Aller au contenu

Securisation des donnees du reseau


Invité

Messages recommandés

Proprietaires de nas on se preocupe souvent de la securite / confidentialite de nos donnees - le parefeu de dsm nous propose des solutions mais pour securiser au maxi le reseau complet, la ise en place d un routeur autre que celui de nos box est une alternative.

Equipe d un ERX, filtrage des ip etrangeres entrantes, je me retrouve malgre tout avec des datas en reception de chine sans etre "drop".

Je suis sur de la config cest@fenrir qui la cree quasi totelement. Jai juste brode autour 2/3 trucs.

@mic13710 a souleve dans un autre post la possibilite a certaines cam chinoises autres de pouvoir se connecter avec l exterieur une fois en place. Effectivement cest loin d etre quelque chose a negliger.

Sent from my iPhone using Tapatalk

Lien vers le commentaire
Partager sur d’autres sites

  • Réponses 63
  • Créé
  • Dernière réponse

Meilleurs contributeurs dans ce sujet

Salut Hedy,

Pour rebondir sur ce post, je m’intéresse à la possibilité d'installer un routeur qui me permette de mieux contrôler mon réseau, surtout ses accès web. Quel que soit le modèle de routeur, erx ou autre, se pose tout de même la problématique de pouvoir continuer à utiliser les possibilités offertes par la box, et notamment la box TV, le DLNA et même la fonction NAS comme c'est le cas pour les Freebox V6.

Mon réseau actuel est constitué d'une Freebox V5 couplée à un switch 8 ports Gb sur lequel est connectée toute la cavalerie : 2 NAS, 3 PC, une borne Wifi, des caméras, mon Marantz, mes Rasp, 2 autres switches, etc... Bref, un réseau privé travaillant sur la même plage d'adresses IP. La box HD (TV) est connectée sur la Freebox V5 en filaire. Tout ce petit monde fonctionne très bien. Je peux utiliser les dossiers multimedia de mon NAS sur la Freebox HD compatible DLNA, et je peux aussi à partir de mon PC déplacer les enregistrements non verrouillés du disque dur de cette même box HD vers le NAS. Tout est sur le même réseau donc pas de problème.

Si j'introduis un routeur entre la box et le switch, se posent alors plusieurs questions :

  1. Peut-on continuer à utiliser la fonction routeur du NAS (activer le NAT) et installer le nouveau routeur derrière une IP privée ou bien faut-il impérativement passer la box en mode bridge (et dans ce cas je crois qu'on perd le wifi) ?
  2. Que devient le Wifi de la box car si j'ai une borne Wifi installée sur mon réseau, je me sers aussi de celui de la box pour certains équipements proches ?
  3. La box HD se trouvant de facto hors du réseau privé derrière le nouveau routeur, comment faire pour qu'elle puisse avoir accès au contenu du NAS et inversement comment pouvoir transférer les enregistrements de la box HD vers le NAS ?
  4. Actuellement, la Freebox HD est connectée sur une sortie spéciale de la Freebox V5. Il y a la possibilité chez Free de rajouter une autre box HD en la connectant sur l'un des autres ports de la box. Ce qui voudrait dire que cette box travaille sur une IP privée classique. Peut-on envisager de délocaliser le boitier HD de la Freebox vers le nouveau réseau (bien qu'il y aurait un sérieux problème de communication mais on peut toujours poser la question) ?

En gros ce qui me préoccupe c'est surtout de pouvoir continuer avec le mode de fonctionnement actuel de mon boitier TV (DLNA, transfert des enregistrements) tout en assurant un meilleur contrôle des activités de mon réseau au moyen d'un routeur plus performant.

Lien vers le commentaire
Partager sur d’autres sites

Rapidement car je suis sur mes hdd red la... looool.

Ma config: erx - v6 en bridge - access point wifi uap ac lr - pc - tablette - 1 nas - ps3 - wdtvlive - tv connectes-

Tt sur le meme lan -> je travaille pour creer un vlan "Guest"- je n utilise pas les proprietes nas de la box - par contre jai la tv dessus qui est fonctionnelle. ( hors lan) - certains ont fait un vlan100 pour rajouter sur le reseau la partie nas de la box - jai coupe le wifi de la box -

La borne wifi que tu as et ube "extension" du wifi de la box ? Ou bien tu las plug sur un port de ta box ?

Sur le routeur que jai (erx) tu peux creer des regles - dire : lui a droit se faire ca mais pas ca. Lui a droit de sortir sur le wan mais pas lui. Bloquer des acces de lexterieur - creer vpn - j utilise aussi le dlna at home.

Sent from my iPhone using Tapatalk

Lien vers le commentaire
Partager sur d’autres sites

Il y a 22 heures, Hedy a dit :

je me retrouve malgre tout avec des datas en reception de chine sans etre "drop".

Ce que tu vois en réception ce n'est pas des paquets émis par la Chine, mais des réponses à des demandes de tes équipements internes.

Si tu veux interdire tout trafic depuis ET vers la Chine, il faut que tu rajoutes une règles en OUT de ton interface WAN.

Néanmoins le trafic que tu vois n'est pas forcement un problème, c'est peut être simplement tes caméras qui vérifient leurs mises à jour... (ou pas).

il y a 54 minutes, Mic13710 a dit :

Peut-on continuer à utiliser la fonction routeur du NAS (activer le NAT) et installer le nouveau routeur derrière une IP privée ou bien faut-il impérativement passer la box en mode bridge (et dans ce cas je crois qu'on perd le wifi) ?

Pourquoi faire ? Mais sinon oui, le principe du NAT c'est cacher ce qu'il y a derrière, donc tu peux en mettre autant que tu le souhaites l'un derrière l'autre.

il y a 55 minutes, Mic13710 a dit :

Que devient le Wifi de la box car si j'ai une borne Wifi installée sur mon réseau, je me sers aussi de celui de la box pour certains équipements proches ?

Si la box est en bridge, il est désactivé

il y a 57 minutes, Mic13710 a dit :

La box HD se trouvant de facto hors du réseau privé derrière le nouveau routeur, comment faire pour qu'elle puisse avoir accès au contenu du NAS et inversement comment pouvoir transférer les enregistrements de la box HD vers le NAS ?

Ça je n'ai pas testé (même en mode "normal"), par contre pour la TV via ADSL pas de souci (il suffit de transporter le vlan 100 entre la freebox et le boitier HD)

il y a une heure, Mic13710 a dit :

Actuellement, la Freebox HD est connectée sur une sortie spéciale de la Freebox V5

Il n'y a pas de sortie spéciale, tous les ports sont identiques.

il y a une heure, Mic13710 a dit :

Il y a la possibilité chez Free de rajouter une autre box HD en la connectant sur l'un des autres ports de la box. Ce qui voudrait dire que cette box travaille sur une IP privée classique

Ça utilise le vlan 100 avec un plan d'adressage hard codé (192.168.27.0/28) et le trafic est chiffré en ESP (ipsec).

il y a une heure, Mic13710 a dit :

En gros ce qui me préoccupe c'est surtout de pouvoir continuer avec le mode de fonctionnement actuel de mon boitier TV (DLNA, transfert des enregistrements) tout en assurant un meilleur contrôle des activités de mon réseau au moyen d'un routeur plus performant.

Pour le boitier HD aucune idée de si les fonctions nas/dlna/... fonctionnent en bridge, la TV (adsl+tnt) fonctionne ça c'est certain.

D'après le site de free, le fait de passer la freebox en mode bridge désactive automatiquement les services suivants :

  • UPnP IGD
  • réseau personnel Wi-Fi du Freebox Server
  • service proxy WOL fourni par le Freebox Server
  • service UPnP A/V
  • TNT inaccessible en multiposte

Après tu as plein de manières de monter ton réseau, c'est simplement à faire en fonction de tes besoins.

Par exemple :

[Internet]----[freebox en mode routeur]----[routeur perso avec ou sans nat]----[reste du lan]
              |        |
          [freeboxHD]   [nas (avec une route vers le lan si pas de nat dans le routeur perso)]

Si ton nas a 2 ports (ou si tu as un équipement qui gère les vlan), tu peux aussi le brancher à la fois sur le réseau "freebox" et ton réseau "perso"

Lien vers le commentaire
Partager sur d’autres sites

Jai cree cet aprem un "drop to china" sur le wan_out.

Par contre , pourquoi j arrive a aller sur google.cn et surfer sur des pages chinoises ? Je devrais pas pouvoir, je pense

Sent from my iPhone using Tapatalk

Mon freeplayer est connecte via cpl directement sur la box en bridge. Replay fonctionnels.

Sent from my iPhone using Tapatalk

Lien vers le commentaire
Partager sur d’autres sites

il y a 36 minutes, Hedy a dit :

Par contre , pourquoi j arrive a aller sur google.cn et surfer sur des pages chinoises ? Je devrais pas pouvoir, je pense

google.cn n'est pas forcement en Chine (un .cn ça ne veut pas dire qu'un site en en Chine, dans le cas présent il est aux USA)

Voici l'adresse d'un site qui est vraiment en chine : http://123.125.96.216

Ensuite ça dépend de tes règles, ce n'est pas parce que, quelque part dans la conf, tu as créé une règle qui bloque tel ou tel trafic qu'elle est appliquée (si tu as une règle avant qui l'autorise, ta règle de bloque ne marchera pas).

Enfin bloquer tout le trafic à destination de la Chine n'est probablement pas une bonne idée. Tu peux avoir du trafic légitime qui y va.

Modifié par Fenrir
Lien vers le commentaire
Partager sur d’autres sites

Jpensai bien que google.cn n etait pas en chine. Mais les liens sy trouvant un peu plus.

Ton adresse passe...

Jai 2 regles au dessus : allow etablished/related - et drop invalid state.

Je bloque et apres je reflechi - loool -

Je suis tjrs en phase de test et de comprehebsion pour le moment.

Sent from my iPhone using Tapatalk

Lien vers le commentaire
Partager sur d’autres sites

Il y a 2 heures, Fenrir a dit :

Pourquoi faire ? Mais sinon oui, le principe du NAT c'est cacher ce qu'il y a derrière, donc tu peux en mettre autant que tu le souhaites l'un derrière l'autre.

Si la box est en bridge, il est désactivé

 

C'est justement pour pouvoir garder le wifi que je voulais garder le NAT.

Il y a 2 heures, Fenrir a dit :

Il n'y a pas de sortie spéciale, tous les ports sont identiques.

Ça utilise le vlan 100 avec un plan d'adressage hard codé (192.168.27.0/28) et le trafic est chiffré en ESP (ipsec).

Je n'ai pas fait d'investigation, mais sur la V5, il y a une sortie RJ45 spécifique de couleur jaune pour le boitier HD. Elle utilise probablement le vlan. Cependant, je ne suis pas sûr qu'à l'inverse on puisse utiliser cette sortie comme un port standard.

Il y a 3 heures, Fenrir a dit :

Pour le boitier HD aucune idée de si les fonctions nas/dlna/... fonctionnent en bridge, la TV (adsl+tnt) fonctionne ça c'est certain.

Tu confirmes ce que je pensais que le boitier HD connecté à la box fonctionne normalement, ce qui est la moindre des choses puisque rien ne change pour lui du point de vue réseau. Pas sûr par contre que l'accès au disque dur par ftp://freebox@hd1.freebox.fr/ puisse fonctionner à partir d'un réseau privé différent. Il faudra trouver autre chose.

Il y a 3 heures, Fenrir a dit :

Après tu as plein de manières de monter ton réseau, c'est simplement à faire en fonction de tes besoins.

Par exemple :


[Internet]----[freebox en mode routeur]----[routeur perso avec ou sans nat]----[reste du lan]
              |        |
          [freeboxHD]   [nas (avec une route vers le lan si pas de nat dans le routeur perso)]

Si ton nas a 2 ports (ou si tu as un équipement qui gère les vlan), tu peux aussi le brancher à la fois sur le réseau "freebox" et ton réseau "perso"

Mon NAS a 2 ports (214+).

Un truc m'échappe : quand tu dis routeur perso sans nat, j'ai un peu de mal à comprendre comment ça peut fonctionner. Qui attribue les adresses du réseau ?

Lien vers le commentaire
Partager sur d’autres sites

En fouillant la toile ce matin, j'ai trouvé cet article "Cohabitation Freebox V6 Server en mode Bridge avec Freebox Player" qui semblerait aussi applicable à la V5 et qui se rapproche de ce que je cherche à faire. Un autre fil très intéressant et toujours d'actualité Remplacer sa Freebox par un ubiquiti edgerouter POE (TV inside) .

@Fenrir, ça rejoint ce que tu m'as dit à propos du vlan 100. Du coup il me semble que le switch 16 ports Netgear GS116E compatible IEEE802.1Q que je regardais dans un autre post, couplé avec le routeur ER-X feraient le couple parfait pour construire mon réseau. Qu'en penses-tu ?

En fait, on trouve sur la toile de nombreux articles qui traitent de ce sujet, ce qui me rassure sur la faisabilité. Le seul point qui me dérange un peu finalement, c'est la perte du wifi de la box après le passage en mode bridge. Bien sûr, je peux toujours y mettre une vieille borne qui traine dans un coin, mais ça complexifie encore un peu plus le réseau et je trouve un peu idiot de devoir rajouter un équipement alors qu'il y en a déjà un existant qui pourrait faire le taf.

Lien vers le commentaire
Partager sur d’autres sites

Jai lu plein de truc a propos duvlan100 - ca marche sur !

Tu peux mettre ton 16 ports mais pourquoi ne pas dissocier le tout en 2 fois 8 par exemple ? Histoire de separer physiquement.

Jai 2 switchs chez moi - un pour tt ce qui est "multimedia" et un second pour les cams.

L erx a 5 ports - dont 1 pour le wan - 4 libres du coup. Pour info, tu as un port (eth4) sur lequel tu peux activer le poe.

@fenrir jai fait le test en virant dans wan_out la destination vers network group cn et ai remplacer par l adresse chinoise plus haut que tu mas donnee- ca bloque... donc cest juste un probleme de geoip cn - jai verif il contient bien ladresse a filtrer.

Je regarderai ca ce soir

Sent from my iPhone using Tapatalk

Lien vers le commentaire
Partager sur d’autres sites

Tout simplement parce que je ne cherche pas à séparer mais à combiner pour retrouver les mêmes possibilités qu'actuellement. J'ai déjà 3 switches répartis chez moi dont un en poe pour les cams. Celui que je souhaite remplacer est un 8 ports en tête de réseau car je n'ai plus de place et que j'envisage d'y raccorder d'autres équipements. Je pourrais bien évidemment racheter un autre 8 ports qui devrait sans doute être vlan (netgear GS108E par exemple), mais ça ferait plus de câbles et de l'empilement de matériel supplémentaire dans une baie qui commence à être bien chargée, surtout qu'il faut aussi y rajouter le routeur. Bref, un peu bricolo et très désordre. Un peu de clarté ne fait pas de tord.

Mais puisque finalement le ER-X est compatible VLAN et que le seul équipement qui pose problème est la FBHD, plutôt que de rajouter un switch manageable, je me demandais s'il ne serait pas possible d'utiliser le switch du routeur pour y connecter à la fois le VLAN 100 de la FB, la sortie bridge de la FB, la FBHD, et un switch standard 16 ports pour le reste du réseau. Soit 4 ports utilisés sur 5. Dans cette configuration le port de la sortie bridge serait paramétré en VLAN 100 tag, celui de la FBHD en VLAN 100 tag / VLAN par défaut Untag, et le port vers le switch en VLAN par défaut Untag. En gros, ça reviendrait à combiner routeur et switch manageable dans un seul boitier, le ER-X. Est-ce que c'est possible ?

Si c'est faisable, cette config me ferait perdre l'éventualité de l'aggrégation de liens sur le NAS (plus assez de ports sur le routeur), mais comme ça n'est pas vraiment utile dans mon cas, il n'y a pas de problème. Si besoin, je pourrais toujours le faire au niveau du switch 16 ports.

Lien vers le commentaire
Partager sur d’autres sites

Il y a 11 heures, Mic13710 a dit :

Je n'ai pas fait d'investigation, mais sur la V5, il y a une sortie RJ45 spécifique de couleur jaune pour le boitier HD. Elle utilise probablement le vlan. Cependant, je ne suis pas sûr qu'à l'inverse on puisse utiliser cette sortie comme un port standard.

Mon boitier HD est branché sur un des ports normaux (en pratique c'est mon routeur qui est connecté et je transporte le vlan100 d'un coté à l'autre du routeur)

Il y a 11 heures, Mic13710 a dit :

Un truc m'échappe : quand tu dis routeur perso sans nat, j'ai un peu de mal à comprendre comment ça peut fonctionner. Qui attribue les adresses du réseau ?

Le NAT c'est simplement du routage avec un petit truc en plus pour cacher les adresses), donc tout le reste (dhcp, dns, firewall, ...) est identique avec ou sans nat. Par contre sans NAT, on gagne la possibilité de passer d'un coté à l'autre du routeur sans se limiter aux transferts de ports (192.168.0.x/24 peut sans soucis parler à 192.168.1.x/24 et vice versa).

Il y a 2 heures, Mic13710 a dit :

Du coup il me semble que le switch 16 ports Netgear GS116E compatible IEEE802.1Q que je regardais dans un autre post, couplé avec le routeur ER-X feraient le couple parfait pour construire mon réseau. Qu'en penses-tu ?

Le switch compatible dot1q n'est même pas obligatoire (les switch de base laissent passer les vlan de manière transparente), en fait ça dépend de ton installation (qui est où et qui est branché sur quoi).

Il y a 3 heures, Mic13710 a dit :

je trouve un peu idiot de devoir rajouter un équipement alors qu'il y en a déjà un existant qui pourrait faire le taf.

A mon goût il fait mal son travail et je préfère avoir un truc plus flexible, de plus, mais ça c'est variable selon les logements, chez moi la freebox, le nas et le routeur sont dans un coin loin de tout, donc le wifi de la box ne m'aurait de toute manière pas été utile. Enfin je préfère pouvoir changer de borne en fonction des besoins (borne AC par exemple) sans devoir changer la box.

Il y a 2 heures, Hedy a dit :

Pour info, tu as un port (eth4) sur lequel tu peux activer le poe.

Attention, c'est du poe PASSIF, une fois activé il balance les watts que l'équipement en face soit compatible ou non => ça peut cramer

il y a 20 minutes, Mic13710 a dit :

En gros, ça reviendrait à combiner routeur et switch manageable dans un seul boitier, le ER-X. Est-ce que c'est possible ?

Oui, c'est à peu près ce que j'ai fait chez moi

freebox--(internet+vlan100)--edgerouter--(lan)--switch--pc/borne/...
                              |
                              (lan+vlan100)
                              |
                              cpl--cpl--boitierHD
                              |
                              cplwifi

Par contre si tu en as la possibilité, il serait plus propre de faire un pont avec le vlan 100 que de faire en bridge avec le routeur

freebox--routeur--switch--=>ton lan
      |           |   |
       --(vl100)--     --(vl100)---freeboxHD

 

il y a 24 minutes, Mic13710 a dit :

l'aggrégation de liens sur le NAS (plus assez de ports sur le routeur

de toute manière l’agrégation n'est pas géré par ces routeurs

-----

nb : pour la partie multimédia du boitier HD, ça ne marchera qu'en V6 je pense

Citation

NB : Depuis la mise à jour en 1.1.0, le boitier Player le boitier ne récupère plus sa seconde IP si le boitier Server est en mode Bridge. A ma demande, une option a été rajoutée sur le firmware 1.1.1 :-). Il faut l’activer en passant par le menu Réglages Systèmes du boitier TV.

garde ça en tête

Lien vers le commentaire
Partager sur d’autres sites

Merci @Fenrir pour ces explications. En parcourant les différents forums, j'ai cru comprendre que ça pouvait marcher avec la V5 avec certains paramétrages.

Beaucoup de choses me sont nouvelles et loin d’être très claires pour moi. Aussi je vais me pencher plus en détail sur tes explications et consulter les autres forums avant de me lancer dans une opération qui va me demander pas mal de temps et de réflexion pour tout mettre en oeuvre correctement. Déjà ne pas se tromper sur le choix des équipements sera un gros challenge.

Par exemple, tu me recommandes le routeur ER-X, mais dans ce tuto dont je parlais plus haut ils utilisent un EdgeMAX POE 5 ports qui est beaucoup plus cher. Est-ce nécessaire ? indispensable ? inutile ? pour le moment je n'en sais rien.

Lien vers le commentaire
Partager sur d’autres sites

Il y a 19 heures, Hedy a dit :

Jpensai bien que google.cn n etait pas en chine. Mais les liens sy trouvant un peu plus.

Ton adresse passe...

Pour info, je viens de reactualiser les geoip - et ca bloque et filtre bien. meme l'adresse que tu m'a donné ne passe plus.

J'ignore ce qui s'est passé.

ya une ligne à rajouter pour un mise à jour automatiquement à chaque boot par exemple ?

 

J'ai cree (sans l utiliser)  un group "CloudFlare" - c'est pour virer les requetes entrantes non desirées ? ou c'est utile que pour les sites web ?

 

@Mic13710 - @Fenrir a cree un script pour le filtrage par zone geographique- ca pourrait etre tres utile

il y a 52 minutes, Mic13710 a dit :

Par exemple, tu me recommandes le routeur ER-X, mais dans ce tuto dont je parlais plus haut ils utilisent un EdgeMAX POE 5 ports qui est beaucoup plus cher. Est-ce nécessaire ? indispensable ? inutile ? pour le moment je n'en sais rien.

Sans etre un specialiste du domaine (loin de la) mais pour m'etre renseigne il y a quelques temps :

EdgeMAX c'est la Gamme - EdgeOS c'est le nom du systeme de gestion - EdgeRouter c'est le type de produit.

Si tu lis les references techniques sur ER-X - les données numeriques ne prennent pas charge l'offload (IPSEC et HWNAT) car c'est existant depuis 3 mois via fw 1.8.5 (ou 1.8.0) - Actuellement on est à la version 1.9.0.

 

 

Lien vers le commentaire
Partager sur d’autres sites

Il y a 2 heures, Mic13710 a dit :

Par exemple, tu me recommandes le routeur ER-X, mais dans ce tuto dont je parlais plus haut ils utilisent un EdgeMAX POE 5 ports qui est beaucoup plus cher. Est-ce nécessaire ? indispensable ? inutile ? pour le moment je n'en sais rien.

J'utilise un er-poe (EdgeRouter POE 5), mais j'ai aussi des er-x. Quand j'ai acheté l'er-poe, l'er-x venait de sortir et n'avait aucune accélération matériel, ça c'était il y a un an, maintenant les er-x sont presque aussi puissant que les er-lite ou er-poe pour le routage et ils sont même plus rapide dans plein d'autres domaines => prend un er-x.

il y a une heure, Hedy a dit :

ya une ligne à rajouter pour un mise à jour automatiquement à chaque boot par exemple ?

oui, la même que pour le FR (dans le script de boot et dans les taches planifiées)

il y a une heure, Hedy a dit :

J'ai cree (sans l utiliser)  un group "CloudFlare" - c'est pour virer les requetes entrantes non desirées ? ou c'est utile que pour les sites web ?

C'est un exemple dans mon script, si tu ne te sers pas de CloudFlare, ça ne te sert à rien. Garde en tête que mon script ne sert pas à bloquer des IP, il permet simplement de charger des listes d'adresses, après tu en fais ce que tu veux (bloquer, rediriger, router, autoriser, ralentir, prioriser, ...). À l'origine c'était une demande de @gaetan.cambier pour lui permettre de donner certaines autorisations à CloudFlare sur son site.

Lien vers le commentaire
Partager sur d’autres sites

il y a une heure, Fenrir a dit :

J'utilise un er-poe (EdgeRouter POE 5), mais j'ai aussi des er-x. Quand j'ai acheté l'er-poe, l'er-x venait de sortir et n'avait aucune accélération matériel, ça c'était il y a un an, maintenant les er-x sont presque aussi puissant que les er-lite ou er-poe pour le routage et ils sont même plus rapide dans plein d'autres domaines => prend un er-x.

Génial, parce que vu l'écart de prix entre les deux, ça pique un peu trop pour mon porte monnaie. S'ils sont vraiment aussi proches en performances, c'est un peu balot du point de vue marketing de proposer 2 produits aussi proches avec un rapport de prix de presque 3 (70€ pour le ER-X, 190€ pour le EdgeMAX)

Il y a probablement d'autres critères sur le EdgeMAX qui doivent sans doute justifier le prix mais qui sont sans intérêt pour un particulier.

Lien vers le commentaire
Partager sur d’autres sites

Il y a 1 heure, Mic13710 a dit :

S'ils sont vraiment aussi proches en performances, c'est un peu balot du point de vue marketing de proposer 2 produits aussi proches avec un rapport de prix de presque 3

Les EdgeRouter-Lite et EdgeRouteur-POE (un er-poe c'est un er-lite avec un switch 3 ports intégré) ont tout de même quelques avantages sur l'er-x :

  • ils peuvent gérer 3gbits en routage alors qu'un er-x est limité à un peu moins de 2gbits il me semble
  • ils gèrent les jumbo frame jusqu'à 9000bytes (2048bytes pour l'erx)
  • l’accélération matériel (offload) est plus avancé (on ne peut par exemple par faire de dpi avec l'offload sur un er-x, mais ça viendra peut être)
  • ils ont un port série, ce qui peut servir dans certains contextes, sur l'er-x il faut ouvrir le boitier et utiliser un connecteur FTDI
  • ils ont plus d'espace de stockage (par défaut c'est 2Go, mais tu peux mettre plus gros si besoin), ce qui est nécessaire si tu dois ajouter des paquets (c'est une debian derrière), l'er-x a juste 256mo (une fois l'os chargé il ne reste que 80mo)
  • idem pour la ram, er-lite/poe 512mo - er-x 256mo, ce qui est nécessaire si tu dois gérer des centaines/milliers de routes (ospf ou bgp)
  • l'er-poe a poe dans son nom car il peut alimenter 5 périphériques poe 24v ou 48v (attention ce n'est pas du 802.3af/at mais du poe passif). Chez moi mon er-poe alimente un er-x et ma borne wifi. L'er-x n'a qu'un port poe 24v (passif aussi).
  • ... largement de quoi justifier l'écart de prix à mon avis

mais tout ça ne concerne pas la plupart des particuliers (moi je ne compte pas :mrgreen:)

Par contre un point sur lequel le EdgeRouter X fume les EdgeRouter Lite/POE c'est la vitesse du cpu et du stockage, l'er-x est nettement plus rapide, ça se ressent surtout dans l'interface web et dans l'application de la conf (c'est facilement 3 ou 4 fois plus rapide sur des grosses conf). Ça permet aussi de faire tourner plus facilement des trucs qui n'ont pas d'offload (openvpn, squid, ...).

nb : comme indiqué par Hedy, EdgeMax c'est la gamme de produits, l'er-poe et l'er-x sont tous les 2 des EdgeRouter de la gamme EdgeMax (il existe aussi des EdgeSwitch et des EdgePoint) et tout ce petit monde tourne sous EdgeOS.

ps : pour ne pas me faire taxer de pro Ubiquiti je tiens à préciser qu'il existe d'autres constructeurs équivalents, le plus sérieux sur cette gamme de produits est Mikrotik (par contre je déteste leur système de gestion de conf et leur mode de licence).

---

edit : j'oubliais un truc sur l'er-poe, il chauffe beaucoup, vraiment beaucoup (pas de soucis pour le hard, il est fait pour), mais ça surprend

=> https://community.ubnt.com/t5/EdgeMAX-Stories/ER-POE-upgrade-Coffee-Machine-heater/cns-p/1595044

(l'er-x n'a pas ce problème, il reste relativement frais même en pleine charge)

 

Modifié par Fenrir
Lien vers le commentaire
Partager sur d’autres sites

Jpense que tu es curieux : je suis sur qu il va te plaire ce petit erx.

Juste pour eviter que tu cherches qd tu vas le brancher. Il est parametre par defaut sur 192.168.1.1 de memoire. Bormalement ta box par defaut est en 192.168.0.x - du coup il sera pas vu... loooool. Le mieux est de le brancher a un pc et de configurer le pc. Une fois connecte tu pourras changer les infos dans le routeur.

Si besoin dune petite aide (a mon niveau) : pas de pb

Sent from my iPhone using Tapatalk

Lien vers le commentaire
Partager sur d’autres sites

Merci pour l'info et pour la proposition d'aide.

Il y a bien longtemps que je ne suis plus sur la plage par défaut de la box :lol:. C'est indispensable d'en changer quand on utilise le serveur VPN.

Pas de soucis pour le paramétrage, mon PC portable fera l'affaire dans un premier temps.

Je suis en déplacement à partir de demain. Je le commanderai sans doute à mon retour.

Lien vers le commentaire
Partager sur d’autres sites

Le vpn tu pourras le faire sur l erx. jai un bug sur le mien avec l offload ipsec. Si je l active la connexion est tres tres tres tres lente. Jai fait remonte l info chez ubiquiti. Il semble fonctionner chez les autres ... mais pas chez moi. Ceci dit, cest pas genant eu tout 20% de ram pris et le processeur oscille entre 2 et 10%.

Sent from my iPhone using Tapatalk

Lien vers le commentaire
Partager sur d’autres sites

Jai une question  ;o)

- y a t il moyen de connaitre le contenu de ce qui sort du reseau ?

sur les stats dans WAN_OUT jai des paquets qui partent continuellement ( de cam Dlink ) - en 2h 200ko.

(Cette regle peut egalement s appliquer au nas - on voit que ca sort mais quoi ??)

Rien a voir avec le nas: mais y a t'il un moyen d'avoir l'historique des pages web qui transitent ?

Lien vers le commentaire
Partager sur d’autres sites

  • 2 semaines après...

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.


×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.