Posts tagged routeur

[Saga Firebox] Nos nouveaux routeurs : les Firebox

1

Il y a quelques temps, nous avions concocté nos propres routeurs maison à base de carte mères Mini-ITX. Malheureusement ces dernières ne sont plus disponibles à la vente. Évoquant avec Thomas ce jour où j’ai trouvé une Firebox II aux encombrants, il nous est venu l’idée d’ajouter à nos solutions maison des équipements réseaux conçus pour cette tâche donc pouvant être mis en rack, conçus pour tourner 24h/24 et possédant plusieurs interfaces réseau.

A l’exception des modèles SOHO, les Watchguard Firebox sont en fait des ordinateurs à processeur Intel, équipés de plusieurs interfaces Ethernet. Ces machines sont provisionnées en usine avec un système d’exploitation basé sur Linux assurant les fonctionnalités de firewall. Comme certains équipements réseaux, les fonctionnalités de la Firebox sont définies par des licences, qui pour certaines expirent dans le temps. Plutôt que de continuer à payer pour mettre à jour un équipement ancien, des entreprises préfèrent renouveler leur matériel, ce qui explique la différence de prix parfois élevée entre les modèles récents de Firebox (pour lesquelles les licences sont toujours actives), et les anciens modèles (grosso modo jusqu’aux modèles XTM 5). (suite…)

[pfSense] Astuce pour les DynHosts OVH, mais mieux !

0

Dans un billet où je parlais de pfSense, je vous expliquais comment mettre à jour les DynHosts OVH depuis pfSense mais c’était crade et ça tombait à chaque mise à jour. C’est sans compter sur l’aide de Chris dans les commentaires du billet.

Hello,

je vous file une configuration que j’ai trouvé pour éviter d’avoir à éditer des fichiers à la main.

Supposons que vous veuillez mettre à jour le domaine ‘mydom.com’

utiliser un dyndns de type « Custom »
– interface WAN
– username: l’identifiant du dynhost OVH
– password: le password du dynhost OVH
– update URL: « http://www.ovh.com/nic/update?system=dyndns&hostname=mydom.com&myip=%IP% »
– result match: « good %IP% »

URL et Result match à rentrer sans les guillemets bien entendu.

J’ai trouvé ces options en faisant un petit tcpdump sur le traffic TCP généré lors d’une mise à jour ddclient qui marchait :

tcpdump -vv -XX -n host http://www.ovh.com

et hop, un ddclient lancé depuis une autre console.

A++
Chris

Testé et approuvé !

Il suffit de se connecter à l’interface de gestion, d’aller dans Services puis Dynamic DNS, et suivre les instructions de Chris.

pfSense DynHost OVH

 

Merci à notre lecteur adoré car ceci va en aider plus d’un !

[pfSense] Astuce en attendant une mise à jour pour les DynHosts OVH

3

Bonjour !

Aujourd’hui une petite astuce toute sympatoche pour faire marcher les Dynhosts OVH. Comme vous le savez sans doute, si vous avez une adresse IP dynamique fournie par votre opérateur, il existe des services qui peuvent tout de même vous fournir un nom de domaine.

Il suffit en général d’avoir un routeur ou un ordinateur qui contient un logiciel client qui va se charger de découvrir quelle est votre adresse IP publique, et de l’envoyer au serveur pour que le service mette à jour les DNS. Ainsi vous pouvez bénéficier de la résolution de votre nom de domaine même lorsque vous changez d’IP régulièrement. Cela est très utile lorsque vous voulez héberger des services chez vous, ou simplement si vous voulez qu’une machine reste joignable via un nom.

pfSense dispose d’un client que vous pouvez gérer directement dans son interface de configuration. Cependant, il n’est pour le moment pas possible de mettre à jour un Dynhost de chez OVH. Cela peut être problématique lorsque vous avez tous vos domaines chez OVH et pas d’IP fixe. En attendant la mise à jour qui apportera cette fonctionnalité, on peut biaiser.

1. Modification pour que ça marche

Pour cela, on va se connecter à la page de configuration et se rendre dans le menu Diagnostics, puis Edit File. Une fois sur cette page, vous devez entrer le nom du fichier, celui qui contient les paramètres de DNS dynamiques, « /etc/inc/dyndns.class » puis cliquez sur Load pour charger le fichier. Évidemment, vous pouvez y aller directement en SSH avec nano si vous êtes à l’aise avec.

Une fois le fichier chargé, faites une recherche avec la fonction adéquate de votre navigateur et recherchez la ligne suivante :

$server = "https://members.dyndns.org/nic/update";

Et remplacez la par la ligne suivante :

$server = "https://www.ovh.com/nic/update";

En gros, on va expliquer en faisant cela que les services de DynDNS ne mettront plus à jour DynDNS mais OVH. C’est sûr, cela vous privera de DynDNS, mais c’est juste une bricole sale et temporaire puisqu’une mise à jour système supprimera vos modifications.

Une fois que c’est fait, pensez à cliquer sur Save.

2. Paramétrage de pfSense

Allez dans le menu Services, puis Dynamic DNS. Cliquez sur + et sélectionnez DynDNS custom. Remplissez les champs Hostname avec le nom d’hôte de votre Dynhost, comme dynhost.domaine.tld, le champ Username avec le nom d’utilisateur que vous avez créé lors de la création de votre Dynhost, et dans Password, le mot de passe.

3. Vérification que tout va bien

Si vous voulez vérifier, ne sauvegardez pas. Gardez la fenêtre sous la main, et allez sur votre manager OVH. Allez dans les réglage de la zone DNS de votre domaine et regardez l’IP en regard de votre Dynhost. L’IP devrait être bidon puisque vous n’avez pas encore mis à jour.

Reprenez la fenêtre de la configuration pfSense et sauvegardez. Une fois fait, Actualisez votre page du manager OVH pour voir si l’IP affichée se remplace par votre IP actuelle. Si besoin, dans pfSense, éditez votre Dynhost et en bas de la page cliquez sur Save & force update.

Voilà ce à quoi ressemble votre page pfSense pour les Dynhosts :

Voilà c’est terminé. Éventuellement, vous pouvez jouer sur le TTL de votre domaine chez OVH histoire que vous ne soyez pas bloqué par la propagation sur certains DNS…

[pfSense] Avec la fibre Orange, votre Livebox ne sert à rien

0

Si comme moi vous utilisez votre connexion comme un professionnel et non comme un particulier, alors cet article va vous intéresser.

En effet, j’ai opté pour une connexion fibre grand public car le ticket d’entrée chez Orange en professionnel est assez élevé, mais mon usage de cette connexion est un peu particulier. J’ai des serveurs, des équipements réseau, des postes, des téléphones en VoIP… En gros, je suis pas mal équipé pour un particulier dans un si petit appartement.
Vous le savez sans doute, j’ai été abonné à Numéricable jusqu’à il y a peu et je disposais d’une connexion 100/5. J’ai eu ensuite des petits routeurs Cisco RV180 que j’ai remplacé ensuite par un routeur pfSense à base de PC avec deux interfaces Gigabit Ethernet. Mon modem câble était en mode bridge, ce qui signifie que la machine que l’on branche dessus récupère directement l’adresse externe, et comme la machine en question était un routeur, c’était parfait car je pouvais configurer finement mon réseau.

Lors de mon passage en fibre optique Orange, j’ai été confronté à quelques soucis :

  • La Livebox n’a pas de mode bridge (et c’est une vraie daube).
  • Même si elle en avait un, la connexion nécessite un deuxième boîtier, l’ONT.
  • Je n’utilise ni la télévision, ni la téléphonie, mais ce n’est pas vraiment un soucis.

Pour y pallier, une solution : virer cette Livebox et brancher l’ONT directement sur le routeur. Oui, c’est possible :

Prise optique <—> ONT <—> Routeur pfSense <—> Switch <—> Stations

Cependant pour que ça marche il faut en quelque sorte que le routeur « fasse croire » au réseau qu’il est une Livebox. Pour cela, il faut le lui indiquer. En admettant que vous avez correctement configuré votre routeur pour tout ce qui est de votre réseau local. En gros on va partir de l’idée que vous venez de passer d’un opérateur dont vous aviez utilisé le modem en mode bridge sur votre routeur, à Orange en fibre. Vous avez donc un réseau fonctionnel, il est temps de faire le swap. On part d’une installation toute neuve de pfSense.

Attention : Il est compliqué de récupérer la téléphonie et la télévision. Cet article ne traite que la connexion internet. Si comme moi c’est tout ce dont vous avez besoin, alors c’est parfait.

Commencez par vous connecter à l’interface d’administration de votre routeur pfSense. Ensuite, dans le menu Interfaces, sélectionnez Assign.

pfSense Interfaces menu

Menu Interfaces, puis (assign)

Puis allez dans VLANs et cliquez sur le bouton +.

pfSense VLAN Edit

Création du VLAN 835 sur le WAN

Dans la page qui s’affiche, sélectionnez dans le menu déroulant l’interface réseau qui correspond au WAN, entrez 835 dans VLAN Tag, et ajoutez une éventuelle description. Sauvegardez, et retournez sur le menu Interfaces, puis faites Assign.

Sélectionnez pour le WAN le VLAN que vous venez de créer avec le menu déroulant.

Retournez dans le menu Interfaces et sélectionnez votre interface WAN. On va procéder à la configuration.

Configuration du WAN pour se connecter à Orange

Configuration du WAN pour se connecter à Orange

Pas grand chose à faire. Cochez la case Enable Interface, entrez une description. Ensuite on va choisir « la méthode de connexion » pour l’IPv4, à savoir PPPoE. Vous pouvez laisser les autres champs vides, sauf pour PPPoE Configuration. Vous devez entrer vos identifiants et mots de passe de connexion Orange qui sont précisés sur le courrier de bienvenue.

Sauvegardez et retournez sur la page d’accueil pour voir, et normalement, dans le tableau Interfaces, vous devriez voir une adresse externe apparaître dans la case WAN.

Page d'accueil. On voit l'IP externe dans le WAN

Page d’accueil. On voit l’IP externe dans le WAN

A partir de là vous devriez pouvoir obtenir une connexion. C’est terminé.

Bien sûr, si comme pour moi votre abonnement vous propose des débits excédant le 100 Mb/s, il faut que votre routeur supporte le Gigabit.

Astuce post installation PfSense sur clé USB

0

Bonjour,
Suite à mon dernier post où je vous montrais dans les grandes largeur le montage d’un petit PC pour en faire un routeur, je vous avais lâchement abandonnés au moment de choisir le logiciel. Ce n’est pas pour cause de flemme mais surtout que je n’ai pas la possibilité de tout tester, et j’ai un besoin précis, et à ma connaissance seul PfSense permettra de le faire. Je m’étendrai sur le sujet plus en détail début mars.Kingston Cruzer fit

En attendant, si comme le mien, votre cœur se brise dans votre poitrine à l’idée de condamner un disque dur ou un SSD à tourner dans un simple routeur/pare-feu, vous pouvez toujours utiliser une clé USB.

C’est globalement assez rapide et ça semble plutôt bien marcher. Sauf que voilà, PfSense hérite d’une sorte de bug qui l’empêche de booter correctement dans certaines conditions. Lorsque votre routeur démarre, si vous utilisez une clé USB pour le système, vous devez impérativement choisir l’option 3. Boot PfSense using USB device dans l’écran suivant :

Le système démarre et vous pouvez effectuer quelques tâches de configurations, comme les interfaces, les IP, le DHCP, etc. Sauf que si vous redémarrez, ça finit par se bloquer. Cela vient de FreeBSD, sur lequel, le boot USB nécessite un délais supplémentaire, à ce que j’ai compris. En choisissant l’option 3 au démarrage, un délais de 10 secondes est ajouté permettant la reconnaissance de la clé. Sauf que garder un écran et un clavier sur un routeur, c’est con.

Pour pallier à ce problème, une bidouille temporaire qui marche bien mais la moindre mise à jour semble nécessiter de refaire la manipulation. En gardant un écran et un clavier branchés, pour pouvoir surveiller, vous allez configurer sommairement le routeur, puis vous connecter dessus via l’interface Web et terminer l’installation. Une fois ceci terminé, aidez vous de l’écran et du clavier pour redémarrer. Ne touchez à rien, et vous devriez constater qu’il se bloque toujours à la même étape. Éteignez-le et redémarrez avec l’option 3. Boot PfSense using USB device. Vous devriez de cette façon arriver au bout du démarrage normalement.

Là, vous venez de constater clairement le problème. On va maintenant le régler. On est d’accord, votre routeur est maintenant configuré, il est démarré. Connectez-vous à l’interface d’administration, directement avec http://IP-de-la-carte-LAN, puis dans le menu Diagnostics (en haut à droite), allez sur Edit file.

Ensuite il suffit de taper l’adresse du fichier à modifier (ou créer, peu importe, dans notre cas cela va créer le fichier) et cliquer sur Load. On va donc taper /boot/loader.conf.local et cliquer sur Load.

Dans la case du dessous, copier le texte suivant tel que décrit dans la doc, puis cliquez sur Save :

kern.cam.boot_delay=10000

Normalement vous devriez pouvoir redémarrer normalement, sans intervention. Faites plusieurs tentatives pour être sûr, et c’est terminé.

En espérant que cela vous rende service !

Construisez votre routeur basse consommation et silencieux

24

Si on était dans un monde parfait, on aurait pas besoin d’aller jusqu’au frigo pour chercher à manger, des tireuses à bière seraient directement incorporées dans les tables basses, on aurait pas besoin de travailler tout en ayant budget illimité, les brevets logiciels n’existeraient pas, les logiciels seraient libres, la neutralité du net ne serait pas menacée et les Freebox se connecteraient sur des fibres optiques Orange ou sur le câble pour se relier au net, et en Gigabit symétrique évidemment. Tant qu’à faire, puisqu’on est dans un monde parfait, autant y aller à fond !

En attendant tout ça, et en écoutant le thème de Jurassic Park (je ne sais pas pourquoi moi-même), je me suis « pécho » une carte mère mini-ITX avec un Celeron Dual Core 1.8 GHz fanless, ainsi qu’un boitier également fanless, afin d’en faire un petit routeur.

Pourquoi?

Cisco RV180

Prochainement je pourrai souscrire enfin à la fibre optique Orange avec du 200/50 (j’aurais préféré 50/200) mais il est absolument hors de question de m’emmerder avec une Livebox à la con, en location, avec un loopback de merde. Alors la question de brancher un routeur directement sur l’ONT s’est posée naturellement. Seul problème, il semble que mes petits routeurs Cisco RV180 ne soient pas assez configurables. Alors autant prendre les devants et se mettre en place un routeur à base de PC. J’ai commencé par chercher du PC embedded mais je ne trouvais pas ce que je voulais.

Donc en gros il me fallait :

  • Un boitier pas trop encombrant, silencieux
  • Une carte mère peu encombrante, de préférence à CPU fanless intégré et avec deux Gigabit ethernets

Économies oblige, j’ai recyclé une barrette de DDR3 2 Go qui trainait, et j’utilise une clé USB comme disque système.

Mon choix s’est porté sur :

  • Une carte mère Gigabyte GA-C1037UN-EU
  • Un boitier Antec ISK 110 VESA

En regardant dans la configuration de la carte mère, on peut régler la vitesse du ventilateur. J’ai donc adjoint un ventilateur sur la grosse grille du boitier afin de garantir le silence absolu et un bon refroidissement.

Un routeur, oui, mais encore faut-il un système.

J’ai par le passé été utilisateur de SmoothWall et IPCop. Je n’ai pas trouvé cela désagréable mais j’ai décidé pour l’occasion de passer à du plus « couillu », PfSense. Une distribution parfaite pour faire un routeur/pare-feu basée sur Packet Filter d’OpenBSD.

Je vous laisse vous documenter vous-même pour le choix de la distribution a installer, par exemple ici. Évidemment, vous pouvez toujours ajouter un disque dur et installer ça normalement…

Dès que possible, je détaillerai la configuration pour vous passer de votre LiveBox.

 

Go to Top