Forum Linux.embarqué Résolu_Solved_Routeur OpenWrt: accès internet impossible

Posté par . Licence CC by-sa.
0
21
fév.
2015

Bonjour
J'ai installé Openwrt sur un routeur TP-Link WDR3600.
Le routeur est derrière une livebox 3 Sagem .
La connection est cablée et en statique. Aucun serveur DHCP
internet <-> adsl Livebox 3 Sagem <-> Openwrt router <-> PC, TV, imprimante

Le port wan du routeur est connecté à un port ethernet de la Livebox
Je peux accéder aux périphériques dans le subnet 192.168.2.0 mais je ne peux ni accéder à la Livebox ni accéder à internet.
Par contre, dès que je reviens dans le réseau 192.168.1.0, je peux me connecter au net à travers le routeur Openwrt mais évidemment, je ne peux plus accéder à ce dernier.
J'ai cherché un cas similaire sur le net, pas grand chose, la majorité des configurations se faisant avec DHCP.
Où se cache l'erreur, (les erreurs)? Merci d'avance pour toute piste.

Mon fichier Debian /etc/network/network/interfaces

auto lo
iface lo inet loopback
auto eth1
iface eth1 inet static
    address 192.168.2.23
    network 192.168.2.0
    netmask 255.255.255.0
    broadcast 192.168.2.255
    gateway 192.168.2.1
    up route add -host 192.168.2.7  dev eth1  
    up route add -host 192.168.2.10  dev eth1 
mtu 1492
allow-hotplug eth1

Openwrt /etc/config/network

config interface 'loopback'
    option ifname 'lo'
    option proto 'static'
    option ipaddr '127.0.0.1'
    option netmask '255.0.0.0'

config globals 'globals'

config interface 'lan'
    option force_link '1'
    option type 'bridge'
    option proto 'static'
    option netmask '255.255.255.0'
    option ip6assign '60'
    option ipaddr '192.168.2.4'
    option _orig_ifname 'eth0.1 radio0.network1 radio1.network1'
    option _orig_bridge 'true'
    option ifname 'eth0.1 eth0.2'
    option gateway '192.168.2.1'
    option dns '192.168.1.1'

config interface 'wan'
    option _orig_ifname 'eth0.2'
    option _orig_bridge 'false'
    option proto 'static'
    option netmask '255.255.255.0'
    option ifname 'eth0.2'
    option gateway '192.168.1.1'
    option ipaddr '192.168.1.19'
    option dns '192.168.1.1'

config switch
    option name 'switch0'
    option reset '1'
    option enable_vlan '1'

config switch_vlan
    option device 'switch0'
    option vlan '1'
    option ports '0t 1t 2 3 4 5'
    option vid '1'

config switch_vlan
    option device 'switch0'
    option vlan '2'
    option ports '0t 1'
    option vid '2'

config route
    option interface 'wan'
    option target '192.168.1.0'
    option netmask '255.255.255.0'
    option gateway '192.168.1.1'
#Openwrt /etc/config/firewall

config rule
    option target 'ACCEPT'
    option src 'wan'
    option proto 'tcp'
    option dest_port '80'
    option name 'http'
    option dest 'lan'
    option src_port '80'
    option dest_ip '192.168.2.4'

config rule
    option target 'ACCEPT'
    option src 'wan'
    option proto 'tcp'
    option dest_port '443'
    option name 'https'
    option dest 'lan'
    option src_port '443'
    option dest_ip '192.168.2.4'

config rule
    option name 'Allow-Ping'
    option src 'wan'
    option proto 'icmp'
    option icmp_type 'echo-request'
    option family 'ipv4'
    option target 'ACCEPT'
    option enabled '0'

config defaults
    option syn_flood '1'
    option input 'ACCEPT'
    option output 'ACCEPT'
    option forward 'REJECT'

config zone
    option name 'lan'
    option input 'ACCEPT'
    option output 'ACCEPT'
    option mtu_fix '1'
    option masq '1'
    option forward 'REJECT'
    option network 'lan'

config zone
    option name 'wan'
    option output 'ACCEPT'
    option mtu_fix '1'
    option input 'ACCEPT'
    option forward 'ACCEPT'
    option network 'wan'

config include
    option path '/etc/firewall.user'

config redirect
    option target 'DNAT'
    option src 'wan'
    option proto 'tcp'
    option dest_port '80'
    option name 'http'
    option src_port '80'
    option dest 'lan'
    option dest_ip '192.168.2.4'

config redirect
    option target 'DNAT'
    option src 'wan'
    option proto 'tcp'
    option dest_port '443'
    option name 'https'
    option src_port '443'
    option dest 'lan'
    option dest_ip '192.168.2.4'

config redirect
    option target 'DNAT'
    option dest 'lan'
    option proto 'tcp'
    option dest_port '2049'
    option name 'NFS'
    option src 'lan'
    option src_port '2049'
    option dest_ip '192.168.2.4'

config forwarding
    option dest 'wan'
    option src 'lan'

config forwarding
    option dest 'lan'
    option src 'wan'

Problème résolu de la façon suivante (cf commentaires)

Résumé des changements:
* gateway de Debian /etc/network/interfaces= adresse IP du lan (192.168.2.4). L'IP de la gateway coté wan est celle de la Livebox (192.168.1.1)
* changer le routage sur OpenWrt
* ajouter les DNS, ajuster MTU
* désactiver le bridge sur le lan
* retirer "option masq '1' " de la zone lan et ajouter cette option à la zone wan

Le masquerading permet de contourner le problème de la Livebox 3 Sagem d'Orange qui n'offre plus la possibilité du routage.
Cette expérience de configuration OpenWrt m'a beaucoup apporté concernant la compréhension du fonctionnement du réseau. Merci à tous ceux qui, ici et ailleurs, m'ont aidé à corriger les erreurs.

** Ci dessous la conf minimum qui marche mais qui est certainement à améliorer, notamment du coté du firewall:**

#Openwrt /etc/config/network
config interface 'loopback'
    option ifname 'lo'
    option proto 'static'
    option ipaddr '127.0.0.1'
    option netmask '255.0.0.0'

config globals 'globals'

config interface 'lan'
    option force_link '1'
    option proto 'static'
    option netmask '255.255.255.0'
    option ip6assign '60'
    option ipaddr '192.168.2.4'
    option _orig_ifname 'eth0.1 radio0.network1 radio1.network1'
    option _orig_bridge 'true'
    option mtu '1492'
    option ifname 'eth0.1'

config interface 'wan'
    option _orig_ifname 'eth0.2'
    option _orig_bridge 'false'
    option proto 'static'
    option netmask '255.255.255.0'
    option ifname 'eth0.2'
    option gateway '192.168.1.1'
    option ipaddr '192.168.1.19'
    option mtu '1492'
    option dns '81.253.149.9 80.10.246.1'

config switch
    option name 'switch0'
    option reset '1'
    option enable_vlan '1'

config switch_vlan
    option device 'switch0'
    option vlan '1'
    option ports '0t 1t 2 3 4 5'
    option vid '1'

config switch_vlan
    option device 'switch0'
    option vlan '2'
    option ports '0t 1'
    option vid '2'

config route
    option interface 'wan'
    option gateway '192.168.1.1'
    option target '0.0.0.0'
    option netmask '0.0.0.0'
#Openwrt /etc/config/firewall

config rule
    option target 'ACCEPT'
    option src 'wan'
    option proto 'tcp'
    option dest_port '80'
    option name 'http'
    option dest 'lan'
    option src_port '80'
    option dest_ip '192.168.2.4'

config rule
    option target 'ACCEPT'
    option src 'wan'
    option proto 'tcp'
    option dest_port '443'
    option name 'https'
    option dest 'lan'
    option src_port '443'
    option dest_ip '192.168.2.4'

config rule
    option name 'Allow-Ping'
    option src 'wan'
    option proto 'icmp'
    option icmp_type 'echo-request'
    option family 'ipv4'
    option target 'ACCEPT'
    option enabled '0'

config defaults
    option syn_flood '1'
    option input 'ACCEPT'
    option output 'ACCEPT'
    option forward 'ACCEPT'

config zone
    option name 'lan'
    option input 'ACCEPT'
    option output 'ACCEPT'
    option mtu_fix '1'
    option network 'lan'
    option forward 'ACCEPT'

config zone
    option name 'wan'
    option output 'ACCEPT'
    option mtu_fix '1'
    option input 'ACCEPT'
    option forward 'ACCEPT'
    option network 'wan'
    option masq '1'

config include
    option path '/etc/firewall.user'

config redirect
    option target 'DNAT'
    option src 'wan'
    option proto 'tcp'
    option dest_port '80'
    option name 'http'
    option src_port '80'
    option dest 'lan'
    option dest_ip '192.168.2.4'

config redirect
    option target 'DNAT'
    option src 'wan'
    option proto 'tcp'
    option dest_port '443'
    option name 'https'
    option src_port '443'
    option dest 'lan'
    option dest_ip '192.168.2.4'

config redirect
    option target 'DNAT'
    option dest 'lan'
    option proto 'tcp'
    option dest_port '2049'
    option name 'NFS'
    option src 'lan'
    option src_port '2049'
    option dest_ip '192.168.2.4'

config forwarding
    option dest 'lan'
    option src 'wan'

config forwarding
    option dest 'wan'
    option src 'lan'

config redirect
    option target 'SNAT'
    option src 'lan'
    option dest 'wan'
    option proto 'all'
    option name 'subnetpriv'
    option src_ip '192.168.2.4'
    option dest_ip '192.168.1.19'
    option src_dip '192.168.1.19'
    option src_port '1-65000'
    option dest_port '1-65000'
#Debian /etc/network/interfaces
auto lo
iface lo inet loopback
auto eth1
iface eth1 inet static
    address 192.168.2.23
    network 192.168.2.0
    netmask 255.255.255.0
    broadcast 192.168.2.255
        gateway 192.168.2.4
mtu 1492
allow-hotplug eth1
  • # A la louche

    Posté par (page perso) . Évalué à 2.

    Ton réseau sait pas accéder derrière le routeur openwrt.
    Il faut ajouter une route statique sur la live box vers celui-ci.

    Système - Réseau - Sécurité Open Source

    • [^] # Re: A la louche

      Posté par . Évalué à 1.

      Contrairement au modèle précédent, la nouvelle livebox 3 (la "play" qui est fournie en standard) ne permet pas de configurer le routage. Il faut passer à la livebox dite "pro". No comment… C'est pour cette raison que j'ai fait du masquerading pour tenter de contourner le problème.

  • # Networking

    Posté par . Évalué à -10.

    Salut, sollicitation d'aide a mon problème. merci
    je veux configurer un iMac sur mon réseau le partager avec mon Windows serveur 2012 R2 et faire des restriction sur les droits d'accès a certains données du serveur. merci de m'aider
    j'ai déjà essayé en
    . le créant dans un groupe d'utilisateur sur mon serveur
    . changeant le nom d'utilisateur sur l'iMac
    . nommant le même nom du domaine active directory

    . fixant l’adresse DNS sur l'iMac
    mon serveur ne le vois pas et l'iMac aussi

  • # DNS ?

    Posté par . Évalué à 0.

    Bonjour,

    Logiquement avec votre installation il n'y a pas grand chose à faire.
    J'ai déjà mis en place une install du même type si le port WAN du routeur OpenWRT est bien configuré, pour les client connecté sur celui-ci tout est parfaitement transparent.

    Par contre ne s'agirait-il pas d'un problème dns.
    Par exemple pouvez-vous pinguer 8.8.8.8 depuis un client connecté sur OpenWRT ?

  • # route par defaut manquante sur openWRT

    Posté par . Évalué à 2.

    la config me semble bien, mais il manque une route par defaut dans openWRT.

    je changerais cela

    config route
    option interface 'wan'
    option target '192.168.1.0'
    option netmask '255.255.255.0'
    option gateway '192.168.1.1'

    en

    config route
    option interface 'wan'
    option target '0.0.0.0'
    option netmask '0.0.0.0'
    option gateway '192.168.1.1'

    pour que tous les reseaux demandés (internet y compris) soit envoyé vers la gateway 192.168.1.1.

  • # IP passerelle

    Posté par . Évalué à 2.

    Dans la config de Debian, tu mets l'option gateway à 192.168.2.1, mais l'ip lan de ton routeur est 192.168.2.4.
    Pourquoi as-tu mis la ligne option gateway '192.168.2.1' dans la config du port lan de ton routeur?

    • [^] # Re: IP passerelle

      Posté par . Évalué à 1. Dernière modification le 23/02/15 à 22:13.

      Effectivement, l'ip de la gateway coté machine client est bien celle du lan, erreur grossière réparée ce matin…
      J'ai fait des modifications sur la route, ajouté un SNAT, les DNS du serveur Orange, ajusté à la MTU à 1492 (1500 n'a jamais fonctionné chez moi). Fait étrange, à partir de l'interface graphique Luci de Openwrt, ping, traceroute et nslookup fonctionnent normalement alors qu'aucune connection à la livebox ou au web n'est possible depuis une console ou le navigateur.
      Bizarre encore: je peux me connecter à l'interface de Openwrt coté wan http://192.168.1.19/cgi-bin/luci/

      Les nouveaux paramètres:

      #Openwrt /etc/config/network
      config interface 'loopback'
          option ifname 'lo'
          option proto 'static'
          option ipaddr '127.0.0.1'
          option netmask '255.0.0.0'
      
      config globals 'globals'
      
      config interface 'lan'
          option force_link '1'
          option type 'bridge'
          option proto 'static'
          option netmask '255.255.255.0'
          option ip6assign '60'
          option ipaddr '192.168.2.4'
          option _orig_ifname 'eth0.1 radio0.network1 radio1.network1'
          option _orig_bridge 'true'
          option ifname 'eth0.1 eth0.2'
          option mtu '1492'
      
      config interface 'wan'
          option _orig_ifname 'eth0.2'
          option _orig_bridge 'false'
          option proto 'static'
          option netmask '255.255.255.0'
          option ifname 'eth0.2'
          option gateway '192.168.1.1'
          option ipaddr '192.168.1.19'
          option mtu '1492'
          option dns '81.253.149.9 80.10.246.1'
      
      config switch
          option name 'switch0'
          option reset '1'
          option enable_vlan '1'
      
      config switch_vlan
          option device 'switch0'
          option vlan '1'
          option ports '0t 1t 2 3 4 5'
          option vid '1'
      
      config switch_vlan
          option device 'switch0'
          option vlan '2'
          option ports '0t 1'
          option vid '2'
      
      config route
          option interface 'wan'
          option gateway '192.168.1.1'
          option target '0.0.0.0'
          option netmask '0.0.0.0'
      #Openwrt /etc/config/firewall
      
      config rule
          option target 'ACCEPT'
          option src 'wan'
          option proto 'tcp'
          option dest_port '80'
          option name 'http'
          option dest 'lan'
          option src_port '80'
          option dest_ip '192.168.2.4'
      
      config rule
          option target 'ACCEPT'
          option src 'wan'
          option proto 'tcp'
          option dest_port '443'
          option name 'https'
          option dest 'lan'
          option src_port '443'
          option dest_ip '192.168.2.4'
      
      config rule
          option name 'Allow-Ping'
          option src 'wan'
          option proto 'icmp'
          option icmp_type 'echo-request'
          option family 'ipv4'
          option target 'ACCEPT'
          option enabled '0'
      
      config defaults
          option syn_flood '1'
          option input 'ACCEPT'
          option output 'ACCEPT'
          option forward 'ACCEPT'
      
      config zone
          option name 'lan'
          option input 'ACCEPT'
          option output 'ACCEPT'
          option mtu_fix '1'
          option network 'lan'
          option masq '1'
          option forward 'ACCEPT'
      
      config zone
          option name 'wan'
          option output 'ACCEPT'
          option mtu_fix '1'
          option input 'ACCEPT'
          option forward 'ACCEPT'
          option network 'wan'
      
      config include
          option path '/etc/firewall.user'
      
      config redirect
          option target 'DNAT'
          option src 'wan'
          option proto 'tcp'
          option dest_port '80'
          option name 'http'
          option src_port '80'
          option dest 'lan'
          option dest_ip '192.168.2.4'
      
      config redirect
          option target 'DNAT'
          option src 'wan'
          option proto 'tcp'
          option dest_port '443'
          option name 'https'
          option src_port '443'
          option dest 'lan'
          option dest_ip '192.168.2.4'
      
      config redirect
          option target 'DNAT'
          option dest 'lan'
          option proto 'tcp'
          option dest_port '2049'
          option name 'NFS'
          option src 'lan'
          option src_port '2049'
          option dest_ip '192.168.2.4'
      
      config forwarding
          option dest 'lan'
          option src 'wan'
      
      config forwarding
          option dest 'wan'
          option src 'lan'
      
      config redirect
          option target 'SNAT'
          option src 'lan'
          option dest 'wan'
          option proto 'all'
          option name 'subnetpriv'
          option src_ip '192.168.2.4'
          option dest_ip '192.168.1.19'
          option src_dip '192.168.1.19'
          option src_port '1-65000'
          option dest_port '1-65000'
      • [^] # Re: IP passerelle

        Posté par (page perso) . Évalué à 0.

        J'avoue ne pas avoir tout lu, mais un truc idiot m'est venu à l'esprit. Ta box est-elle bien configurée en mode bridge ? Ça m'est arrivé, et j'ai mis un moment à m'en rendre compte :<

        « Il vaut mieux mobiliser son intelligence sur des conneries que mobiliser sa connerie sur des choses intelligentes. »

        • [^] # Re: IP passerelle

          Posté par . Évalué à 1.

          Ma box est une Livebox 3 Sagem de base louée chez Orange, n'offrant aucun mode bridge (contrairement à la freebox parait-il) et aucune possibilité de paramétrer un routage.

  • # Modifications

    Posté par . Évalué à 1.

    J'ai désactivé le bridge sur le lan

    config interface 'lan'
    option force_link '1'
    option proto 'static'
    option netmask '255.255.255.0'
    option ip6assign '60'
    option ipaddr '192.168.2.4'
    option orig_ifname 'eth0.1 radio0.network1 radio1.network1'
    option _orig
    bridge 'true'
    option mtu '1492'
    option ifname 'eth0.1'

    La connection internet depuis le lan ne marche pas sauf en tant que root@OpenWrt. Dans ce cas je peux pinguer les hosts, installer les softwares OpenWrt depuis Luci ou la console.

    • [^] # Re: Modifications

      Posté par . Évalué à 1.

      Le problème est résolu. Les changements sont mentionnés à la fin du post. Merci à tous ceux qui, ici et ailleurs, m'ont aidé à corriger les erreurs.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.