Nous utilisons au quotidien des appareils reliés à Internet, parfois même chez nous, à travers un réseau dit local. Mais savez-vous comment il fonctionne, ce qui le compose ou même quel est le rôle de la box de votre fournisseur d'accès ? Pour le comprendre, il faut revenir aux bases.
Au commencement était l'ordinateur. Aux prémices de l'informatique, dans les années 40, il s'agissait de grosses machines qui occupaient des pièces entières. Rapidement, on a cherché à y connecter plusieurs utilisateurs, nous étions à l'époque des mainframes, pas si éloignée du « tout cloud » actuel.
Les débuts du réseau informatique, du protocole Ethernet né dans les années 70 au Xerox Parc, du projet 802 de l'Institute of Electrical and Electronics Engineers (IEEE), de la topologie en série, puis en étoile et du connecteur 8P8C (souvent nommé à tort RJ45) tel que nous le connaissons aujourd'hui. Une histoire que l'on vous a déjà racontée.
Désormais, les réseaux sont partout. Dans nos foyers, ils relient nos ordinateurs, tablettes, smartphones, mais aussi des périphériques plus spécialisés comme les NAS pour le stockage et autres objets connectés. On parle alors de réseau local (LAN pour Local Area Network), en opposition aux réseaux étendus (WAN, pour Wide Area Network) qui consistent à relier ensemble les réseaux locaux de plusieurs lieux géographiques.
Sans le savoir, vous en utilisez d'ailleurs pour vous connecter au réseau des réseaux : Internet. C'est d'ailleurs l'une des victoires de l'informatique moderne : avoir masqué toute la complexité des infrastructures réseau au grand public qui s'y connecte de manière naturelle, sans se poser de questions ni connaissances préalables.
Mais pour mieux comprendre comment cela fonctionne, disposer d'un bon réseau à la maison et savoir quels produits choisir, il vaut tout de même mieux avoir quelques connaissances de base. De quoi comprendre le rôle de chacun des outils que vous utilisez quotidiennement sans en avoir conscience. Laissez-nous faire, on vous guide !
Box Internet et réseau local : une imbrication pas si naturelle
On pense souvent qu'un réseau local dépend de la « box » du fournisseur d'accès (FAI), à tort. On peut créer un tel réseau sans elle. Il s'agit par contre d'un appareil à tout faire mais limité dans ses possibilités... et donc simple à utiliser, qui met automatiquement en place un réseau local ET le connecte à Internet. Dans le modèle français tel qu'il est généralement mis en œuvre, ces deux fonctionnalités sont indissociables.
Internet, téléphonie, réseau filaire, Wi-Fi, USB, même sans son boîtier multimédia une « box » est déjà très complète
Au point que cette box ne vous appartient pas, elle est considérée comme un élément du réseau de votre FAI, celui qu'il place chez vous pour vous connecter à ses équipements à travers l'ADSL, le VDSL, le câble ou la fibre. D'ailleurs il vous le loue, en précisant parfois son coût sur votre facture bien que cet équipement vous soit imposé. Certains communiquaient d'ailleurs leurs tarifs hors location de la box, avant d'être recadrés par la DGCCRF.
Ce modèle s'est imposé avec l'arrivée de l'ADSL, puis du triple play et la fameuse Freebox en 2002 intégrant également des services de téléphonie et de TV. Jusqu'à cette époque, on achetait ou louait un modem comme la fameuse raie manta dont le rôle était simplement de convertir le signal de la liaison téléphonique.
Pour les FAI, ce changement de stratégie avait plusieurs avantages : la box est devenue un péage pour de nombreux services facturés aux clients, notamment à travers le boîtier multimédia qui l'accompagne (ou qu'elle intègre). Tout en assurant un certain contrôle sur ce que peut faire le client et la sécurité de sa connexion Internet.
À une époque, les modems ne faisaient pas routeur, mais fax, répondeur et minitel
Un routeur Wi-Fi pas comme les autres
Car en réalité, la partie réseau de la box est un modem-routeur-point d'accès Wi-Fi-base téléphonique clé en main. Il suffit de l'alimenter et de le connecter au réseau de votre FAI via un câble RJ11 (xDSL), coaxial ou une fibre pour qu'il distribue un accès Internet à tous les appareils qui y seront connectés, de manière filaire ou non.
En pratique, il s'agit comme tout équipement réseau d'une sorte d'ordinateur très compact avec un processeur, de la mémoire, du stockage, des entrées/sorties et un système d'exploitation spécifique, développé par votre FAI comme Freebox OS chez Free, ou en partenariat avec un tiers (généralement le constructeur de la box).
Ainsi, ce boîtier regroupe plusieurs fonctions. Outre le fait qu'il prend la place de ce qui était auparavant un modem – en assurant la connexion de votre réseau à celui du FAI et donc à Internet – il s'agit principalement d'un routeur, soit « un équipement réseau informatique assurant le routage des paquets » selon la définition Wikipédia.
Comme un concentrateur (hub) ou un commutateur (switch), il sert à interconnecter des appareils au sein d'un réseau informatique. Mais là où le premier va distribuer tout élément entrant sur l'ensemble de ses ports, le second intervient port par port. Le routeur est plus complexe, suivant les règles de sa table de routage.
On dit que ce routage intervient en couche 3 du modèle OSI (Open Systems Interconnection), sur les paquets IP. C'est une différence subtile mais importante, car il peut ainsi relier différents réseaux ensemble, là où hub et switch n'agissent qu'au sein du réseau local où ils se trouvent, puisqu'ils n'interviennent qu'en couche 1 et 2.
Les 7 couches du modèle OSI et les différentes unités de données - Crédit : Offnfopt
La connexion d'appareils à un routeur peut se faire via une connectique filaire, comme un câble réseau. Mais il est de plus en plus courant qu'ils fournissent nativement un accès sans fil via le Wi-Fi. C'est le cas des box de FAI.
- Wi-Fi : tout ce qu'il faut savoir des différentes normes et technologies
- Le Wi-Fi 6 c’est quoi ? On vous explique tout, simplement
- Le Wi-Fi 7 (802.11be) jusqu’à 46 Gb/s se prépare, que faut-il en attendre ?
IP, DHCP, DMZ, DNS, MAC, NAT, PAT & co : un monde d'acronymes
Les box intègrent également un serveur DHCP (Dynamic Host Configuration Protocol). Ainsi, chaque appareil qui se connecte au réseau local se voit attribuer une adresse IP (v4 et/ou v6, nous y reviendrons) servant d'identifiant unique. Celle-ci peut être figée, de manière à lui attribuer toujours la même en fonction de son adresse MAC. Pratique pour des appareils auxquels on se connecte régulièrement via leur IP comme une caméra ou un serveur.
Le DHCP fournit des informations annexes mais importantes telles que l'adresse IP de la passerelle (ou gateway) et des résolveurs DNS. La passerelle est l'appareil permettant d'accéder à Internet au sein de votre réseau. Les résolveurs DNS (Domain Name System) servent notamment à faire le lien entre les URL que vous tapez dans votre navigateur et les adresses IP des serveurs qui les hébergent. Deux rôles en général remplis par la box.
- Qu'est-ce que DNS over HTTPS (DoH), qu'est-ce que cela peut vous apporter ?
- Connaître l'IP publique de votre connexion Internet (IPv6)
Autre fonction essentielle de la box : son pare-feu (firewall) NAT (Network Address Translation) permettant d'avoir d'un côté l'adresse IP publique de votre connexion – pour vous identifier sur Internet – et de manière isolée toutes les adresses IP privées des appareils connectés à votre réseau local. Ces dernières ne sont pas directement accessibles depuis l'extérieur. Pour cela on utilise un type particulier de NAT, le PAT (Port Adress Translation).
Imaginons que votre connexion soit identifiée sur Internet par l'IP 203.0.113.42. La box crée un réseau local où elle fait office de passerelle, son IP y est 192.168.1.254. Vous y utilisez un serveur dont l'adresse IP locale est 192.168.1.42, qui héberge un site Internet accessible à travers son port 80 (celui par défaut pour HTTP).
La redirection de port permet de donner accès à ce site depuis l'extérieur. Par exemple en redirigeant le port 4242 de votre connexion à celui du port 80 de votre serveur. Cette redirection peut se faire parfois sur une plage de ports source (de la connexion Internet) via le protocole TCP (plus fiable) ou UDP (plus rapide).
Le formulaire de redirection de port de Freebox OS
Dès lors, chaque personne tapant cette adresse dans son navigateur, obtiendra le site hébergé par votre serveur :
http://203.0.113.42:4242
Si vous voulez partager plusieurs ports d'un unique appareil il y a une autre solution : la zone démilitarisée (DMZ). Elle consiste à indiquer l'IP d'un appareil sur votre réseau local. Toute requête entrante sur votre connexion Internet y sera renvoyée, port par port, sans protection aucune. Il ne faut donc l'utiliser que si vous savez ce que vous faites.
Notez que certains outils et services ont parfois besoin d'agir sur le réseau de manière automatisée, pour ouvrir/fermer des ports par exemple. Ils utilisent pour cela le protocole UPnP (Universal Plug and Play), en général activé par défaut et ne nécessitant pas de réglages particuliers. Nous ne le détaillerons donc pas ici.
Adresse IP, masque de sous-réseau : késako ?
Revenons maintenant à une notion basique en matière de réseau mais qu'il faut maitriser : l'adresse IP. Elle peut être de type IPv4 et est alors représentée par une suite de quatre nombres compris entre 0 et 255, séparés par un point. Une adresse IP courante pour une passerelle comme la box d'un FAI est 192.168.0.1, mais elle peut aussi bien être 192.168.1.254 ou 10.0.0.1. Cela dépend en général des habitudes du fabricant, il n'y a pas de règle précise.
Dans les paramètres d'un appareil, son adresse IP est toujours associée à un masque de sous-réseau utilisant un format similaire. Il permet de déterminer la partie de l'adresse IP qui définit le réseau et celui qui définit les appareils, et donc le nombre d'appareils que l'on peut connecter à un même réseau.
Cette notion est complexe et nous ne la détaillerons pas ici, mais sachez par exemple que si l'adresse IP de votre machine est 192.168.1.42 avec un masque de sous-réseau de type 255.255.255.0 (souvent utilisé par défaut), cela signifie que votre machine pourra échanger avec tous les appareils dont l'IP est comprise entre 192.168.1.1 et 192.168.1.254. Avec un masque de sous réseau 255.255.0.0, cela irait de 192.168.0.1 à 192.168.255.254.
Jusque dans les années 90, les adresses IP ont été organisées en classes selon les usages, certaines plages étant réservées. Ce modèle a progressivement été remplacé par le Classless Inter-Domain Routing (CIDR). Cette notation permet d'indiquer de manière plus compacte l'adresse IP et son masque. Les deux exemples précédents donneraient ainsi 192.168.1.42/24 et 192.168.1.42/16. Vous trouverez un calculateur et les règles par ici.
Pour un réseau local privé, il faut utiliser des plages spéciales. Il s'agit de 10.0.0.0/8 (de 10.0.0.0 à 10.255.255.255), 172.16.0.0/12 (de 172.16.0.0 à 172.31.255.255) et 192.168.0.0/16 (de 192.168.0.0 à 192.168.255.255).
L'IPv4 est une notation décimale simple à mémoriser, mais cela en fait une ressource limitée puisque correspondant à un identifiant sur 32 bits, soit 4 294 967 296 adresses à se partager dans le monde. Pour dépasser ce problème, l'IPv6 a été finalisé à la fin des années 90 avant une standardisation en 2017.
Il s'agit cette fois d'un identifiant sur 128 bits prenant la forme d'un maximum de 8 groupes de 4 caractères hexadécimaux (16 bits) séparés par le signe « : ». Dans chaque groupe, on peut ne pas intégrer des blocs de un à trois zéros considérés comme non significatifs. On peut également remplacer plusieurs blocs à 0 par « :: ». 2001:2002:2003:2004:aaaa:bbbb:cccc:dddd et 2001:0:abba:1337:42:: sont par exemple valables. La notation CIDR est ici la seule admise, plutôt que de mentionner l'adresse IP et le masque de sous-réseau.
Les adresses IPv4/v6 et leur représentation binaire - Source : Wikipédia
Réseau Wi-Fi, SSID et VLAN : gare aux idées préconçues
Passons à une autre erreur courante introduite par le fonctionnement des box de FAI : elles embarqueraient un réseau Wi-Fi, auquel on se connecte. En réalité, c'est un peu plus complexe.
Elles font office de point d'accès Wi-Fi. Comme nous l'avons évoqué précédemment, il n'y a pas un réseau filaire et un réseau Wi-Fi, mais un même réseau local auquel on peut se connecter de différentes manières, avec ou sans fil. Dans le cas du Wi-Fi, le SSID (Service Set IDentifier) représente un point d'entrée permettant de se connecter.
Il peut être diffusé ou non. Dans le premier cas, il est visible par tous les appareils aux alentours. Dans le second, il faut le connaître par avance. La connexion peut être « en clair », sans chiffrement des flux et sans mot de passe comme sur les réseaux Wi-Fi ouverts que l'on trouve dans certains lieux publics. Il faut donc les éviter, ne rien y faire de sensible ou utiliser des protections complémentaires, comme un VPN.
Les méthodes de connexion impliquant un chiffrement des flux peuvent passer par un mot de passe et le protocole WPA, dont la version 3 est la plus récente et la plus sécurisée (WEP ayant été abandonné il y a plusieurs années). Ce protocole permet d'autres méthodes d'identification, notamment utilisées en entreprises (comme RADIUS).
Un point d'accès Wi-Fi tel qu'une box n'est pas limité à un SSID, il peut en diffuser plusieurs. Au sein d'un même local/foyer on peut d'ailleurs installer différents points d'accès diffusant ou non tel SSID selon les besoins.
Un réseau Wi-Fi opéré par un contrôleur (UniFi Cloud Key) et un point d'accès Ubiquiti
Leur configuration peut se faire dans l'interface de gestion de chaque point d'accès ou de manière centralisée, via ce que l'on appelle un contrôleur (matériel ou logiciel), qui peut être un petit boîtier ou un service hébergé dans le cloud. On parle alors de Software Defined Networking (SDN).
- Netgear Insight : passez au Software Defined Network (SDN) « dans le cloud »
- UniFi Controller d'Ubiquiti : utilisez un Raspberry Pi comme une Cloud Key
La multiplicité des SSID peut avoir un intérêt pour segmenter les usages du réseau. Un exemple couramment rencontré dans les usages grand public est celui du réseau invité. Il permet de donner accès à votre connexion Internet à des amis sans mot de passe ou un différent de celui associé à votre SSID principal.
Vous pouvez y réduire le débit, ne l'activer que dans certaines plages horaires ou par exemple empêcher l'accès aux autres appareils de votre réseau local. Pour cela, le point d'accès crée un réseau local virtuel (VLAN), isolé, où ne seront présents que les appareils connectés au réseau invité, mais ayant tout de même accès à Internet. Il dispose en général d'un second serveur DHCP avec une plage d'IP différente à attribuer.
La solution Orbi Pro de Netgear permet de gérer trois SSID et d'avoir un portail captif pour l'accueil du public
Cette fonctionnalité a plusieurs utilités, en créant plusieurs SSID qui se verront attribuer des VLAN différents. En entreprise, elle permet de séparer les réseaux de différents services et celui proposé aux clients et visiteurs. À la maison on peut y recourir pour différencier le réseau accessible aux parents et aux enfants, isoler des objets connectés, etc. D'ailleurs, la box de votre FAI utilise souvent les VLAN sans que vous ne le sachiez.
Ce sont par exemple eux qui permettent d'isoler le flux téléphonique ou de ne rendre celui des chaînes de TV accessibles que du boîtier multimédia fourni. Un VLAN n'est ainsi pas forcément associé à un SSID. Il peut aussi l'être à un port d'un équipement réseau ou un tag (sous la forme d'un nombre). Nous en reparlerons sous peu.
(Presque) se passer de box, c'est possible
Dernière chose à savoir : utiliser la box de votre fournisseur d'accès n'est pas une fatalité, même si presque tout est fait pour vous y obliger. Il est néanmoins possible d'utiliser des routeurs tiers si vous êtes clients fibre Orange en reliant le bloc de terminaison optique (ONT) via un câble RJ45 à certains modèles Netgear équipés pour cela.
L'autre possibilité est de configurer la box pour qu'elle se limite au rôle de « bridge » lorsqu'elle le permet. Comprendre que, comme un modem, elle n'assurera que le lien entre votre réseau et celui du FAI. Vous devrez donc utiliser vos propres équipements : routeur, switchs, points d'accès Wi-Fi, etc. De plus, il arrive parfois que certains services ne fonctionnent pas dans ce mode de configuration comme la téléphonie ou les services TV.
On trouve parfois des utilisateurs utilisant leur propre routeur derrière la box du FAI, notamment lorsqu'aucun mode bridge n'est proposé. Mais cela risque de créer ce que l'on appelle un double NAT, pouvant poser problème pour certains usages. On peut limiter cela en plaçant le routeur dans la DMZ de la box.
N'hésitez pas à nous faire part de vos remarques et questions en commentaires. Si nécessaire, nous mettrons à jour cet article pour y répondre afin qu'il fasse office de référence sur ces sujets pour de prochains dossiers.
