Et avec la fibre venant d’être installée
Fibre → Freebox → (ethernet) → wax206 → (wifi WDS) → wax206 → (ethernet) → Freebox Player → (Hmdi) → TV
Ça fonctionne ! 
(sans modifier la config de la dernière fois )
(Bon je n’ai pas réussi à faire de sous-réseaux mais c’était plutôt pour l’apprentissage)
Sorry, j’avais loupé ton post…
En théorie non. Le « masquerading » est là pour changer l’IP source des clients côté Lan2 et la remplacer par la sienne côté Lan, et faire l’opération inverse pour les paquets en retour (bref, du source NAT)
OK donc c’est mort, la première option reste donc à privilégier.
Ce n’est pas ce que tu veux pour faire du masquerading. Le masquerading se fait au niveau L4 (Firewall), voir ici.
En fait tu dois faire un forward de zone à zone en faisant un NAT au passage (même principe que pour un LAN-to-WAN).
Bizarre, je n’ai jamais eu ce problème 
En réseau il y a toujours quelque chose à apprendre 
Donc j’ai de nouveaux fait des essais de sous-réseaux, mais comme tu le proposais par le Firewall puisqu’il n’y a pas de menu de routage dans la Freebox.
Je pense grâce à cette discussion avoir maintenant bien compris les interfaces (L2) et les devices (L1) par rapport aux modèles OSI. Qu’aussi le Firewall (L3/L4) se trouve dans une couche au dessus et qu’il faille faire communiquer tout ce petit monde entre eux. En fait ce que tu as écris là et qu’avec le recul je comprends mieux
En revanche je crois que j’ai plus un souci avec l’ergonomie d’Openwrt, non pas pour les interfaces ou devices où ça allait, mais pour le Firewall: en fait je crois comprendre tes explications qui disent de calquer le même système de brancher 2 couches entres elles en l’occurence le Firewall avec les interfaces, mais dans l’interface d’Openwrt je ne retrouve pas mes petits:
Et le résultat est toujours le même: blocage, recharge config. 
En fait en pensant ne toucher qu’au sous réseaux je bloque tout. Après comme dedans je clique sur le choix du br-lan principal, je dois bloquer un truc.
Je pourrais le faire aussi le faire en mode config par fichier comme j’ai l’habitude de faire pour la config générale sous Linux. Mais là sans GUI c’est pour l’instant encore trop compliqué en ce qui concerne le réseaux. Mais le GUI côté Firewall d’Openwrt est ou bien mal fait, ou bien il y a des trucs qui m’échappent.
Sinon du côté interface et devices pour le sous-réseau je crois ne pas trop me tromper: du Br-lan on enlève par exemple lan4 et on laisse lan 1 à 3. Et on fait une nouvelle interface ne contenant que le lan4 que l’on branche à un nouvel SSID ? (un bridge n’étant nécessaire que si j’utilise plus d’un port lan n’est-ce pas)
(Tiens j’ai un truc bizarre, sur l’un de mes 2 wax206, il n’arrive plus à démarrer le 5G, et je ne suis pas le seul en lisant le forum d’openwrt sur d’autres routeurs).
Edit:
Tiens à propos de la demande d’évolution, déjà copiée plus haut, FS#12869 : Routage statique Freebox ↔ routeur interne, il y a marqué:
Fermée: 23.08.2022 12:04
Raison de la fermeture : Evolution intégrée
Due pour la version: Non décidée
Échéance: Non décidée
Dernière modification: 23/08/2022
mais aussi
Ouverte: 13/07/2013 (il y a 10 ans ! )
Je ne suis pas sûr de comprendre ce que tu veux dire.
Une ou plusieurs interfaces sont rattachées à une zone. Il te faut au minimum 2 zones pour pouvoir router d’un réseau à un autre ( (i.e. au travers d’une interface à une autre). Je conseille de bien catégoriser plutôt que de mettre plusieurs interfaces sans lien direct dans une même zone. Exemple : l’interface wan et wan6 dans la zone wan, l’interface lan dans la zone lan, l’interface lan2 dans la zone guest, etc.
Quand tu configures une zone, tu définis la politique par défaut en intra-zone (input, output, forward inter-network intra-zone) ainsi que le forwarding inter-zone (et donc forcément inter-network) depuis cette zone.
Ca permet de définir le routage L3 d’un réseau à un autre suivant comment tu as découpé tes zones.
En plus de cela, dans la partie « Traffic Rules » tu peux définir des policies L4 pour effectuer un filtrage plus fin pour autoriser des flux qui seraient par défaut interdits (exemple : ouvrir un accès vpn sur la zone wan qui n’autorise par défaut rien en input), ou inversement pour bloquer des flux qui seraient par défaut autorisés (exemple : bloquer l’accès du réseau de la zone guest à un réseau particulier derrière la zone wan).
Oui, normalement c’est ça. Un bridge est une association de plusieurs devices (comprendre ports physiques). Il me semble que tu peux déclarer un bridge avec un seul device/port, mais ça n’a pas d’intérêt. Sauf, si tu prévois de rajouter un port ultérieurement, auquel cas ça évite de tout casser pour reconstruire.
En fait c’est ce menu, dans Firewall / NAT Rules que je ne comprends pas.
Étape 2:
« Firewall / NAT Rules »
(Où il faut lire si j’ai bien compris, Lan2 au lieu de Lan, que j’aurais créé en étape 1).
Liste déroulante de « Action »:
Étape 1 :
Mais peut-être que seulement ce menu ci-dessous est nécessaire ? Mais pas comme j’ai essayé en tout cas…
« Firewall / Zone Settings / General Settings » qui me permet de créer la zone « Lan2 »
Tu configures le masquerading au niveau de la zone (à l’instar de ce que tu ferais pour un wan), pas besoin de le faire au niveau d’une règle de NAT spécifique.
Exemple de ce que j’ai chez moi :
Toi tu a besoin d’une zone « lan » qui est en L2 avec ta Freebox (qui sert de dhcp) et d’une zone « lan2 » qui dispose de son propre réseau L1/L2/L3 (ex: 192.168.2.0/24) et de son propre dhcp (celui d’openwrt).
Pas besoin de forwarding vers une autre zone depuis la zone lan, seulement du masquerading.
Par contre depuis la zone lan2, il faut pouvoir faire un forwarding vers la zone lan afin de sortir vers la Freebox et donc internet.
L’idée étant qu’un paquet d’un client en entrée dans la zone lan2 avec une ip source 192.168.2.x soit forwardé vers la zone lan avec masquerading. Ce même paquet en sortie dans la zone lan aura donc cette fois pour ip source 192.168.1.x (l’ip du device openwrt dans la zone lan) et sera envoyé vers la Freebox (il faut que ton interface lan ait la freebox en default gateway).
Un firewall étant « statefull » le paquet réponse fera l’opération inverse au retour pour qu’il puisse atteindre le client.
Ça marche !
Je comprend mieux ton interrogation sur le fait que je n’arrivais pas à le faire fonctionner car c’est beaucoup plus simple que je ne pensais. Et j’ai réussi en relisant ton dernier message.
Et voilà ^^’
En fait je me suis perdu avec les notions de NAT et du fait qu’il « suffisait » de mettre le masquerade sur le (z)Lan qui a accès à internet, et non pas sur zLan2.
Et donc uniquement dans « Firewall / Zone Settings / General Settings ».
Sans oublier côté interface iLan2 le DNS d’une part,et d’autre part le gateway qui correspond à l’IP de la freebox (que j’ai laissé à vide car il l’a retrouvé tout seul). Mais là a priori j’avais compris car c’était similaire à une interface « normale ».
Merci
Et j’ai aussi réussi à prolonger ce sous-réseaux sur le 2e wax 206 via WDS
Donc re-création d’interfaces et devices, mais pas besoin du fowarding puisque géré par le précédent wax206.
Dans la suite de mon mini apprentissage il faudra que je regarde un jour les VLan et la sécurité.
En ce qui concerne le wifi 5 et 6 sur le wax206, j’ai vu que le AC fonctionne, c’est-à-dire Wifi 5, mais pas (plus ?) le AX c’est-à-dire Wifi 6. Il me semble aussi qu’un device Wifi 2 ou 5, ne démarre que si les SSID attenants sont ok et compatibles entre eux.
J’ai réussi à faire un VLAN mais je me suis contenté du côté untagged.
Mais j’ai une question: Pour le 2e Lan sur le 2e wax206 on est visiblement obligé aussi de passer par un WDS ? Qu’on soit en VLAN ou non, il faudrait sinon rajouter des règles de forwarding car plus dans le même réseau ?
Qu’est ce qui te fait dire que ton AP est en AC au lieu de AX ?
Par ailleurs l’intérêt du Wifi, c’est d’être retro-compatible, c’est à dire qu’en théorie un client Wifi pourra se connecter à n’importe quel AP Wifi peu importe la norme. Ils sauront négocier une norme commune afin de pouvoir discuter.
Si tu veux propager ton 2ème réseau L2 du 1er WAX206 au 2ème, oui il te faudra un autre pont wifi WDS.
Je ne pige pas trop l’intérêt du vlan dans ton cas, sachant que in fine tu mets un port (non taggé) dans un bridge différent, ça revient de fait à faire une partition L2 sans en faire au sens de la norme vlan.
L’intérêt des vlan c’est de pouvoir les trunker et donc de les faire transiter via un même lien L1 tout en gardant une séparation L2 (au travers d’un tag distinct). Si tu avais relié tes 2 WAX206 via un câble ethernet, là ça aurait du sens.
Quand je met AC ça fonctionne, quand je met AX le device 5G refuse de démarrer.
Ok.
Aucun
Simplement apprendre. Autant le sous-réseau est utile, autant là avec le Vlan j’arrive au même résultat que sans Vlan.
En fait j’essayais de comprendre la solution avec VLAN 100 pour la Freebox (certains articles présentent cela avec le Wifi, d’autres en ethernet), et le VLAN en général.
Je suis au mauvais en théorie, là par la pratique ce wax206 me permet aussi d’apprendre.
Ah ton mot rétrocompatibilité m’a fait tiqué j’ai baissé le niveau d’authentification wifi du wax206 afin que mon imprimante puisse s’y connecter: elle ne devait pas le connaitre à l’époque de sa fabrication. Hop ça fonctionne sur le wifi du wax206 et plus seulement sur celui de la Freebox.
