Article publié sur : https://www.geekzone.fr/2016/09/02/routeurs-ca-marche-modele-choisir/
Suite à mon précédent dossier, « Comprendre IPv6 et sa problématique », vous avez été nombreux à me poser des questions sur le routage. Mais plutôt côté IPv4 pratique de la vraie vie que concernant l’arlésienne IPv6 dont personne ne sait vraiment quand elle supplantera enfin l’ancienne norme (pourtant, ça fait déjà plusieurs années qu’il y a…
8 « J'aime »
Je signalerais l’aide inestimable de @Faskil et @Cafeine pour la relecture et la mise en page, et l’expertise de @Cafeine nous a permis en bonus de rajouter pas mal d’informations sur le mode bridge des box internet.
Et je reste sur les starting block pour vous proposer d’autres documents techniques, en espérant évidement que ca vous plaise et vous apprenne plein de choses 
Next article: tout ce que vous avez voulu savoir sur le [censuré] 
1 « J'aime »
Juste pour pinailler, mais les bons canaux en wifi 2.4ghz, c’est le 1, 6, 11 car c’est les 3 qui ne se chevauchent pas. Si dans le tas y a un couillon sur le canal 2 il va perturber les gens en 1 et 6 (sauf si c’est le but 
).
Salut,
Sympa ce dossier.
Perso, je cherche un modèle de routeur pour monter un VPN entre 3 sites fibrés et profiter au mieux des +200Mbps d’upload de chacun.
J’ai testé une solution à base d’OpenVPN sur une bécane dédiée mais je stagne à 40Mbps.
Merci pour le dossier, voilà une lecture saine pour le week-end ! Pas encore lu mais je dis dors et déjà: à continuer !
Ouais alors pour ce genre de problème, tu as un tas de facteurs (non je parle pas de la poste) a prendre en compte.
- Le routage.
Même si tu as du 200Mb symétrique (ça doit être cher -_-), ça veut pas dire pour autant que tu auras 200Mb entre A et B, entre A et C et entre B et C. Déjà parce que si tout le monde communique en même temps, ton maximum théorique avec un algorithme de QoS standard (Quality of service: En gros, le firewall régule de manière plus moins automatique et donc, de manière plus ou moins heureuse, les paquets transmis. Ça marche pas mal mais c’est rarement parfait) est de 200Mb/3 soit 66Mb.
Mais le 2eme problème de routage, c’est que ta liaison entre A et B est peut être complexe pour ton ou tes FAI, que ça passe par la Pologne parce que l’interconnexion est moins cher, ou que sais je encore, qui font que tu n’obtiens pas un débit max entre A et B. - Le chiffrement.
Autre problème qui peut réduire la vitesse, c’est le chiffrement du tunnel VPN. En effet, les transmissions entre A et B sont chiffrées mais il faut que A encode les paquets et que B les decode, et tout ca, ca prends du temps. Si le CPU de ton routeur est un peu faiblard, bah la transmission est plus lente que ton débit maximum et il te faudra plus de puissance de chiffrement pour améliorer les choses.
Concernant le VPN, j’ai toujours utilisé OpenVPN avec une debian stock, donc je ne pourrais pas te renseigner de manière efficace sur les appliances (des box, souvent sous linux, qui sont quasiment plug and play pour faire firewall, routeur mais aussi VPN) qui le permettent. Mais c’est pas donné en général…
Le problème du marketing qui nous vends du « up to 200Mb » pour du « ca upload a 200Mb!! » 
Dommage, tu parles pas du Wifi 5ghz, qui est pourtant beaucoup moins chargé et plus performant sur les débits, et compatible avec quasiment tous les pc/smartphone depuis quelques années.
Le WiFi ac n’est que sur le 5 Ghz.
D’ailleurs, il est aussi important de parler du nombre d’antennes Wifi du routeurs : grosso modo
Côté routeurs, on est souvent en 2x2 (émission/réception) en 2,4Ghz et 3x3 en 5Ghz et côté device, les smatphones sont souvent en 1x1, les tablettes en 2x2 et les laptop en 3x3 (d’ailleurs, point à bien vérifier, certains constructeurs font des économies de bout de chandelle). Du coup, les perf sont très différentes en fonction de la combinaison point d’accès/terminal Wifi.
Y a aussi le fait que le 5ghz a une portée bien moindre.
Sinon on pourrait corriger cette horreur là svp ?
Je l’ai déjà dit plus haut, mais en zone peuplée vaut mieux privilégier les canaux 1, 6 et 11 car ce sont les seuls canaux qui ne se chevauchent pas, la plupart des box sont réglés sur un de ceux-ci d’ailleurs. Il faudrait ajouter ce petit détail dans l’article.
Pour modifier l’article, il faut pinguer @Cafeine ou @Faskil, je vais voir s’il sont dispo sur discord.
Mais avant ça, j’aimerais bien comprendre ta suggestion, parce que je suis pas un spécialiste de la radio (mais j’en connais au taf, donc je pourrais demander la semaine prochaine).
Si j’ai autour de moi plein de wifi sur 1, 6 et 11, il faut moi aussi que je me mette sur un de ces canaux? C’est ça ta suggestion? Parce qu’instinctivement, je ferais plutôt exactement l’inverse et je me mettrais surtout pas sur les canaux déjà surchargés.
Quand j’ai suggéré 2-8, j’étais dans l’optique ou la personne est en maison, avec pas ou peu de réseaux wifi externe, et dont le but est d’éviter que nos propres réseaux wifi se chevauchent. Donc quand on a que deux réseaux, tu peux faire 1-13, 2-12, etc, du moment que ca se chevauche pas.
Si t’en as 3, tu vas effectivement partir sur du 1-6-11 mais je comprends pas pourquoi ça serait plus efficace que 2-7-12 ou 3-8-13. Pire, au taf, j’en ai 5, et j’ai reparti les canaux sur toute la plage, en faisant se chevaucher les canaux les plus éloignés.
Bref, tout ça pour dire mon cher @Glasofruix: plus d’info?
Il ne faut pas croiser les canaux!! Sinon quoi? @Glasofruix se fâche!!!
Si mes souvenirs sont bons:
Si tout le monde est sur 1 6 et 11 il n’y a pas d’interférences entre les émetteurs (ça se chevauche pas) et les collisions entre 2 émetteurs sur le même canal peuvent être détectées. Ils peuvent se mettre d’accord pour partager la bande passante efficacement.
Si quelqu’un se met sur le canal 2 il va parasiter le canal 1 sans que les mécanismes de partage puissent fonctionner.
Du coup en prenant 1 6 et 11 tu laisses ton routeur choisir le moins occupé en étant sur d’être pas pollué si tout le monde fait pareil c’est le plus efficace.
Maintenant en 5ghz c’est peut être différent.
Voilà @Duffy a bien résumé la chose. Quant au pourquoi du 1-6-11 et pas du 2-7-12, simplement parce que dans certains pays tu peux pas utiliser les canaux 12 et 13, c’est plus une convention. En 5ghz t’as pas ce problème car les canaux ne se chevauchent pas.
C’est ouf parce que j’ai jamais eu d’explications correctes de la part des constructeurs et j’avais tendance à toujours faire comme Lone… Bon, à creuser, on fera un édit si besoin, of course.
En attendant : nouveaux schémas by @Lelolo, merci à lui !!!
Pareil ici. Et j’ai fait quelques recherches sur le net qui semble montrer qu’il y a effectivement un système de gestion pour que différents ESSID sur un même canal se partage la BP en bonne intelligence mais que ça a ses limites quand il y a trop de réseaux. Je vais creuser mais la techno de gestion a pas l’air si ouf que ça.
Et dis donc @Lelolo, il te plaise pas mes schémas en dia? 
Blague a part, tu as utilisé quel logiciel? 
La mort des petits schémas désuets
Visio Pro 2016, je l’utilise pour des schémas de métrologie, entre autre
1 « J'aime »
Beau travail de vulgarisation.
Ca aurait été bien de parler également de l’option DMZ de la box, qui permet, dans une grande majorité des cas, de palier à l’absence de mode bridge (à ma connaissance, pas toutes les box ont le mode bridge, mais elles ont toutes l’option DMZ).
J’y ai pensé mais l’option pose pas mal de problèmes techniques, et notamment le fait qu’on est quasiment obligé de faire du double nat, avec tous les problèmes que ça pose, car on mettra souvent un routeur sur l’IP DMZ. Ou un pc très bien protégé…
Dans 99% des cas, c’est moins risqué de faire du port forwarding, du coup quelque chose de très spécifique plutôt que de laisser la porte grande ouverte.
C’est un peu comme la problématique de sudo sous linux: Quand tu te connectes en root, tu sais que la moindre connerie se paiera cash alors que, pour beaucoup, sudo s’utilise en tant qu’utilisateur donc c’est moins grave (sic).
Quand tu mets un routeur/firewall directement au cul de la box en mode bridge, tu es en pur mode root: La moindre connerie de config et ton réseau est powned. Alors qu’en mode dmz, bah on est encore protégé par la box quoi (ce qui est ultimement faux).
Je sais pas si c’est vraiment utile d’aller jusque la - est ce que ca vaut le coup de faire un 3ieme episode a la star wars: le retour du routeur?
Oui, j’aime bien les blagues pourries…
Bonjour,
Je voulais faire part de ma petite expérience en la matière puisque j’ai dû lorsque j’étais chez numericable, passer ma box en mode bridge et recourir à un “firewall/routeur point d’accès wifi” pour conserver un accès décent à internet en général et une praticabilité du protocole bittorent en particulier.
Donc je vais pas rentrer dans des détails que je ne maitriserait sans doute pas suffisamment mais en tout cas sachez que si vous désirez acheter un produit de type “firewall/routeur point d’accès wifi” avec un bon rapport qualité prix vous pouvez jeter un oeil du côté du Netgear R6250.
Ce modèle permet de flasher le firmware original de Netgear pour utiliser à la place la solution DD-WRT.
Grosso modo la solution DD-WRT vous permet de configurer avec tous les détails possibles votre routage/filtrage.
C’est un peu comme remplacer la ROM stock de son smartphone par un cyanogenmod couplé à un accès root.
Bref j’ai été très satisfait par ce choix, donc peut être qu ça en comblerait d’autres par ici.
ciao
Je parlais bien de l’option DMZ (quand le mode bridge n’est pas dispo sur la box) dans le cas où c’est pour mettre un routeur/fw derrière. Cascader 2 firewall apporte plus d’emmerde qu’un vrai ajout de sécurité, surtout pour une utilisation de type ‹ maison ›.
Le fait de faire du double NAT ne changera pas grand chose pour 99% des usages, le simple NAT étant déjà un bricolage en soit à la base, cassant le fonctionnement de certains protocoles (ex: SCTP, SIP).
Mettre le routeur/fw dans la DMZ de la box évite au moins de se taper une double déclaration des règles de forwarding, et accessoirement évite de casser le fonctionnement du NAT-PMP/UPnP que certaines applications utilisent pour ouvrir les ports de manière dynamique (ex: Skype, µTorrent).
Je lui préfère son parent OpenWRT que je trouve plus clair au niveau de son cycle de release et qui a un nombre impressionnant de packages. Ce dernier point permettant d’ajouter des fonctionnalités dignes d’un équipement à plusieurs centaines d’euros. Ex: multiwan, VRRP, routage dynamique, vpn, guest wlan, et encore pleins d’autres possibilités. Pour les perfs c’est autre chose, le hardware étant souvent le facteur limitant.
1 « J'aime »
Merci pour cet article très intéressant. On en avait déjà discuté sur le topic dédié, mais il va falloir que je test le mode bridge de la freebox v6 si vraiment on ne perd ni la tv ni le téléphone.
Super boulot 
Faut que je trouve le temps de relire tout ca au calme, en prenant le temps que ca mérite