Synology Problème 2 routeurs

[litch42]

Bonjour,

J'ai un soucis avec mon Synology qui détecte 2 routeurs lorsque j'essaye de configurer mon routeur sur le NAS.



Jusqu'ici c'est normal, je possède un routeur/firewall Cisco Meraki Go plus GX-50 qui est branché en série à ma Livebox ProV4. Mais je ne sais pas comment y remédier.
Je vous ai fait une illustration de l'infrastructure que j'ai (en évolutivité) :


Le problème c'est que je ne c'est pas quoi réellement faire, j'apprends en autodidacte et j'ai vu que possiblement en passant la box d'orange en mode bridge et donc non en routeur ça pouvait le faire mais je ne suis pas sûr.
J'aimerais avoir vos recommandations svp.

Cordialement.

 

[Neo974]

Bonjour,

Tu as déjà un routeur Meraki, pourquoi vouloir transformer ton NAS en routeur ?

De ce que je comprends, tu souhaites relier 2 pc à ton NAS, pourquoi ne pas tout connecter au meraki ?

 

[zypos]

Pour placer un routeur tiers derrière une Box ; il faut accéder à l'interface de celle-ci et la mettre en mode bridge ou en mode DMZ .
Chez Orange les offres Grand publique ne peuvent pas passer en mode Bridge ; mais pour les pro les possibilités sont plus étendues
Donc vérifier si ton offre permet le mode Bridge; sinon passer par la DMZ .
Ce qui m'étonne un peu c'est que ton routeur Cisco Meraki Go plus GX-50 c'est du matériel Pro , qui demande une bonne connaissance en réseaux.

Si tu passe par la DMZ , il faudra certainement modifier la plage DHCP de la Box .

 

[litch42]

Bonjour,

Tu as déjà un routeur Meraki, pourquoi vouloir transformer ton NAS en routeur ?

De ce que je comprends, tu souhaites relier 2 pc à ton NAS, pourquoi ne pas tout connecter au meraki ?

Non ce n'est pas ça, désolé du malentendu, sur mon meraki j'ai relié le nas et un switch. Problème : Le nas détecte alors le meraki et la livebox comme 2 routeurs (vu que c'est deux routeurs c'est normal) et je ne sais pas comment faire pour qu'il ne détecte que le meraki qui me fait routeur et firewall en même temps.

 

[litch42]

Pour placer un routeur tiers derrière une Box ; il faut accéder à l'interface de celle-ci et la mettre en mode bridge ou en mode DMZ .
Chez Orange les offres Grand publique ne peuvent pas passer en mode Bridge ; mais pour les pro les possibilités sont plus étendues
Donc vérifier si ton offre permet le mode Bridge; sinon passer par la DMZ .
Ce qui m'étonne un peu c'est que ton routeur Cisco Meraki Go plus GX-50 c'est du matériel Pro , qui demande une bonne connaissance en réseaux.

Si tu passe par la DMZ , il faudra certainement modifier la plage DHCP de la Box .

Je ne vois pas l'option du Bridge, apparemment chez Orange ça n'existe pas ou c'est très bien caché. Mais il y a l'option du DMZ, je ne me suis jamais aventuré la dedans mais je connais le principe. Faut-il toucher le nat/pat aussi ?

edit : je viens de trouver comment le passer en mode bridge je pense via https://www.orange.be/fr/support/as...ace/topic/configurer-votre-reseau/mode-bridge

 

[Neo974]

Le nas détecte alors le meraki et la livebox comme 2 routeurs (vu que c'est deux routeurs c'est normal) et je ne sais pas comment faire pour qu'il ne détecte que le meraki qui me fait routeur et firewall en même temps.

Dans ce cas faut désactiver le dhcp de la livebox et laisser uniquement celui du Meraki.

Mais il y a l'option du DMZ, je ne me suis jamais aventuré la dedans mais je connais le principe. Faut-il toucher le nat/pat aussi ?

Si tu mets ton meraki en DMZ, alors tu n'a pas besoin d'utiliser les options de transfert des ports sur ta livebox, mettre un périphérique en DMZ reviens à dire a livebox que tu redirige tout les ports vers ce périphérique. ( bien sur c'est un simplification, car en entreprise normalement même en DMZ tu as un pare feu qui redirige les ports vers 1 ou plusieurs périphérique)

 

[zypos]

Je ne vois pas l'option du Bridge,

Donc obliger de passer par la DMZ . La DMZ permet de redistribuer tout le trafic vers le Meraki donc pas de nat/pat à faire au niveau de la Livebox .
Un fois le Meraki dans la DMZ , tout se passe au niveau du Meraki .
Tu connais l'adresse IP du Méraki ?

 

[litch42]

Dans ce cas faut désactiver le dhcp de la livebox et laisser uniquement celui du Meraki.


Si tu mets ton meraki en DMZ, alors tu n'a pas besoin d'utiliser les options de transfert des ports sur ta livebox, mettre un périphérique en DMZ reviens à dire a livebox que tu redirige tout les ports vers ce périphérique. ( bien sur c'est un simplification, car en entreprise normalement même en DMZ tu as un pare feu qui redirige les ports vers 1 ou plusieurs périphérique)

faut que je précise que je n'ai pas encore de point d'accès wifi couplé au meraki, je l'attends, mais en désactivant le dhcp de la livebox le wi-fi gardera quand même les anciennes adresses attribuer ? sinon en mettant une dmz j'ai quand même un double routage au final non?

Message automatiquement fusionné : 21 Février 2024

Donc obliger de passer par la DMZ . La DMZ permet de redistribuer tout le trafic vers le Meraki donc pas de nat/pat à faire au niveau de la Livebox .
Un fois le Meraki dans la DMZ , tout se passe au niveau du Meraki .
Tu connais l'adresse IP du Méraki ?

Oui je la connais, si j'ai bien compris sur la gui de ma livebox dans le champs dmz j'insère cette adresse alors ?
je pourrais alors utiliser mes deux pare-feu (celui du livebox et du meraki), mais comment le mettre en place avec un nas ? (je vais me renseigner)

 

[Neo974]

faut que je précise que je n'ai pas encore de point d'accès wifi couplé au meraki, je l'attends, mais en désactivant le dhcp de la livebox le wi-fi gardera quand même les anciennes adresses attribuer ?

pour une certaine période ( selon ton réglage du bail dhcp)

sinon en mettant une dmz j'ai quand même un double routage au final non?

Non tu n'aura plus de double Routage.

je pourrais alors utiliser mes deux pare-feu (celui du livebox et du meraki), mais comment le mettre en place avec un nas ? (je vais me renseigner)

Voir la pièce jointe 11401

Si tu fais cela tu mets ton meraki en dmz du coup il ne sera pas protégé par le pare feu de la livebox.


Si je comprends bien c'est pour une entreprise ?
Donc faut que tu sois vigilants avec la sécurité, avant de mettre ton meraki en DMZ, est-ce que celui est bien configuré et sécurisé ?


N'a tu pas une ressource informatique/ réseau dans ton entreprise ?
( si c'est une auto entreprise, faut que tu fasses quand même gaffe à la sécurité de ton réseau)

 

[zypos]

SI l'adresse du Mekari est bien 192.168.1.129 , il faut modifier les adresses IP de la Livebox
Perso , j'ai un routeur en DMZ derrière une Livebox 6 non pro et cela marche très bien . Mais je suis partie sur matériels Ubiquiti , matériel pro également ; moins cher et plus facile à configurer . Je peux t'aider pour la config de la Livebox , mais pas sur le Meraki.
Je ne suis pas chez moi actuellement et de garde pour les petits-enfants . Je peux te faire un petit tuto pour la Livebox d'ici la fin de le semaine
Il suffit de me donner une adresse mail en MP

 

[litch42]

pour une certaine période ( selon ton réglage du bail dhcp)

Non tu n'aura plus de double Routage.

Si tu fais cela tu mets ton meraki en dmz du coup il ne sera pas protégé par le pare feu de la livebox.


Si je comprends bien c'est pour une entreprise ?
Donc faut que tu sois vigilants avec la sécurité, avant de mettre ton meraki en DMZ, est-ce que celui est bien configuré et sécurisé ?


N'a tu pas une ressource informatique/ réseau dans ton entreprise ?
( si c'est une auto entreprise, faut que tu fasses quand même gaffe à la sécurité de ton réseau)

Non je ne l'ai pas encore configuré j'ai mis l'image plus haut en exemple, mais si j'ai bien compris ça serait comme ça :


Ou plûtot ça et si c'est ce cas je mettrais comment les fonctionnalités exposables du nas sur la dmz ? :

 

[Neo974]

Dans la DMZ il n'y a pas de pare-feu d'activer, donc ton Meraki ne sera pas protégé par le pare feu de la livebox, mais par son propre pare-feu uniquement.

Pour exposer les services du NAS, le plus sécurisé est de transférer le port 443 vers le NAS, puis d'utiliser un reverse proxy.

Pour le reverse proxy et la configuration du NAS, tu peux t'aider de ce tutoriel :

Synology - [mini-Tuto] Création d'un nom de domaine Synology (gratuit) + Utilisation du reverse proxy pour les applications + Configuration du pare-feu du NAS

[mini-Tuto] Création d'un nom de domaine Synology (gratuit) + Utilisation du reverse proxy pour les applications + Configuration du pare-feu du NAS L'objectif de ce mini-tuto est de : Créer un nom de domaine Synology (gratuit avec un NAS de la marque) avec certificat LE mis par défaut ; Créer...

www.forum-nas.fr

 

[litch42]

Dans la DMZ il n'y a pas de pare-feu d'activer, donc ton Meraki ne sera pas protégé par le pare feu de la livebox, mais par son propre pare-feu uniquement.

Pour exposer les services du NAS, le plus sécurisé est de transférer le port 443 vers le NAS, puis d'utiliser un reverse proxy.

Pour le reverse proxy et la configuration du NAS, tu peux t'aider de ce tutoriel :

Synology - [mini-Tuto] Création d'un nom de domaine Synology (gratuit) + Utilisation du reverse proxy pour les applications + Configuration du pare-feu du NAS

[mini-Tuto] Création d'un nom de domaine Synology (gratuit) + Utilisation du reverse proxy pour les applications + Configuration du pare-feu du NAS L'objectif de ce mini-tuto est de : Créer un nom de domaine Synology (gratuit avec un NAS de la marque) avec certificat LE mis par défaut ; Créer...

www.forum-nas.fr

je vois donc le parefeu du livebox filtre le côté internet/dmz ensuite le proxy/reverse proxy dans la dmz et en dernier le meraki et son pare-feu inclus qui filtre dmz/lan si j'ai bien compris. j'ai une fonctionnalité vpn sur le meraki et je comptais m'en servir pour le télétravail, la dmz comprend aussi ce service ? et merci pour le tuto je m'y mettrais demain

 

[zypos]

ensuite le proxy/reverse proxy dans la dmz

Attention de ne pas tout mélanger , la DMZ c'est la Livebox ; le reverse proxy c'est au niveau du NAS .Donc pas lié à la DMZ
Pour le parefeu . Au niveau de la Livebox c'est très limité et tu ne sais pas comment il agit .
L'important est de savoir comment fonctionne celui du Meraki et savoir le paramétrer . Sur ce genre de routeur pro les parefeu sont beaucoup plus performant que sur les routeur grand-public
Il ne faut surtout pas mettre le NAS en DMZ , mais le branché sur le Makari .
I

 

[Neo974]

Attention tu mélange un peu tout.

La livebox sert à te connecter à internet, tu y place ton Meraki en DMZ ( donc ton Meraki ne bénéficie pas du pare-feu de la livebox)

Ensuite ton Meraki sert à gérer ton lan et ton pare-feu qui va sécurisé ton Meraki et tout ton Lan.
Sur le Meraki tu redirigera uniquement le port 443 vers ton NAS.

Sur ton lan tu auras tes pc, tes imprimantes.... et ton NAS.

Ton NAS tu utilisera la fonction reverse proxy pour l'exposer sur internet.
Sur ton NAS tu as aussi un pare-feu afin de le sécurisé.

Mais le plus important sera de sécurisé ton Meraki bien comme il faut.


Avec le reverse proxy sur ton NAS, tu n'aura pas besoin de VPN pour accéder à ton NAS chez toi.
Par contre si tu as besoin d'accéder à d'autres périphériques de ton réseau alors oui tu auras besoin d'un VPN.


Si c'est une installation pour une entreprise qui va accueillir plusieurs employés, serveurs, applications.... je te conseille de te faire aider par des experts car la sécurité réseau et informatique est primordial en entreprise.

Ce n'est pas parce que c'est une petite entreprise qu'elle est a l'abri, bien au contraire.

 

[MilesTEG]

Attention ! Le réseau wifi de la livebix ne pourras pas communiquer avec le réseau du meraki si ce dernier est bien un routeur.

@litch42 je pense que tu devrais envisager un vrai routeur qui fait parefeu, vu qu’il ne semble pas que ton meraki en ait un de pare-feu…
Il faut bien comprendre que placer un appareil en dmz d’une box ou d’un routeur le met littéralement visible entièrement sur internet. Donc sans pare-feu c’est sacrément risqué…
Si c’est pour une entreprise vise directement du matériel de professionnel, plus cher mais bien meilleur. (Enfin je crois )

 

[Neo974]

@MilesTEG le Meraki est déjà une gamme pro qui me semble faire pare feu.

Mais effectivement je le redis, il faut qu'il demande de l'aide à un professionnel au sein de son entreprise ou qu'il demande a un pro de la sécurité et du réseau de l'aider car il en va de la sécurité et de l'intégrité de son entreprise.

 

[macshane]

Ce n'est pas parce que c'est une petite entreprise qu'elle est a l'abri, bien au contraire.

Je confirme. Tu dois avoir des logs "live" sur ton FW, regarde les. En temps rééls, c'est dingue le nombre d'attaques qu'il peut y avoir chaque heure qui passe. Ce sont des bots qui scans ou parfois qui essaient de rentrer.

Maintenant que ton FW Meraki gère bien tes interfaces (WAN et LAN), il faut effectivement impérativement que tu gères les régles pare-feu. Certains FW sont, de base, de vraies passoirs (normal, ça s'adresse à des pro qui veulent partir d'une feuille blanche). Je ne connais pas Cisco, c'est peut-être différent, mais vu que tu es en pro, n'oublie jamais un truc : il y a les attaques, les virus, les ransomware, mais il y a pire, il y a ceux qui s'installent sur ta ligne et en s'en servent, ou simplement un salarié qui fait des trucs depuis l'entreprise qu'il ne ferait pas chez lui. Et la loi est très claire : le gérant est pénalement responsable de tout ce qui se passe sur la ligne. Donc, déc..nne pas !

 

[zypos]

je viens de trouver comment le passer en mode bridge

Donc , aucune hésitation passe la Box en Bridge et tous les réglages se feront au niveau du Meraki

 

[macshane]

Je viens de trouver comment le passer en mode bridge je pense

Si ça fonctionne, je suis preneur, je pensais qu'on ne pouvait plus passer une LB en bridge depuis la version 5.