Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Ajouter une route static sur B715s-23C

Xeron

Salut

J'ai mon routeur 4g depuis un moment, avec tout par défaut, mais j'aimerai maintenant séparer la partie routeur de la partie modem pour plus de flexibilité. J'ai donc monté un pfSense pour faire un "vrai" routeur et je veux utiliser le lapin blanc (le huawei) uniquement pour la réception. Au début j'ai pensé mettre le modem en mode bridge, mais un pote me dit que ca serait plus simple de faire un réseau d'interco entre lui le pfSense et de simplement ajouter une route static sur le lapin vers mon LAN qui aura besoin d'internet.

Sauf que sur l'interface web du B715s-23C, pas moyen d'ajouter une route static !
Est-il possible de s'y connecter en ligne de commande ?
J'ai vu qu'un gars sur le forum a installé un telnet dessus, est-ce la seul façon de faire ?
Et après, y a-t-il un CLI Huwei actif avec lequel je puisse add-route par exemple ?

J'ai l'impression que vous connaissez bien ce routeur ici alors je tente ma chance :)

A+

yanbo

Bonjour,
Vous pouvez désactiver le serveur DHCP du B715 et activer celui du pfsence si c’est possible , dans ce cas aucune route est nécessaire dans le Huawei puisque la passerelle sera le pfsence.

Xeron

Merci Yanbo de votre réponse.
En effet, le DHCP sera bien sur le pfsense mais il sera utilisé pour le LAN, la box elle sera sur un réseau d'interconnexion avec le pfsense, c'est pourquoi j'ai besoin d'indiquer la route du LAN car elle ne le connait pas.

yanbo

Bonjour,
Il n’est pas nécessaire d’ajouter de route statique.Le pfsence peut peut être fonctionner sur un seul réseau IP ,celui du LAN du Huawei en utilisant un mode bridge LAN WAN et serveur dhcp,ou en double Nat.En tout cas les box internet ou routeurs 4g ne permettent que rarement l’ajout de route statique.

Xeron

Salut
Double NAT c'est pas génial qd même, certains logiciels peuvent être perdu
Je veux placer mon pfsense en tant que firewall / proxy donc mettre la box sur le même réseau me parait pas cohérent : au niveau physique ma box sera sur une patte du routeur et mon LAN sur l'autre patte, tout passe ainsi par pfSense qui sera le centre de mon étoile si je peux dire
Je crois que je vais être obligé de mettre en bridge

oga83

Bonjour,

J'ai une installation similaire : un B725 devant un EdgeRouter ER4 (4G <--> B715 <--> ER4 <--> LAN).

Mon installation a 2 subnets :

- 1 entre le B715 et l'ER4. Le B715 est serveur DCHP pour attribuer une adresse à l'ER4. Cela aurait pu également être fait en statique, mais, pour du debug, c'est pratique de pouvoir se plugger directement sur le routeur 4G et d'obtenir une IP. Aucune route statique à créer puisque l'ER4, client DHCP sur cette patte, connait celle vers le B715

- 1 autre pour le LAN. L'ER4 est serveur DHCP, Firewall pour le LAN

Le principal intérêt d'une installation comme celle-ci est de pouvoir créer un VPN d'accès à internet sur le firewall, derrière le B715. Si une backdoor existe sur le routeur, ou si quelqu'un réussit à prendre le contrôle du routeur, il ne peut pas remonter sur le LAN (à cause du firewall) et il ne peut pas analyser le trafic qui passe (qui est chiffré par le VPN).

Plus d'informations ici.

Cela fait effectivement 2 NAT jusqu'à la sortie du B715, mais de toutes façons, il y en a au moins un autre chez l'opérateur.

A part être en bridge sur le routeur 4G et sans firewall (ce que je déconseille pour une utilisation classique), on aura au moins toujours un double NAT (routeur + opérateur).

yanbo

Si c’est pour un montage en entreprise, ou les employés risquent de bypasser le FW, il est nécessaire de séparer le Wan et le Lan physique du FW. Mais si c’est pour du domestique rien n’empêche d’utiliser le WAN et LAN en bridge et une seule adresse IP.Exemple Box en 192.168.0.254 DMZ 192.168.0.253 et FW ,serveur DHCP ,Client VPN , et IP passerelle en 192.168.0.253

oga83

yanbo a dit :

si c’est pour du domestique rien n’empêche d’utiliser le WAN et LAN en bridge

C'est vrai, mais il faut prendre des précautions. Sans firewall derrière le bridge, cela me parait très risqué.

Même si en 4G on est sur un réseau privé (chez la plupart des opérateurs), non accessible depuis internet, on se retrouve sur le même subnet que d'autres utilisateurs qui peuvent avoir accès au LAN bridgé. Voir ici.

yanbo

« Bridge « ne veut pas dire qu’il n’y a pas de FW , c’est juste un seul réseau IP privé chez soi pour l’ensemble de ses équipements et un « NAT » en moins.

dad

par curiosité, quelle difficulté rencontrez vous sur un double ou triple NAT ?

Xeron a dit :

Salut
Double NAT c'est pas génial qd même, certains logiciels peuvent être perdu

yanbo

Bonjour,
Ca n’empêche pas de surfer sur internet.Mais , par exemple continuer d’utiliser le wifi de la box, en ayant ajouté un routeur, le player tv qui fonctionne, avec le nas, l’accès à distance de la configuration du b715 en passant par un vpn.Tous ces montages peuvent être améliorés par un « routage propre «

oga83

dad a dit :

par curiosité, quelle difficulté rencontrez vous sur un double ou triple NAT ?

Le principal problème du double nat (ou triple, ou plus) est que, après le premier nat côté LAN, on a pas d'adresse ip publique. Du coup, impossible de configurer des ports pour faire des connexions entrantes directes.
Et les équipements ou logiciels (jeux, p2p, ...) qui configurent automatiquement une redirection de port sur le routeur via uPnp ne fonctionnent plus.
De mon côté, je considère que l'uPnp est hyper dangereux : n'importe quel application, y compris un cheval de troie, peut configurer un port entrant (chercher "uPnp danger" sur Google pour plus d'informations).
Le double nat peut ainsi être vu comme une sécurité ::smile:
Pour rappel, chez la plupart des opérateurs 4G, on est sur un réseau privé natté sur lequel on a pas la main. Impossible de configurer une route entrante. Un simple nat chez soi ne change donc rien.

dad

merci de vos réponses, comme je n'ai pas rencontré de problème dans mes install jusqu'alors (certain avec vpn + ip fixe pour attaquer le lan de l'extérieur) je me demandais si certain avait rencontré un vrai blocage...
faut juste un bon routeur derrière pour faire toutes les règles qui vont bien (j'utilise mikortik pour ça)