Installer un serveur connecté à ma freebox

bonjour,
j’ai un PC sur lequel je voudrais installer un server connecté à internet et connecté à mon LAN qui remplisse toutes les fonctions principales et remplace les fonctions de ma freebox comme pfSense ou SMEServer:
server DHCP pour mon LAN
firewall
server VPN etc…

quelle version de Debian me conseillez vous d’installer si vous estimez que c’est possible?

j’ai de bonnes connaisances en system et reseaux et j’ai tout mon temps
j’aime maitriser mon système
merci

Il n’est pas forcément possible de remplacer une freebox.
Déjà, je ne parlerais que de la “freebox server”, qui est donc un modem/routeur ou seulement un routeur suivant si l’on est connecté en cuivre (ADSL/VDSL) ou en fibre optique.

En fibre optique, il n’est pas possible de se débarrasser de la freebox uniquement à cause du protocole de communication utilisé par Free dans les Zones Moins Denses (ZMD) et dont, à ma connaissance, il n’existe pas d’implémentation open source : IPv4_Residual_Deployment
On peut la faire fonctionner comme bridge et on se retrouve alors avec ce machin qui ne sert quasiment plus à rien mais qui consomme de l’électricité h24. En fibre, Free est le seul des quatre principaux FAI de France dont on ne peut se débarrasser de la box routeur.

Je ne connais pas le réseau de Free fibre optique en Zone Très Dense (ZTD) et je n’en parlerais donc pas.

En ADSL/VDSL, il arrive que l’on puisse remplacer une freebox server par un modem ADSL/VDSL branché sur un routeur.

Une fois que l’on s’est résolu à utiliser la freebox server en mode bridge, on peut faire un routeur avec un PC utilisant la version actuelle de Debian, la v9 alias stretch. Ou le fork Devuan v2 alias ascii.
Quand je fais cela, j’installe généralement une version du noyau plus récente, issue des backports ou issue de Debian testing alias buster.
Et cela se gère très bien en ligne de commande sans avoir à installer d’interface graphique de gestion ou autre clickodrome.

Ou alors utiliser d’autres solutions qui n’ont pas grand-chose à voir avec Debian, comme OpenWRT ou les logiciels que tu as cité.

Personnellement, je le fais sur des ordinateurs spécialisés pour le réseau du genre ceci ou cela . Mais rien n’empêche de le faire à partir d’un PC normal.
Si la/les interfaces réseau de l’ordinateur sont de bonne qualité, c’est mieux.


AnonymousCoward

merci,
ça me semble clair

quelle est la 1ère “chose” à installer sur ma Debian 9 toute neuve?
que dois-je configurer en 1er ? la passerelle , je suppose, pour pouvoir connecter mes machines à internet via cette Debian

T.

La première chose à configurer ? Cela dépend de si tu est très pressé ou pas.

Si tu est très pressé, le plus urgent est de reconfigurer la freebox server via le site web https://subscribe.free.fr/login/ :

  • Désactiver totalement le WiFi. Etat du service : non
  • Activer la réponse au ping.
  • Très important : si tu est en fibre optique en ZMD, il faut demander une adresse IPv4 fixe. Ce qui fera dégager cet ignominie de partage d’IP entre quatre clients avec du CG-NAT.

Puis rebooter la freebox pour que les réglages s’appliquent.
Se connecter sur l’interface de management puis désactiver le mode routeur, ce qui la passe en mode bridge. Et la rebooter.

Ensuite, installer le paquet netfilter-persistent pour que les règles du parefeu puissent survivre au redémarrage du PC routeur. Notamment la règle mettant en place le SNAT / masquerade.
Puis configurer le routage entre la partie LAN et Internet.
Et pour finir, le service DHCP qui doit être limité à ne fonctionner que sur la partie LAN.

Il n’y a aucune urgence concernant le DNS car tu peux utiliser des DNS ouverts comme ceux mis à disposition par la FDN ou ceux de Google, Cisco OpenDNS, Cloudflare etc.

Si tu est un peu moins pressé, tu peux commencer par un peu ce que tu veux.
Le DHCP, à condition de désactiver celui de la box via subscribe.free.fr .
Ou tu peux aussi configurer du SNAT plus routage sur ton PC routeur sans passer immédiatement la freebox en mode bridge. Cela fera du double SNAT et fonctionnera même si c’est laid.

Mais pour une première fois je te suggère de prendre ton temps.


AnonymousCoward

ok super,
mais je ne vois pas pourquoi aller sur le site de free pour reconfigurer la freebox, je peux tres bien la passer en mode bridge depuis son interface graphique ce qui désactive automatiquement le wifi

En théorie cela devrait marcher comme tu l’indiques, sauf que non.

Puisque les réglages auxquels on peut accéder via mafreebox.free.fr (ou l’adresse IP) et via subscribe.free.fr sont différents.
Par exemple le blocage du port 25 en sortant n’est accessible que via le second. Et des options avancées concernant le WiFi que sur le premier.
Et, le plus byzantin dans tout cela est que dès que tu modifies quelque-chose via le site subscribe… et que tu redémarres la freebox, la totalité des modifications effectuées via mafreebox… est supprimée. Le mot de passe utilisateur reste, mais c’est tout.

Donc tu crois que cela marche mais à la première coupure de courant chez toi l’accès à Internet sera coupé car la freebox aura rebasculé en mode routeur.

Concernant le réseau WiFi, il n’est pas coupé lorsque la freebox server est basculée en mode bridge. Enfin, peut-être le réseau personnel mais pas le réseau freewifi. C’est du vécu.


AnonymousCoward

je vais installer tout sur ma machine A qui est un portable avec un petit écran.
j’ai un grand ecra IIYAMA 28 pouces que je ne peux malheureusement pas connecter à A.
pourai-je prendre la main à distance sur A (je rappelle que ce sera mon server linux faisant tourner tout ce qui va bien) avec VNC et REMINA et bénéficier ainsi de mon grand écran?

merci beaucoup
T.

mais c’est inoui ce que tu me dis sur la freebox!!!

Ce n’est pas une bonne idée de mettre les usages de routeur et de serveur Linux / poste de travail avec interface graphique. Parce-que l’on met tous les œufs dans le même panier. Et quand il faut redémarrer pour une mise à jour où un bug sur l’une des parties, cela fait redémarrer l’autre.

Je déconseille également l’utilisation d’un PC portable pour faire routeur. Puisque les portables n’ont bien souvent qu’une seule interface Ethernet et que celle-ci n’est, généralement, pas de bonne qualité.

J’ai le souvenir d’un PC portable faisant office de routeur, en attendant une meilleure solution. Avec une seule interface réseau et des VLANs.
Ça marchait bien avec 50 Mbps de débit Internet descendant. Et le jour où on est passé à ~ 300 Mbps la carte réseau s’est mise à crasher sans pour autant faire redémarrer la machine.

Et d’ailleurs, comme tu est parti pour utiliser des VLANs, un dernier petit cadeau pour la route :
N’utilises pas le serveur DHCP de l’ISC sur une interface par laquelle transite également des VLANs taggés !
Genre eth0 et eth0.2 . Parce-que ce serveur DHCP ne fera pas la différence entre les paquets arrivant sur eth0 et ceux arrivant sur eth0.2 et il tentera de répondre à toutes les requêtes.


AnonymousCoward

sais tu que tu es quelqu’un de précieux?:heart_eyes:

je vais commencer par

Le DHCP, à condition de désactiver celui de la box via subscribe.free.fr .
Ou tu peux aussi configurer du SNAT plus routage sur ton PC routeur sans passer immédiatement la freebox en mode bridge. Cela fera du double SNAT et fonctionnera même si c’est laid.

Bonjour Anonymous,

j’ai 2 problèmes :

  1. comment faire ça : J’ai le souvenir d’un PC portable faisant office de routeur, en attendant une meilleure solution. Avec une seule interface réseau et des VLANs ?
    je n’y connais rien, il va me falloir une bonne doc. As tu ça en magasin?

  2. comment faire ça : Ou tu peux aussi configurer du SNAT plus routage sur ton PC routeur sans passer immédiatement la freebox en mode bridge. Cela fera du double SNAT et fonctionnera même si c’est laid La aussi il me faut une bonne doc!!!

merci beaucoup
PS: puis je installer une Ubuntu minimal au lieu de Debian?

Je vais commencer par ne répondre qu’au point n°1 .

Quand on parle d’une freebox server en mode bridge ou d’un bridge réseau sur un serveur, un bridge n’est rien d’autre qu’un switch Ethernet virtuel, fait de manière logicielle.
Donc une freebox en mode bridge n’est rien d’autre qu’un switch Ethernet qui relie ton PC routeur au reste du réseau Free. (je simplifie, exprès)

Or, comment fait une machine que l’on connecte sur un réseau Ethernet pour récupérer les paramètres IP comme une adresse, un masque de sous-réseau etc ? Elle utilise DHCP. (Je fais abstraction de IP v6)

Donc si ton PC routeur n’est équipé que d’une seule carte réseau, il faudra que la freebox server soit reliée à cet unique réseau, évidemment. Et le serveur DHCP de Free assignera donc la seule adresse IP qu’il peut t’assigner, à n’importe-quel client DHCP du réseau qui en fera la demande.
Pendant 2 minutes c’est un PC lambda dans ton réseau qui aura l’IP et l’accès Internet qui va avec. Puis pendant 2 minutes ce sera le routeur. Puis un smartphone, puis ton frigo intelligent, ta télé connectée etc. Bien évidemment, le dernier arrivé coupera l’accès Internet au précédent.

Arrivé là, on peut se dire qu’il faut deux interfaces réseau sur le PC routeur, une sur laquelle la freebox server sera branchée et une sur laquelle ton LAN sera branché.

Il existe une alternative à cela. Les VLANs comme Virtual LAN.
En gros, cela permet de découper un LAN et plusieurs LAN en ajoutant un tag aux trame Ethernet. Ce tag étant un numéro compris entre 1 et 4094.
Et ensuite, à condition d’avoir un switch Ethernet administrable qui gère les VLANs, on peut définir que tel ou tel port du switch appartient à tel VLAN et découper les ports d’un switch entre plusieurs réseaux.
Plus intéressant, si la carte réseau branchée sur un port est capable d’ajouter / enlever elle-même un tag de VLAN, on peut dire que le port du switch appartient à plusieurs VLANs. Dans ce cas on parle de “trunk”. Et, sous Linux on se retrouve avec les interfaces réseau telles que eth0.2 , eth0.3 , eth0.4 où il y a l’interface réseau eth0 qui est une carte réseau physique qui supporte les VLANs de tag 2, 3, 4.

On peut donc avoir un PC routeur avec les VLANs de tags 1 et 2000 qui sont en trunk jusqu’au switch. Et le switch qui mette le port sur lequel est branché une freebox server sur le VLAN 2000 et les autres ports sur le VLAN 1.
Et arriver ainsi à séparer le DHCP entre ces deux réseaux virtuels. Les PCs du LAN ne pourront plus dérober l’accès Internet via la freebox.

Après, c’est sûr que cela demande d’investir dans un switch. Même un basique comme le t1700g-28tq de chez TP-Link, que l’on trouve aux alentours de 250€.
Mais quand c’est çà ou devoir acheter un acheter un nouvel ordi / des cartes réseau, la question peut être posée.


AnonymousCoward

je te remercie d’avoir pris le temps de me répondre de manière aussi détaillée.
je comprends le principe mais à quoi est connecté le switch administrable ? au pc routeur? dans ce cas il me faut bien une autre carte réseau ou à quoi?

Et le switch qui mette le port sur lequel est branché une freebox server sur le VLAN 2000 et les autres ports sur le VLAN 1.

bref peux tu me donner un schéma de mes connexions cablées?
merci

ouh ouh !!!
tu m’as laissé tomber?:disappointed_relieved:

Dans l’éventualité de l’utilisation de VLANs, le switch administrable serait connecté au PC routeur, à la freebox et aux différents ordinateurs.

  • Les ports des différents ordinateurs recevrait le VLAN 1 en non taggé / natif.
  • Le port de la freebox recevrait le VLAN 2000 en non taggé / natif.
  • Le port du PC routeur recevrait les VLANs 2000 en taggé et 1 en taggé.

Mais pour être bien clair, soit tu pars sur des VLANs soit tu as besoin d’une 2nde carte réseau Ethernet pour le PC routeur fait à partir d’un portable.

Et la plupart des cartes réseau en USB a des problèmes de performance car elles ne possèdent pas suffisamment de mémoire buffer/tampon.

Un schéma, je ne suis pas sûr de savoir faire ça.
Tu peux jeter un coup d’oeil à https://www.youtube.com/watch?v=-Y7oWuAD6s4 , ce qu’il te faut étant un VLAN de niveau 1. Plus particulièrement, ce qui t’intéresse dans cette vidéo est le point 4.1 “Router-on-a-stick” .


AnonymousCoward

@trazom : Est-ce que tu peux nous indiquer si ton accès Free est en fibre optique ou en VDSL2 / ADSL2 ?
Dans le cas de la fibre optique, c’est en ZTD ou en ZMD ?

Et est-ce que tu préfères utiliser un PC routeur indépendant et conçu pour, avec plusieurs cartes réseau. Ou acheter un switch administrable et utiliser des VLANs ?

  • Utiliser des VLANs sur un switch te procure plus de ports pour brancher d’éventuels PCs de ton LAN. Mais cela ne t’empêchera pas de pouvoir avoir des problèmes avec la carte réseau de ton PC portable. Surtout si tu est en fibre.
  • Utiliser un routeur fait exprès à un coût minimum qui est le même que d’acheter un switch administrable neuf. Et cela te permet de ne pas ajouter la fonction routeur à ton PC portable.

Dernière question à la laquelle répondre : Tu fais comment pour le WiFi ? Tu as déjà un ou plusieurs points d’accès ? Tu comptes ne pas en mettre pour remplacer celui de la box ?


AnonymousCoward

merci de m’avoir répondu.
j’ai visionné le tuto de Youtube. c’est très intéressant.

pour ce qui est de choisir entre tes 2 propositions, j’avoue n’avoir ni les connaissances technique ni l’expérience suffisante.
j’ai bien compris qu’il n’est pas recommmandé d’installer le router sur un pc portable. C’est malheureusement tout ce que j’ai.

est ce que si j’achète un routeur j’au rai suffisamment de cartes réseaux pour ne pas être obligé d’acheter en plus un switch? a moins qu’il me faille un routeur ET un switch pour démultiplier le nombre de ports et de VLANs?

c’est toi l’expert et je suivrai tes conseils à la lettre.
je dispose d’un budget de 500 euros: quelle est la meilleure configuration que je puisse monter?
sachant que je voudrai raccorder 6 pc linux et 1 imprimante au “routeur” ou au “switch”

j’ai de bonnes connaissances systèmes et le travail un peu difficile me plait. Et j’ai tout le temps nécessaire.
du moins que j’ai de bonnes docs.

merci pour tes conseils avisés
Thierry

Justement. Si tu nous dis quel est ton accès à Internet (fibre ZTD / fibre ZMD / VDSL / ADSL2) ou en tous cas celui pour lequel prévoir, cela nous permettra de te suggérer un choix.

Et là aussi, qu’est-ce que tu comptes faire pour le WiFi ?

Ensuite, tu dis que tu as 6 ordis Linux et une imprimante à raccorder. Tu as donc déjà un switch Ethernet ? Si oui, de quel modèle s’agit-il ?


AnonymousCoward

bonjour,

mon accès internet est en ADSL2
je compte supprimer le wifi de ma freebox et utiliser occasionnellement free-wifi
j’ai un petit switch TP-Link modèle TL-SH105 (on me l’a donné) non administrable qui ne me permet pas de connecter les 6 machines et l’imprimante

amicalement
T.

Pour un accès en ADSL2, un PC portable en tant que routeur n’aura pas de problème à gérer la charge. Et il est même très probable que la carte WiFi qu’il embarque puisse être utilisée comme points d’accès WiFi.

Le plus pressé est donc de faire l’acquisition d’un switch administrable niveau 2 et de commencer à faire joujou avec, à bricoler du VLAN.
Si tu veux, tu peux en choisir un avec un nombre de ports plus réduit que tu utiliseras conjointement avec le TL-SH105 . Parce-que le t1700g-28tq que j’ai suggéré est prévu pour s’installer dans une armoire informatique 19 pouces et il est peut-être un peu large.

Je vais regarder les différents matériels qui existent actuellement sur le marché par rapport à ce qu’il te faut.


AnonymousCoward