Bonjour
J'ai installé Openwrt sur un routeur TP-Link WDR3600.
Le routeur est derrière une livebox 3 Sagem .
La connection est cablée et en statique. Aucun serveur DHCP
internet <-> adsl Livebox 3 Sagem <-> Openwrt router <-> PC, TV, imprimante
Le port wan du routeur est connecté à un port ethernet de la Livebox
Je peux accéder aux périphériques dans le subnet 192.168.2.0 mais je ne peux ni accéder à la Livebox ni accéder à internet.
Par contre, dès que je reviens dans le réseau 192.168.1.0, je peux me connecter au net à travers le routeur Openwrt mais évidemment, je ne peux plus accéder à ce dernier.
J'ai cherché un cas similaire sur le net, pas grand chose, la majorité des configurations se faisant avec DHCP.
Où se cache l'erreur, (les erreurs)? Merci d'avance pour toute piste.
Mon fichier Debian /etc/network/network/interfaces
auto lo
iface lo inet loopback
auto eth1
iface eth1 inet static
address 192.168.2.23
network 192.168.2.0
netmask 255.255.255.0
broadcast 192.168.2.255
gateway 192.168.2.1
up route add -host 192.168.2.7 dev eth1
up route add -host 192.168.2.10 dev eth1
mtu 1492
allow-hotplug eth1
Openwrt /etc/config/network
config interface 'loopback'
option ifname 'lo'
option proto 'static'
option ipaddr '127.0.0.1'
option netmask '255.0.0.0'
config globals 'globals'
config interface 'lan'
option force_link '1'
option type 'bridge'
option proto 'static'
option netmask '255.255.255.0'
option ip6assign '60'
option ipaddr '192.168.2.4'
option _orig_ifname 'eth0.1 radio0.network1 radio1.network1'
option _orig_bridge 'true'
option ifname 'eth0.1 eth0.2'
option gateway '192.168.2.1'
option dns '192.168.1.1'
config interface 'wan'
option _orig_ifname 'eth0.2'
option _orig_bridge 'false'
option proto 'static'
option netmask '255.255.255.0'
option ifname 'eth0.2'
option gateway '192.168.1.1'
option ipaddr '192.168.1.19'
option dns '192.168.1.1'
config switch
option name 'switch0'
option reset '1'
option enable_vlan '1'
config switch_vlan
option device 'switch0'
option vlan '1'
option ports '0t 1t 2 3 4 5'
option vid '1'
config switch_vlan
option device 'switch0'
option vlan '2'
option ports '0t 1'
option vid '2'
config route
option interface 'wan'
option target '192.168.1.0'
option netmask '255.255.255.0'
option gateway '192.168.1.1'
#Openwrt /etc/config/firewall
config rule
option target 'ACCEPT'
option src 'wan'
option proto 'tcp'
option dest_port '80'
option name 'http'
option dest 'lan'
option src_port '80'
option dest_ip '192.168.2.4'
config rule
option target 'ACCEPT'
option src 'wan'
option proto 'tcp'
option dest_port '443'
option name 'https'
option dest 'lan'
option src_port '443'
option dest_ip '192.168.2.4'
config rule
option name 'Allow-Ping'
option src 'wan'
option proto 'icmp'
option icmp_type 'echo-request'
option family 'ipv4'
option target 'ACCEPT'
option enabled '0'
config defaults
option syn_flood '1'
option input 'ACCEPT'
option output 'ACCEPT'
option forward 'REJECT'
config zone
option name 'lan'
option input 'ACCEPT'
option output 'ACCEPT'
option mtu_fix '1'
option masq '1'
option forward 'REJECT'
option network 'lan'
config zone
option name 'wan'
option output 'ACCEPT'
option mtu_fix '1'
option input 'ACCEPT'
option forward 'ACCEPT'
option network 'wan'
config include
option path '/etc/firewall.user'
config redirect
option target 'DNAT'
option src 'wan'
option proto 'tcp'
option dest_port '80'
option name 'http'
option src_port '80'
option dest 'lan'
option dest_ip '192.168.2.4'
config redirect
option target 'DNAT'
option src 'wan'
option proto 'tcp'
option dest_port '443'
option name 'https'
option src_port '443'
option dest 'lan'
option dest_ip '192.168.2.4'
config redirect
option target 'DNAT'
option dest 'lan'
option proto 'tcp'
option dest_port '2049'
option name 'NFS'
option src 'lan'
option src_port '2049'
option dest_ip '192.168.2.4'
config forwarding
option dest 'wan'
option src 'lan'
config forwarding
option dest 'lan'
option src 'wan'
Problème résolu de la façon suivante (cf commentaires)
Résumé des changements:
* gateway de Debian /etc/network/interfaces= adresse IP du lan (192.168.2.4). L'IP de la gateway coté wan est celle de la Livebox (192.168.1.1)
* changer le routage sur OpenWrt
* ajouter les DNS, ajuster MTU
* désactiver le bridge sur le lan
* retirer "option masq '1' " de la zone lan et ajouter cette option à la zone wan
Le masquerading permet de contourner le problème de la Livebox 3 Sagem d'Orange qui n'offre plus la possibilité du routage.
Cette expérience de configuration OpenWrt m'a beaucoup apporté concernant la compréhension du fonctionnement du réseau. Merci à tous ceux qui, ici et ailleurs, m'ont aidé à corriger les erreurs.
** Ci dessous la conf minimum qui marche mais qui est certainement à améliorer, notamment du coté du firewall:**
#Openwrt /etc/config/network
config interface 'loopback'
option ifname 'lo'
option proto 'static'
option ipaddr '127.0.0.1'
option netmask '255.0.0.0'
config globals 'globals'
config interface 'lan'
option force_link '1'
option proto 'static'
option netmask '255.255.255.0'
option ip6assign '60'
option ipaddr '192.168.2.4'
option _orig_ifname 'eth0.1 radio0.network1 radio1.network1'
option _orig_bridge 'true'
option mtu '1492'
option ifname 'eth0.1'
config interface 'wan'
option _orig_ifname 'eth0.2'
option _orig_bridge 'false'
option proto 'static'
option netmask '255.255.255.0'
option ifname 'eth0.2'
option gateway '192.168.1.1'
option ipaddr '192.168.1.19'
option mtu '1492'
option dns '81.253.149.9 80.10.246.1'
config switch
option name 'switch0'
option reset '1'
option enable_vlan '1'
config switch_vlan
option device 'switch0'
option vlan '1'
option ports '0t 1t 2 3 4 5'
option vid '1'
config switch_vlan
option device 'switch0'
option vlan '2'
option ports '0t 1'
option vid '2'
config route
option interface 'wan'
option gateway '192.168.1.1'
option target '0.0.0.0'
option netmask '0.0.0.0'
#Openwrt /etc/config/firewall
config rule
option target 'ACCEPT'
option src 'wan'
option proto 'tcp'
option dest_port '80'
option name 'http'
option dest 'lan'
option src_port '80'
option dest_ip '192.168.2.4'
config rule
option target 'ACCEPT'
option src 'wan'
option proto 'tcp'
option dest_port '443'
option name 'https'
option dest 'lan'
option src_port '443'
option dest_ip '192.168.2.4'
config rule
option name 'Allow-Ping'
option src 'wan'
option proto 'icmp'
option icmp_type 'echo-request'
option family 'ipv4'
option target 'ACCEPT'
option enabled '0'
config defaults
option syn_flood '1'
option input 'ACCEPT'
option output 'ACCEPT'
option forward 'ACCEPT'
config zone
option name 'lan'
option input 'ACCEPT'
option output 'ACCEPT'
option mtu_fix '1'
option network 'lan'
option forward 'ACCEPT'
config zone
option name 'wan'
option output 'ACCEPT'
option mtu_fix '1'
option input 'ACCEPT'
option forward 'ACCEPT'
option network 'wan'
option masq '1'
config include
option path '/etc/firewall.user'
config redirect
option target 'DNAT'
option src 'wan'
option proto 'tcp'
option dest_port '80'
option name 'http'
option src_port '80'
option dest 'lan'
option dest_ip '192.168.2.4'
config redirect
option target 'DNAT'
option src 'wan'
option proto 'tcp'
option dest_port '443'
option name 'https'
option src_port '443'
option dest 'lan'
option dest_ip '192.168.2.4'
config redirect
option target 'DNAT'
option dest 'lan'
option proto 'tcp'
option dest_port '2049'
option name 'NFS'
option src 'lan'
option src_port '2049'
option dest_ip '192.168.2.4'
config forwarding
option dest 'lan'
option src 'wan'
config forwarding
option dest 'wan'
option src 'lan'
config redirect
option target 'SNAT'
option src 'lan'
option dest 'wan'
option proto 'all'
option name 'subnetpriv'
option src_ip '192.168.2.4'
option dest_ip '192.168.1.19'
option src_dip '192.168.1.19'
option src_port '1-65000'
option dest_port '1-65000'
#Debian /etc/network/interfaces
auto lo
iface lo inet loopback
auto eth1
iface eth1 inet static
address 192.168.2.23
network 192.168.2.0
netmask 255.255.255.0
broadcast 192.168.2.255
gateway 192.168.2.4
mtu 1492
allow-hotplug eth1
# A la louche
Posté par nono14 (site web personnel) . Évalué à 2.
Ton réseau sait pas accéder derrière le routeur openwrt.
Il faut ajouter une route statique sur la live box vers celui-ci.
Système - Réseau - Sécurité Open Source - Ouvert à de nouvelles opportunités
[^] # Re: A la louche
Posté par Maderios . Évalué à 1.
Contrairement au modèle précédent, la nouvelle livebox 3 (la "play" qui est fournie en standard) ne permet pas de configurer le routage. Il faut passer à la livebox dite "pro". No comment… C'est pour cette raison que j'ai fait du masquerading pour tenter de contourner le problème.
# Networking
Posté par Denco . Évalué à -10.
Salut, sollicitation d'aide a mon problème. merci
je veux configurer un iMac sur mon réseau le partager avec mon Windows serveur 2012 R2 et faire des restriction sur les droits d'accès a certains données du serveur. merci de m'aider
j'ai déjà essayé en
. le créant dans un groupe d'utilisateur sur mon serveur
. changeant le nom d'utilisateur sur l'iMac
. nommant le même nom du domaine active directory
. fixant l’adresse DNS sur l'iMac
mon serveur ne le vois pas et l'iMac aussi
# DNS ?
Posté par ptit_poulet . Évalué à 0.
Bonjour,
Logiquement avec votre installation il n'y a pas grand chose à faire.
J'ai déjà mis en place une install du même type si le port WAN du routeur OpenWRT est bien configuré, pour les client connecté sur celui-ci tout est parfaitement transparent.
Par contre ne s'agirait-il pas d'un problème dns.
Par exemple pouvez-vous pinguer 8.8.8.8 depuis un client connecté sur OpenWRT ?
# route par defaut manquante sur openWRT
Posté par NeoX . Évalué à 2.
la config me semble bien, mais il manque une route par defaut dans openWRT.
je changerais cela
en
pour que tous les reseaux demandés (internet y compris) soit envoyé vers la gateway 192.168.1.1.
# IP passerelle
Posté par Donk . Évalué à 2.
Dans la config de Debian, tu mets l'option gateway à 192.168.2.1, mais l'ip lan de ton routeur est 192.168.2.4.
Pourquoi as-tu mis la ligne option gateway '192.168.2.1' dans la config du port lan de ton routeur?
[^] # Re: IP passerelle
Posté par Maderios . Évalué à 1. Dernière modification le 23 février 2015 à 22:13.
Effectivement, l'ip de la gateway coté machine client est bien celle du lan, erreur grossière réparée ce matin…
J'ai fait des modifications sur la route, ajouté un SNAT, les DNS du serveur Orange, ajusté à la MTU à 1492 (1500 n'a jamais fonctionné chez moi). Fait étrange, à partir de l'interface graphique Luci de Openwrt, ping, traceroute et nslookup fonctionnent normalement alors qu'aucune connection à la livebox ou au web n'est possible depuis une console ou le navigateur.
Bizarre encore: je peux me connecter à l'interface de Openwrt coté wan http://192.168.1.19/cgi-bin/luci/
Les nouveaux paramètres:
[^] # Re: IP passerelle
Posté par deuzene (site web personnel) . Évalué à 0.
J'avoue ne pas avoir tout lu, mais un truc idiot m'est venu à l'esprit. Ta box est-elle bien configurée en mode bridge ? Ça m'est arrivé, et j'ai mis un moment à m'en rendre compte :<
« Il vaut mieux mobiliser son intelligence sur des conneries que mobiliser sa connerie sur des choses intelligentes. »
[^] # Re: IP passerelle
Posté par Maderios . Évalué à 1.
Ma box est une Livebox 3 Sagem de base louée chez Orange, n'offrant aucun mode bridge (contrairement à la freebox parait-il) et aucune possibilité de paramétrer un routage.
# Modifications
Posté par Maderios . Évalué à 1.
J'ai désactivé le bridge sur le lan
config interface 'lan'
option force_link '1'
option proto 'static'
option netmask '255.255.255.0'
option ip6assign '60'
option ipaddr '192.168.2.4'
option orig_ifname 'eth0.1 radio0.network1 radio1.network1'
option _origbridge 'true'
option mtu '1492'
option ifname 'eth0.1'
La connection internet depuis le lan ne marche pas sauf en tant que root@OpenWrt. Dans ce cas je peux pinguer les hosts, installer les softwares OpenWrt depuis Luci ou la console.
[^] # Re: Modifications
Posté par Maderios . Évalué à 1.
Le problème est résolu. Les changements sont mentionnés à la fin du post. Merci à tous ceux qui, ici et ailleurs, m'ont aidé à corriger les erreurs.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.