Retour expérience B715s/EdgeRouter/VPN

routeurland · mars 2019

@oga83 Peut tu nous donnée les détails de ton paramétrage VPN ? Quel protocol ?

Ci c'est PPP ou L2TP, c'est pour moi et différente raisons pas "bon" comme client.

PPP= antique protocole de 1995 non chiffré, faille de sécurité. Microsoft eux mème déconseille de l'utilisé. L2TP aucun intérêt sans IPSEC puis mème avec, c'est pareille, il y a eu, ou encore des failles de sécurité, vieux et dépassé...

Pour moi il ont intégré ses deux client VPN uniquement pour marque "VPN" sur le carton d'emballage. Sur un modem de cette qualité, c'est incompréhensible d'avoir fait un t'elle choix.

A choisir entre le "moins pire", utilise L2TP avec IPSEC (a voir comment ajouter IPSEC, non présent d’après ce que j'ai vu), également a voir si la vitesse reste correct.

Bref a creuse du coté de L2TP/IPSEC vu que OpenVPN c'est foutue

! A vos réponses! sujet très intéressant !

ludovick · mars 2019

Je n'ai fait que citer un commentaire Amazon. Je le possède pas.

oga83 · mars 2019

@ludovick J'avais compris que tu retournais ton routeur à Amazon...

ludovick · mars 2019

D'ailleurs je cherche un routeur WiFi (double bande ac) administrable où on peut utiliser OpenVPN.
Des idées à un prix raisonnable ?

Mavrik · mars 2019

RT1900ac d'occasion pour 75€ livré a trouver / négocier sur LBC
Dual wan, USB3...

cyber · mars 2019

Oga, si tu peux me dire comment tu as configuré le b715 (bridge, désactivation dhcp,...) car je n'arrive pas à aller sur internet depuis le edgerouter.

L'interface indique que la connexion est 'connected' via le ethernet0 du edgerouter vers le b715.

Mavrik · mars 2019

si ton 715 fonctionnait en mode bridge avec un autre router le pb n'est pas ici car il ne fait strictement rien pour la partie reseau, tout se joue dans le routeur.

Connecte ton pc en dchp directemnt sur le 715, tu dois obtenir une ADD IP par le DCHP serveur de l'operateur et avoir de l'internet, pour valider le coté 715.

Puis connecte le port wan de ton routeur dessus, il doit etre en DHCP client et obtenir une IP (une autre probablement), alors il a acces a internet

apres tu dois avoir une IP sur ton pc dans la range LAN, si tu n'as pas d'internet c'est probablement un pb de passerelle / routage.

fais des ipconfig /all, des screeens

tu peux ausi declarer dans le routeur l'IP de ton PC en DMZ pour voir si tu as acces, si c'est un pb de firewall etc..

il faut configurer deux ports, un coté wan, un coté lan, avoir les routes...

cyber · mars 2019

J'ai désactive le bridge du 715 et réactive son DHCP serveur.
Le edgerouter est configuré sur son interface eth0 (câble vers b715) en DHCP client.
La route static 0.0.0.0 est configurée sur cette interface eth0 avec comme nexthop l'adresse du b715.

Un ping sur une adresse ip internet depuis le pc fonctionne (enfin!). Par contre par les navigateurs rien ne passe .
Un ping sur un nom de domaine ne passe pas. Cest donc pb de dns. Comment régler le dns ?

Mavrik · mars 2019

dns
1.1.1.1
8.8.8.8

oga83 · mars 2019

J'ai configuré mon B715 de la manière suivante :

- Pas de mode bridge

- Serveur DHCP désactivé

- Adresse IP fixe (192.168.0.1 pour être en phase avec la config que j'ai donné pour l'EdgeRouter)

Dans l'ordre, tu vérifies que tu peux pinger :

- L'EdgeRouteur côté LAN (172.17.0.1 dans mon cas)

- L'EdgeRouteur côté WAN, c'est à dire côté B715 (192.168.0.2 dans mon cas)

- Le B715 côté LAN (192.168.0.1)

- Le B715 côté WAN (@ip donnée dans l'interface ou avec Huawei Monitor)

- Un DNS style 1.1.1.1

cyber · mars 2019

B715: J'ai désactive DHCP,
edgerouter: indiqué 192.168.1.4/24 comme manually define IP address pour eth0.
Et dans b715 dans advanced/router/DHCP j'ai l'adresse IP fixe : 192.168.1.1

Tous les ping sont ok . Sauf le 4eme cas b715 côté wan que je n'ai pas compris (auto ping?). Dans b715/advanced/diagnostic un ping sur internet fonctionne.

Avec le DHCP b715 désactive je peux contacter le b715 depuis mon pc a travers l'edgerouter . Par contre je ne peux plus pinger internet ni en IP ni en nom de domaine, alors que je pouvais pinger IP avec DHCP b715 ouvert.

Edgerouter: j'ai ajouté une route static vers 0.0.0.0/32 avec next hop 192.168.1.1 (le b715). Mais pas de ping vers internet possible .

cyber · mars 2019

bon voilà ou j'en suis:

Connexion internet + dns fonctionne quand l'adresse ip statique (ex. : 192.168.0.50/255.255.255.0 et passerelle 192.168.0.1 = edgerouter) du pc est rentrée dans windows et adresses dns rentrées (1.1.1.1 et 8.8.8.8).

Si je ne met pas l'ip dans windows, qu'à la place j'utilise le serveur DHCP du edgerouter pour le réseau 192.168.0.0/24 , le pc récupère bien une adresse ip locale, mais internet ne passe plus et je n'ai plus accès au b715. (avec assignation par mac ou en automatique c'est pareil).
Très bizarre

Mavrik · mars 2019

et quand tu fais ipconfig /all sur ton pc
que vois tu ?

quelles sont les GW / DNS ?

fait un screen

ca veut dire que tu n'as plus de passerelle entre le PC vers le ER

oga83 · mars 2019

La passerelle par défaut n'est probablement pas définie sur le serveur DHCP.

Vérifie que tu l'as bien indiquée sur l'EdgeRouter (192.168.0.1 dans ton cas) :

Image: https://routeur4g.fr/discussions/uploads/editor/94/n28pmo5urdj3.png

cyber · mars 2019

Exact c'est ce qu'il manquait, 'Router' n'était pas renseigné. J'avoue que si le label était 'gateway' au lieu de 'router' ça aurait été plus clair pour moi.
Et le DNS il faut mettre la même ip que le 'router', comme indiqué sur ton schéma.

Et aussi une désactivation/réactivation de la carte réseau du pc suite à la manip, sinon les changements ne sont pas pris en compte par windows.

On y est enfin arrivé. Prochaine étape, remplacer l'ancien routeur central et croiser les doigts pour que tout se passe bien.
Merci à tous pour votre aide, sinon j'y serai encore !

oga83 · mars 2019

Pour le DNS, ça dépend de ce que tu veux faire.

J'utilise l'EdgeRouter comme proxy DNS (toutes les requêtes passent par lui et il utilise 1.1.1.1 et 8.8.8.8 pour y répondre, avec un cache bien-sûr). Cela permet de désactiver tous les autres DNS sur le LAN (et éviter l'utilisation d'IP over DNS par certains trojans).

Dans ce cas, il faut renseigner le DNS (avec l'adresse du routeur) sur le serveur DHCP pour qu'il soit indiqué aux clients lorsqu'ils souscrivent un bail.

oga83 · mars 2019

Pour que tes changement DHCP soient pris en compte :

ipconfig /release && ipconfig /renew

cyber · mars 2019

Bilan depuis la mise en route hier soir : le réseau semble (vraiment) plus réactif qu'avant. C'est un bon point

Sinon j'ai eu droit aujourd'hui vers 17h00 à une coupure de l'accès internet sur tous les périphériques connectés au edge router. Alors que le b715 accédait encore à internet (vérifié avec le menu diagnosis/ping et un tél en wifi). L'interface du edgerouter indiquait que l'interface eth0 (celle reliée au b715) était connectée.

J'ai laissé le DHCP activé sur le b715 pour pouvoir accéder à son réseau wifi. Je soupçonne donc que c'est le serveur DHCP du b715 qui provoque ces coupures (au moment de la fin du lease? - DHCP lease time : 1 day) . L'adresse mac du edgerouter4 n'était pas associée à une ip dans le réseau du b715. Ce qui vient d'être modifié. On verra d'ici demain. Internet est revenu ensuite sur les machines derrière le edgerouter.

J'avais essayé avant cette manip de configurer manuellement - plutôt qu'être client DHCP du b715 -une adresse IP dans le edgerouter4 . Pbme: le b715 voyait le edgerouter , j'accédais au b715 derrière l'edge router, mais pas d'internet.

oga83 · mars 2019

Il faut que ton B715 ait une adresse IP LAN fixe (ou DHCP avec réservation) pour que la passerelle par défaut définie sur l'EdgeRouter soit tout le temps valide (commande "set system gateway-address x.x.x.x").
Dans le cas contraire, la route par défaut ne fonctionne plus quand l'adresse du B715 change.

cyber · mars 2019

Le b715 a toujours la même adresse. (192.168.1.1, configurée dans le b715)

Là je pense (j'espère) que c'est plutôt un problème côté b715 dont le serveur dhcp a modifié l'adresse ip du edgerouter après son lease d'1j.

Petite question pour être sûr, est ce qu'il y a besoin d'un serveur dhcp côté edgerouter pour le réseau du b715 (192.168.1.0/24 pour le b715) si j'ai déja un serveur dhcp côté b715 sur ce réseau ?

oga83 · mars 2019

A ta place, j'utiliserais une ip fixe pour le côté wan de l'Edgerouter.

Soit en la forçant sur l'EdgeRouteur :

delete interfaces ethernet eth0 address dhcp
set interfaces ethernet eth0 description Internet
set interfaces ethernet eth0 address 192.168.1.2/24
set interfaces ethernet eth0 duplex auto
set interfaces ethernet eth0 speed auto

Soit en définissant une réservation DHCP sur le B715.

cyber · avril 2019

J'ai donc configuré hier une ip fixe pour le b715 (192.168.1.1), ainsi qu'une ip fixe (gérée par le dhcp du b715) 192.168.1.10 pour le edgerouter4.
Un reboot.

Et ce matin plus d'accès d'internet derrière le edgerouter.
- Un ping depuis un pc branché au edgerouter vers le b715 (192.168.1.1) fonctionne.
- Les interfaces du b715 et du edgerouter indiquent que les deux routeurs se voient
- Le b715 a toujours accès à internet (test d'un ping dans son interface ou d'un téléphone en wifi)

C'est donc un problème côté b715. Le firmware est à jour. Pas de d'options de sécurité activées manuellement.

oga83 · avril 2019

Vérifie que ce n'est pas un problème de DNS et que le B715 effectue bien le routage avec :

- un ping sur la patte externe (côté wan) du B715. Si ça fonctionne, le B715 effectue bien le routage vers internet.

- un ping sur 8.8.8.8. Si ça fonctionne, tu as accès à internet.

- un ping www.google.fr. Si ça fonctionne, le DNS est ok et tu as peut-être un pb opérateur (tu as un vpn ?). Sinon, tu as peut-être un pb DNS.

Que donne un traceroute 8.8.8.8 ?

cyber · avril 2019

au moment du blocage,:
- un ping du b715 vers www.google.fr fonctionnait (depuis son interface ou un tel en wifi du b715)
- un ping , depuis le pc branché au edge router4, sur l'adresse ip de mon vps ovh (donc internet) ne fonctionnait pas. Un ping sur un nom de domaine non plus.
- un traceroute, depuis le pc branché au edge router 4, sur un nom de domaine renvoyait une erreur. J'essaierai le traceroute 8.8.8.8. au prochain plantage.

Mavrik · avril 2019

tu n'aurais pas un conflit sur ton reseau local ?
debranche tout sauf le pc directement sur l'ER.

et en attendant de faire fonctionner correctement ce routeur et ce PC ensemble
tu mets tout le reste du reseau directement sur le 715,
comme ca tu testes seulement l'ER directement au 715, le PC seul directement sur l'ER.

ne jamais utiliser le port 4 du 715

tant que les resultas ne sont pas ok, reste avec cette config

fais un tracert 8.8.8.8 et poste le screen

dans le 715, mettre l'IP WAN du ER dans la DMZ
bien faire la reservation de l'IP du ER via sa MAC dans le DHCP du 715 (comme ca on est sur)

cyber · avril 2019

Imaginons que j'ai un conflit sur le réseau local.
- lors du blocage, pinger le b715 fonctionne sans temps de latence.
- un switch est relié au edgerouter. Sur un port de ce switch j'ai branché (pour ne pas avoir a tirer une ligne supplémentaire de 20m) un autre switch qui gère le pc et un raspberry. Le raspberry est client vpn et vérifie toutes les minutes la connexion avec le serveur vpn. Est-ce que ça pourrait provoquer un conflit?

Je basculerai tout le réseau en direct sur le b715 et ne relirai que l'edge router avec un pc, c'est une bonne idée pour isoler le problème.

Mavrik · avril 2019

Voila, il faut valider étape par étape

Il n'y a aucune raison de pas arriver a faire fonctionner correctement les choses
(sinon je te rachète ton ER 50€ avec le TPL !)

il est tout a fait possible qu'un switch délire sévère, je dirais le dernier

cyber · avril 2019

ça serait étonnant que le premier switch délire, c'est un ubiquiti

oga83 · avril 2019

cyber a dit :

au moment du blocage,:
- un ping du b715 vers www.google.fr fonctionnait (depuis son interface ou un tel en wifi du b715)
- un ping , depuis le pc branché au edge router4, sur l'adresse ip de mon vps ovh (donc internet) ne fonctionnait pas. Un ping sur un nom de domaine non plus.
- un traceroute, depuis le pc branché au edge router 4, sur un nom de domaine renvoyait une erreur. J'essaierai le traceroute 8.8.8.8. au prochain plantage.

Et le ping sur la patte externe du B715 (en 10.x.x.x) à partir du lan ? ça te dira si le routage fonctionne.

Le traceroute vers 8.8.8.8 devrait au moins te donner 1 ligne (1er saut vers l'edgerouter qui est la passerelle par défaut). Dans le cas contraire, c'est la définition de la passerelle par défaut qui est en cause.

cyber · avril 2019

Nouvelle coupure. scénario habituel : tous les périphériques derrière le edgerouter ne répondaient pas (wifi, pc) alors qu'internet sur le b715 fonctionnait.

- Sauf que je remarque qu'une machine dans le réseau du edgerouter a accès à internet (elle est cliente d'un vpn, donc connexion par un tunnel vpn, réseaux différents ): un raspberry pi. Sur ce rasppi: tests de ping et de traceroute sur des noms de domaine tout se passe bien . Le traceroute renvoie sur les 2eres lignes l'ip locale (du réseau vpn, en 10... alors que les réseaux du b715 et edgerouter sont en 192.) puis l'adresse ip publique distante.

- remarque le rpi est branché sur un switch qui relie : le pc, le rpi et le switch accolé au edgerouter

- test: débranchement du câble réseau du raspberry pi -> toujours pas de connexion en depuis un navigateur du pc.

- un tracert 8.8.8.8 et 2-3 minutes plus tard un autre tracert d'une ip depuis le pc : voir les pj. Les résultats sont inconstants.

Nouvelle config: je branche le raspberry sur le switch du b715 (anciennement branché sur un switch relié au switch branché au edgerouter). J'attend (ou pas) la nouvelle coupure.

"

Et le ping sur la patte externe du B715 (en 10.x.x.x) à partir du lan ? ça te dira si le routage fonctionne."

Pas pu tester, ca sera pour la prochaine

Retour expérience B715s/EdgeRouter/VPN

Réponses

Forum Stats