salut

voila un soucis que j'essai de résoudre depuis des mois !

même après avoir poser la question sur divers forums , et après avoir lu des réponses

du genre pourquoi faire ça ?ou ceci? ou pourquoi acheter un routeur ?...bref !

mon soucis est presque comme le tient que semble t'il tu a résolu ?

si tu veux bien t'intéresser a mon cas ,je veux bien te poser le problème en détail

(car j'en suis incapable)

NB6 avec ONT et fibre + routeur tplink actuellement en double NAT (réaliser a "par pur chance et hasard" )

d'après plusieurs avis , ils ne savent même pas comment ça fait pour fonctionner

mais ça fonctionne pour l'instant , ça ne me plait pas , mais ça fonctionne.

merci pour ton aide éventuelle , je mettrait schéma et explications si ok.

Hello !

Pas de souci pour partager. De mon coté, c'est résolu et ça fonctionne exactement comme je le souhaite.
Quel est le modèle de ton routeur TP LINK ?

J'ai eu un TP link durant 3 ans (AX50), très bon matos et assez simple.
Je suis passé sur ASUS et un peu plus complexe.

Pour comprendre un peu les principes généraux, je te conseille de lire ci-dessus, piqué sur un forum d'univers freebox.

Il faut lui reconnaitre son copyright Sans rire, il explique très bien.

Dis moi ou tu en es avec ton routeur, ce que tu souhaites faire...

SiliconBox, Posté le: 20 Juin 2024 16:08   Sujet du message:
Il faut sortir de la période boutonneuse "Kéké" je bridge pour montrer que je maitrise... et en fait je ne maitrise pas grand chose. Le mode bridge a eu un intérêt sur le Freebox v5 pour court-circuiter un pare feu qui n'était pas totalement neutre, mais depuis la Révolution le mode bridge N'A PLUS AUCUN INTERET !!!! sauf auprès des kékés qui veulent soit crâner, soit pensent gagner en performance... le gain en performance étant de 1 milliardième de milliardième de seconde. I - IPv4 Il suffit donc de cascader les routeurs. En mode "cascade" le port WAN du routeur Asus va prendre une adresse privée dans le réseau IPv4 Freebox, au lieu de l'adresse publique de Free, ça ne pose aucun souci. Il est préférable d'assigner dans le réseau Freebox une adresse fixe pour le routeur Asus en fonction de son adresse MAC. Au niveau du routeur secondaire Asus, soit on paramètre le port WAN afin qu'il acquiert une adresse automatique via le DHCP de la Freebox, soit on code une adresse privée en dur en veillant à ce qu'un bail statique soit bien déclaré à l'identique sur la Freebox. Sur Freebox OS, on renseigne en DMZ cette même adresse IPv4 afin que la Freebox duplique tous les flux externes vers le routeur secondaire, ensuite au niveau du routeur Asus on paramètre le réseau privée IPv4, avec DHCP Les réseaux privés Freebox et Asus SERONT PARFAITEMENT étanches !!!! Et il ne peut pas en être autrement Un appareil connecté sur le routeur Asus n'obtiendra qu'une adresse du routeur Asus et pas de la Freebox Un appareil connecté sur la Freebox n'obtiendra qu'une adresse de la Freebox, pas du routeur Asus Encore une fois, dans ce schéma le port WAN du routeur secondaire prend une adresse privée pas publique, donc adresse privée IPv4 signifie NAT, NAT signifie que c'est étanche, les deux routeurs ont leurs propres réseaux privés. Afin d'éviter les embrouilles on veillera toutefois à ce que la Freebox et le routeur Asus ne soient pas paramétrés sur le même réseau privé car si le client swappe d'un routeur à un autre, c'est là où il peut y avoir des problèmes avec des conflits de baux et ajoutons que cela reviendrait à créer un téléscopage au niveau du routeur Asus puisque WAN et LAN seraient sur les mêmes réseaux. II - IPv6 Il semble y avoir une différence très importante entre Free et SFR D'après ce que je comprends du dernier message, SFR assigne à ses abonnés une seule adresse IPv6 et recrée un schéma un peu similaire au NAT IPv4 pour partager cette adresse IPv6 avec tous les clients réseau, d'où la présence d'une DMZ IPv6. Bref, ce n'est pas du SLAAC. C'est une info que je recherchais, j'ai indirectement la réponse, je n'irai pas chez SFR, la gestion de leur IPv6 ne m'intéresse absolument pas, je préfère Free et son système précieux de multi préfixes IPv6 Donc ce qui est indiqué dans le dernier message n'est pas du tout applicable à la Freebox Notamment, la notion de DMZ IPv6 n'existe pas sur les Freebox car ça n'a aucun sens ici. En effet Free assigne à ses abonnés 7 blocs d'adresses IPv6 sur 64 bit, on appelle ça préfixes, et c'est là où le SLAAC intervient Quel est l'intérêt du SLAAC ? La gestion des adresses est décentralisée (d'où le terme 'staleless'), ce sont les clients qui s'auto-assignent les adresses IPv6, mais toujours confinées au sein d'un bloc 64 bit prédéfini. On voit ici que les clients réseau ONT TOUS UNE ADRESSE IPv6 DISTINCTE situé dans le bloc prefix, il ne s'agit pas d'une adresse IPv6 unique et partagée comme décrit précédemment, à partir de là le NAT n'a aucun sens, pas plus que la DMZ IPv6 Il va s'en dire que SLAAC et DHCP6 sont totalement antinomiques, DHCP6 étant un système centralisé. En SLAAC il y a une rotation régulière des adresses IPv6 initiée par le client réseau lui-même.... donc ça revient à recréer une IPv6 variable afin de réduire les attaques. Sur une adresse IPv4 on n'a qu'une seule adresse publique, et chez Free cette adresse publique est fixe, ce qui est en réalité un très gros inconvénient car les pirates peuvent attaquer facilement cette adresse. Non l'IPv4 fixe ce n'est pas la panacée contrairement à ce que pensent beaucoup de Freenautes, et c'est bien pour cette raison que je suis très prudent quant à l'hébergement d'un serveur public en IPv4... car quand votre serveur est attaqué, c'est toute votre connexion qui peut être "Down" En IPv6 on a une adresse publique qui va fluctuer dans un bloc de 64 bit, donc l'attaquant devra déployer de très très très très très gros moyens pour attaquer au hasard sur le spectre de ce préfixe. Vous avez tous compris l'intérêt du SLAAC maintenant ainsi que ces précieux préfixes IPv6 ? Si l'objectif est d'héberger des serveurs, ces serveurs on les paramètre en SLAAC, puis on utilise le service de DNS dynamique "dynv6.net', le seul service de son genre gérant l'IPv6 et à ce jour gratuit, et le tour est joué, votre serveur est protégé derrière une adresse IPv6 flottante et du coup on a tout intérêt à désactiver l'IPv4 qui va constituer le point faible, car point d'entrée d'attaques massives et ... vive l'IPv6, mort à l'IPv4, beaucoup trop de gens se méprennent totalement sur l'IPv6 en se pensant plus "secure" derrière leur IPv4 unique et fixe... ces gens n'ont rien compris, ou disons n'ont jamais voulu faire l'effort de comprendre l'IPv6. SLAAC est extrêmement bien foutu. Lors d'une rotation d'adresse, l'adresse dépréciée va temporairement continuer à accepter les flux entrants mais ne sera plus utilisée pour les flux sortants, ultérieurement l'adresse sera totalement dépréciée mais entre temps les clients auront eu le temps de s'adapter à la nouvelle adresse IPv6 active. Je ne connais pas du tout cet Asus Hypothèse 1 : il s'agit d'un routeur compatible IPv6 mais ne "manageant" que l'IPv4 comme la plupart des routeurs grand public, dans ce cas c'est la Freebox qui doit continuer à gérer l'IPv6, on ne touche absolument rien. Hypothèse 2 : le routeur manage bien l'IPv4 et l'IPv6, et possède bien un mode 'stateless' (par opposition à 'statefull' qui désigne le dhcp6). Dans ce cas, au niveau de la Freebox, on active le NEXT HOP sur le second bloc, on laisse le premier bloc à la Freebox, on ne fait surtout pas l'erreur de basculer le segment par défaut sur le routeur secondaire. Au niveau du NEXT HOP on renseigne l'adresse de lien local du routeur Asus, une adresse qui est impérativement en "fe80...." Au niveau du routeur Asus il faut activer le mode IPv6 'stateless', donc désactiver le cas échéant le DHCP6 En revanche on active bien le DHCP4, il ne faut en effet pas confondre l'IPv4 et l'IPv6, ce sont deux couches totalement indépendantes. Et... voilà, et surtout NE PAS S'EMBROUILLER avec la DMZ IPv6 qui n'a pas lieu d'être dans le schéma Freebox NOTE - sous Linux le fameux mode 'stateless' revient à lancer au niveau du routeur le "daemon" radvd paramétré sur le bon préfixe... rien de plus - pour définitivement tordre le coup à des idées reçues, il existe bien en IPv6 un bloc d'adresse privé équivalent aux adresses privée IPv4, ce sont les adresses dans le segment "fc:7" (emoticon parasite qui cache la séquence ": : /") ou plus usuellement "fd:8" MAIS attention, ce n'est pas un NAT, cette notion n'existe pas vraiment en IPv6 (à part le cas spécifique de mécanismes de transition 6to4)

salut,

ok, merci d'avance car ça fait un moment que l'ont "m'explique" ce que je ne veux pas et ne comprend pas ! désolé

comme précisé je débute dans la configuration "réseau"

après avoir lu et relu ce que tu as posté , SLAAC et ipv6 m'ont fortement intéressé , mais de la a "bricoler" ma configuration

désolé, mais je n'en suis pas capable sans aide.

venons s'y , en clair je veux profiter au max de mon routeur A73 qui est bien plus performant en options et en wifi !

(pour preuve , avec la NB6 ,plus de wifi dans le jardin , avec le tplink aucun soucis ! bref. )

ma configuration ci dessous , que faut t'il modifier ou changer sur NB6 ou A73 pour avoir une installation "sécurisé et propre"

sur le tplink actuellement ,en LAN ,imprimante ,caméra extérieur, pc, et wifi dispo

Box sfr NB6 fibre avec ONT.

LAN1 pc de bureau et téléphone fixe
LAN2 vers WAN routeur tplink Archer 73

configuration box HCP "activé"
UPnp ipv6 "on"
DMZ pour Ipv6 "off"
Wifi "off"

Routeur A73 tplink

NAT "activé"
DHCP "activé"
DMZ "off"
Wifi "on"

merci

Ok, c'est bien tout ça, l'A73 est un très bon routeur WIFI6 à un prix raisonnable.
Il est certain qu'il faut passer par lui pour tout ton réseau, pour bénéficier de la wifi 6, d'une bonne stabilité et de Home Shield (même en version gratuite).

On va commencer par simple.
Sur la Box, tu ne touches à rien, c'est bien comme tu as mis pour l'instant.

Sur le TP LINK, c'est bien aussi.

Je ne pense pas que l'IPV6 soit activé sur le LAN du TP link. Fais le test avec https://test-ipv6.com/ sur le PC branché sur le TP link.
En revanche, celui branché sur la Box devrait réussir le test IPV6

Tu devrais alors mettre dans un premier temps l'option IPV6 en "passthrough" sur le TP link

Pour cela, il faut aller dans les paramètres du TP link, passer en mode "avancé" ou "expert" puis rubrique IPV6 "Passthrough".
Cela permettra d'obtenir un lien IPV6 entre tes appareils et le WAN de façon très simple.

Dans un premier temps, c'est déjà bien.

Fais le tour des paramètres de la Box et du TP link. Le pare-feu IPV6 doit être sur ON sur les deux pour l'instant.

On est bien d'accord :

- ton TP like est branché sur un LAN de la box et le cable RJ45 rentre dans le WAN du TP link ?
Dans cette configuration, le TP link est donc connecté sur la Box avec une adresse de type 192.168.1.x
Puis tous tes appareils sont sur des adresses de type 192.168.0.x ?
C'est la configuration classique du double LAN. Les deux réseaux sont différents. Pas forcement en 192.168.1.x et 192.168.0.x, mais différents.

Pourquoi branches-tu ton PC sur la Box et pas sur le TP link ? Par exemple, dans ta config, il ne peut pas imprimer (à moins de passer par de l'IPV6, mais on en reparlera...)
Il est plus efficace d'avoir tout ton réseau sur le même LAN, sinon ton PC ne pourra pas communiquer avec les autres appareils.

Simplement, pour accéder à la console du TP link depuis ton PC, tu dois désormais taper l'IP du LAN du TP link (style 192.168.0.1) et non celle donnée par la Box.

Tu pourras toujours te connecter à la BOX, même branché sur le TP Link, car la box va intercepter le DNS et tu auras accès à la console de gestion de la box quand même.

Bref : tout le monde derrière le TP link. Depuis la Box, il ne doit sortir que le téléphone et le lien RJ45 vers le TP link.

Fais tous les tests (speed-test, IPV6 et autres).  Pour accéder à tes caméras depuis l’extérieur, passes-tu par un site web ou bien par un logiciel qui oblige à ouvrir les ports (transfert de NAT) ? Sais tu si tu es en CGNAT (IP en 10.xx.xx.xx) ou non ?

As-tu une box TV ?

L'étape suivante, si tout fonctionne bien, sera de passer en IPV6 natif sur le TP-LINK et donc de soulager la Box du DHCP IPV 6.
Mais ce n'est pas obligatoire. D'après mon expérience, les TP link gèrent bien le mode "Passthrough".
Donc si la box tient le choc, pas de souci et même si ce n'est pas "parfait" car il vaut mieux paramétrer le Next Hop pour laisser la main au TP link pour les puristes.
Mais step by step. L'essentiel est que cela fonctionne et que ce soit sécurisé, pas que ce soit un modèle de geek !

Le menu du routeur TP link et très bien fait, avec des explications relativement claires sur chaque paramètre en cliquant sur "?".
Tu peux te balader partout, tant que tu ne valides pas, tu ne peux rien dérégler. Tu vas ainsi mieux comprendre toutes ses fonctions.

Ainsi, tu pourras exploiter au mieux ses possibilités (sécurité, filtre, utilisation du partage de l'USB).

Mais rien que pour la vitesse, la portée et la stabilité du WIFI, c'est déjà beaucoup mieux que la Box seule.

salut,

désolé pour le retard je viens juste de rentrer.

pour éviter de faire des erreurs ou mal t'informer ,je te poste un max de captures pour que tu puisse avoir

un visuel plus "juste".

déja l'ipv6 de la box je ne la trouve pas , mais un truc qui y ressemble.

autre choses ,je ne sait pas pourquoi la box donne une ip au tplink "farfelue" ?? pourquoi "49" ,?

j'ai essayé de changer ça pour que ce soit plus logique ,genre 192.168.2.0  ? mais je ne trouve pas ?

je te mets des captures (désolé si elles sont dans le désordre) avec tout ça tu va sans doute mieux comprendre, merci

https://www.zupimages.net/up/24/25/ed81.jpg 

Il n'y a aucun souci.
On s'en fout que le TP link soit en "49" dans le Lan de la box. Le DHCP de la box a choisi "49", mais cela n'a aucune importance.

Depuis un PC branché derrière le TP link, tu peux donc atteindre les configs :

- de la box en tapant 192.168.1.1
- du tp link en tapant 192.168.0.1

C'est très bien comme ça.

Essaie de mette le PassThrouht comme dans ton screenshot pour l'IPV6 (le bas des configs ne devraient plus être accessibles en PassThrough) et refais le test IPV6.

Ne touche pas au reste.

Depuis le Wan (extérieur), ta box a une IPV4 (inexploitable en CGNAT) et une IPV6

Ensuite, tu es en double lan :

192.168.1.X c'est le Lan de ta box. Il y a deux appareils : la box (192.168.1.1) et ton TP link

192.168.0.X c'est le Lan du TP link. Le TP link est en 192.168.0.1 et tous tes appareils en 192.168.0.X

Aucun souci.

Pour la forme, il faudrait mettre le TP link en IP fixe dans le 192.168.1.x, mais ce n'est pas urgent pour l'instant.

On verra après.

Il faut déjà valider l'IPV6 sur tes appareils.

salut,

franchement je suis impressionné ! avec toi tout semble simple !

voici les premières manipulations demandé ça semble OK ! (vivement demain pour la suite) encore merci.