et on peut faire en sorte que certains équipements sur le LAN ne passent pas par le VPN. Par exemple, c'est indispensable pour un Firestick Amazon (Amazon détecte les VPN et interdit l'accès à son catalogue vidéo).
- Ce routeur gère très bien les déconnexions/reconnexions du VPN (assez rares) et je n'ai jamais eu besoin de rebooter quoi que ce soit.
Pour le VPN, j'utilise un serveur dédié Scaleway (ARM64-2GB : 3€/mois - https://www.scaleway.com/pricing).
Les VPN classiques d'accès à Internet (style NordVPN, SaferVPN, ...) sont très bien mais on ne maitrise ni l'adresse IP publique du serveur (elle change) ni les redirections de port => le traffic entrant est impossible. Le serveur Scaleway a une adresse IP publique fixe et les ports sont facilement configurables. On peut donc avoir du traffic entrant (accès à ses équipements, site hebergé chez soi, ...) : un nom de domaine pointe sur ce serveur et le traffic entrant arrive chez moi en passant par le VPN. La grosse contrepartie par rapport à un VPN classique est qu'il faut installer et configurer le serveur soi-même.
Comme cela a déjà été indiqué sur ce forum, le VPN permet d'avoir une connexion sortante beaucoup plus stable, sans bridage opérateur, mais aussi d'avoir du traffic entrant, ce qui serait impossible sur le réseau opérateur (contrairement à une connection ADSL, on est pas directement sur internet; le routeur 4G n'a qu'une adresse IP "privée" du réseau de l'opérateur : pas d'adresse IP 'publique' fixe => redirection de port impossible).
L'abonnement NRJ Mobile que j'ai pris passait tout d'abord par SFR. La réception étant assez médiocre, j'ai demandé à passer sur Bouygues, ce qui a été fait sans problème. Résultat : un débit en download toujours supérieur à 40 Mb/s, assez souvent à 60 Mb/s et des pointes à près de 100 Mb/s (record à 97). J'ai un peu peur que le quota de 100 GB soit trop faible, mais si c'est le cas, un 2ème abonnement à 9.99€ fera l'affaire (les 2 abonnements coutent moins chez que celui de l'adsl). Ce prix n'est certes valable qu'un an, mais d'ici là, les offres auront certainement évolué.
Pour le moment, j'utilise les antennes 'oreilles de lapin' mais je vais commander l'antenne Arronna vendue par LowCostMobile (
http://www.arronna.com/panelPIM/552.html).
J'avais également besoin de faire fonctionner le SIP du B715s pour l'interfacer à mon serveur Asterisk (pour que mes téléphones DECT passe par l'abonnement NRJ Mobile) comme je le faisais avec la Freebox.
De ce côté, c'est plutôt une déception :
- Contrairement à ce que j'ai pu lire, le B715s n'est pas un serveur SIP. C'est uniquement un client.
- En plus, c'est un client SIP côté WAN. Pas côté LAN : Il est fait pour se connecter à un provider SIP externe.
Si on tente de se connecter à un serveur SIP sur son LAN (comme Asterisk), c'est l'address WAN qui est présentée, ce qui pose des problèmes pour l'enregistrement.
Mon installation fonctionne maintenant parfaitement depuis plus d'un mois.
J'ai donc résilié mon abonnement ADSL et renvoyé la box !
Message edité par pioc34 on
Connectez-vous ou Inscrivez-vous pour répondre.
Réponses
Par curiosité, tu as l'intention de migré ton Asterisk sur ton serveur chez Scaleway ?
C'est amusant de retrouver un système Asterisk dans l'usage d'un particulier, tu as une activité pro à domicile ?
J'ai cru comprendre que le Edgerouter était pas terrible en terme de débits pour du openvpn, ça donne quoi chez toi ?
C'est la raison pour laquelle j'ai pris un ER-4 : le processeur est beaucoup plus performant (4 cores vs 2 pour l'ER-X).
Il y a un tableau comparatif ici : https://www.ui.com/edgemax/comparison/
Côté performances, je n'ai pas vu de différences significatives en me connectant directement sur le routeur 4G ou au travers de l'Ubiquiti.
En activant la compression du VPN, on arrive même à des débits supérieurs (j'ai fréquemment 40-50MB sur le B715 pour 60MB côté LAN).
Pour la petite histoire, j'ai du remplacer mon ancien routeur/firewall Netgear car son débit était limité à ~10Mb/s. Cela passait inaperçu pour le traffic TCP, sauf bien entendu pour la perte de vitesse, mais le traffic UDP avait beaucoup de perte fatales (pas de corrections pour la couche transport de ce protocole). Cela se voyait sur les requêtes DNS : 1 site sur 3 était non trouvé.
A mon avis, la seule difficulté est la courbe d'apprentissage d'EdgeOS.
Si la plupart des configurations se font avec l'interface Web (facile), il faut le faire en ligne de commande dans certains cas (cela vient du fait que les fonctionnalités sont beaucoup plus étendues que la plupart des routeurs Soho. On peut quasiment travailler au niveau des iptables).
Juste un exemple : j'ai dû prévoir des routes dynamiques pour bypasser le VPN :
- Un Firestick qui se connecte à Amazon Prime Vidoo ne peut pas passer par le VPN car il est bloqué par Amazon => route par défaut modifiée pour les adresses LAN qui se trouvent dans un groupe particulier.
- Certains sites bloquent les VPN (comme Boulanger.com, WTF ???) => route par défaut modifiée en fonction de l'adresse de destination (avec un groupe pour que cela soit facile à modifier).
Cet exemple ne peut pas être réalisé avec l'interface Web du routeur et il faut le faire en ssh.
Idem pour la configuration d'OpenVPN pour SafeVPN : cela se fait uniquement en ligne de commande.
Que pourrais tu lui reprocher a l'usage ?
pour ceux qui veulent s'amuser un peu
chercher un ''edgerouter'' dans devices
https://unms-demo.ubnt.com/
par exemple on peut voir qu'il est possible de faire des Vlan
<a href="https://support.safervpn.com/hc/en-us/articles/360035425314-What-are-SaferVPN-s-OpenVPN-configuration-ovpn-files-for-manual-setup-" title="Link: https://support.safervpn.com/hc/en-us/articles/360035425314-What-are-SaferVPN-s-OpenVPN-configuration-ovpn-files-for-manual-setup-">https://support.safervpn.com/hc/en-us/articles/360035425314-What-are-SaferVPN-s-OpenVPN-configuration-ovpn-files-for-manual-setup-</a><br>
en utilisant les fichiers de certificat créés avec les commandes mentionnées plus haut.
J'utilise un routeur tp-link archer c7 v1 derrière le bs715. Ce routeur sert de centralisateur du réseau (switch, dhcp,..) pour 4 autres points d'accés. Je dois souvent rebooter ce routeur ou le bs715 car internet devient inaccessible (et tp-link s'est décidé à ne plus mettre à jour le firmware de la v1 depuis 4 ans). Du coup j'ai regardé le Ubiquiti EdgeRouter 4 qui a l'air plus stable (et + cher).
De ce que j'ai lu il ne fait ni wifi, ni switch car les ports rj45 sont sur des réseaux différents .
-> Qu'est ce que tu utilises/recommandes comme switch ?
-> et comme point d'accès wifi ? J'aimerai pouvoir désactiver le wifi à des heures précises (la nuit).
-> Dans le cas où tu n'aurais pas besoin de vpn, pourquoi ne pas choisir un routeur/wifi/switch et lui greffer un firmware openwrt ?
mettre un edgerouter ou autre
puis un switch Gb central si possible manageable (pas cher)
puis de(s) routeur(s) SOHO d'occasion pour faire des AP wifi (dans le mode AP),
de toute facon le wifi ca reste du wifi, donc les perfs sont souvent faibles,
puis faire deux reseaux wifi separés pour eviter les coupures du passage 2.4 / 5GHz, declarer ces 2 reseaux dans les clients,
et souvent changer l'alim des ces routeurs / AP soho pour des plus puissantes pour eviter des pb de stabilité (point faibles)
et bien reserver les adresses IP pour chaque interfaces reseaux wifi pour avoir des reconnexions bcp plus rapides, ou mettre lease time tres long.
si 2 ou plus AP, bien declarer les 2 memes SSID / pass
bien faire attention aux canaux wifi utilisés (adjacents)
avec ca on est au top.
c'est exactement l'architecture du schema plus haut
Pour l'instant, il n'y aurait que Bouygues, j'ai pas trop chercher, mais free ne le propose pas.
D'où la case grisée
Je trouve Bouygues plus innovant, sa ne m'étonnerait pas. Bon opérateur. Leurs offres son plus cher que SFR, Free.
"...mettre un edgerouter ou autre
puis un switch Gb central si possible manageable (pas cher)..."
sans vouloir être hors sujet : une marque préférentielle pour le switch ?
- on est d'accord. Mais ca rajoute un coût. Quitte à investir dans un bon routeur central je voudrai avoir le plus stable pour mon utilisation, c'est à dire ne plus avoir besoin de le rebooter tous les jours.
Derrière le b715 + le routeur tp-link, j'ai 3 routeurs supplémentaires en ap (2 netgear wnr3500L + un nighthawk r7000 qui est l'ap le plus utilisé en wifi) + un autre appareil (répéteur wifi).
Pour le reste des recommandations, c'est exactement ce que j'ai fait.
malheureusement dans les routeurs SOHO qui font tout et surtout n'importe quoi, c'est souvent pas stable (OS, wifi etc..)
A part ca, ton pb peut etre un pb d'alim trop juste !
si tout en as plusieurs, pas un de stable ?
vas sur un edgerouter ou dans la gamme soho un synology
on trouve des RT1900ac pas trop cher d'occasion, je viens d'en acheté 2, sans etre un grand fan de ce genre de routeur il semble stable, de toute facon je vais les mettre en AP tous les 2 plus tard (quand j'aurais l'ubiquiti).
Mon objectif était de remplacer ma gateway Linux (Debian/Shorewall/Bind/ISC-DHCP/OpenVPN + autres) par ce routeur/firewall fanless.
Sur la partie routage, rien à redire, cela fonctionne parfaitement, les débits sont au rendez-vous, et les fonctionnalités (firewall / serveur DHCP/ serveur DNS en ce qui me concerne) aisées à configurer.
Tout allait pour le mieux jusqu'à ce que je m'attaque à la partie OpenVPN.
La configuration fut relativement aisée (CLI obligatoire), et j'ai pu reprendre telle quelle la configuration et les certificats que j'utilisais sous Linux (ce qui m'évitait de devoir reconfigurer tous mes clients).
Premier test, douche froide. Que dire, glaciale même !
Alors que ma fibre m'offre 1 Gbits en down et 300 Mbits en up, le debit via le tunnel ne dépassait pas les 15 Mbits (oui oui, 15 Mbits). Après quelques modifications (désactivation de la compression, changement de cypher), j'ai réussi à atteindre... 35 MBits.
Après quelques recherches, il s'avère que ce routeur n'est pas du tout adapté à de l'OpenVPN (multiples sujets trouvés sur le forum Ubiquiti).
A priori, cela se passe beaucoup mieux en IPSEC, mais cela ne correspondant pas à mon usage, je ne l'ai même pas testé.
Donc si vous voulez un simple routeur, il est parfait.
Si vous comptez monter des tunnels IPSEC, documentez vous un peu pour confirmer les débits atteignables, il sera probablement parfait aussi.
Par contre, si vous comptez en faire un serveur OpenVPN, passez votre chemin, déception assurée.
Finalement j'ai passé ma gateway Linux sur pfSense, et depuis c'est le bonheur.