Réseau Freebox avec IPTV, aussi mini apprentissage

Phil · Avril 16, 2023, 6:39

Je progresse.

Donc du côté émetteur ça devenait plus clair qu’il faut un routeur wifi multi-ssid (avec donc choix corrélé du VLAN), ce qui revient theoriquement à un routeur non wifi duquel on branche à un port ethernet un point d’accès de base et un autre un point d’accès pour l’iptv avec chacun leur ssid et leur vlan. Il faut que je creuse mais a priori cette demande de Vlan + multi ssid côté box n’est pas rare

Par contre je butais sur la réception wifi côté client où 80% des réponses ou produits sont orientés wifi pur sans ethernet, et dans le cas d’Ethernet possible un simple adapteur ethernet de base.

Au passage il y a un excellent forum orienté réseau qui complète bien celui d’OpenWrt.

Finalement en cherchant différents mots clés je suis tombé sur cet article, qui mélange des produits pas si proches que cela, mais qui m’a permit de trouver le produit, ou tout au moins le type de produit recherché.

Et donc le produit en question est le Netgear WAX206.

Dont voici les parties qui m’intéressent dans le pdf de la Doc technique :

Bridge port and VLAN tag groups (router
mode)
(…) A bridge with a port group allows packets that are sent between a device such as an
IPTV and the AP Internet (WAN) port to circumvent the AP’s NAT service, which otherwise could drop the packets. (…)

Bridge port and VLAN tag groups (router mode)

If the AP is in router mode, some devices, such as an Internet Protocol television (IPTV),
cannot function behind the AP’s Network Address Translation (NAT) service or firewall.
Based on what your Internet service provider (ISP) requires, for the device to connect
to the ISP’s network directly, you can enable a bridge either between the device and
the AP’s Internet (WAN) port or between the device and a VLAN tag group.
Also, some ISPs might require the AP to send VLAN packets for the Internet connection.
This requirement is common for ISP fiber connections.
Note: If your ISP provides directions on how to set up a bridge port or VLAN tag group
for IPTV, Internet service, or both, follow those directions.
Set up a bridge for a port group [router mode]
If the AP is in router mode and a device such as an IPTV is connected to a LAN port or
WiFi network, your ISP might require you to set up a bridge for a port group for the AP’s
Internet (WAN) port.
A bridge with a port group allows packets that are sent between a device such as an
IPTV and the AP Internet (WAN) port to circumvent the AP’s NAT service, which otherwise could drop the packets.

Édit:
J’ai l’impression que je peux mettre le même du côté box en mode routeur.

Je n’ai encore rien décidé, même si les délais annoncées d’installation de la fibre ne sont pas ni « programmé », ni « dans les 12 prochains mois », mais « travaux en cours », c’est-à-dire normalement dans moins de 6 mois, ça me laisse encore du temps.

Édit 2:

Phil · Avril 20, 2023, 7:58

Je regarde régulièrement le topic Configuration de load balancing FreeBox - 4G Box, de
@M_le_maudit, d’autant que ça me parle encore plus, et ça m’aide à comprendre les différentes configs possibles, mais j’espère ne pas devoir en passer par là.

(Edit: reformulation).

L’Apple TV c’est du wifi on ne peut plus simple? : il n’y pas de raison que ça ne fonctionne pas via un point d’accès de smartphone (idem répéteur wifi basique).

Phil · Mai 27, 2023, 7:31

Installation d’Openwrt

Bon sur le premier des deux WAX206 j’ai branché son port wan sur la Freebox, sans rien changer à la Freebox pour l’instant, et j’ai accédé par ethernet au Wax:

https://192.168.1.1
je suis allé dans le menu de changement de firmware et j’ai uploadé ce fichier trouvé sur la page OpenWrt concernant le Netgear Wax 206.

https://downloads.openwrt.org/snapshots/targets/mediatek/mt7622/openwrt-mediatek-mt7622-netgear_wax206-squashfs-factory.img

ça charge et reboot et ça marche
puis ssh root@192.168.1.1
réglage du DNS (sinon pas d’internet pour les commandes opkg, j’ai bloqué un moment pour comprendre que c’était un simple manque de DNS pas un problème plus compliqué)
- uci set network.wan.dns="8.8.8.8 1.1.1.1"
- uci commit network
- service network reload
installation du serveur web de l’interface OpenWrt trouvé sur la page OpenWrt concernant l’installation de Luci « Les bases de LuCI»
- ssh root@192.168.1.1
- opkg update
- opkg install luci-ssl
ça charge et reboot et ça marche avec l’interface web d’Openwrt en https://192.168.1.1 !

Mais c’est bien beau mais j’en suis au vrai début de mon essai de config qui est l’objectif de ce topic.
J’ai fait des essais d’attribution de nouveaux SSID ( * ) avec succes mais je ne ne vais pas bien loin puisque je suis un peu perdu et que la doc officielle est succincte. Bon par contre chaque récapitulatif d’action est accessible en haut à droite en équivalent ligne de commande avant application de l’action.

Et donc je manque de vocabulaire et de connaissance, avec les noms identiques entre alias, devices, et interfaces je boucle.

Mais j’ai trouvé cettte vidéo en 2 parties super claire, en tout cas de ce que j’en ai vu en diagonale, qu’il faut que je prenne le temps d’écouter dès que j’ai du temps.
« OpenWRT VLAN Configuration Part 1 [/2] » 16 minutes puis 18 minutes.

A priori le point fort de cette vidéo, pour mon besoin de noob, c’est non seulement de présenter l’interface d’OpenWrt, ce que je cherchais au 1er abord, puisque OpenWrt n’est documenté que pour la ligne de commande mais pas ou peu pour Luci (en tout cas pas trouvé), mais aussi avec des schémas de reexpliquer la base entre les concepts virtuels et leur équivalents physiques

Une fois que j’aurais compris la base de OpenWrt / Luci avec cette vidéo (ou d’autres si vous en avez à proposer), ça ne saura pas forcément simple mais au moins j’aurai les idées un peu moins embrouillées.

Édit :

( * ) : Donc sur ce SSID je suis dans un sous-réseau différent … mais avec des plages IP se recoupant mais complètement indépendants des autres matériels branchés à la box en wifi ou ethernet, chacun vivant leurs vies.

Il faut que j’arrive à aiguiller et ou filtrer tout ça pour récupérer ces 2 SSID, pour l’instant OpenWrt et IPTV, du côté du 2e Wax206 en un VLAN « normal » et VLAN 100 pour le Freebox Player.

Édit 2:

Pour rappel : il y a effectivement beaucoup plus simple, un Mac TV ou un branchement uniquement filaire, mais pour l’instant ça m’amuse : c’est l’occasion de tester et de comprendre un peu mieux les bases du réseau.

Édit 3 :

Il n’y a pas de menu « Switchs » sur mon OpenWrt mais si j’ai bien compris mes lectures ce n’est pas forcément nécessaire (j’ignore si c’est corrélé au matériel, le Wax206, ou si c’est un menu à installer, je penche pour le 1er)

Pollux · Mai 27, 2023, 1:10

Le switching sous OpenWRT a changé (depuis la release 21 ou 22). Swconfig a été abandonné au profit de DSA (Distributed Switch Architecture).
Du coup il n’y a plus de section switch dans le fichier de conf /etc/config/network et le menu Luci a sauté également par la même occasion.
Cependant la fonctionnalité est toujours là, mais un peu moins friendly (de mon point de vu) à configurer.

Je te conseille d’aller lire le user guide [OpenWrt Wiki] DSA Networking

Pollux · Mai 29, 2023, 3:09

En complément à mon post précédent et sur l’histoire des vlan :

De ce que je comprends, tu as deux WAX206. Le 1er est connecté à ta Freebox (via le port WAN). Tu veux que ce WAX206 diffuse un SSID pour le net et un autre pour l’IPTV. Le 2e WAX206 va se connecter au 1er comme client wifi pour récupérer les 2 flux (net+IPTV). Le but étant de pouvoir connecter le Player sur le 1er ou 2e WAX206 indifféremment. C’est ça ?

Dans ce cas, j’éviterai à ta place de me prendre la tête avec du L3 (routage au niveau du WAX206, qui implique soit de configurer la DMZ sur la Freebox, soit de la passer en mode bridge) pour rester purement en L2 (simple switching avec VLAN).

Du coup sur le 1er WAX206 tu configures le br-lan en dhcp client (pour éviter d’avoir 2 serveurs dhcp qui rentrent en concurrences sur le même réseau, tu peux aussi faire un adressage statique si tu préfères), et tu connectes un port du lan sur la Freebox (le port WAN n’est du coup pas utilisé). Idéalement tu configures sur la Freebox une allocation statique pour que ce WAX206 ait toujours la même IP (plus facile pour le management). Tu configures également un nouveau bridge br-iptv dans lequel tu mets toutes les interfaces lan mais taggé sur le vlan id 100. Du coup chaque port lan devrait maintenant avoir un flux non-taggé (br-lan), et un flux taggé vlan 100 (br-iptv).

Une fois que tu as fais ça, tu testes le Player en le connectant à un des ports lan libres du WAX206. Une fois que tu as validé que c’est OK, tu configures le 2e WAX206 exactement de la même manière que le 1er. Tu testes à nouveau en connectant le Player au 2e WAX206 sur un port lan et en connectant le 2e WAX206 au 1er via un port lan : Freebox ↔ 1er WAX206 ↔ 2e WAX206 ↔ Player

Maintenant que tu as validé le L2 en filaire, tu peux passer au wifi. Tu configures sur le 1er WAX206 une première interface wifi ‹ lan › en mode AP avec SSID de ton choix que tu vas raccrocher au br-lan (il doit déjà exister par défaut), puis une deuxième interface wifi ‹ iptv › en mode AP avec SSID de ton choix que tu vas raccrocher au br-iptv. Sur le 2e WAX206, tu fais la même, mais en mode client et en utilisant les SSID définis précédemment.
Attention, je conseille très fortement de faire la conf wifi sur le 2e WAX206 en ayant débrancher celui-ci du réseau en filaire, sinon tu vas créer une boucle L2 (car connecté au réseau à la fois en filaire et en wifi) et je doute que le STP (spanning tree protocol) soit activé par défaut sur les bridges.

Et voilà !

Je voulais faire court mais j’ai pas réussi (dans ma tête ça semble hyper simple, mais dès qu’on veut mettre des mots dessus…)

Phil · Mai 29, 2023, 8:00

C’est exactement ça

Ha oui oui je suis preneur D’ailleurs pourquoi la solution proposée ailleurs (autres topics ici et articles extérieurs) est très souvent avec DMZ et mode bridge ? En tout cas moi ça m’arrange de ne pas toucher trop toucher au Freebox serveur. Est-ce lié au Vlan qui n’est pas proposé en hardware sur ce genre de matériel « grand public » contrairement au Wax206 (pourtant à 99€) et quelques autres, ou rien à voir ?

Ah oui, intéressante comme solution, avec méthodologie intégrée

Merci, merci, je vais tester tout cela dès que je peux

Pollux · Mai 29, 2023, 1:46

Difficile à dire comme ça, les raisons peuvent être multiples de vouloir chainer un autre routeur derrière celui fourni par le FAI :

Besoin de bénéficier de fonctions L3/L4 avancées pas dispo sur la box du FAI
Ignorance ou méconnaissance réseau =choix de la simplicité (on branche et ça fonctionne sans vraiment comprendre)
Besoin de conserver le téléphone VoIP et/ou l’IPTV

La fonction vlan est supportée par un très grand nombre de matériel. Cependant, la possibilité de configuration est rarement offerte (j’ai cependant l’impression que ça évolue dans le bon sens ces dernières années). J’y vois essentiellement deux justifications :

ne pas noyer le consommateur avec trop de réglages
pouvoir réserver cette fonction sur du matériel axé mid-end voir high-end et donc plus rémunérateur.

Phil · Mai 31, 2023, 12:00

Je fais des essais, mais j’ai du mal quelques fois à comprendre le sens du flux dans OpenWrt.

Ça vient en partie de la grande liberté de config, qui est bien dans l’absolu, puisque c’est que je cherchais comme produit, mais un peu source de confusions au départ. La vidéo plus haut, « OpenWRT VLAN Configuration » en 3 parties et non 2 d’ailleurs, est très didactique (schéma, copie d’écran, explications) mais je me perd de nouveau dès que je m’éloigne un peu de sa proposition.

Menu « Devices »
- donc les devices initiaux proviennent des ports physiques qui sont les sources des flux dans le menu « devices » ?
- les devices virtuels partent des flux précédents et génèrent
  - dans le cas d’un « bridge device » br-lan on alors une source unifiée qui part de plusieurs devices ?
  - filtrés le cas échéant par Vlan et créé autant de devices virtuels que de Vlan créés (comme VLANS de la vidéo)?
    + mais visiblement on peut panacher lan et vlan dans le menu Vlan des bridges.
    + Avec donc le lan0 qui est le trunk provenant de la Freebox taggé pour tout les vlans (« trunk to bridge »), et les autres en Vlan avec chacun leur Vlan (en tout cas dans la vidéo, mais on peut simplifier en taggant les 3 ports comme tu expliques)
  - par contre les source Wifi on ne les voit pas là ?
Menu « Interfaces »
- si on ne se sert pas du wlan physique alors on supprime l’interface wlan et wlan6, (comme tu expliques et comme dans la vidéo), pas de problèmes
- l’interface lan part de br-lan
- l’IOT de la vidéo part de VLANS.20 (une des sorties du VLANS), comme VLANS.30 pour le Wifi, et le Wlan.60 pour la télé (en tout cas dans la vidéo en 60 mais pour la Freebox en 100, un br-iptv en somme, mais on peut simplifier en ne faisant qu’un VLAN comme tu expliques, après dans l’absolu je voudrais isoler l’alarme dans l’IOT mais je verrais après)
  - Et donc j’ai créé une interface IPTV pour la Freebox Player qui ne fonctionne pas en se branchant sur le device VLANS.100, mais qui fonctionne avec lan4 et le branchement physique en lan4 \o/ alors que je ne me sers pas du VLANS.100 dans cette interface (ou alors indirectement du fait du filtrage du bridge VLANS ?)
Menu « Wifi »
+ La vidéo ne montre pas/ passe rapidement sur la ligne « Radio0 / Scan » mais je suppose que ça serait le wifi en entrée pour le 2é wax206 à partir du 1er ?
+ Tandis que la ligne « SSID / Edit » sert à produire un SSID en sortie (donc du 1er wax206 pour le 2é) ? mais donc à partir d’une interface ou d’un device physique ? Pourquoi on a le choix de plusieurs en même temps ?

Et donc hier soir mon Freebox Player branché sur le 1er wax206 sur le lan4 « est tombé en marche » grâce à l’interface IPTV avec comme source lan4. C’est déjà ça, mais il faut que je comprenne pourquoi

Comme je n’ai pas encore la fibre, mais j’ai vu les minis tractopelles se rapprocher, j’ai le menu du Freebox Player, sans erreur, tout semble fonctionner sauf l’erreur « débit insufissant » provenant du débit ADSL années 2000 asthmatique, et le replay en pas en pas, alors j’en conclue au bon fonctionnement de mon 1er essai.

Mais comme j’ai tout péter après, he bien je vais encore reseter pour comprendre (cause: en testant pour voir la création d’un sous-réseau IPTV via une interface, mais qui isolait le Player de la Freebox, pourtant j’aurais cru que le Vlan pouvait contourner le problème).

Édit:
Mes cours de réseaux, pendant mes études au début de années 90, ainsi que le livre d’Andrew Tanenbaum, sont passés un peu au dessus de ma tête, mais comme souvent, en ce qui me concerne, un vrai cas pratique me permet de m’y replonger cette fois-ci positivement.

Phil · Mai 31, 2023, 11:20

En filaire, sans VLAN, le player il fonctionne ! oO ?! (sans les ports wan, avec ip gateway= ip DNS = ip Freebox.)

Normal puisqu’on reste dans le même réseau, ce qui ne sera pas le cas en wifi avec le même schéma, là le VLAN sera nécessaire ?

Pollux · Juin 1, 2023, 7:28

Je réponds vite fait dans un hôtel de SFO entre 2 avions internationaux (réponse plus détaillée peut-être ce weekend sauf si le jetlag prends le dessus) :
Il est possible que le bridge tel que déclaré par défaut passe les vlan de manière transparente. Je pense aussi que le Player a besoin de voir les 2 réseaux (internet et IPTV) donc es tu vraiment certain de bien valider l’ensemble ? (Surtout avec le message ‹ debit insuffisant ›)

Phil · Juin 1, 2023, 11:10

Tu as tout à fait raison: c’est insuffisant pour se prononcer à 100%.

Mais l’écran habituel de la télé Freebox, avec les menus etc y compris le Replay, est complètement fonctionnel en filaire, pas bloqué en authentification, à confirmer.

Édit:

Là je rame un peu. Le même menu sert à générer un SSID (Point d’accès) ou à s’en servir (client). Bon je crois avoir compris. En revanche j’ai du mal à comprendre comment utiliser l’interface… destinatrice ? En faire un bridge avec le lan local ? Ou pas ?

Et donc pour commencer sans VLAN.

En résumé : du 2e wax206 je ne vois pas le reste de mon réseau s’il se connecte au 1er wax206 en wifi. ^^’

Édit 2:

En y réfléchissant je dois aussi faire une confusion entre les SSID entrant et sortant du 2e wax206 passant de l’un à l’autre alors qu’il faut les 2.
(En tout cas de mon premier wax je vois tout mon réseau quand je m’y connecte en wifi avec un téléphone ou un ordi.)

Phil · Juin 3, 2023, 9:09

L’ordre du flux ça se passe comme ça ?

1er wax206:
- device bridge lan (4 lan → br-lan)
- → interface (br-lan)
- → wifi1 AP

Mais sur le 2e je n’arrive pas à faire le lien

2e wax206:
- ? → wifi AP wifi 2.1
- wifi Client 2.2 sur wifi1
- → interface que je nomme wifi2FromWifi1 (créé automatiquement lorsque je créé le wifi client mais sans device)
- → quel device et quel type de device pour :
  - alimenter les ports lan ?
  - alimenter le wifi wifi AP wifi 2.1 en sortie ?

En tout cas j’en suis là dans mes essais de config. J’ai du mal à comprendre comment les interfaces interagissent avec le reste même si j’ai compris que c’est un lien comme leur nom l’indique.

Phil · Juin 4, 2023, 11:12

J’ai vu un petit bug ou incomplétude voulue. Dans mon interface Wifi2FromWifi1 a priori il faut que je mette comme device wl0-sta0 qui est le nom du device proposé dans l’affichage de l’interface, mais non défini comme device.

Bon toujours je ne vois toujours pas mon 1er wax du 2e, mais au moins, à moins que je me trompe je ne tournerais pas en rond.

En mode static adresse il me propose même comme gateway le 192.168.1.1 bien qu’il ne l’atteigne pas.

En plus je me fais des faux négatifs : je ne vois plus Luci alors que c’est mon téléphone qui avait retenu une vieille config : oublier réseau wifi.

Et le WDS dans tout ça ? C’est du mesh ?

Pollux · Juin 4, 2023, 11:38

Bon tu as plus ou moins pigé le truc, mais en résumé :

Devices
Ici tu définis les interfaces/équipements L2 en les rattachant aux interfaces L1 (niveau physique).
Interfaces
Ici tu définis les interfaces L3 (réseau IP) qui sont rattachées aux interfaces/équipements L2 et optionnellement également affectés à une zone FW (filtrage L3/L4)
Wifi
Ici tu auras tous les équipements radio wifi existants, en général deux : un pour le wifi 2.4GHz et un pour le wifi 5GHz. Tu peux déclarer plusieurs SSID dans chacun des équipements radio suivants différents mode (AP, client, etc.). Chaque SSID (finalement une interface L2 wifi) doit être rattaché à un réseau (interface). Attention, de mémoire tous les SSID d’un même équipement radio utilisent la même bande de fréquence, donc perfs en conséquence (comprendre pas top puisque partagée).

Je vois par la suite que tu cherches à avoir le 2e WAX206 à la fois en client wifi (connecté au 1er WAX206), mais aussi en AP. Ce qui revient à en faire un répéteur wifi. A noter que pour que cela fonctionne en mode répéteur, il faut utiliser l’option WDS (des deux côtés : AP 1er WAX206 et Client 2e WAX206).
Il faut savoir que pas tous les hardware sont capables de faire un bridge L2 wifi (entre un upstream wifi et un downstream wifi). Dans ce cas, il faut passer en L3, ce qui va pas mal compliquer la conf (cf. ici).
Attention également aux perfs qui risquent de ne pas être exceptionnelles puisque la bande wifi va être partagés entre l’upstream et le downstream.

Si tu as un(e) pote qui maitrise le réseau, ça serait plus simple de voir cela avec lui/elle. Je ne préjuge pas de tes connaissance réseau, mais ce n’est pas évident d’aider et d’expliquer par forum interposé…

[edit] J’étais en train de rédiger ma réponse quand tu as fais la tienne.

Phil · Juin 4, 2023, 8:12

Haa, je me disais bien qu’il y avait un manque ou quelque chose que je ne trouvais pas, merci.
Et j’ai suivi la config relayd et luci-proto-relay c’est beau de pouvoir faire un bridge wifi-lan et pinger la terre entière mais visiblement je suis concerné (snif) par :

The most common problem is that the client router cannot pass the DHCP message between the main router and the client connected to the client router.

Les adresses MAC en double et le ping ok sans pouvoir atteindre le web par http m’ont mis la puce à l’oreille en relisant l’avertissement ci-dessus.

Donc je me suis rabattu sur la config WDS dont tu parles → interface lan (ignore interface) et enable STP dans le br-lan. Donc ce qui est est bien, c’est qu’il sait aller directement sur l’interface lan sans passer par un bridge lan-wifi.

Et donc ça marche !!! :

j’écris sur geekzone via le wifi du 2e WAX206 via le client WDS via mon 1er wax206
Et en plus via mon ADSL pourri je peux regarder en 4 images par secondes le replay du Freebox Player ^^’ sans VLAN.

J’ai rebooté les 2 wax et le Freebox Player pour être sûr que ça fonctionne vraiment avec la config indiquée dans Luci.

Peut-être qu’il ne faut pas de VLAN 100 grâce à ton idée de base que tout soit dans le même réseau, merci

Bon:

reste à mettre des mots des passe, cryptage,
changer les noms de routeur et SSID.
2 Ghz / 5 Ghz Au fait pour la télé il faut privilégier le 2ghz ou le 5Ghz (le premier moins rapide mais plus stable, mais j’ai cru lire plus haut qu’on n’atteignait jamais le Gb pour l’IPTV. D’ailleurs le streaming hors box il est lié aux mêmes considérations ?
et/ou
- « m’amuser » à comprendre les VLAN
- laisser les IOT(=alarme) et Freebox Server/Player dans le réseau initial (2Ghz), et faire un sous-réseau perso dans un sous domaine 192.168.2.0 (5Ghz). En plus ça permet que les IOT and co restent connectés quand j’éteins les wax, et que mon réseau perso soit isolé des IOT
ranger mon fouillis de câble car pour tester mes 2 wax et le Player sont à 50 cm l’un de l’autre par wifi avec un câble temporaire de 15m jusqu’a la box.
mais tout cela ne sera valable que lorsque la fibre arrivera (bientôt)

En tout cas j’y vois un peu plus clair , c’était aussi le but de ce topic.

config du 1er WAX206:

/etc/config/network:

config interface 'loopback'
	option device 'lo'
	option proto 'static'
	option ipaddr '127.0.0.1'
	option netmask '255.0.0.0'

config globals 'globals'
	option ula_prefix 'X:X:X::/48'

config device
	option name 'br-lan'
	option type 'bridge'
	list ports 'lan1'
	list ports 'lan2'
	list ports 'lan3'
	list ports 'lan4'

config interface 'lan'
	option device 'br-lan'
	option proto 'static'
	option ipaddr '192.168.1.1'
	option netmask '255.255.255.0'
	option ip6assign '60'
	option gateway '192.168.1.254'
	list dns '192.168.1.254'
	list dns '8.8.8.8'

/etc/config/wireless

config wifi-device 'radio0'
	option type 'mac80211'
	option path 'platform/18000000.wmac'
	option channel '1'
	option band '2g'
	option htmode 'HT20'
	option cell_density '0'

config wifi-iface 'default_radio0'
	option device 'radio0'
	option network 'lan'
	option mode 'ap'
	option ssid 'OpenWrt'
	option encryption 'none'
	option wds '1'

config wifi-device 'radio1'
	option type 'mac80211'
	option path '1a143000.pcie/pci0000:00/0000:00:00.0/0000:01:00.0'
	option channel '36'
	option band '5g'
	option htmode 'HE80'
	option disabled '1'

config wifi-iface 'default_radio1'
	option device 'radio1'
	option network 'lan'
	option mode 'ap'
	option ssid 'OpenWrt'
	option encryption 'none'

config du 2e WAX206:

/etc/config/network:

config interface 'loopback'
	option device 'lo'
	option proto 'static'
	option ipaddr '127.0.0.1'
	option netmask '255.0.0.0'

config globals 'globals'
	option ula_prefix 'Y:Y:Y::/48'

config device
	option name 'br-lan'
	option type 'bridge'
	list ports 'lan1'
	list ports 'lan2'
	list ports 'lan3'
	list ports 'lan4'
	option stp '1'

config interface 'lan'
	option device 'br-lan'
	option proto 'static'
	option ipaddr '192.168.1.2'
	option netmask '255.255.255.0'
	option ip6assign '60'

/etc/config/wireless

config wifi-device 'radio0'
	option type 'mac80211'
	option path 'platform/18000000.wmac'
	option channel '1'
	option band '2g'
	option htmode 'HT20'
	option cell_density '0'

config wifi-device 'radio1'
	option type 'mac80211'
	option path '1a143000.pcie/pci0000:00/0000:00:00.0/0000:01:00.0'
	option channel '36'
	option band '5g'
	option htmode 'HE80'
	option cell_density '0'
	option disabled '1'

config wifi-iface 'default_radio1'
	option device 'radio1'
	option network 'lan'
	option mode 'ap'
	option ssid 'OpenWrt2 5G'
	option encryption 'none'
	option disabled '1'

config wifi-iface 'wifinet3'
	option device 'radio0'
	option mode 'sta'
	option network 'lan'
	option ssid 'OpenWrt'
	option encryption 'none'
	option wds '1'

config wifi-iface 'wifinet2'
	option device 'radio0'
	option mode 'ap'
	option ssid 'OpenWrt2'
	option encryption 'none'
	option network 'lan'

Pollux · Juin 4, 2023, 10:33

Content de voir que tu progresses. Je pense que tu as fait le plus « tricky ». Si tu dois rajouter des réseaux et/ou faire des vlan, ça devrait être moins compliqué.

A noter que si tu veux que ton 2e WAX206 puisse accéder à internet (pour faire des mises à jour ou autre), il faut que tu lui rajoutes aussi dns + gateway.

La bande 2,4GHz à une meilleure portée que le 5GHz, mais les débits sont moins bons (et de loin). Si c’est juste pour du streaming, ça pourrait suffire, mais si tu veux faire des transferts, tu risques de trouver le temps long. Perso avec l’arrivée de la fibre, j’ai remplacer mon pont wifi (pourtant en 5GHz) entre rdc et 1er étage dont les débits étaient vraiment mauvais, par un câble + borne wifi6 poe ce qui me permet d’avoir du 500+ Mbps à l’étage.

Tu peux aussi imaginer utiliser le 5GHz en dédié pour le pont wifi entre les 2 WAX206, comme cela les perfs ne sont pas affectées par les clients wifi qui se connectent en 2.4GHz soit sur le 1er ou le 2e WAX206 (ou inversement, pont en 2.4GHz et clients en 5GHz).

Genre 1er WAX206 :

config wifi-device 'radio0'
	option band '2g'
	[...]

config wifi-device 'radio1'
	option band '5g'
	[...]

config wifi-iface 'default_radio0'
	option device 'radio0'
	option network 'lan'
	option mode 'ap'
	option ssid 'pareil que Freebox'
	option encryption 'none' (à ajuster)

config wifi-iface 'bridge_ap_ra1'
	option device 'radio1'
	option network 'lan'
	option mode 'ap'
	option ssid 'bridge'
	option encryption 'none' (à ajuster)
	option hidden '1'
	option wds '1'

Et pour le 2e WAX206 :

config wifi-device 'radio0'
	option band '2g'
	[...]

config wifi-device 'radio1'
	option band '5g'
	[...]

config wifi-iface 'default_radio0'
	option device 'radio0'
	option network 'lan'
	option mode 'ap'
	option ssid 'pareil que Freebox'
	option encryption 'none' (à ajuster)

config wifi-iface 'bridge_sta_ra1'
	option device 'radio1'
	option network 'lan'
	option mode 'sta'
	option ssid 'bridge'
	option encryption 'none' (à ajuster)
	option wds '1'

Phil · Juin 7, 2023, 8:53

J’y vois beaucoup plus clair dans ce qu’on a fait entre interface, devices, et wifi. À partir de là il faudrait que je trouve une vidéo qui donne les bases en réseau, et pas seulement une réponse à mon problème (même si évidemment en 1h ça ne sera jamais comme un pro en réseau).

Tu en connais sur YouTube ?

C’est ce que je pensais, mais en fait ce n’est pas plus simple, tout au moins, en tout cas les essais que je fais, ne fonctionnent pas. Ce qui est ardu en réseau, c’est que lorsqu’on fait une erreur à un endroit, alors souvent plus rien ne fonctionne contrairement au développement où ça peut souvent fonctionner à moitié. Sans parler de perdre l’accès au routeur (brique → Flash → rebelotte)…

Même si la réponse de ce topic est maintenant résolue, à la vérif près lors de l’arrivée de la fibre, je me posais le cas de figure ci-dessous surtout pour comprendre seulement (et que je mettrais en œuvre éventuellement ou non vu que mon souci est résolu) :

192.168.1.0, comme on a fait , freebox + IOT sur le 1er et 2e wax en wifi et ethernet
192.168.2.0 :«réseau perso» qui voit le 192.168.1.0 mais qui ne permet pas au 192.168.1.0 de voir 192.168.2.0. Disponible en wifi et port physique sur les 2 wax.
Le tout partant d’une interface, n’est-ce-pas ?, sur le 1er wax

(Et c’est là où je voyais les questions suivantes. Comment s’articulent les sous-domaines en filaire et wifi ? Avec les différents branchements on s’y perd avec les gateway ? Dans quelle mesure il faut / on peut utiliser des VLAN ? Le routage et/ ou bridge s’utilisent dans mon cas de figure ? C’est là que je vois que j’en suis à « My tailor is rich» … et que les cas de figures possibles sont sans limite !

Phil · Juin 14, 2023, 7:11

J’ai essayé de faire un sous-réseau invité pour essayer de comprendre.

J’ai suivi la page d’explication qui met l’accent sur les éléments ci-dessous

un serveur DHCP au niveau de l’interface du sous-réseau (sinon il refuse de me donner une adresse)
les règles du firewall pour laisser passer les requêtes DNS (port 53) et DHCP (67)

J’ai bien mon sous-réseau mais sans internet. Je dois cafouiller pour le zonage du firewall et les sens car les exemples du doc sont avec wan or le réseau que tu m’as aidé à mettre en place est sans wan.

Interface

lan : internet ok

Type: Bridge
Device: br-lanI
Pv4: 192.168.1.1/24

Lan2: pas d'Internet
Type: Wireless Adapter
Device: wl1-ap0
IPv4: 192.168.2.1/24
Gateway par défaut: 192.168.1.254 (= freebox server) 
(mais ça devrait pas être celle du br-lan (192.168.1.1) ?)
Dhcp server
DNS:8.8.8.8

Comment le zonage du firewall pour lan2 doit est situé par rapport aux autres zones.

Quels fichiers de config sont concernés par ma question ?

Pollux · Juin 17, 2023, 8:54

Désolé, je n’ai rien de connu à te proposer. Tu peux essayer ça en clef de recherche.

Le meilleur moyen pour éviter cela, c’est de configurer un port/interface avec une IP fixe dans un réseau dédié (i.e. pas lié au reste de ton réseau maison sur lequel tu bidouille). Tu peux t’en servir pour faire la configuration (ça évite d’être déconnecté à chaque fois et de serrer les fesses à chaque modif), ou alors tu t’en sers de connexion de secours si jamais tu foires le réseau maison lors de tes divers essais.

En théorie, tu auras un subnet par vlan (tu peux faire cohabiter plusieurs subnets dans un même vlan mais tu n’a pas d’isolation L2 et en général on évite, sauf besoin spécifique). Un vlan revient à faire une isolation L2, il faut voir cela comme un switch virtuel avec domaine de broadcast distinct. Plutôt qu’avoir plusieurs switch physiques tu fais une ségrégation virtuel au sein d’un même switch (c’est ce qu’on appelle un switch manageable). Le wifi n’a pas de notion de vlan, la ségrégation se fait par SSID. Le bridge est un finalement un switch virtuel dans lequel tu choisi quel port/vlan/ssid tu mets.
Et pour faire causer 2 subnets entre eux, il faut une couche de routage (L3), que tu peux gérer flux par flux dans le cas d’un Firewall (L4) via des polices de contrôle.

Le Lan2 ne devrait pas avoir de gateway, seul le bridge du lan (connecté à la Freebox) doit avoir une gateway. Le Lan2 (du réseau Guest) fait DHCP server pour les clients qui se connectent au réseau Guest. Ces mêmes clients utilisent l’IP du routeur Lan2 (192.168.2.1) comme gateway. Pour que les clients puissent accéder à Internet, il faut un forwarding du Lan2 → Lan. Si tu ne mets pas de « Masquerading », il faut une « route retour » côté Freebox pour router le subnet 192.168.2.0/24 vers l’IP 192.168.1.1 du OpenWRT.
Par contre le réseau Guest a, en plus de l’accès Internet, également accès à ton réseau privée 192.168.1.0/24 ce qui élimine tout intérêt d’un réseau « Guest ». Pour éviter cela, il te faut une règle L4 qui interdit l’accès au 192.168.1.0/24 depuis le réseau 192.168.2.0/24. Pour ne donner que l’accès à Internet et pour éviter toute surprise, le mieux est d’interdire l’accès aux réseaux privés tels que définis dans la RFC 1918, à savoir 10.0.0.0/8, 172.16.0.0/12, et 192.168.0.0/16.
La partie dhcp est configurée dans /etc/config/dhcp, et la partie firewall dans /etc/config/firewall. De manière générale, les fichiers de conf sont dans /etc/config/

Phil · Juin 22, 2023, 8:30

Merci pour toutes ces explications

Avec ou sans il doit y avoir autre chose à régler en parallèle ?

Cette fonctionnalité ne semble pas offerte dans la freebox.

Sinon j’ai lu tout ça mais je m’y perds un peu.

Les mini tractopelles sont toujours en action pour la fibre, mais en attendant comme je vidais un peu trop vite mon quota internet mobile, pas longtemps après tes explications initiales sur le réseau Wifi WDS je l’ai mis en place (donc pas par mon essai sous réseau en cours). Et en dépit de l’ADSL poussif ça fonctionne bien avec OQEE (Free) et le streaming de YouTube en bufferisant à peine (par contre toujours « erreur de débit » pour le Freebox Player même si les menus sont fonctionnels, mais c’est « normal »).

J’ai fait des backup de config Openwrt. D’ailleurs un petit détail : il sauvegarde en *.tar mais ne restaure que des *.tar.gz, il faut le gzipper à la main et tout rentre dans l’ordre.