En réponse à la demande et afin de pouvoir aider d'autres personnes, je crée un topic sur mon expérience de routeur multiwan.
En bon dealabsien, mon projet consistait à mettre en place plusieurs connexions internet à bas prix et permettre de changer d'opérateur internet sans perturber le quotidien (téléphonie, netflix, appareils connectés, etc...).
OpenWRT
Mon premier test a été avec une neufbox 4 recyclée sur du OpenWrt. L'installation est un peu compliquée pour le premier venu : openwrt.org/toh…nb4
J'ai pu créer 2 WAN mais les perfs dûs à la box m'ont vite incité à passer à autre chose.
Celà dit, pour ceux qui seraient malgré tout intéressés pour recycler du matériel obsolète, voir ici :
wiki.openwrt.org/doc…an3
Le paquet MWAN3 permet de gérer du failover et du load balancing. On peut donc créer 2 connexions internet, 1 principale, une 2e de backup.
Je ne m'éterniserai pas sur OpenWRT mais vous trouverez une multitude de forums et tuto sur le net.
TP-LINK TL-R470T+ et TL-ER5120
J'ai pu ensuite me faire la main avec un petit routeur multiwan 100Mb/s bon marché, le TP-LINK rt470t+ : amazon.fr/TP-…%2B
On trouve de bons tutos sur le net et une vidéo explique même comment mettre en place du multiwan : google.fr/url…A2A
On peut faire un failover, loadbalancing, link aggregation. Le tout est plutôt intuitif et bien fait.
Le service client répond assez vite par mail, ce qui est un plus.
On peut même tester l'interface du routeur depuis un simulateur sur le site du fabricant : tp-link.com.pl/res…htm
J'ai décidé ensuite de me prendre un TL-ER5120 amazon.fr/TP-…120, car gigabit contrairement au précédent. Si vous décidez de connecter plusieurs WAN ADSL, le TL-R470T+ peut être suffisant. Mais en cas de VDSL, fibre, connexion 4G de bonne réception/qualité, vous serez vite saturés en 100Mb/s.
La configuration est identique au routeur précédent. Un bémol, pas d'option "IPTV" dans la partie "Network" contrairement au TL-R470T+.
Je n'avais pas pu le tester derrière une freebox donc je ne sais pas si ça fonctionnait correctement. Mais avec un TL-ER5120 il m'a juste été impossible de faire passer le flux TV de la freebox sur plus d'un destinataire car pas possible de tagger en Vlan 100.
La bidouille consiste à créer un "Virtual server" depuis la WAN de la freebox, à destination de la machine de destination (pc, décodeur tv, etc...) avec les plages de ports adéquates (le mien est éteint actuellement, je complèterai le post ultérieurement pour les bons paramètres fonctionnels).
Le gros inconvénient de cet appareil réside dans l'absence de vrai journal d'évenement. Je ne sais pas si c'était un problème de mon appareil, de la version mais n'étaient disponibles que les accès utilisateur vers l'appareil, problème évoqué sur de nombreux forums. Par contre il semblerait que le TL-R470T+ aille plus loin (cf le simulateur en lien plus haut, dans "Maintenance -> Logs").
PFsense
En discutant sur ce magnifique sujet du Huawei 593
https://www.dealabs.com/dis…001 (très bon routeur 4G qu'on retrouve régulièrement à moins de 40€ dealabs.com/sea…593), modpbrobe me conseille alors de tester PFsense (merci encore ).
Après quelques paramétrages, il me reste des choses à paufiner (comme le multicast d'une freebox pour la TV).
Il faut savoir que la distribution existe pour des appareils dédiés prêts à l'emploi, mais va falloir sortir le chéquier : pfsense.org/pro…ts/
On peut virtualiser pfsense dans une VM ou reconditionner un ancien pc.
Pour ma part, j'ai pu mettre la main sur un ancien Watchguard XTM505 parfaitement fonctionnel.
Pour l'installation, un disque dûr sata suffit (idéalement un 2.5", le mettre dans un pc, booter sur un dvd ou clé usb (images dispo ici pfsense.org/dow…ad/) et installer par défaut sur le disque dûr.
J'avais suivi un tuto pour un modèle différent avec besoin de flasher le bios, etc... ce modèle permet de booter directement sur le disque dûr.
L'avantage du boîtier Watchguard, c'est les ports gigabits, du matériel pro et rackable dans une armoire de brassage.
Par défaut, seuls les ports 1 et 2 fonctionnent (1 pour WAN et 2 pour LAN), libre à chacun de rajouter une interface.
Je manquais de détails sur les logs avec l'appareil de TP-LINK, je suis plus que servit avec Pfsense!!!
Le dashboard est customisable à souhait, on peut ajouter les graphiques de traffics de l'interface que l'on veut, l'état du load balancer, du portail captif, du vpn, etc...
J'ai un VPN sur un NAS Synology et je ne voulais pas tout refaire sur le Pfsense (il peut faire serveur VPN, bien sûr), donc la première chose a été de créer une règle NAT dans "Firewall - > NAT", puis choisir l'interface (la WAN d'arrivée), la destination (une ip ou réseau), le port de destination, la "redirect target IP" (adresse de destination pour la règle NAT).
Une règle de firewall est automatiquement créée et liée à celle du NAT.
On peut limiter le débit de chaque connexion, d'un pc particulier, sur une WAN précise, etc... Pour ce faire, il faut créer un "Limiter" dans 'Firewall -> traffic shaper -> Limiters" et ajouter un nouveau limiter.
J'ai par exemple limité le débit descendant et montant (donc 2 limiteurs) de ma ligne free mobile pour ne pas trop consommer de data. J'ai donc créé un "limiter" de 10Mb/s.
Pour l'affecter, il faut ensuite créer une règle de parefeu LAN en laissant "any" partout, protocole TCP/UDP et dans paramètres avancés choisir la WAN de destination qu'on veut limiter, et dans "IN / Out pipe" choisir le limiteur d'upload (dans la liste de gauche) et de download (à droite).
1. Les bonnes habitudes...
a. créer un nouveau compte administrateur
Commencer par créer un nouveau compte utilisateur dans System->User Manager et l'ajouter au groupe admins, puis désactiver le compte admin par défaut
b. Créer des alias dans Firewall->Aliases
Mettez-y tout ce qui pourrait être utilise pour vos futures règles de parefeu, par exemple une ip de serveur distant et nommez-le par exemple serveurdistant. Lors de la création de vos règles, vous pourrez ensuite saisir serveurdistant à la place de l'ip de ce serveur.
L'intérêt réside dans un éventuel changement d'adresse ip de ce serveur (changement d'opérateur internet par exemple), il suffira de mettre à jour l'alias et non les X règles de parefeu
Il est possible également de mettre des sites internet dans vos alias, ça peut être utile dans du multi-wan et les sites bancaires qui pourraient vous poser problème si vous présentez plusieurs IPs... Dans la partie "IP or FQDN", saisir l'adresse du site, par exemple www.mabanque.fr.
c. Ajouter un compte mail smtp dans System->Advanced->Notifications
Vous pouvez facilement créer un compte sur laposte.net, c'est gratuit, français et marche très bien en smtp.
Les infos à saisir dans cet exemple sont :
- SMTP port of E-Mail server : 465
- Secure SMTP Connection : enable
- From e-mail address : votreadressemail@laposte.net
- Notification E-Mail address : ladressemaildedestination@domaine.com
- Notification E-Mail auth mechanism : LOGIN
2. Gestion des interfaces
a. WAN et LAN
Par défaut, seule une WAN et une LAN sont disponibles (mon cas sur un Watchguard XTM 505, ça peut différer selon le matériel ou si pfsense devait être virtualisé).
Pour gérer le LAN, aller dans Interfaces->Assigments, cliquer sur LAN, sélectionner Static IPv4 dans "IPv4 Configuration Type" et dans la partie "Static IPv4 Configuration" saisir l'ip corespondant au routeur qui serait visible par le réseau LAN et le masque (généralement 24, qui correspond à 255.255.255.0), ne rien toucher au reste et sauvegarder.
Pour la connexion WAN, la configuration va dépendre de votre modem (bridge, routeur).
Dans mon cas, j'ai une freebox crystal en mode routeur. J'ai sélectionné une IP statique en 192.168.1.1/24 et. Sélectionner alors la passerelle dans "IPv4 Upstream gateway" (la créer si elle n'existe pas, mettre l'IP du modem/routeur), ne rien toucher au reste et sauvegarder.
b. Ajouter une connexion WAN
Ici sont listées les différentes interfaces déjà existantes, à droite de "Available network ports" se trouve une liste déroulante avec les interfaces encore disponibles. Sélectionner la 2e connection WAN et cliquer sur Add.
Le reste est identique à la WAN principale.
Dans mon cas, ma 2e WAN est une connexion LTE via un modem/routeur B593 en 192.168.2.254, l'IP de ma WAN est 192.168.2.1
3. Multi WAN
Dans System->Routing on sélectionne la passerelle par défaut. Pour gérer le multi-WAN, il faut ajouter des groupes de passerelles.
Aller dans "Gateway groups" et cliquer sur "Add".
a. Load balancer
Si on veut faire de la répartition de charge (ou load balancing), il faut que les 2 WAN soient en "Tier 1".
On peut définir dans quel cas on considère qu'une WAN est défaillante dans "Trigger Level" (membre H.S., Paquet perdu, Haute latence,etc...)
b. Fail over
Si on veut faire une fail over, il faut créer 2 groupes de passerelle. Donc au même endroit que précédemment, cliquer sur "Add" mais cette fois mettre "Tier 1" pour la 1ere WAN et "Tier 2" pour la 2e.
Créer une 2e règle avec les proriétés inversée ("Tier2" pour la WAN 1 et "Tier 1" pour la WAN 2).
c. Règles du parefeu
Pour faire fonctionner le load balancing et/ou fail over, il faut ajouter une règle de par feu pour chaque groupe de passerelle.
Aller dans Firewall->Rules puis onglet "LAN".
Ajouter une règle, protocole à "any", source à "LAN net", destination à "any", cliquer sur "Display Advanced" et choisir la "Gateway" concernant le load balancing, puis sauvegarder.
Refaire la même chose pour les 2 groupes de passerelle du fail over.
4. Serveur DHCP
Aller dans Services->DHCP Server, cliquer sur "Enable DHCP server on LAN interface".
Choisir la plage d'adresse IP et dans la mesure du possible ne rien changer d'autres qui pourrait entrer en conflit avec d'autres réglages DNS our de passerelle (sauf si vous le faites en connaissances de cause, genre ajout d'un serveur NTP, etc...).
Il est possibel de réserver des adresses IPs par adresses MAC, en bas dans "DHCP Static Mappings for this Interface". Cliquer sur "Add", saisir l'adrese MAC, l'IP souhaitée (généralement en dehors de la plage d'adresse IP définie précédemment) et cliquer sur save.
5. Limiteur de débit
Pour des raisons de QoS par exemple, on peut vouloir limiter la bande passante d'une machine, d'une connexion WAN, etc...
Aller dans Firewall->Traffic Shaper, onglet "Limiters" et cliquer sur "New limiter"
On peut sélectionner un débit en b/s, Kb/s ou Mb/s et l'appliquer également à une plage horaire (voir firewall->schedules pour créer une plage horaire).
On peut faire un "limiter" de download et un d'upload par exemple.
Créer une nouvelle règle ou en modifier une existante dans l'onglet concernée dans Firewall->rules.
Pour limiter le débit descendant d'un PC1 (préalablement aliasé, voir 1.b ), on va sur l'onglet "LAN", "Add", on sélectionne le protocole à filtrer, dans "Source" on sélectionne "Signe source or alias" et dans "Source Adress" saisir l'alias du PC1, puis sauvegarder.
OPNSense
Il s'agit d'un fork de Pfsense.
L'approche est de rester très ouvert et opensource :
(à suivre...)
En bon dealabsien, mon projet consistait à mettre en place plusieurs connexions internet à bas prix et permettre de changer d'opérateur internet sans perturber le quotidien (téléphonie, netflix, appareils connectés, etc...).
OpenWRT
Mon premier test a été avec une neufbox 4 recyclée sur du OpenWrt. L'installation est un peu compliquée pour le premier venu : openwrt.org/toh…nb4
J'ai pu créer 2 WAN mais les perfs dûs à la box m'ont vite incité à passer à autre chose.
Celà dit, pour ceux qui seraient malgré tout intéressés pour recycler du matériel obsolète, voir ici :
wiki.openwrt.org/doc…an3
Le paquet MWAN3 permet de gérer du failover et du load balancing. On peut donc créer 2 connexions internet, 1 principale, une 2e de backup.
Je ne m'éterniserai pas sur OpenWRT mais vous trouverez une multitude de forums et tuto sur le net.
TP-LINK TL-R470T+ et TL-ER5120
J'ai pu ensuite me faire la main avec un petit routeur multiwan 100Mb/s bon marché, le TP-LINK rt470t+ : amazon.fr/TP-…%2B
On trouve de bons tutos sur le net et une vidéo explique même comment mettre en place du multiwan : google.fr/url…A2A
On peut faire un failover, loadbalancing, link aggregation. Le tout est plutôt intuitif et bien fait.
Le service client répond assez vite par mail, ce qui est un plus.
On peut même tester l'interface du routeur depuis un simulateur sur le site du fabricant : tp-link.com.pl/res…htm
J'ai décidé ensuite de me prendre un TL-ER5120 amazon.fr/TP-…120, car gigabit contrairement au précédent. Si vous décidez de connecter plusieurs WAN ADSL, le TL-R470T+ peut être suffisant. Mais en cas de VDSL, fibre, connexion 4G de bonne réception/qualité, vous serez vite saturés en 100Mb/s.
La configuration est identique au routeur précédent. Un bémol, pas d'option "IPTV" dans la partie "Network" contrairement au TL-R470T+.
Je n'avais pas pu le tester derrière une freebox donc je ne sais pas si ça fonctionnait correctement. Mais avec un TL-ER5120 il m'a juste été impossible de faire passer le flux TV de la freebox sur plus d'un destinataire car pas possible de tagger en Vlan 100.
La bidouille consiste à créer un "Virtual server" depuis la WAN de la freebox, à destination de la machine de destination (pc, décodeur tv, etc...) avec les plages de ports adéquates (le mien est éteint actuellement, je complèterai le post ultérieurement pour les bons paramètres fonctionnels).
Le gros inconvénient de cet appareil réside dans l'absence de vrai journal d'évenement. Je ne sais pas si c'était un problème de mon appareil, de la version mais n'étaient disponibles que les accès utilisateur vers l'appareil, problème évoqué sur de nombreux forums. Par contre il semblerait que le TL-R470T+ aille plus loin (cf le simulateur en lien plus haut, dans "Maintenance -> Logs").
PFsense
En discutant sur ce magnifique sujet du Huawei 593
https://www.dealabs.com/dis…001 (très bon routeur 4G qu'on retrouve régulièrement à moins de 40€ dealabs.com/sea…593), modpbrobe me conseille alors de tester PFsense (merci encore ).Après quelques paramétrages, il me reste des choses à paufiner (comme le multicast d'une freebox pour la TV).
Il faut savoir que la distribution existe pour des appareils dédiés prêts à l'emploi, mais va falloir sortir le chéquier : pfsense.org/pro…ts/
On peut virtualiser pfsense dans une VM ou reconditionner un ancien pc.
Pour ma part, j'ai pu mettre la main sur un ancien Watchguard XTM505 parfaitement fonctionnel.
Pour l'installation, un disque dûr sata suffit (idéalement un 2.5", le mettre dans un pc, booter sur un dvd ou clé usb (images dispo ici pfsense.org/dow…ad/) et installer par défaut sur le disque dûr.
J'avais suivi un tuto pour un modèle différent avec besoin de flasher le bios, etc... ce modèle permet de booter directement sur le disque dûr.
L'avantage du boîtier Watchguard, c'est les ports gigabits, du matériel pro et rackable dans une armoire de brassage.
Par défaut, seuls les ports 1 et 2 fonctionnent (1 pour WAN et 2 pour LAN), libre à chacun de rajouter une interface.
Je manquais de détails sur les logs avec l'appareil de TP-LINK, je suis plus que servit avec Pfsense!!!
Le dashboard est customisable à souhait, on peut ajouter les graphiques de traffics de l'interface que l'on veut, l'état du load balancer, du portail captif, du vpn, etc...
J'ai un VPN sur un NAS Synology et je ne voulais pas tout refaire sur le Pfsense (il peut faire serveur VPN, bien sûr), donc la première chose a été de créer une règle NAT dans "Firewall - > NAT", puis choisir l'interface (la WAN d'arrivée), la destination (une ip ou réseau), le port de destination, la "redirect target IP" (adresse de destination pour la règle NAT).
Une règle de firewall est automatiquement créée et liée à celle du NAT.
On peut limiter le débit de chaque connexion, d'un pc particulier, sur une WAN précise, etc... Pour ce faire, il faut créer un "Limiter" dans 'Firewall -> traffic shaper -> Limiters" et ajouter un nouveau limiter.
J'ai par exemple limité le débit descendant et montant (donc 2 limiteurs) de ma ligne free mobile pour ne pas trop consommer de data. J'ai donc créé un "limiter" de 10Mb/s.
Pour l'affecter, il faut ensuite créer une règle de parefeu LAN en laissant "any" partout, protocole TCP/UDP et dans paramètres avancés choisir la WAN de destination qu'on veut limiter, et dans "IN / Out pipe" choisir le limiteur d'upload (dans la liste de gauche) et de download (à droite).
1. Les bonnes habitudes...
a. créer un nouveau compte administrateur
Commencer par créer un nouveau compte utilisateur dans System->User Manager et l'ajouter au groupe admins, puis désactiver le compte admin par défaut
b. Créer des alias dans Firewall->Aliases
Mettez-y tout ce qui pourrait être utilise pour vos futures règles de parefeu, par exemple une ip de serveur distant et nommez-le par exemple serveurdistant. Lors de la création de vos règles, vous pourrez ensuite saisir serveurdistant à la place de l'ip de ce serveur.
L'intérêt réside dans un éventuel changement d'adresse ip de ce serveur (changement d'opérateur internet par exemple), il suffira de mettre à jour l'alias et non les X règles de parefeu
Il est possible également de mettre des sites internet dans vos alias, ça peut être utile dans du multi-wan et les sites bancaires qui pourraient vous poser problème si vous présentez plusieurs IPs... Dans la partie "IP or FQDN", saisir l'adresse du site, par exemple www.mabanque.fr.
c. Ajouter un compte mail smtp dans System->Advanced->Notifications
Vous pouvez facilement créer un compte sur laposte.net, c'est gratuit, français et marche très bien en smtp.
Les infos à saisir dans cet exemple sont :
- SMTP port of E-Mail server : 465
- Secure SMTP Connection : enable
- From e-mail address : votreadressemail@laposte.net
- Notification E-Mail address : ladressemaildedestination@domaine.com
- Notification E-Mail auth mechanism : LOGIN
2. Gestion des interfaces
a. WAN et LAN
Par défaut, seule une WAN et une LAN sont disponibles (mon cas sur un Watchguard XTM 505, ça peut différer selon le matériel ou si pfsense devait être virtualisé).
Pour gérer le LAN, aller dans Interfaces->Assigments, cliquer sur LAN, sélectionner Static IPv4 dans "IPv4 Configuration Type" et dans la partie "Static IPv4 Configuration" saisir l'ip corespondant au routeur qui serait visible par le réseau LAN et le masque (généralement 24, qui correspond à 255.255.255.0), ne rien toucher au reste et sauvegarder.
Pour la connexion WAN, la configuration va dépendre de votre modem (bridge, routeur).
Dans mon cas, j'ai une freebox crystal en mode routeur. J'ai sélectionné une IP statique en 192.168.1.1/24 et. Sélectionner alors la passerelle dans "IPv4 Upstream gateway" (la créer si elle n'existe pas, mettre l'IP du modem/routeur), ne rien toucher au reste et sauvegarder.
b. Ajouter une connexion WAN
Ici sont listées les différentes interfaces déjà existantes, à droite de "Available network ports" se trouve une liste déroulante avec les interfaces encore disponibles. Sélectionner la 2e connection WAN et cliquer sur Add.
Le reste est identique à la WAN principale.
Dans mon cas, ma 2e WAN est une connexion LTE via un modem/routeur B593 en 192.168.2.254, l'IP de ma WAN est 192.168.2.1
3. Multi WAN
Dans System->Routing on sélectionne la passerelle par défaut. Pour gérer le multi-WAN, il faut ajouter des groupes de passerelles.
Aller dans "Gateway groups" et cliquer sur "Add".
a. Load balancer
Si on veut faire de la répartition de charge (ou load balancing), il faut que les 2 WAN soient en "Tier 1".
On peut définir dans quel cas on considère qu'une WAN est défaillante dans "Trigger Level" (membre H.S., Paquet perdu, Haute latence,etc...)
b. Fail over
Si on veut faire une fail over, il faut créer 2 groupes de passerelle. Donc au même endroit que précédemment, cliquer sur "Add" mais cette fois mettre "Tier 1" pour la 1ere WAN et "Tier 2" pour la 2e.
Créer une 2e règle avec les proriétés inversée ("Tier2" pour la WAN 1 et "Tier 1" pour la WAN 2).
c. Règles du parefeu
Pour faire fonctionner le load balancing et/ou fail over, il faut ajouter une règle de par feu pour chaque groupe de passerelle.
Aller dans Firewall->Rules puis onglet "LAN".
Ajouter une règle, protocole à "any", source à "LAN net", destination à "any", cliquer sur "Display Advanced" et choisir la "Gateway" concernant le load balancing, puis sauvegarder.
Refaire la même chose pour les 2 groupes de passerelle du fail over.
4. Serveur DHCP
Aller dans Services->DHCP Server, cliquer sur "Enable DHCP server on LAN interface".
Choisir la plage d'adresse IP et dans la mesure du possible ne rien changer d'autres qui pourrait entrer en conflit avec d'autres réglages DNS our de passerelle (sauf si vous le faites en connaissances de cause, genre ajout d'un serveur NTP, etc...).
Il est possibel de réserver des adresses IPs par adresses MAC, en bas dans "DHCP Static Mappings for this Interface". Cliquer sur "Add", saisir l'adrese MAC, l'IP souhaitée (généralement en dehors de la plage d'adresse IP définie précédemment) et cliquer sur save.
5. Limiteur de débit
Pour des raisons de QoS par exemple, on peut vouloir limiter la bande passante d'une machine, d'une connexion WAN, etc...
Aller dans Firewall->Traffic Shaper, onglet "Limiters" et cliquer sur "New limiter"
On peut sélectionner un débit en b/s, Kb/s ou Mb/s et l'appliquer également à une plage horaire (voir firewall->schedules pour créer une plage horaire).
On peut faire un "limiter" de download et un d'upload par exemple.
Créer une nouvelle règle ou en modifier une existante dans l'onglet concernée dans Firewall->rules.
Pour limiter le débit descendant d'un PC1 (préalablement aliasé, voir 1.b ), on va sur l'onglet "LAN", "Add", on sélectionne le protocole à filtrer, dans "Source" on sélectionne "Signe source or alias" et dans "Source Adress" saisir l'alias du PC1, puis sauvegarder.
OPNSense
Il s'agit d'un fork de Pfsense.
L'approche est de rester très ouvert et opensource :
- Utilisation en marque blanche possible grâce à la licence BSD simplifiée à 2 clauses seulement
- Toutes les sources et outils de construction sont disponibles gratuitement, sans frais si clause spéciale (d'où son nom "open sense")
- Un interface web responsive basée sur bootstrap
- Un saut de version consiste en la mise à jour des paquets concernés (moins impactant)
(à suivre...)
Partager via Facebook Messenger
63 commentaires