2 - Segmentation du réseau
Pour configurer le routeur, il faut définir les besoins :
- de combien de zones pare-feu a-t-on besoin, et dans quel but ?
- quelles interfaces permettrons les échanges entre ces zones ?
- quelle segmentation et plan d'adressage va-t-on utiliser pour toutes ces zones ?
2.1 - Configuration proposée :
En supplément de la configuration de base, nous ajouterons deux zones :
- une DMZ ( zone démilitarisée) pour un NAS qui fait office de serveur Web et de Cloud
- une zone GUEST pour la connexion des invités en Wifi
Définition des Zones du réseau
La zone lan sera renommée family elle est réservée à tous les appareils de la famille (ordinateurs, tablettes, smartphones...). Pour bien distinguer les zones des interfaces, nous utiliserons les désignations en minuscules : wan, dmz, family et guest.
2.2 - Définition des Interfaces :
Pour déservir ces quatre zones, nous aurons cinq interfaces :
- WAN : flux vers la zone wan en IP v4 sur le port Ethernet wan
- WAN6 : flux vers la zone wan en IP v6 sur le port Ethernet wan
- DMZ : flux vers la zone dmz en IP v4 exclusivement sur le port Ethernet lan1
- FAMILY : flux vers family par le câble en IP v4 exclusivement sur le port Ethernet lan2 et par le Wifi en IP v4 exclusivement sur les ports Wifi radio0 et radio1
- GUEST : flux vers guest par le Wifi en IP v4 exclusivement sur le port Wifi radio0
2.3 Adressage des zones :
Zone wan :
La zone wan est la zone extérieure au réseau domestique. Ce peut être directement l'accès à internet, dans notre cas ce sera l'accès vers le routeur du fournisseur d'accès qu'on appelle communément la box. Cette box a pouradresse 192.168.1.1 L'interface wan aura pour adresse : 192.168.1.250__.
Zone wan6 :
L'IPv6 n'est pas routée par ma box, je supprime wan6
Zone dmz :
Au sein de la zone DMZ, les machines font office de serveur, elles doivent avoir des adresses IP fixes.
* Bloc d'adresses réseau : 192.168.200.0/29 * Plage d’adresses : 192.168.200.1 à 192.168.200.6 * Masque : 255.255.255.248 * Broadcast : 192.168.200.7 L'adresse de l'interface dmz sera : 192.168.200.1 Il restera 5 adresses pour des postes en IP fixe :
de 192.168.200.2 à 192.168.200.6
Zone family :
Pour la zone family on aura :
* Bloc d'adresses réseau : 192.168.201.0/24 * Plage d’adresses : 192.168.201.1 à 192.168.201.254 * Masque : 255.255.255.0 * Broadcast : 192.168.201.255 L'adresse de l'interface sera : 192.168.201.1 Le service DHCP autorisera des connexions sur les adresses :
192.168.201.30 à 192.168.201.49
Zone guest
La zone guest permettra aux invités de se connecter au Wifi sans avoir accès aux appareils de la famille. L'adressage sera dynamique, sur un nombre réduit d'adresses :
* Bloc d'adresses réseau : 192.168.202.0/29 * Plage d’adresses : 192.168.202.1 à 192.168.202.6 * Masque : 255.255.255.248 * Broadcast : 192.168.202.7 L'adresse de l'interface sera : 192.168.202.1 Le service DHCP autorisera des connexions sur les adresses : 192.168.202.2 à 192.168.202.6 (5 invités au maximum)
3 - Création des interfaces :
Avant de créer les interfaces, nous allons devoir faire le ménage. Attention à l'ordre des opérations, vous devez garder à tout moment le contact avec le routeur via une un des deux ports LAN. Je vous rappelle que le port WAN est bloqué en entrée par le pare-feu.
3.1 - Adressage de WAN et suppression de WAN6
On édite WAN
Protocol : Static Adress Device : wan IPv4 address : 192.168.1.250 IPv4 Netmask : 255.255.255.0 IPv4 gateway : 192.168.1.1 IPv4 broadcast : 192.168.1.255
Le service DHCP est désactivé en IPv4 et IPv6, il n'y aura pas de conflit avec le service DHCP de la box.
On clique sur Save.
On supprime WAN6 en cliquant sur Delete.
Enfin, on clique sur Save & Apply.
3.2 - Libération du port lan1
LAN occupe les ports lan1 et lan2 grâce au pont (bridge) br-lan. Il faut libérer lan1 pour le réserver à la DMZ.
Sur la page Network > Interfaces dans l'onglet Devices, on configure br-lan. Dans Bridge ports, on décoche lan1, puis on clique sur Save puis Save & Apply.
Pour maintenir le dialogue, il faut que le câble de liaison soit branché dans le port lan2.
3.3 - Création de l'interface dmz
Pour créer de nouvelles interfaces, il faut aller dans Network > Interfaces, puis Add new interface
Add new interface Name : dmz Protocol : Static address Device : lan1
Puis cliquer sur Create interface
IPv4 address : 192.168.200.1 IPv4 netmask : 255.255.255.248 IPv4 gateway : 192.168.1.1 IPv4 broadcast : 192.16.200.7
On clique sur Save puis Save & Apply
Le service DHCP est désactivé par défaut. Il n'est pas attendu sur cette interface.
A ce stade, il faut brancher le câble de liaison dans le port lan1 pour tester la connexion via l'adresse 192.168.200.1. Attention à bien changer l'adresse IP du poste utilisé pour l'administration du routeur en lui donnant par exemple l'adresse 192.168.200.2
On teste l'affichage de la page d’administration du routeur à l'adresse : 192.168.200.1
3.4 - Création de l'interface Family
Quand on est certain d'avoir le dialogue avec l'interface dmz via le port lan1.
On supprime l'interface LAN.
On crée l'interface FAMILY
Add new interface Name : family Protocol : Static address Device : br-lan
Puis cliquer sur Create interface
IPv4 address : 192.168.201.1 IPv4 netmask : 255.255.255.0 IPv4 gateway : 192.168.1.1 IPv4 broadcast : 192.16.201.255
On clique sur Save puis Save & Apply
On teste cette nouvelle interface en branchant le câble dans le port lan2. On change de nouveau l'adresse IP du poste utilisé pour l'administration du routeur en lui donnant par exemple l'adresse 192.168.201.2
On teste l'affichage de la page d’administration du routeur à l'adresse : 192.168.201.1
On peut paramétrer le service DHCP en éditant l'interface family puis en allant dans l'onglet DHCP Server, dans General Setup
Start : 30 Limit : 20 Lease time : 24h
Le service DHCP est désactivé par défaut pour l'IPv6
On clique sur Save puis Save & Apply
On peut tester la connexion en basculant l'interface du poste utilisé en adresse dynamique (Automatique DHCP). Quand on va sur la page Network > DHCP and DNS, dans l'onglet Static Leases, dans la rubrique Active DHCP Leases, on voit notre poste connecté avec une adresse aléatoire comprise entre 192.168.201.30 et 192.168.201.49.
3.5 - Création de l'interface guest
Nous allons nous contenter de créer l'interface sans associer le wifi, nous verrons cette association ultérieurement.
Name : guest Protocol : Static address Device : unspecified
Puis cliquer sur Create interface
IPv4 address : 192.168.202.1 IPv4 netmask : 255.255.255.248 IPv4 gateway : 192.168.1.1 IPv4 broadcast : 192.168.202.7
On clique sur Save puis Save & Apply
On peut paramétrer le service DHCP en éditant l'interface guest puis en allant dans l'onglet DHCP Server, dans General Setup
Start : 2 Limit : 5 Lease time : 12h
Le service DHCP est désactivé par défaut pour l'IPv6
On clique sur Save puis Save & Apply
4 - Serveur DNS
Il reste une dernière étape de configuration à éxécuter pour garantir l'accès aux ressources internet à partir des zones dmz, family et guest. Il faut déclarer un serveur DNS.
Ce serveur DNS peut être local en utilisant PiHole sur une carte Raspberry Pi par exemple, ou bien externe en utilisant des serveurs DNS publics, par exemple CloudFlare à l'adresse : 1.1.1.1
Sur la page Network > Interfaces
Il faut éditer les zones dmz, family et guest une à une, aller sur l'onglet Advanced Settings et ajouter le serveur dans la rubrique Use custom DNS servers.
5 - Résumé
Nous avons segmenté le réseau privé pour avoir trois zones privées : dmz, family et guest.
Nous avons créé les interfaces de ces trois zones en paramétrant leur IP ainsi que leur service DHCP.
À ce stade la communication n'est pas établie entre les zones et nous n'avons pas paramétré les autorisations de trafic entre elles. Le Routeur n'est pas opérationnel.
Sources :
Calculatrice de sous-réseau pour IPV4 :
https://www.site24x7.com/fr/tools/ipv4-sous-reseau-calculatrice.html
OpenWrt : 1 - Prise en main / 2 - Adressage IP et Interfaces / 3 - Pare-feu / 4 - Wifi
La discussion continue ailleurs
URL de rétrolien : https://objnux.fr/index.php?trackback/122