Après plus d'un mois de bêta, le protocole VPN Wireguard fait son entrée dans la version 4.5 de Freebox OS, qui vient d'être mise en ligne. On vous explique comment l'utiliser comme client ou serveur.
Depuis l'intégration de Wireguard au noyau Linux, on attendait qu'il soit proposé au sein de la gestion des VPN de Freebox OS. Si l'on savait que ce serait certainement avant la fin de l'année, aucune date n'avait été précisée.
Début août, l'équipe a néanmoins lancé un appel aux testeurs. Ceux voulant participer pouvaient donner l'adresse MAC de leur Freebox (la procédure est terminée désormais) afin d'avoir accès à la version 4.5 de Freebox OS. Elle est désormais disponible pour les boîtiers Server des Révolution, mini 4K, One, Delta et Pop.
L'occasion pour nous de tester cette nouveauté et sa simplicité de mise en œuvre.
Changement de noyau et nouvelle interface
L'accès à Wireguard découle de son intégration au noyau Linux depuis la version 5.6. L'équipe avait précédemment indiqué attendre la 5.10 pour sauter le pas, celle-ci offrant un support à long terme (LTS). Mais ce n'était pas le cas lors des tests, effectués avec un noyau 5.4 via un backport. C'est toujours celui utilisé. Un travail de migration des Freebox Server vers un noyau 5.1x est en cours, mais son calendrier n'est pas encore connu.
L'équipe devait également modifier l'interface de gestion des VPN pour proposer une activation la plus simple possible, s'intégrant aux fonctionnalités existantes. Pour y accéder, il faut pour rappel se rendre dans Freebox OS, ouvrir l'application Paramètres de la Freebox et son Mode avancé. On a alors accès à Client VPN et Serveur VPN.
L'interface Freebox OS se trouve à l'URL suivante (ou l'IP 192.168.1.254 par défaut) :
https://mafreebox.freebox.fr/
Client VPN est présentée comme une manière de faire passer le trafic de certaines applications de la Freebox par un tunnel VPN. En pratique, une seule est concernée : le Gestionnaire de téléchargements. Aucune autre n'a jamais été ajoutée et il est impossible d'en profiter pour l'ensemble de la connexion, bien que certains apprécieraient.
Dans la section Configuration VPN on peut ajouter une connexion via le bouton « + » en haut à droite. Dans la liste des types de serveurs VPN, Wireguard est présent. Lors de la bêta, nous regrettions qu'il soit impossible d'envoyer un fichier de configuration, cela a été corrigé depuis, évitant de taper tous les paramètres à la main :
Les paramètres dans la version bêta (à gauche), simplifiés en version finale (à droite)
Création d'un serveur VPN : simple comme bonjour
Pour déclarer et activer un serveur VPN, c'est encore plus simple. Il faut tout d'abord créer un utilisateur, avec certaines spécificités pour Wireguard. Tout d'abord, l'IP attribuée ne peut être automatique, elle est forcément fixe. Un choix imposé par le protocole qui ne permet pas une configuration différente.
Ensuite, vous aurez accès à deux paramètres : la durée d'un signal Keepalive et l'activation de la clé pré-partagée (PSK). Dans le premier cas, il s'agit d'indiquer en secondes la durée à laquelle vous voulez qu'un paquet spécifique soit envoyé afin de vérifier que la connexion avec le serveur VPN est toujours active, ce qui peut être utile dans certains cas, précise la documentation de Wireguard. Par défaut, cette fonctionnalité est désactivée (0).
Dans le cas de la clé pré-partagée, il s'agit là aussi d'une option du protocole qui utilise une valeur (string, 32 octets) nulle par défaut dans la phase de handshake. Vous pouvez néanmoins renforcer la couche de chiffrement en cochant la case. Chaque utilisateur disposera alors de sa propre clé pré-partagée (PSK).
L'équipe de Free nous précise que « si les algorithmes de crypto utilisés aujourd'hui dans WireGuard venaient à être cassés, un tiers qui aurait capturé du trafic serait en mesure de le déchiffrer à posteriori. L'utilisation d'une clef pré-partagée implique que l'attaquant doit en plus disposer de cette clef, sans quoi il ne sera pas en mesure de dériver les bonnes clefs de session. [Cette option] vient en complément des clefs de session dérivée (et non en remplacement, où un attaquant ayant acquis uniquement la clef serait en mesure de déchiffrer le trafic) ».
Il faut ensuite se rendre dans la nouvelle section dédiée à Wireguard pour activer le serveur et indiquer le port à utiliser. Attention, celui-ci doit forcément être compris entre 512 et 1 420 pour être accepté, un spectre moins large que pendant la bêta (de 6 499 à 16 383). Certains éléments graphiques n'ont par contre pas été corrigés. Ainsi, le logo bleu/rouge de Wireguard n'étant pas très lisible sur le fond noir de l'interface de Freebox OS.
Au final, ça fonctionne bien : un fichier de configuration et un QR code sont générés pouvant être utilisés avec les différents clients Linux, macOS, Windows, Android ou iOS. Lorsque des utilisateurs sont connectés, ils sont visibles avec l'IP source/locale, la date de connexion et la quantité de données transférées dans la section Connexions.
Vous pouvez bien entendu les déconnecter. De son côté, la section État permet de vérifier si le serveur est bien actif et combien d'utilisateurs sont connectés actuellement en simultané.
Un accès au réseau local (sans découverte)
Le serveur VPN Wireguard permet de créer un tunnel entre une machine distante et la Freebox afin d'exploiter la connexion Internet de cette dernière. Par exemple pour disposer d'une IP française lorsque vous êtes à l'étranger. Ou accéder à son réseau local depuis l'extérieur et donc aux appareils qui y sont connectés.
Lors de notre test, l'utilisateur connecté pouvait accéder à un NAS connecté à la Freebox tant depuis l'interface web que via le partage réseau (CIFS/SMB). Il y a néanmoins quelques subtilités à noter. Il n'est pas possible d'attribuer une IP dynamiquement au client, elle doit être choisie, utilisateur par utilisateur. Elle est forcément dans un sous-réseau différent : 192.168.67.x, réservé aux usages internes de la Freebox (192.168.1.x sinon).
La configuration du VPN est faite de manière à laisser un accès au réseau local aux clients, mais les protocoles de découverte ne sont pas routés et vous ne verrez ainsi pas les appareils apparaître dans la section Réseau de l'explorateur de fichier de Windows par exemple. Il faudra ainsi s'y connecter avec leur adresse IP.
L'équipe a précisé sur le bug tracker que le support de l'IPv6 arriverait dans un second temps. Concernant les scénarios de connexions « site-à-site » que certains aimeraient pouvoir activer, ils ne sont pas exploitables en l'état actuel de la configuration. Il n'a pas été précisé si cela était prévu ou non à l'avenir.
Quid des performances ?
Notre test ayant été réalisé sur une ligne VDSL avec un upload à 19 Mb/s (2,4 Mo/s) nos tests en la matière étaient limités. Nous avons néanmoins pu atteindre 1,7 Mo/s pour le téléchargement d'une ISO d'Ubuntu 21.04 Desktop en utilisant le VPN Wireguard, contre 2 Mo/s en récupérant le même fichier sans VPN, mais partagé depuis la Freebox.
Côté latence, voici les chiffres mesurés via ping (connexions RJ45, sans Wi-Fi) :
- Machine sur le réseau de la Freebox > nextinpact.com : 11 ms
- Machine distante (sans VPN) > nextinpact.com : 23 ms
- Machine distante (avec VPN) > nextinpact.com : 37 ms
Commentaires (56)
#1
J’ai vraiment réussit a lire Firefox a la place de Freebox 3 fois dans le titre, tout en étant dans la confusion de ne pas voir mentionner Firefox tout le long de l’article.
Une bonne journée je le sens !
Autrement, superbe article. Du coup on va pouvoir créer un réseau de VPN entre free box, et qui sais s’appuyer sur ça pour faire de la bloc-chain maison ?
#2
Humm, cela n’indiquerait pas un usage peu légal de l’outil??
#2.1
Comme toujours dans ce genre de cas : les outils existent, mais ce sont les usages peuvent poser problème. Ce n’est pas parce qu’une voiture peut atteindre 200 km/h qu’il faut l’utiliser à telle vitesse sur une départementale en ligne droite. On trouve les fonctionnalités de téléchargement et de VPN dans de nombreux serveurs/NAS, c’est à l’utilisateur de décider ce qu’il veut en faire.
Oui tu peux rediriger un port vers l’IP fixe définie pour un utilisateur du serveur VPN
#2.2
La classe.
Il ne manque à la freebox que le routage d’une portion rfc 1918 vers le routeur de son choix d’une part et l’accès à un réseau avec un meilleur peering d’autre part
#3
Sur des routeurs à base mediatek l’observe au moins 35% de débit en plus sous WG qu’OpenVPN.
Ça devrait être similaire sur la freebox.
Pour les protocoles de découverte il faudrait un proxy SSDP/zeroconf/… avec option d’activation par protocole.
J’espère que le support ipv6 arrivera avec une belle délégation d’un /64 public et le support de la re numérotation (histoire que la conf WG ne devienne pas caduque après un reboot si free décide de redistribuer les préfixes)
Question, en ipv4 est-il possible de NAT/PAT un port vers une IP de client VPN et pas seulement une IP du lan ?
#4
Cela pourrait m’être utile pour administrer mon serveur à distance. Le ssh n’y est ouvert que pout des adresses IPv6 ULA donc pas directement via Internet.
#4.1
La freebox offre déjà un serveur VPN (je crois qu’il était déjà à la sortie de la freebox révolution). Je t’invite à regarder ça (fait une recherche sur ton moteur de recherche préféré).
Je l’utilise même souvent et il est compatible avec le client VPN de Windows (même pas besoin d’installer openVPN ou un quelconque autre client).
#5
Même mon download est plus bas (VDSL aussi)
#6
Dans la Freebox, on ne trouve que cette fonction.
La Freebox est incapable de faire du site to site, n’y même d’être en road warrior, sauf pour leur client de téléchargement.
Si on reprend ton analogie, tu as une voiture dont le seul usage est de dépasser les limites de vitesse, libre à toi en effet de prendre une autre voiture ou le bus.
#6.1
Non. D’ailleurs je doute que si l’application Client VPN de la Freebox permettait une connexion générale à un VPN tiers, on pourrait considérer que les usages qui en découlent sont potentiellement plus légitimes. Là c’est juste limitée à la box, et donc à la seule fonctionnalité qui peut en tirer parti.
L’autre possibilité, ce serait de l’appliquer à tout le réseau local, ce que Free ne semble pas décidé à faire pour le moment (considérant que c’est plutôt au niveau des clients que ça doit se jouer, parce qu’ils peuvent gérer ça nativement, tout comme les éventuelles déconnexions).
#7
Également enrôlé dans le programme bêta, J’ai pas mal joué pas avec. Ça fonctionne très bien. Mais, quand on a plusieurs réseaux interconnectés, on est comme toujours rapidement bloqué par l’absence de gestion des tables de routages sur la Freebox. Finalement, à cause de ça, c’est à peu près inutilisable pour les usages auxquels on pense au départ. Pour l’instant, à part utiliser la connexion de la Freebox à distance pour être sur le réseau Free, je n’ai pas vu d’autre intérêt, vu que dans mon cas les ressources intéressantes sont sur un autre réseau, sur lequel la box est connectée, mais vers lequel elle est incapable de router quoi que ce soit.
#7.1
Si on veut des usages VPN/réseau avancées, il faut de toutes façons aller sur du matériel spécialisé (je ne sais pas si la Freebox Pro gère le site-à-site & co).
La Freebox, bien qu’étant l’un des produits les plus avancés dans son genre, reste un produit grand public avec des fonctionnalités “geek” mais n’a jamais eu pour vocation de permettre de tout bidouiller sans limite. Il y a de toutes façons déjà largement ce qu’il faut sur le marché pour ça.
#7.2
Sans avoir des choses très avancées (normal pour quelque chose de grand public), une table de routage, c’est tout de même le minimum que l’on trouve sur n’importe quel petit routeur grand public.
#7.3
Oui, mais en pratique c’est utilisé par quelle part des utilisateurs ? Déjà combien comprennent à quoi ça sert (pas grand monde), qui en a un réel besoin (encore moins) ? Ce sont surtout des fonctionnalités utiles dans certains contextes.
Qu’on généralise déjà comme il faut IPv6, des fonctionnalités de gestion de la QoS sur le Wi-Fi, le monotoring, qu’on généralise le bridge, etc. On a déjà pas de gestion des VLAN en général, alors une modification de la table de routage… C’est peut être courant sur certains produits, mais basique pas vraiment (dans le besoin/usage en tous cas).
#7.4
La gestion d’une table de routage ipv4 et de la délégation de préfixe ipv6 permet justement au power user de faire ce qu’il veut avec un vrai routeur derrière sans demander tout ce b* à la machin box du fai dont tu ne peux pas te passer car:
sfp gpon / dhcp wan non standard / tv / SIP / partage de port map-t ou 4rd / rayez les mentions inutiles
D’ailleurs la livebox pro intègre la gestion des routes ipv4 dans son gui et pour autant que je me souvienne elle est raccordée au même réseau que le grand public à savoir un réseau où tt les services sont exposés en ip publique. Preuve qu’ils peuvent.
J’ai abandonné l’idée d’avoir un openwrt, pfsense ou même ubiquiti tant que je ne peux pas router le trafic vers ce dernier.
#7.5
J’ai une question conne, mais le mode bridge permet de faire ce que tu veux non ? Tu mets ta box en mode bridge et branche au cul le router de ton choix. Quel est le pb à garder la box du FAI pour accéder à internet ? La consommation à la limite, mais sinon fonctionnellement ça apporterait quoi ?
#7.6
Plus personne ne fait de mode bridge, ça les embête techniquement et ça bouffe le double d’ipv4 publiques à l’heure où les opérateurs n’en ont plus et les partage.
Même free ne le fait plus sur les nouvelles box.
#7.7
Le Mikrotik avec le DHCP Wan d’Orange, c’est un papier, un convertisseur ascii hexa et 3 minutes :)
J’ai viré ma Livebox pro comme ça la semaine dernière.
Et t’inquiète pas, quand tu fais du routage avec la livebox pro, t’arrête vite en fait ^_^
Ca demande de la puissance, donc ils n’en veulent pas, leurs boxs étant déjà rikrak….
#7.8
Jusqu’au jour où orange change sa méthode sans prévenir.
Si t’es pas chez toi c’est perdu pour mettre à jour.
La box fait partie du réseau, le challenge est beau de vouloir s’en passer, de faire du reverse engineering voire d’être condamné comme le gars qui avait sorti l’authent SIP livebox. Mais le but final c’est quand même d’avoir un truc fiable sans trombone. Et une route statique ipv4 répondrait parfaitement à ce besoin. Et DHCP-PD pour ipv6.
#7.9
La box est facultative, elle ne fait pas partie du réseau. Sinon elle ne serait pas louée à part.
Et je m’en fous, j’ai deux liens (fibre DHCP derrière l’ONT + câble bridge derrière la box opérateur).
#7.10
Facultative mais à voir le nombre de sujets sur lafibre.info sur comment se passer de sa box c’est loin d’être Plug&Play.
Y’a 10 ans un coup d’authentification PPoE et c’était réglé, aujourd’hui c’est un parcours du combattant.
Et parallèlement à cela, il y’a 10 ans + les modems routeurs ethernet des fai permettaient de mettre des routes statiques en LAN.
#7.11
Les champs DHCP ne sont pas pire que les identifications PPPoE.
Et si tu veux faire du réseau sans mettre les mains dans le cambouis, tu gardes ta box opérateur ou prends un opérateur entreprise…
#7.12
Quand je fais du réseau entreprise l’équipement en face est à ma main ou à celle d’un partenaire. Ça n’est pas un truc sous traité de partout comme le développement des box. Je ne vais pas le lundi matin découvrir qu’un mécanisme ne fonctionne plus car le fabricant a décidé de le changer unilatéralement.
En l’état actuel des choses, en dehors d’avoir un mode bridge ou des routes statiques, le reste est du bricolage. Je te répondrais au final si tu veux un vrai réseau tu prends un vrai FAI comme milkiwan
#7.16
J’ai fait la même chose que patos pour pouvoir bénéficier du lien 2Gbits sur une seule patte et surtout pouvoir faire de la délégation IPv6 (ce que ne propose pas la box d’orange)
Effectivement JCLB a raison c’est pas trivial, par contre il y a tellement de gens pointus dans ce cas (et notamment sur le forum de la fibre) que le jour ou Orange change un réglage, il faudra 24h grand max pour que la modif soit proposée à tout le monde sur le fofo. Donc j’ai pas trop d’inquiétude.
#7.13
J’ai à priori le même cas : la FB (mini 4k) ne me sert que de modem mais je ne l’ai pas bridgée (parce que la flemme de me prendre la tête avec la conf PPPoE
).
Derrière j’ai juste un WRT1900 qui me sert de tête de pont pour mon réseau : la FB lui renvoie tout le trafique entrant via une DMZ.
Le “problème” étant que du coup, pour avoir accès aux réseaux derrière le WRT via VPN, il faut que le serveur VPN soit monté sur le WRT, et non sur la FB qui ne saura connecter les clients qu’au réseau entre la FB et le WRT (parce que comme le dit @stratic, pas de table de routage sur le LAN avec la FB..
)
En soit ça me convient, la box ne gère QUE la connexion internet, tout le reste du réseau, les accès distants et la sécurité est géré par le WRT.
L’avantage étant qu’en cas de changement de box/opérateur, je n’ai qu’à lui configurer une DMZ sur l’adresse WAN du WRT et roulez jeunesse!
Edith : typo
#7.14
Je fais tout pareil depuis longtemps. Certains ont pointé l’inconvénient de devoir passer par le NAT de la box en IPv4, qui peut être plus limité en nombre de connexions simultanées qu’un routeur dédié. Et en effet, ça fait un peu bricolage.
En IPv6 par contre je ne vois pas d’inconvénient à cette méthode vu que l’IPv6 attribuée au routeur par la box est atteignable de l’extérieur, après je l’ai peu utilisée et je ne sais pas encore comment le suffixe est déterminé ou si on peut le choisir. Si je me trompe et qu’il y a des inconvénients, dites-le moi.
#7.15
Je suis en IPv4 full stack : je ne sais même pas si j’ai une plage IPv6 attribuée à la FB du coup
De toute façon, n’ayant pas eu le temps (flemme?
) de configurer sur mes équipements, IPv6 est désactivé sur tout mes réseaux.
#8
Il serait pt etre d’ailleurs intéressant de faire un (ou plusieurs) dossier(s) sur ce genre de choses un de ces 4, ici (NXi) on est en droit de penser qu’on s’adresse à des gens un peu plus expérimentés sur ces sujets que le grand public.
Par ex, les différences entres DDWRT, OpenWRT, AsusMerlin, Tomato, etc. Ou même les firmwares de base des différents fabricants.
Ou, que peut-on faire en recyclant un routeur grand public avec ca (en gros, quel est l’intérêt de se lancer là dedans - Spoiler : oui, il y a plein d’intérets)
Ou comment faire du VPN conditionné au port, etc.
Bref y’a de quoi faire.
Par contre je concois bien que ca prend un peu plus de temps à decortiquer / expliquer qu’une fonctionnalité de base d’un truc basique comme la freebox
#8.1
Disons que ça concerne une minorité d’appareils et l’usage reste assez faible (notamment parce qu’on fait déjà pas mal de choses avec des routeurs tiers sans modification). Mais ça fait partie des choses qu’on a dans les tablettes, comme tu dis ça prend du temps.
#9
Yes, d’où mon “Ou même les firmwares de base des différents fabricants”.
Même sans rentrer dans le detail, juste un petit catalogue de possibilités pour donner envie aux gens d’essayer, un peu comme tous les articles (mais en mieux, hein) qu’on peut voir partout “2548 choses que vous pouvez faire avec un RPi”..
#9.1
Oui on commence à en parler (sans rentrer dans le détail sur un produit Asus qui arrive en test sur IH #StayTuned
#10
ma reconnaissance éternelle à celui qui fera le tri et le tour des différents FW des marques de routeurs grands publics sur le marché !
les fonctionnalités de filtrage, de gestion des appareils connectés, de contrôle parental sont pour moi bien plus prioritaires que le WIFI 6 (par exemple ^^). Et à moins d’essayer plusieurs marques, dur de savoir ce que l’on va trouver. Perso je suis revenu chez Syno.
si EN PLUS on a les différences avec les FW alternatifs selon les marques, alors là… j’ose pas imaginer le temps que ça prendrait.
#10.1
Pas tant que ca, si c’est ecrit par quelqu’un qui a dejà pris le (long) temps de s’intéresser au sujet sérieusement.
Et c’est pas mon job.
Moi je pourrais par exemple, mais franchement j’ai la flemme
#10.2
Sinon, mon sentiment perso, pour aider un peu : tu vas chez Asus, et tu installes AsusMerlin (tu prends bien un routeur compatible, hein).
C’est pour moi la meilleure synthèse entre user friendly, puissance et fonctionnalités avancées.
#10.3
j’ai fait ça. j’ai testé le fw d’origine, puis installé le Merlin. trop de souci wifi en domotique, retour chez Syno avec un upgrade du 1900 au 2600.
#11
Le mode Bridge est présent sur la Freebox Pop (et globalement Freebox OS offre plutôt les même fonctionnalités sur l’ensemble de la gamme, tant que ça ne dépend pas d’une spécificité matérielle)
#11.1
Côté matériel, il y a une limite dans le cas de la Freebox Delta. Le module 4G n’est pas compatible avec le mode bridge, de fait quand on a un ADSL un peu faiblard, le mode bridge n’utilisant que le lien ADSL, il n’est pas utilisable.
#12
En même temps si tu fais de la domotique en wifi
Bon blague à part, effectivement ce cas là je ne le connais pas. En bon linuxien, j’ai totalement séparé ma gestion domotique et la partie réseau pure. Une application par fonction, qui ne fait que ca mais qui le fait bien.
Après j’ai fait une réno totale, donc réseau intégré aux murs, cablage elec en étoile, domotique full filaire : ca aide un peu.
#13
#14
Merci pour l’info. Je vais regarder s’il est disponible sur ma freebox 4k. Pour le client, je suis sous linux mint donc je ne devrais pas avoir de problèmes de ce côté là.
#14.1
Pas de soucis. Je te confirme qu’il y est sur une freebox mini 4K, c’est ce que j’utilise.
#15
La fonctionnalité étant désormais disponible, nous avons refait le tour de l’interface pour évoquer les modifications apportées depuis la bêta et mis à jour l’article
#16
En effet, mais ça reste quand même intéressant.
Je regarderais ça quand j’aurais le temps.
#17
Si certains font des tests de débits fibre à fibre via wireguard, je suis preneur :)
Sinon, qu’est-ce que vous appelez “site-à-site” ?
#17.1
Alors pour les performances : entre une machine Windows sous Wireguard 0.4.8 (on est à la 0.4.9 depuis) sous Windows vers un Peer avec un Avoton C2750 (un Atom de 2013 en 8C/8T à 2,6Ghz) et nPerf App (en beta) :
Avec une charge CPU de 25% sur la machine Windows (100% avant le driver “wg-nt” de la 0.4.x) et 30% du le Peer qui se tape double débit (in + out) !
Bref, wireguard, c’est un protocole très performant qui fonctionne en IPv4 comme IPv6 !
Après n’ayant pas de Freebox, l’implémentation chez Free, je ne sais pas comment ça se passe au final.
#18
Le réseau Free est bien ipv6 ? avec un /60 au bout ?
pourquoi laisser une ipv4 à la fbx ? une ipv6 lui suffit et ne garder l’ipv4 que pour le routeur derrière, idem pour la boite télé.
#19
je parlais de la connexion de la fbx au réseau Free en mode bridge, pas de ton réseau à toi.
#19.1
J’avais bien compris
Mais étant en ipv4 fullstack (ma box a une ipv4 publique fixe et non partagée), je ne sais plus si l’ipv6 est encore actif côté WAN de la box..
Et pour en revenir à ton message précédent, je vois pas l’utilité d’utiliser le NAT de la box (et avoir les problèmes de perf dont tu parles) quand tu peux définir ton routeur en DMZ.
#20
Free nous a confirmé que c’était toujours un noyau 5.4+backport, l’article a été mis à jour
#21
Son IPv4 est portée et partagée entre 4 abonnés via 4rd.
Effectivement pas besoin d’autre adresse publique.
Je ne sais pas comment fonctionne l’iptv et le sip, la vod, le replay de free mais chez beaucoup d’opérateur c’est encore IPv4 only
#22
En faisant ça tu utilises toujours le NAT de la box, car ton routeur reçoit toujours une adresse locale et pas une adresse Internet. Le paramètre DMZ ne fait que définir une règle de routage supplémentaire qui renvoie vers le routeur toute nouvelle connexion établie depuis l’extérieur (au lieu de l’ignorer quand le paramètre n’est pas activé), mais ne change rien d’autre.
A la différence du mode bridge comme Free l’appelle, où le routeur reçoit l’adresse Internet au lieu d’une adresse locale.
Pour ces services, ça peut aussi être des IPv4 locales au réseau de Free, donc ne pas consommer la réserve d’IPv4 publiques de Free.
#22.1
M’y Bad je me suis emmêlé les pinceaux, je voulais dire que le NAT/DMZ consomme amha légèrement moins de ressources que le PAT.
Mais dans un cas comme dans l’autre je ne vois pas bien ce que tu entends par la limite de connexions simultanées de la box. Si je dis pas de conneries en NAT/PAT le routeur ne fait que transférer les paquets, il ne les traites pas et ne gère donc pas les connexions.
Édit : à me relire je pense que tu veux parler de la limite du nombre de ports disponible? 65535 en nat et 65535 x nombre_equipement dans le cas d’ip publiques sur les équipements?
#23
Merci ! C’est très performant. À voir ce que ça donne sur la Freebox, il doit y avoir des différences assez importantes selon le modèle.
Sur la Révolution, lorsque j’avais la fibre, de mémoire, ça montait péniblement à 50⁄60 Mbps avec OpenVPN.
#23.1
Le protocole en lui-même est très performant, même sur des vielles machine (un i5 5200U sort aussi du gigabit/s avec une carte réseau en USB 3.0 !), mais c’est parfois l’implémentation qui est un peu foireuse. Après à voir sur une Freebox qui a un CPU moins puissant, mais justement wireguard est fait pour ce type de device.
#24
Non, car le fait de renseigner le paramètre DMZ ne change pas le type de NAT, il n’influe que sur les paquets entrant ne correspondant pas à une connexion déjà établie. S’il y a d’autres appareils que ton routeur connectés à la box, ils continueront d’avoir Internet, et les paquets entrants correspondants à une connexion établie par un de ces appareils continueront à lui être transmis directement sans passer par le routeur.
C’est toi qui a choisi de ne mettre que ton routeur connecté à la box, mais ce n’est pas une obligation. Je l’ai moi-même fait par exception de connecter un appareil peu consommateur directement sur la box en plus du routeur désigné en DMZ, parce qu’il me manquait juste un port LAN sur le routeur.
Il y a quand-même une table à maintenir qui contient toutes les connexions actives, pour que le NAT sache à qui renvoyer les paquets entrant correspondant à une connexion déjà établie. Suivant le type de NAT, cette table est plus ou moins complexe, mais elle existe toujours, et elle a une taille maximum qui est celle que le concepteur du NAT a bien voulu lui donner, car elle occupe de la mémoire et que le CPU doit faire une recherche dedans pour chaque paquet entrant.
Il y a ça aussi, mais à mon avis, la taille maximum de la table suscitée est plus petite que ça sur des NAT simples. Par contre à l’inverse des NAT très intelligents peuvent s’affranchir de cette limite en se servant des numéros de séquence TCP et adresses destination pour partager le même port source entre plusieurs connexions.
#25
Ça correspond à quel cas ?
Comment est connectée la machine distante à la Freebox sans VPN ? 🤔