Category Archives: routage

Protéger son réseau des vulnérabilités de l’IOT

pfSense, Réseau, routage, , ,

Préambule

Avec la prise de conscience de tout un chacun d’être une cible potentielle de tous les escrocs 3.0 de la planète, le niveau de sécurisation de nos PC a relativement augmenté. Les éditeurs logiciel jouent aussi leur rôle dans cette amélioration. Grâce à une meilleur conception des défenses systèmes, aux pré-installations d’antivirus et de firewall ainsi qu’aux patchs correctifs délivrés automatiquement et du moment que l’on respecte les règles élémentaires en matière de sécurité, nos machines désormais moins faciles à infecter. Mais qu’en est-il des objets connectés qui sont présents sur notre réseau et sur lesquels nous ne pouvons pas intervenir pour en renforcer la sécurisation? Sans possibilité de pouvoir intervenir sur ces équipements comme nous pouvons le faire pour nos PC, que nous reste-t-il comme solution pour protéger son réseau des vulnérabilités de l’IOT?

Malheureusement, les prises de conscience ainsi que les différents outils et processus mis en place pour garantir la sécurisation de nos machines personnelles n’ont pas été pas été généralisés aux autres équipements. Fréquemment, faute d’appliquer des correctifs logiciels qui bien souvent n’existent même pas, les objets connectés sont des passoires. Pour les hackers l’IOT est le nouveau sésame qui ouvre grandes les portes des réseaux privés. Caméras, smart TV, enceintes connectées, pour n’en citer que quelques uns, se multiplient dans nos maisons. Une prolifération qui augmente le risque de voir son réseau domestique être victime d’une attaque ayant pour origine les nombreuses vulnérabilités présentes dans ces équipements.

Après avoir agit pour mieux sécuriser chacune de nos machines personnelles, il devient urgent de protéger son réseau des vulnérabilités de l’IOT. A cette fin, je préconise 2 mesures. Tout d’abord, l’isolation des objets connectés avec la création d’un réseau dédié à l’IOT. Ensuite, l’ajout d’un firewall réseau qui assurera l’étanchéité entre le LAN dédié à l’IOT et le reste du réseau domestique.

Les équipements nécessaires

Isoler son réseau IOT requiert la création de 2 réseaux physiquement séparés. Ces 2 réseaux auront chacun leurs propres équipements Wifi, câbles Ethernet et prises CPL. La question qui vient à l’esprit c’est pourquoi une séparation physique couteuse quand on pourrait séparer logiquement avec des VLAns? Ce que je peux répondre c’est qu’avec les routeurs “prosumers” il est très difficile de router de façon sure et isolée des vlans de bout en bout via du wifi. Certes certains équipements professionnels Cisco assurent brillamment cette fonctionnalité mais…sans les performances Wifi de dingue des matériels prosumers.

La séparation des réseaux est une défense nécessaire mais puisque chacun est connecté à internet, elle n’est pas suffisante. C’est là qu’entre en action le firewall réseau. Son rôle sera de contrôler les connexions réseau vers et depuis internet tout autant que les quelques rares flux que l’on aura autorisés à circuler entre les 2 réseaux.

Aujourd’hui les firewalls jouent bien d’autres rôles que celui du portier qui laisse entrer ou sortir les flux, ils agrègent au sein d’une application unifiée différentes fonctions de sécurisation du réseau (IDS, IPS, Ad blocker, filtrage web, antivirus réseau,…). Ces solutions intégrées de protection du réseau se regroupent sous le nom d’UTM, Unified Threat Management. Après quelques essais d’UTM sur des machines virtuelles, j’ai arrêté mon choix sur la solution pfSense. Essentiellement parce qu’en sus de sa gratuité, pfSense est un des seuls à pouvoir gérer des clients OpenVPN. Ce qui est indispensable si l’on veut “tuneller” son flux internet jusque chez un fournisseur de service d’anonymisation.

Comme je voulais que ma solution UTM joue le rôle de routeur, de serveur DHCP, de client Open VPN et assure différents autres services de protection (IDS, blocker, …), il me fallait trouver l’équipement hardware adéquat. C’est à dire une machine quad core (les instruction AES-NI étant un plus), avec au moins 8Go de RAM et disposant de 4 ports réseau Gigabit. Le choix fut assez rapide, seul le constructeur Protectli offre à la vente ce genre de petite merveille de poche.

Le détail des équipements

Pour le réseau IOT, dit réseau bleu :

  • 1 routeur Asus RT-AC86U en mode routeur
  • 1 routeur Asus RT-AC86U en mode répéteur mesh

Pour le réseau HOME, dit réseau rouge :

  • 1 routeur Asus RT-AC86U en mode routeur
  • 1 routeur Asus RT-AC68U en mode répéteur mesh

Pour l’Appliance firewall pfSense :

  • Un mini PC Protectli Firewall Appliance (Quad Core Celeron,AES-Ni,8Gb Ram,120Go, 4xIntel Ports Gigabit)

La vue réseau

Isolation des équipements IOT sur un réseau dédié

Comme le montre cette vue, j’ai scindé mon réseau domestique en 2 réseaux séparés.

Un réseau rouge (1.1.0.0/16 – SSID WIFI-HOME) sur lequel on trouve les équipements contenant les données sensibles à protéger (PC, NAS, Smartphone). La tête de réseau est constitué par un routeur Wifi configuré en mode AP et connecté au port LAN du firewall. Ce routeur est relayé par un nœud mesh wifi. Situé dans une autre pièce le nœud mesh sert de point d’accès à un PC. Un NAS est attaché à l’AP principale. Ce NAS est accessible par toutes les machines du réseau rouge. Il sert de backup et de serveur multimédia.

Un réseau bleu (1.2.0.0/16 – SSID WIFI-IOT) sur lequel on trouve les équipements potentiellement vulnérables et qui ne contiennent aucune données sensibles (TV, Caméra, Enceinte connectée, …). La tête de ce réseau est constitué par un routeur Wifi configuré en mode AP et connecté au port OPT1 du firewall. Ce routeur est relayé par un nœud mesh wifi. Situé dans une autre pièce le nœud mesh sert de point d’accès à un ensemble d’équipements multimédia. Une règle firewall autorise les équipements du réseau bleu à pouvoir établir une connexion sur le port du serveur multimédia qui est localisé dans le réseau rouge.

Le wifi de la box ADSL a été laissé actif. C’est un troisième réseau (192.168.1.0/24) qui sert de wifi guest. Les invités disposent ainsi d’une possibilité d’accès internet sans pour autant accéder aux 2 réseaux privés.

Vous aurez pu noter l’existence d’une exception à l’isolation des équipements IOT. En effet un imprimante est présente sur le réseau rouge alors qu’idéalement elle devrait être sur le réseau bleu. La raison c’est que les capacités de connectivité de cette imprimante sont limitées. Elle est incapable de fonctionner correctement avec des clients situés dans une autre zone réseau que la sienne. J’ai donc dû me résoudre à intégrer cette imprimante au sein du réseau rouge mais tout en ajoutant des règles firewall strictes qui bloquent toute connexion vers le LAN dont elle serait à l’origine.

Installation de pfSense

Le firewall pfSense est à installer sur le mini pc protectli. Si un OS était installé sur le mini pc il sera remplacé par celui de pfSense . L’installeur est à télécharger ici https://www.pfsense.org/download/ .

Le plus simple consiste à réaliser l’installation depuis une clé USB en connectant le mini pc à un écran et à un clavier le temps de réaliser l’installation initiale. Dès que l’interface wan aura été configurée via la console, le firewall sera alors accessible depuis le réseau. La suite de la configuration pourra se faire en remote en utilisant l’interface Web.

De très bon tutoriaux existent sur le sujet, comme ceux disponibles sur le site Protectli https://protectli.com/kb/how-to-install-pfsense-ce-2-4-on-the-vault-2/

Configuration des routeurs

Isoler son réseau IOT demande 2 ensembles de routeurs. Chaque ensemble comprend un routeur Wifi configuré en mode Access Point et un ou plusieurs routeurs relais configurés en mode mesh. Chacun des deux routeurs principaux est à relier physiquement via un câble dans un des ports du firewall pfSense. Les routeurs relais sont à disposer dans votre maison au gré de vos besoins. Ces routeurs mesh servent à la fois de répéteurs et de points d’accès aux équipements dépourvus de Wifi. On configurera le premier ensemble pour émettre le Wifi sur le SSID WIFI-HOME, ce sera votre réseau domestique. Le second pour émettre sur le SSID WIFI-IOT, ce sera votre réseau IOT.

Connexions du mini-pc firewall

Pour le firewall, vous aurez pris le soin d’acheter un mini pc disposant d’au moins 3 ports réseau. En général les ports des appliances firewall sont dénommés WAN, LAN, OPT1, OPT2, etc..

Le port WAN du firewall est à connecter à un port RJ 45 de votre box internet.
Le port LAN du firewall est à connecter au port WAN du routeur Wifi principal HOME.
Le port OPT1 du firewall est à connecter au port WAN du routeur Wifi principal IOT.

Création des interfaces du firewall pfSense

Pour les 3 connexions physiques, vous devez définir dans pfSense 3 interfaces correspondantes . Les interfaces se configurent et se crées depuis le menu Interfaces. Par défaut pfSense aura déjà créé les interfaces Wan et Lan, il vous reste néanmoins à les configurer selon vos besoins.

L’interface WAN : Cette interface doit avoir une adresse IP conforme au réseau de votre box internet, par exemple 192.168.1.30 si l’adresse de votre box est 192.168.1.1. Dans la page configuration pfsense, vous pouvez choisir de donner une adresse statique ou demander une adresse dynamique qui sera allouée par le DHCP de votre box internet.

General Configuration
– Enable                  : ✓
– Description        : WAN
– IP V4                     : DHCP
– IP V6                     : None
– Mac Address        : laisser la valeur par défaut
– MTU                      : vide
– MSS                       : vide
– Speed and Duplex : Default
DHCP Client Configuration 
– laisser vide
Reserved Networks
– Block private networks : ✓
– Block bogons networks : ✓

L’interface LAN :
General Configuration
– Enable                  : ✓
– Description        : LAN
– IP V4                     : Static IPv4
– IP V6                     : None
– Mac Address        : laisser la valeur par défaut
– MTU                      : vide
– MSS                       : vide
– Speed and Duplex : Default

Static IPv4 Configuration 
– IPv4 Address : 10.1.1.100 / 16

Reserved Networks
– Block private networks : ✓
– Block bogons networks : ✓

L’interface IOTLAN (OPT1):
Dans pfSense les interfaces logiques qui correspondent aux ports physiques, WAN, LAN, OPT1, OPT2 … ont pour identifiants respectifs igb0, igb1, igb2, igb3
L’interface logique igb1 qui correspond au port OPT1 n’existe pas par défaut, vous devez la créer.

Pour cela :
– ouvrez le menu Interface/Interfaces Assignments
– dans la liste Available network ports sélectionnez igb1
– puis cliquez sur + ADD

L’interface OPT1 est alors créée. Pour la configurer cliquez sur le lien OPT1 qui vient d’apparaitre dans la page, puis saisissez :

General Configuration
– Enable                  : ✓
– Description        : IOTLAN
– IP V4                     : Static IPv4
– IP V6                     : None
– Mac Address        : laisser la valeur par défaut
– MTU                      : vide
– MSS                       : vide
– Speed and Duplex : Default

Static IPv4 Configuration 
– IPv4 Address : 10.2.1.100 / 16

Reserved Networks
– Block private networks : ✓
– Block bogons networks : ✓

Règles firewall pour l’accès internet

Les règles par défaut du firewall n’autorisent que les communications au sein d’un même réseau. Ainsi par défaut , les machines et équipements du réseau LAN peuvent communiquer entre eux, tout comme ceux du réseau IOTLAN peuvent le faire entre-eux. Par contre les communications entre les 2 réseaux sont bloquées, ainsi que les accès vers le réseau WAN, c’est à dire vers le réseau internet puisque si vous avez suivi ce tutorial votre port WAN est connecté à votre box internet.

Autoriser sur LAN les connexions sortantes à destination d’internet :

Afin que les équipements et les machines du réseau LAN puissent accéder à internet vous devez ajouter la règle firewall qui autorise les flux à sortir de LAN vers WAN.

Pour ce faire :
Ouvrez la page Firewall/Rules
Cliquez sur LAN

Dans la page Firewall/Rules/LAN qui s’affiche:
Cliquez sur ADD (flèche vers le bas)

Dans la page Firewall/Rules/Edit qui s’affiche, saisissez :

Edit Firewall Rule :

  • Action : Pass
  • Disabled : vide
  • Interface : LAN
  • Adresse Family : IPv4
  • Protocol : Any

Source :
Sélectionnez la valeur LAN net

Destination
laissez les valeurs par défaut (any)

Cliquez sur le bouton Display Advanced, dans la section qui s’affiche :
– Pour le paramètre Gateway sélectionnez Interface WAN
– laissez les valeurs par défaut dans le reste de la section.

Terminez la création de la règle par Save

Au final vous devez obtenir une nouvelle règle assez similaire à celle -ci :

Important : Bien évidemment la règle que nous venons de créer n’autorise que les flux vers internet dont la connexion a été initiée depuis le réseau LAN. Les flux qui seraient initiés depuis internet à destination du LAN restent heureusement totalement bloqués. Dans le cas où vous voudriez autoriser un flux internet entrant à accéder à une machine de votre réseau, il vous faudrait créer une règle firewall de type Redirection de port (Port Forward)

Autoriser sur IOTLAN les connexions sortantes à destination d’internet :

Ouvrez la page Firewall/Rules
Cliquez sur IOTLAN

Dans la page Firewall/Rules/LAN qui s’affiche:
Cliquez sur ADD (flèche vers le bas)

Dans la page Firewall/Rules/Edit qui s’affiche, saisissez :
Edit Firewall Rule :

  • Action : Pass
  • Disabled : vide
  • Interface : IOTLAN
  • Adresse Family : IPv4
  • Protocol : Any

Source :
Sélectionnez la valeur IOTLAN net

Destination
laissez les valeurs par défaut (any)

Cliquez sur le bouton Display Advanced, dans la section qui s’affiche :
– Pour le paramètre Gateway sélectionnez Interface WAN
– laissez les valeurs par défaut dans le reste de la section.

Terminez la création de la règle par Save

Au final vous devez obtenir une nouvelle règle assez similaire à celle -ci :

Configuration du service DHCP

Dernière étape, pour que vos 2 réseaux soient pleinement fonctionnels vous devez configurer le serveur DHCP qui alimentera en adresse IP les machines et équipements de vos 2 réseaux internes.

Configuration du DHCP pour le réseau LAN:
Cliquez dans le menu Services/DHCP Server
Sélectionner la première interface LAN.

Dans la section Général Options,
contentez vous de cochez la case Enable DHCP server on LAN interface
puis d’indiquer un range, comme par exemple :
– From : 10.1.3.100
– To : 10.1.3.254
Laissez vide les options de toutes les sections suivantes.

Pour faciliter la gestion des vos équipements, je vous conseille de déclarer des adresses statiques et en particulier celles de vos routeurs .

Pour cela :

Dans la section Save DHCP Static Mappings for this Interface,
cliquez sur +Add
puis dans le formulaire qui s’ouvre saisissez :

  • Mac Adress : l’adresse mac de votre équipement
  • IP Adress : L’adresse IP choisie pour votre équipement
  • Hostname : un nom de host pour votre équipement
  • Description : la description texte de votre équipement
  • Ignorez les autres champs
  • terminez votre saisie en cliquant le bouton Save

Remarque : certains équipement, tels que les routeurs, disposent de plusieurs adresses mac, une pour le réseau LAN, une pour le Wifi 5Ghz et une autre pour le réseau Wifi 2Ghz. Dans un tel cas il vous faudra déclarer dans la table de mapping statique jusqu’à 3 fois la même adresse IP, une fois pour chacune des 3 adresses mac.

Configuration du DHCP pour le réseau IOTLAN:
Cliquez dans le menu Services/DHCP Server et sélectionner la seconde interface IOTLAN, puis répétez la même opération que précédemment en ajustant simplement le range d’adresses IP à la plage 1.2.0.0/16 utilisée sur ce réseau.

Pour finir

Si vous avez plus ou moins suivi les étapes précédentes pour isoler votre réseau IOT, vos 2 réseaux devraient être pleinement fonctionnels et protégés avec la configuration par défaut du firewall pfSense. Vous pouvez dores et déjà connecter vos PC, smartphones, NAS, tablettes sur le réseau LAN et les objets connectés (smart tv, enceintes, caméra, imprimantes…) sur le réseau IOT. Si vos équipements sont paramétrés pour obtenir automatiquement une adresse IP, le serveur DHCP du firewall pfSense devrait leur en fournir une en conformité de la plage d’adresse du réseau où ils se trouvent.

A noter qu’avec cette configuration initiale, les serveurs DNS utilisés seront ceux de votre fournisseur d’accès internet. En effet, l’interface WAN est paramétrée pour demander une adresse IP auprès le DHCP de votre box internet ainsi que l’adresse IP du serveur DNS à utiliser . Ce serveur DNS se trouve être la box elle-même, box qui en définitive ne fait que transférer les requêtes DNS vers les DNS de votre FAI. Dans un autre article je vous expliquerai comment configurer les 2 réseaux pour que chacun utilise un DNS différent, mais aussi comment utiliser pfSense pour qu’il endosse lui-même le rôle de serveur DNS.

Firmware Asuswrt-Merlin

merlin, routage
Le beur et l’argent du beur.

Le firmware Asuswrt-Merlin est un firmware non officiel compatible avec la plupart des routeurs personnels de la gamme Asus. Ce firmware est développé par un passionné qui se fait connaître sous le nom de …R.Merlin. L’avantage du firmware Merlin est que contrairement à bien d’autres firmwares de routeurs communautaires il ne vient pas en remplacement mais en extension du firmware officiel. Cela signifie que si vous l’installez alors vous continuez de disposer de toutes les fonctionnalités présentes en standard sur votre routeur, vous gagnez en nouvelles fonctionnalités sans en perdre aucune, le bénéfice est total. Il faut également savoir que son auteur travaille en étroite collaboration avec l’équipe de développement du constructeur et qu’en plus cette dernière réintègre très fréquemment dans le firmware officiel des modules développés dans les releases Asuswrt-Merlin. Réciproquement, Merlin est très réactif et propose une nouvelle version de son firmware propiétaire dès la sortie des nouvelles versions du firmware officiel.  Le firmware, open source, Asuswrt-Merlin est un must, il est un des critères principaux dans le choix définitif de la marque Asus lors de l’acquisition d’un routeur.

Elle est fraîche ma tomate.

Dès l’instant où votre but est de faire passer toutes vos connexions internet via un vpn anonyme, l’acquisition d’un routeur capable de faire tourner un client open vpn est le choix qui s’impose. Pour les routeurs il existe 2 catégories de firmwares communautaires disposant d’un client open vpn embarqué, il s’agit des firmwares  dd-wrt  et tomato. Il existe assez peu de routeurs qui dans leur version officielle propose l’un ou l’autre de ces firmwares.  Par conséquent dans la plupart du temps pour disposer d’un client open vpn sur votre routeur vous devez substituer le firmware officiel par une version dd-wrt ou tomato dédiée à votre routeur, le revers de la médaille est que vous perdez toutes les fonctionnalités propriétaires qui seraient présentes en standard sur votre routeur.  Bonne nouvelle, le firmware Asuswrt-merlin intègre un module client vpn tomato, et comme nous l’avons dit précédemment, cerise sur le gâteau, nous ne perdons aucune des fonctionnalités  offertes par les routeurs Asus.

Menu du jour, grillade.

Le firmware s’installe à la manière d’un upgrade du firmware Asus :
1 – Vous téléchargez le zip de la dernière version qui correspond à votre routeur sur le site de téléchargement officiel RMerlin .
2 – Vous décompressez le zip.
3 – Dans l’interface web d’administration du routeur vous ouvrez l’onglet “mise à jour du microcode” présent dans le menu “Administration“.
4 – Cliquez sur parcourir et pointez sur le fichier “RT-****.trx” que vous venez de décompresser.
5 – Finalement, vous cliquez sur charger pour démarrer la mise à jour.

Comptez 2 à 3 minutes pour l’upgrade. Alors surtout, une chose : RE-LA-XE!  Le routeur Asus RT-AC68U est virtuellement incassable, les autres modèles sont surement conçus de la même étoffe de super héros, mais à vous de vérifier…  Ainsi, si par le plus grand des hasards votre mise à jour venait à échouer, le routeur dispose d’une fonction de restauration qui permet en cas de catastrophe de recharger proprement la version de  firmware que vous voulez (consultez la documentation!). Donc, aucune raison d’hésiter, on se grille une version!

Fromage et dessert.

Le site de R.Merlin se trouve ici vous y trouverez en autre chose les liens vers le le site de téléchargement des firmwares et celui du site wiki qui héberge la documentation.

Outil indispensable dès qu’on veut écrire quelques scripts, voire quelques formulaires web  pour lancer ces scripts, le code source est intégralement disponible sous un projet de la plateforme github. Grace au module de recherche vous pouvez ainsi trouver aisément la source du module d’une fonctionnalité . Par exemple le code source des pages de l’interface web d’administration sont dans le répertoire https://github.com/RMerl/asuswrt-merlin/tree/master/release/src/router/www. En étudiant ces pages vous pouvez trouver quelle commande shell correspond à telle ou telle fonction de l’interface d’administration et ainsi pouvoir la réutiliser dans votre propre script shell. L’autre module intéressant dans ce genre d’exercice est le code du micro serveur web disponible dans ce répertoire   https://github.com/RMerl/asuswrt-merlin/tree/master/release/src/router/httpd

Et pour finir, la communauté des utilisateur du firmware Asuswrt-Merlin dispose d’un forum très actif où R.Merlin et les autre membres se feront un plaisir de répondre à vos éventuelles questions.

Configuration du routeur RT-AC68U derriere une Box ADSL (II/II)

routage

Préambule

Cette page est la seconde partie d’un article décrivant l’installation dans un réseau personnel d’un routeur connecté derrière une box adsl. Dans cette partie je vous indique comment paramétrer le routeur RT-AC68U pour réaliser le réseau personnel dont vous trouverez la description et les schémas ici.

Vous noterez certainement quelques différences entre les captures d’écrans proposées ici et l’interface affichée par votre routeur Asus. La raison est que la le routeur qui sert ici de démonstration tourne sous le firmware Merlin qui bien que non officiel est largement diffusé dans la communauté Asus.  Vous trouverez plus de détails sur le firmware Asuswrt-Merlin dans cet article.

Branchement du RT-AC68U dans sa phase de configuration.

Pour plus de facilité, la configuration du routeur, au moins au début, ne doit pas se faire via sa connexion wifi mais via une connexion câble. Malheureusement par défaut, l’adresse IP du routeur est 192.168.1, c’est à dire la même que notre box adsl. Dans ces conditions on peut difficilement installer le routeur en le connectant sur notre notre réseau actuel. La façon la plus simple consiste alors à connecter de manière isolée  le routeur sur le pc qui va nous servir à le configure.  Pour cela :
1)  on commence par retirer le pc de toute connexion au réseau (on coupe le wifi et/ou on débranche le cable réseau)
2) on met ensuite le pc hors tension
3) On connecte un port Lan du routeur (connecteur jaune, voir photo ci-dessous) au connecteur réseau du pc via un câble réseau
4) On place le routeur sous tension, on attend une trentaine de secondes
5) On met sous tension le PC.

Les ports du routeurs Asusu RT-AC68U
Les ports du routeurs Asusu RT-AC68U (en jaune les ports lan)

Suite à cette opération, le PC devrait avoir reçu une adresse IP  grâce à  la fonction DHCP du routeur et être ainsi en mesure d’atteindre la console web d’administration. Pour le vérifier, depuis un navigateur démarrez l’interface web d’administration à l’adresse http://192.168.1.1

mire login RT-AC68U
mire de connexion du RT-AC68U

Si la mire de de connexion s’affiche, bingo, vous pouvez passez à la suite , sinon si  aucune fenêtre de connexion ne s’affiche, vérifiez que l’adresse ip de votre pc est une adresse de type 192.168.1.x . Pour cela commencez par  ouvrir une invite de commande ( presser simultanément sur les touches Image de la touche Windows et R  ,  entrer cmd puis valider avec ok), ensuite dans la fenêtre de l’invite de commande saisir ipconfig puis exécuter avec la touche entrée.

ipconfig
ipconfig

 Si l’adresse qui est listée n’est pas quelque chose comme 192.168.x,  il est possible que ce soit parce que votre pc n’est pas paramétré pour recevoir automatiquement une adresse IP, il vous faut donc vous même lui affecter une adresse IP compatible ou le configurer pour qu’il fasse appel à la fonction DHCP du routeur. Dans le cas où vous ne savez pas comment on configure sous windows une adresse IP fixe, cette page explique comme faire.

Paramétrage du routeur RT-AC68U

Une fois démarré l’interface web d’administration à l’adresse http://192.168.1.1
vous saisissez le user et le mot de passe qui par défaut sont admin et admin .

A la première connexion au routeur l’interface est en mode wizard. C’est avec ce wizard que nous allons  commencer la configuration.

Écran d’accueil du wizard
Écran d’accueil du wizard

 Dans le cas où ce wizard ne se déclenche pas, le mieux est de réinitialiser le routeur avec ses paramètres d’usine. Dans le menu Administrateur de l’interface web , se trouve l’onglet Restaurer, avant de réinitialiser le routeur n’oubliez pas d’enregistrer ses paramètres actuels avec la fonction  disponible dans cette même page.  En dernier recours, le routeur dispose également d’un bouton de réinitialisation, consulter la documentation.

Passez les 2 écrans d’accueil du wizard en cliquant sur   Aller  jusqu’à afficher la page de saisie du mot de passe.

Configuration du mot de passe du routeur

wizard page 2
wizard page 2, saisie du mot de passe routeur

Choisissez un mot de passe ayant un bon niveau de sécurité. Une fois votre mot de passe saisi, validez sur  Suivant

 Sélection du mode de fonctionnement du routeur

Sélection du mode
Sélection du mode

Sélectionnez le mode routeur bridge sans fil (par défaut), puis validez sur   Suivant

Configuration du type de connexion internet

Sélection du type de connexton
Sélection du type de connexion internet

C’est sur cet écran de sélection du type de connexion internet que les choses intéressantes commencent. Le routeur étant connecté à une box, c’est cette box qui va gérer la connexion internet, par conséquent on peut totalement ignorer les options PPPoE, PPTP, L2TP qui n’ont d’intérêts que lorsque l’accès à internet se fait à travers  un modem connecté au routeur. Reste alors le choix entre Adresse IP Automatique (DHCP), et Adresse IP Statique. Pour un équipement destiné a demeurer présent sur le réseau 24h/24, le meilleur choix est de lui fournir une adresse IP fixe, d’autant que disposer pour un routeur d’une adresse fixe et connue pourra dans bien des cas faciliter les configurations des autres équipements connectés ou de celles de logiciels (pare-feu, ids,..). Par conséquent sélectionnez l’option Adresse IP Statique.puis validez sur   Suivant

Configuration de l’adresse Internet du routeur (adresse wan)

Configuration du réseau
Configuration du réseau

Nous voici maintenant sur l’écran dédié à la configuration de l’adresse IP externe du routeur. Le routeur ayant 2 adresses, une locale à notre réseau personnel et une externe accessible en dehors de notre réseau personnel, c’est cette seconde adresse que nous configurons ici.

Pour rappel notre schéma réseau est le suivant :

Les 2 zones réseaux résultantes de l'installation du routeur
Les 2 zones réseaux résultantes de l’installation du routeur

Bien que cet écran nous demande de configurer une adresse internet, nous lui indiquons ici une adresse IP locale sur la seconde zone de notre réseau privé (la zone bleue sur notre schéma), néanmoins pour le routeur cette seconde zone réseau constituera le monde extérieur, pour le routeur peu importe en définitive que ce soit un réseau local.

Conformément à notre vue réseau, nous configurons l’adresse externe ainsi :

Adresse IP            : 192.168.1.10
Masque de sous réseau : 255.255.255.0
Passerelle par défaut : 192.168.1.1

Serveur DNS : le dns primaire indiqué par votre F.A.I
Serveur DNS : le dns secondaire indiqué par votre F.A.I

Adresse MAC : laisser vide

Si vous ne connaissez pas les adresse DNS de votre fournisseur d’accès internet vous pouvez utiliser les DNS public google, dont les adresses sont respectivement 8.8.8.8 et 8.8.8.4 . Un conseil, pour éviter d’être traqué par google, il faudra remplacer par celles de votre F.A.I à la première occasion.

Vous terminez la saisie de votre configuration internet en cliquant sur  Suivant  

Le routeur n’étant pas encore connecté à internet, le wizard affiche une page d’échec

Écran d’échec de la connexion internet
Écran d’échec de la connexion internet

Vous ignorez cet écran et passez à la configuration du réseau wifi en cliquant sur  Configuration du sans fil   

Configuration du réseau Wifi

Configuration du wifi
Configuration du wifi

Le routeur Asus RT-AC68U possède 2 bandes de fréquences wifi, une à 2.4Ghz et un à 5Ghz. L’avantage de la bande à 2.4Ghz est d’être compatible avec tous les équipements wifi. L’avantage de la bande à 5Ghz est inversement d’être d’une utilisation moins répandue que la bande à 2.4Ghz et donc d’avoir moins de risque d’être perturbé par des appareils calés sur cette fréquences, tels que les téléphones sans fil,  les radio-alarmes, etc.

L’écran de configuration sans fil reprend les paramètres habituels, il est donc sans mystère. Néanmoins je vous conseillerais de choisir un autre nom que ASUS qui est proposé par défaut pour le nommage des SSID, ceci afin d’éviter de donner des renseignements sur le modèle de votre routeur à tout éventuel pirate qui aurait décidé de s’attaquer à votre connexion wifi. Par exemple saisissez :

2.4Ghz
Nom du réseau (SSID) : HomeWifi
Clé réseau           : UneCLEQuiNePeutPas$eDeviner!!

Vous validez votre saisie en cliquant sur Appliquer le wizard se termine alors en affichant un écran qui récapitule votre configuration globale.

Écran final récapitulatif
Écran final récapitulatif

Juste un mot pour dire que sur cet écran on constate une adresse WAN IP à 0.0.0.0, ceci est tout à fait normal puisqu’à cette étape notre routeur n’a pas été encore relié à la box donc à internet (WAN=internet).

On peut alors quitter définitivement le wizard en cliquant sur Suivant ce qui nous redirige sur l’écran principal de la console d’administration du routeur.

Écran principal de la console d'administration
Écran principal de la console d’administration

En résumé, jusqu’ici le wizard nous a permis de configurer l’interface du routeur située sur la zone externe de notre réseau  (partie bleu sur le schéma) ainsi que de saisir les paramètres wifi du routeur. Il reste donc à configurer l’interface du routeur située sur la seconde zone de notre réseau privé (en rouge sur le schéma)  .

Les 2 zones réseaux résultantes de l'installation du routeur
Les 2 zones réseaux résultantes de l’installation du routeur

 

Configuration de l’adresse locale du routeur

Voici désormais venu le temps de donner une adresse à l’interface locale de notre routeur (adresse rouge 192.168.0.1 sur le schéma) ce qui nous permettra immédiatement après cette opération de pouvoir l’intégrer physiquement à sa place dans le réseau final; c’est à dire à le relier à notre box.  On accède à accès à la page de configuration de l’IP locale en cliquant sur l’entrée Réseau Local présente dans le menu de gauche.

Écran paramétrage de l'adresse Locale
Écran paramétrage de l’adresse Locale

Saisissez la configuration suivante :

Nom du périphérique   : ce que bon vous semble
Adresse IP            : 192.168.0.1
Masque de sous-réseau : 255.255.255.0

Puis valider cliquant sur  Appliquer   A partir de cet instant, l’adresse locale de notre routeur qui jusque là était 192.168.1.1 est devenue 192.168.0.1. De ce fait la console web n’est plus accessible depuis votre navigateur, celui-ci devrait afficher une page d’erreur, pas très grave puisque le temps est venu d’éteindre le pc et le routeur. Alors coupez tout!

Connexion du routeur à la box

Puisque le routeur possède maintenant une adresse IP qui ne rentre pas en conflit avec celle de la box nous pouvons sans crainte établir les connexions filaires entre la box et le routeur.

Après avoir éteint sa box et tous les équipements qui y sont reliés (disques durs, nas, etc..) :

1 : vous déconnectez tous les câbles réseaux présents dans les ports LAN de votre box (pour une box sfr PC1, PC2, PC3, voir photo ci-dessous), y compris ceux qui seraient reliés à des prises CPL, et vous les reconnectez aux ports LAN de votre routeur (en jaune sur la photo ci-dessous), s’il en manque … investissez dans un switch  réseau!!

2 : Ensuite vous connecter le port WAN du routeur (en bleu à gauche sur la photo ci-dessous) à l’un des ports LAN de la box .

Les ports du routeurs Asusu RT-AC68U
Les ports du routeurs Asus RT-AC68U

Les ports de la box adsl
Les ports de la box adsl (sfr box)

A la fin de l’opération vous avez une box qui ne possède plus qu’un seul câble réseau, celui relié au port wan du routeur, et un câble téléphonique connecté à la prise ADSL. Le routeur quant à lui doit avoir récupéré toutes les connexions réseaux qui partaient de la box, et en premier lieu le câble réseau qui descend jusqu’à la prise CPL si bien entendu c’est par ce type de connexion que vous propagez votre réseau personnel.

Si votre configuration a été correctement réalisée, à partir de ce moment votre réseau privé est opérationnel, du moins pour tous vos équipements connectés au réseau câblé. Pour les équipement wifi, il faudra au préalable  modifier leur configuration pour qu’ils n’utilisent plus le SSID de la box mais au choix un des 2 SSID (2.4GHZ ou 5GHZ) qui ont été paramétrés sur le routeur dans la phase d’initialisation wizard, ou et cette option a ma préférence, l’un des autres SSID que vous pouvez créer depuis l’interface d’administration (cf paragraphe plus loin).

Maintenant vous pouvez redémarrer vos équipements, en respectant cet ordre  :
– La box (attendez que le voyant de connexion internet soit au vert)
– Le routeur (attendez une trentaine de secondes)
– Les autres équipements

Vérification de la configuration et de la connexion

Si tout s’est bien passé, depuis votre PC lancez un navigateur et démarrez la console d’administration du routeur qui maintenant est à la nouvelle adresse du routeur c’est à dire https://192.168.0.1

L'écran principal, une fois connecté à internet
L’écran principal, une fois connecté à internet

Cette fois le panel WAN IP devrait être actif et indiquer l’adresse 192.168.1.10 que nous avons choisi lors du paramétrage wizard. Dans le panel client, vous devriez voir apparaitre le nombre de vos équipements qui ont requis une adresse IP auprès du routeur (donc au moins votre PC).

Néanmoins, si le panel WAN s’entêtait à ne pas être coopératif en affichant un statut internet déconnecté, vous pouvez vérifier et corriger si besoin la configuration internet du routeur en vous rendant dans l’écran de paramétrage du Réseau étendu accessible en cliquant sur l’option de même nom présente dans me menu de gauche. Votre configuration devrait alors ressembler à quelque chose comme ça :

Écran de paramétrage du réseau étendu (connexion internet)
Écran de paramétrage du réseau étendu (WAN)

Il est important de vérifier que l’adresse IP de la passerelle (=192.168.1.1) est celle de votre box, et que cette adresse appartient bien au même sous-réseau (=192.168.1.x) que l’adresse externe de votre routeur (=192.168.1.10) , si tel n’est pas le cas modifiez cette dernière adresse en la remplaçant par une adresse appartenant au sous-réseau de votre box (une adresse dont les 3 premiers numéros seront identiques à celle de votre box).

Quelques derniers conseils

Firmware Asuswrt-merlin:

Je le répète encore une fois, si ce n’est pas déjà fait, installez le firmware Asuswrt-merlin, il vous apportera directement dans la console d’administration web de nouvelles possibilités en terme de paramétrages fins de votre routeur. Consultez cet article pour plus d’informations.

Désactivation de la bande 5GHZ  (Merlin):

Par défaut le routeur Asus émet 2 réseaux Wifi, 1 sur la bande 2.4 GHZ et un autre sur la bande GHZ. SI vous n’avez pas besoin de la bande 5Ghz, désactivez là.
Avec un routeur patché Merlin la désactivation d’une bande wifi est possible dans l’onglet “Professionnel” accessible depuis le menu “Sans fil”

Désactiver une bande wifi sur le routeur Asus RT-AC68U firmware Merlin
Désactiver une bande wifi sur le routeur Asus RT-AC68U firmware Merlin

Pour couper le Wifi 5GHZ cliquez en haut de la page sur le lien de votre SSID 5GHZ, puis choisissez l’option “Non” comme valeur du paramètre “Activer la radio“, puis Appliquez votre nouveau paramétrage.

Désactivation des SSID des réseaux wifi principaux :

Je vous conseille de ne pas utiliser les 2 réseaux Wifi créés par défaut sur le routeur et en remplacement de configurer des réseaux Wifi invités. L’avantage du réseau wifi invité c’est qu’il peut être paramétré pour interdire l’accès au réseau local. Ainsi un invité se connectant à ce réseau wifi pourra disposer d’un accès internet sans pour autant avoir accès à l’ensemble des machines de votre réseau. Par conséquent, même si ce n’est pas une protection très efficace, vous pouvez désactiver l’émission du SSID de vos réseaux wifi principaux en choisissant  l’option “Oui” du paramètre “Cacher le SSID” dans l’onglet “Général“du menu “Sans fil

Option cacher le SSID
Option cacher le SSID

Désactivation du Wifi pendant la nuit (Merlin)

Que ce soit en terme d’économie, par mesure de sécurité, le firwmare Merlin donne la possibilité de désactiver l’émission du wifi durant la plage horaire souhaitée. Cette option se trouve sur l’onglet “Professionnel” du menu “Sans fil“. Pour faire apparaître les options de plages horaires, choisissez oui pour la valeur du paramètre “Activer le planificateur sans fil

Activation de la plage horaire d'émission du Wifi (Asus Merlin)
Activation de la plage horaire d’émission du Wifi (Asus Merlin)

 

Conclusion

Voilà, j’espère que cet article vous aura donné les clés qui pouvaient vous manquer dans la création d’un réseau personnel sécurisé, dans le paramétrage du routeur Asus, voire si ce n’était pas le cas au départ vous aura incité à vous pencher sérieusement sur cet aspect architectural que la majorité des technophiles laisse au hasard le soin de gérer.

C’est donc tout pour ce qui concerne l’installation du routeur Asus RT-AC68U, je vous laisse découvrir les nombreuses autres options et vous donne rendez-vous pour d’autres articles un peu plus pointus qui aborderont pêle-mêle, l’installation d’un client vpn, ou encore le paramétrage du routeur sous forme de scripts shells.

 

Un routeur chez-moi, à quoi bon?

routage

Je ne sais pas si vous êtes comme moi? Si vous lisez cette page il y a fort à craindre que oui. Il m’arrive de temps en temps de compter le nombre de machines qui sont connectées à mon réseau personnel. En fait, parler de “machines” n’est plus adapté à la situation. C’est récemment que j’ai pris conscience que le futur annoncé ne l’était plus. Que le futur n’était plus futur, qu’il était désormais notre présent et que sur le réseau les équipements informatiques étaient désormais minoritaires, submergés en nombre par les objets connectés. Au jour précis ou j’écris ces lignes si je fais l’exercice, en ajoutant téléphones, chaines hifi, télévision, décodeurs, blue-rays, disques multimédias, pcs, tablettes, portables, imprimantes, etc, j’atteins sans problème la vingtaine d’unités matérielles disposant d’un accès lan ou wifi. Ce qui commence à faire un peu trop de monde pour laisser toute cette ménagerie se connecter à internet librement sans avoir son propre mot à dire. Dans la plupart des réseaux privés, ce mot à dire, c’est la box du provider internet qui le donne. Sa configuration étant en général limitée aux options de bases de la gestion de réseau, on est d’office privé de toutes les potentialités qui sont pourtant disponibles librement sur les systèmes comme linux. Plus puissant que la box surement déjà obsolète de votre provider, plus ouvert que les quelques et rares fonctions qu’elle offre à moniseur tout le monde, le routeur sous système linux s’avère être le choix le plus judicieux quand on veut disposer de toute la palette de fonctions de routage et de protection du réseau.

Sans y voir un classement par ordre prioritaire, vous profiterez de l’ajout d’un routeur sur votre réseau dans ces cas de figures :

– Vous avez un nombre important de périphériques connectés à internet.
– Vous voulez séparer votre réseau en plusieurs parties étanches.
– Vous aimeriez avoir plusieurs spots wifi, un pour vous, un pour vos invités, etc.
– Vous voulez interdire les périphériques connectés au wifi d’atteindre votre lan
– Vous aimeriez un spot Wifi N alors que votre box ne dispose que de Wifi G 54Mbps
– Vous suspectez la présence d’un logiciel espion et vous voudriez loguer toutes connexions qui sortent vers internet.
– Vous voulez une DMZ entre votre réseau et votre box.
– Vous voulez connecter votre réseau privé vers un second réseau privé distant via un vpn
– Vous voulez que toutes les connexions internet se fassent via un compte vpn anonyme

Au delà de toutes ces fonctionnalité offertes de base par la présence d’un routeur, pour peu que vous optiez pour un système ouvert et documenté, vous aurez a disposition une véritable machine linux dédié au routage ce qui vous permettra de réaliser à peu près tout ce qui vous passe par la tête.

Configuration du routeur RT-AC68U derriere une Box ADSL (I/II)

routage

Préambule

Cet article présente les étapes nécessaires à l’installation dans un réseau personnel d’un routeur bridge connecté derrière une box adsl.  L’article est divisé en 2 parties. Dans cette première partie je vous présente sous forme  de schémas l’organisation logique du réseau personnel qui en découle . Dans la partie suivant, je vous indique copies d’écrans à l’appui, le paramétrage à effectuer sur un routeur RT-AC68U pour arriver à mettre en place ce réseau.

Votre réseau personnel, sans routeur.

Ok, on a entre les mains son beau routeur tout neuf, reste à lui trouver une place. Pas une place dans votre maison, ça je vous laisse faire, mais une place sur le réseau, ou plus exactement une place sur les réseaux. Un routeur étant principalement conçu pour gérer des connexions d’un réseau vers un autre, il va sans dire qu’on ne va pas avoir peur de sauter le pas en scindant le réseau actuel en 2, c’est même là tout l’intérêt de la manip.

Normalement votre réseau actuel devrait ressembler à quelque chose comme ça

Votre réseau actuel sans routeur
Votre réseau actuel sans routeur

Sur ce réseau, 192.168.1.x, schématisé en bleu, on trouve  en premier lieu une box adsl (ou cable), qui n’est rien d’autre qu’un ensemble routeur et modem sous une même boîte et qui donc possède 2 adresses IP.  Tout d’abord une adresse IP  “internet” (ou adresse wan), elle est fournie automatiquement par votre fournisseur d’accès  (173.12.8.17 dans ce schéma). Cette adresse IP est ce qui raccroche votre réseau personnel au monde extérieur c’est à dire à internet.  Ensuite elle possède une autre adresse IP (192.168.1.1 dans l’exemple), mais cette fois c’est une adresse IP locale à votre réseau personnel et inaccessible du monde extérieur. Cette adresse est en général fixe , elle ne varie jamais, elle est configurée quelque part dans une page de paramétrage de votre box. C’est via cette adresse IP que le tout le trafic de votre réseau  personnel à destination du web passe obligatoirement pour être transféré vers internet,  pour faire court c’est l’adresse de la passerelle qui relie votre réseau vers le réseau internet; passerelle ou gateway en anglais.  Enfin sur ce réseau bleu, constitué physiquement de vos câbles, de vos hubs ethernet, de vos prises cpl, de vos ondes wifi, sont connectés différents équipements: imprimantes, pc, tablettes. Bien souvent, chacun de ces équipements est configuré pour obtenir dynamiquement son adresse IP, une adresse qui est temporaire et qui varie à chaque fois que vous les rallumez. C’est la fonction DHCP de votre Box qui génère, réserve puis communique cette adresse à l’équipement connecté au réseau; par exemple à chaque fois que vous le rallumez ou bien à chaque fois que votre tablette se connecte de nouveau à votre wifi.

Votre nouveau réseau personnel, avec le routeur.

Un routeur est avant tout un équipement qui sert à faire transiter le trafic des données d’un réseau A vers un autre réseau B (et inversement). Par construction un routeur est donc physiquement connecté à 2 réseaux. Dans le cas d’un routeur, on nomme interface la représentation logique de cette connexion physique, notion d’interface que l’on retrouvera au niveau logiciel lorsqu’il s’agira par exemple de paramétrer le routeur.

Un des intérêts principaux de l’ajout d’un routeur sur son réseau c’est de pouvoir séparer sa box adsl de son réseau personnel. Le routeur se place alors entre le réseau personnel et la box et agit comme un firewall. Si on en revient à cette notion d’interface, une des interfaces sera connectée au réseau personnel, la seconde interface sera connectée à la box ce qui de ce fait sous-entend que nous créons pour cette box un second réseau.

Pour réaliser cette séparation nous devons repérer l’endroit où la box et le réseau sont physiquement reliés car c’est ici que s’intercalera le routeur (croix rouge sur le schéma ci-dessous).

séparation du réseau bleu et de la box
Séparation du réseau personnel et de la box.

Une fois le routeur en place, le schéma des connexions est celui-ci

Installation du routeur entre réseau et la box adsl
Installation du routeur entre réseau et la box adsl

Reste désormais à représenter les 2 nouveaux réseaux qui résultent de l’installation du routeur. La stratégie adoptée ici c’est de ne pas toucher à la configuration de la box, on lui laisse son adresse ip actuelle (192.168.1.1) ce qui signifie que notre ancien réseau bleu (192.168.x) va se réduire maintenant à la portion congrue entre le routeur et la box. Quant au reste du réseau physique, celui sur quel se trouve PC, imprimante, tablette, nous lui attribuons la nouvelle zone logique 192.168.0.x, et la couleur rouge sur le schéma ci-dessous.

Les 2 zones réseaux résultantes de l'installation du routeur
Les 2 zones réseaux résultantes de l’installation du routeur

Un mot sur notre routeur, on voit non seulement qu’il sépare physiquement les 2 réseaux rouge et bleu, mais aussi qu’il dispose de 2 adresses différentes, 192.168.0.1 sur le réseau rouge, notre réseau personnel, et 192.168.1.10 sur le réseau bleu. Pour tous les équipements du réseau rouge, seule l’adresse 192.168.0.1 comptera. Quand depuis notre PC, nous voudrons configurer le routeur via son interface  web c’est l’adresse 192.168.0.1 que nous utiliserons. Quand nous voudrons configurer un équipement avec une adresse IP fixe sur le réseau rouge, c’est aussi l’adresse 192.168.0.1 qu’il faudra donner comme adresse de passerelle. Quant à son adresse 192.168.1.10 sur le réseau bleu nous pourrons totalement l’oublier.

Au niveau de la configuration des équipements, ceux dont la configuration réseaux est paramétrée pour recevoir automatiquement une adresse IP (via DHCP), le changement de zone réseau de 192.168.1.x à 192.168.0.x sera totalement transparente, ils recevront une nouvelle adresse correcte dès la première mise en route . Pour les autres, dont le paramétrage précise une adresse IP statique, ce changement de zone réseau nécessite une modification de leur configuration réseau afin de préciser leur nouvelle adresse IP et éventuellement l’adresse de la nouvelle passerelle (c’est à dire l’adresse du routeur sur le réseau rouge, soit 192.168.0.1).  Point important, sur le schéma, on peut constater que c’est le routeur qui sert de spot wifi (rouge) au sein de notre réseau personnel, les paramètres de connexion wifi (nouvel SSID et nouvelle clé) sont donc à modifier  sur les équipements sans fil impactés (tablettes, ordinateurs portables, iphones, etc).

Vous pouvez également remarquer sur le schéma que la box adsl continue d’émettre un signal wifi (bleu). Ainsi nous pouvons très bien laisser les équipements sans fil se connecter à ce wifi bleu afin de  disposer d’un accès à internet. Par contre en se connectant au wifi bleu, un équipement se verra attribuer une adresse locale au réseau bleu, il deviendra alors pour lui impossible d’atteindre tout équipement du réseau rouge, la présence du routeur lui barrant par défaut cet accès (c’est d’ailleurs le but visé par notre installation!). Ainsi un portable connecté au wifi bleu est dans l’impossibilité d’atteindre l’imprimante locale ou  l’accès à un répertoire partagé du PC du réseau rouge. Cette restriction d’accès peut être vu comme un moyen de disposer d’un wifi invité restreint. Il faut néanmoins savoir que le routeur RT-AC68U peut diffuser plusieurs spots wifi différents, avec pour chacun d’eux l’option d’interdire ou non aux équipements connectés au wifi l’accès au réseau local. De ce fait laisser la box continuer à émettre un signal wifi même pour disposer d’un wifi invité n’a plus vraiment de raison d’être.  Je vous conseille donc de couper le signal wifi de votre box pour que ce soit le routeur qui gère toutes les connexions wifi et en assure la sécurité.

Pour le paramétrage effectif du routeur, la suite de l’article c’est par ici.