OpenWrt - Adressage IP et Interfaces

sudo apt-get remove Windows --force

Billet

1 - Configuration d'origine

Par défaut OpenWrt est livré avec la configuration suivante :

  • on a deux zones pare-feu : wan et lan
  • les ports wifi sont désactivés
  • le port ethernet de la zone wan est en IP dynamique
  • ce port est protégé en entrée par le pare-feu et toutes les requêtes sortantes sont en Masquerading
  • les autres ports erthernet sont dans la zone lan, pontés , affectés de l'adresse IP 192.168.1.1
  • le service DHCP est activé dans la zone lan sur la plage d'adresse 192.168.1.100 à 192.168.1.250


2 - Segmentation du réseau

Pour configurer le routeur, il faut définir les besoins :

  • de combien de zones pare-feu a-t-on besoin, et dans quel but ?
  • quelles interfaces permettrons les échanges entre ces zones ?
  • quelle segmentation et plan d'adressage va-t-on utiliser pour toutes ces zones ?

2.1 - Configuration proposée :


En supplément de la configuration de base, nous ajouterons deux zones :

  • une DMZ ( zone démilitarisée) pour un NAS qui fait office de serveur Web et de Cloud
  • une zone GUEST pour la connexion des invités en Wifi

Définition des Zones du réseau

La zone lan sera renommée family elle est réservée à tous les appareils de la famille (ordinateurs, tablettes, smartphones...). Pour bien distinguer les zones des interfaces, nous utiliserons les désignations en minuscules : wan, dmz, family et guest.

2.2 - Définition des Interfaces :

Pour déservir ces quatre zones, nous aurons cinq interfaces :

  • WAN : flux vers la zone wan en IP v4 sur le port Ethernet wan
  • WAN6 : flux vers la zone wan en IP v6 sur le port Ethernet wan
  • DMZ : flux vers la zone dmz en IP v4 exclusivement sur le port Ethernet lan1
  • FAMILY : flux vers family par le câble en IP v4 exclusivement sur le port Ethernet lan2 et par le Wifi en IP v4 exclusivement sur les ports Wifi radio0 et radio1
  • GUEST : flux vers guest par le Wifi en IP v4 exclusivement sur le port Wifi radio0

2.3 Adressage des zones :

Zone wan :

La zone wan est la zone extérieure au réseau domestique. Ce peut être directement l'accès à internet, dans notre cas ce sera l'accès vers le routeur du fournisseur d'accès qu'on appelle communément la box. Cette box a pouradresse 192.168.1.1 L'interface wan aura pour adresse : 192.168.1.250__.

Zone wan6 :

L'IPv6 n'est pas routée par ma box, je supprime wan6

Zone dmz :

Au sein de la zone DMZ, les machines font office de serveur, elles doivent avoir des adresses IP fixes.

* Bloc d'adresses réseau : 192.168.200.0/29	
* Plage d’adresses : 192.168.200.1 à 192.168.200.6
* Masque : 255.255.255.248
* Broadcast : 192.168.200.7

L'adresse de l'interface dmz sera : 192.168.200.1
Il restera 5 adresses pour des postes en IP fixe :
de 192.168.200.2 à 192.168.200.6

Zone family :

Pour la zone family on aura :

* Bloc d'adresses réseau : 192.168.201.0/24	
* Plage d’adresses : 192.168.201.1 à 192.168.201.254
* Masque : 255.255.255.0
* Broadcast : 192.168.201.255

L'adresse de l'interface sera : 192.168.201.1
Le service DHCP autorisera des connexions sur les adresses : 
192.168.201.30 à 192.168.201.49

Zone guest

La zone guest permettra aux invités de se connecter au Wifi sans avoir accès aux appareils de la famille. L'adressage sera dynamique, sur un nombre réduit d'adresses :

* Bloc d'adresses réseau : 192.168.202.0/29	
* Plage d’adresses : 192.168.202.1 à 192.168.202.6
* Masque : 255.255.255.248
* Broadcast : 192.168.202.7

L'adresse de l'interface sera : 192.168.202.1
Le service DHCP autorisera des connexions sur les adresses :
192.168.202.2 à 192.168.202.6 (5 invités au maximum)




3 - Création des interfaces :

Avant de créer les interfaces, nous allons devoir faire le ménage. Attention à l'ordre des opérations, vous devez garder à tout moment le contact avec le routeur via une un des deux ports LAN. Je vous rappelle que le port WAN est bloqué en entrée par le pare-feu.

3.1 - Adressage de WAN et suppression de WAN6

On édite WAN

Protocol : Static Adress
Device : wan
IPv4 address : 192.168.1.250
IPv4 Netmask : 255.255.255.0
IPv4 gateway : 192.168.1.1
IPv4 broadcast : 192.168.1.255

Le service DHCP est désactivé en IPv4 et IPv6, il n'y aura pas de conflit avec le service DHCP de la box.

On clique sur Save.

On supprime WAN6 en cliquant sur Delete.

Enfin, on clique sur Save & Apply.

3.2 - Libération du port lan1

LAN occupe les ports lan1 et lan2 grâce au pont (bridge) br-lan. Il faut libérer lan1 pour le réserver à la DMZ.

Sur la page Network > Interfaces dans l'onglet Devices, on configure br-lan. Dans Bridge ports, on décoche lan1, puis on clique sur Save puis Save & Apply.

Pour maintenir le dialogue, il faut que le câble de liaison soit branché dans le port lan2.

3.3 - Création de l'interface dmz

Pour créer de nouvelles interfaces, il faut aller dans Network > Interfaces, puis Add new interface

Add new interface

Name : dmz
Protocol : Static address
Device : lan1

Puis cliquer sur Create interface

IPv4 address : 192.168.200.1
IPv4 netmask : 255.255.255.248
IPv4 gateway : 192.168.1.1
IPv4 broadcast : 192.16.200.7

On clique sur Save puis Save & Apply

Le service DHCP est désactivé par défaut. Il n'est pas attendu sur cette interface.

A ce stade, il faut brancher le câble de liaison dans le port lan1 pour tester la connexion via l'adresse 192.168.200.1. Attention à bien changer l'adresse IP du poste utilisé pour l'administration du routeur en lui donnant par exemple l'adresse 192.168.200.2

On teste l'affichage de la page d’administration du routeur à l'adresse : 192.168.200.1

3.4 - Création de l'interface Family

Quand on est certain d'avoir le dialogue avec l'interface dmz via le port lan1.

On supprime l'interface LAN.

On crée l'interface FAMILY

Add new interface

Name : family
Protocol : Static address
Device : br-lan

Puis cliquer sur Create interface

IPv4 address : 192.168.201.1
IPv4 netmask : 255.255.255.0
IPv4 gateway : 192.168.1.1
IPv4 broadcast : 192.16.201.255

On clique sur Save puis Save & Apply

On teste cette nouvelle interface en branchant le câble dans le port lan2. On change de nouveau l'adresse IP du poste utilisé pour l'administration du routeur en lui donnant par exemple l'adresse 192.168.201.2

On teste l'affichage de la page d’administration du routeur à l'adresse : 192.168.201.1

On peut paramétrer le service DHCP en éditant l'interface family puis en allant dans l'onglet DHCP Server, dans General Setup

Start : 30
Limit : 20
Lease time : 24h

Le service DHCP est désactivé par défaut pour l'IPv6

On clique sur Save puis Save & Apply

On peut tester la connexion en basculant l'interface du poste utilisé en adresse dynamique (Automatique DHCP). Quand on va sur la page Network > DHCP and DNS, dans l'onglet Static Leases, dans la rubrique Active DHCP Leases, on voit notre poste connecté avec une adresse aléatoire comprise entre 192.168.201.30 et 192.168.201.49.

3.5 - Création de l'interface guest

Nous allons nous contenter de créer l'interface sans associer le wifi, nous verrons cette association ultérieurement.

Name : guest
Protocol : Static address
Device : unspecified

Puis cliquer sur Create interface

IPv4 address : 192.168.202.1
IPv4 netmask : 255.255.255.248
IPv4 gateway : 192.168.1.1
IPv4 broadcast : 192.168.202.7

On clique sur Save puis Save & Apply

On peut paramétrer le service DHCP en éditant l'interface guest puis en allant dans l'onglet DHCP Server, dans General Setup

Start : 2
Limit : 5
Lease time : 12h

Le service DHCP est désactivé par défaut pour l'IPv6

On clique sur Save puis Save & Apply

4 - Serveur DNS

Il reste une dernière étape de configuration à éxécuter pour garantir l'accès aux ressources internet à partir des zones dmz, family et guest. Il faut déclarer un serveur DNS.

Ce serveur DNS peut être local en utilisant PiHole sur une carte Raspberry Pi par exemple, ou bien externe en utilisant des serveurs DNS publics, par exemple CloudFlare à l'adresse : 1.1.1.1

Sur la page Network > Interfaces

Il faut éditer les zones dmz, family et guest une à une, aller sur l'onglet Advanced Settings et ajouter le serveur dans la rubrique Use custom DNS servers.


5 - Résumé

Nous avons segmenté le réseau privé pour avoir trois zones privées : dmz, family et guest.
Nous avons créé les interfaces de ces trois zones en paramétrant leur IP ainsi que leur service DHCP.


À ce stade la communication n'est pas établie entre les zones et nous n'avons pas paramétré les autorisations de trafic entre elles. Le Routeur n'est pas opérationnel.


Sources :

Calculatrice de sous-réseau pour IPV4 :
https://www.site24x7.com/fr/tools/ipv4-sous-reseau-calculatrice.html


OpenWrt : 1 - Prise en main / 2 - Adressage IP et Interfaces / 3 - Pare-feu / 4 - Wifi

Ajouter un commentaire

Les commentaires peuvent être formatés en utilisant une syntaxe wiki simplifiée.

La discussion continue ailleurs

URL de rétrolien : https://objnux.fr/index.php?trackback/122