CV
Datacenter

Range ta BiBox Bouygues

Toujours dans le but d'augmenter la sécurité, et aussi parce que ça fait toujours plaisir d'acheter un peu de matos IT. Je viens d'adjoindre une pièce cruciale à mon infrastructure qui faisait jusque là défaut (pour quelqu'un qui s'auto-herberge). Un chouette routeur Netgear R7000, équipé d'un bon CPU dual coeur pour faire tourner OpenVPN Évidemment comme toute personne de bon sens, a peine déballée, la bête a directement pris un flash firmware entre les deux yeux, pour remplacer le firmware d'usine moisit et installer Advanced Tomato en lieu en place. On ne va pas introduire de gros bloatware dans notre infra.

Under contrôle :

Sur Internet ne faire confiance à personne. Et surtout pas à votre FAI. Que vous postiez des services chez vous ou que vous soyez un simple Internaute. Ce genre d'investissement, me parait assez primordial. Il vous permet de prendre le contrôle complet sur votre réseau. Dans mon cas il relègue également la Box Internet au rang de simple modem ADSL (oui j'ai une connexion du XXeme siècle). Malheureusement terminé l'époque on l'on pouvait complètement dégager les Box des FAI pour les remplacer par nos propres modems routeurs.

Advanced Tomato est une surcouche graphique au firmware Tomato by Shibby, il existe plusieurs firmware opensource comme DDWRT Ou OpenWRT ... mon choix s'est porté sur les tomates simplement car l'interface était cool ... (Et les fonctionnalités attendues sont évidemment au rendez-vous).

Advanced Tomato inclus divers features très pro comme :

  • Monitoring de bande passantes avec de jolis graphiques en javascript.
  • De la QoS avancée.
  • Connexion SSH au routeur
  • Tunning Wifi fin et professionnel (jusqu’à la puissance des ondes émises).
  • VPN Client and Server.
  • Règles de firewalling/routage avancées.
  • Server NAS

Avant de débrancher votre existant, prenez soin de noter toutes les adresses IP + Mac de tous vos matos connectés à la Box FAI (surtout si vous avez des machines en IP Fixe ça vous évitera des galères).

L'affaire est désormais réglée puisque le routage est désormais effectué par mon routeur avec un firmware sous mon contrôle. L'entrée sur l'infra après le routeur qui fait office de premier filtre, est ensuite assuré par Packet Filter, un firewall BSD doté d'une énorme paire de couilles. Prend ça dans ton cul Bouygues.

Je vous poste un petit schéma d'infra. Dans mon cas le routeur vient s'interconnecter à la place de la box du FAI. Cette dernière faisait office de routage interne et voyait passer le flux HTTP entre le frontal Nginx et les différents services tournant dans des jails (Oui je suis un aficionados de FreeBSD ...) ce qui ne me plaisait guère.

Chez moi ça donne quelque chose comme ça :

Un peu de conf :

Ayant passé une petite soirée à intégrer le matos dans mon infra je donne quelques tips à qui sera intéressé pour inclure sans douleurs le matos sur votre infra.

Pour la mise à jour de votre routeur vers un firmware OpenSource vous trouverez de bon guide sur le net, évitez de réaliser l'opération en Wifi branchez vous directement sur un port LAN de votre nouveau routeur.

  1. Notez toutes les ip + adresses MAC de vos clients / pc actuellement en place sur votre box.
  2. Configurer votre box FAI en DHCP sur une plage d'IP différente de la plage d'ip de votre futur LAN 172.16.0.X , votre routeur récurera une IP en 172.16.0.x (définissez une plage DHCP de une seule IP) Si comme moi vous n'avez pas de mode bridge, les FAI verrouillent de plus en plus ce mode "manuels". C'est important d'avoir deux range d'IP différentes entre votre WAN et votre futur LAN qui sera en 192.168.0.x (dans mon cas.) Sinon vous observerez des problèmes de routages, connexion au net ...
  3. Si vous utilisiez le Wifi de votre Box pour vous connecter à Internet avec votre PC, laissez le en place le temps des opérations cela vous servira.
  4. Brancher le port WAN (jaune) de votre routeur sur un port libre de votre box FAI.
  5. Brancher un cable entre votre PC et un port LAN de votre routeur (pendant que vous restez connecter à Internet par le Wifi de la box FAI)
  6. Connecter vous sur l'ip par défaut du routeur -192.168.1.100- de mémoire, vous arrivez sur l'interface d'administration d'Advanced Romato

Il va désormais falloir configurer à minima votre nouveau routeur.

  1. En commençant par le port WAN assurer vous que ce dernier soit configuré pour recevoir une IP attribué en DHCP par votre box.
  2. Assurer vous que le VLAN id 0 n'est pas utiliser cela peut poser des soucis, commencer à l'id 1
  3. Votre routeur doit désormais recevoir une ip de la part de la box (en 172.16.0.x)
  4. Configurer votre LAN sur la plage d'IP de votre choix (mais différente de 172.16.0.x), vous pouvez jouer avec les masques et sous réseau mais autant se simplifier la vie et utiliser un réseau privé différent (en 192.168.X.X)
  5. Si vous semblez avoir des problèmes de connexion ne pas hésiter à redémarrer toute la chaîne (BOX + Routeur).
  6. Il faut maintenant configurer vos éléments pour qu'ils se connectent (Soit en DHCP automatiquement soit en IP static, n'oubliez pas de définir votre routeur en passerelle par défaut).
  7. Si comme moi vous avez des services hébergés sur votre ligne, la redirection de port se fera désormais sur votre Routeur.

Et voilà vous devriez désormais avoir accès à Internet, par votre routeur, n’oubliez pas de désactiver le Wifi de votre BoxFAI, mettre des mots de passe complexes partout.