Aller au contenu

Partager la connexion internet de lan1 sur Lan2


fla2paris

Messages recommandés

Posté(e)

Bonjour tout le monde,

ma question est probablement toute bête, mais je suis un peu novice en la matière, donc merci d'avance pour votre aide.

Je dispose d'un NAS Synology 713+ avec 2 lan.

sur le 1er je suis branché sur l'ensemble de mon reseau local (toutes machines confondues + box ADSL), de ce côté là pas de soucis.

Ma box  : 192.168.1.254

mon nas LAN1 : 192.168.1.1 avec comme passerelle internet 192.168.1.254, et touts les ordinateurs branché dessus en filaire RJ45 via switch

Sur le LAN 2 : 192.168.2.1 , j'ai branché un point d'accès wifi indépendant sur lequel je souhaite partager ma connexion internet UNIQUEMENT, je souhaite que les personnes connectées à ce wifi aient un accès internet, mais qu'ils n'aient aucun accès, ni à mes ordinateurs branchés sur le LAN1, ni aux services DSM disponibles comme Surveillance station, DSM Video etc... uniquement web, Emails et ftp éventuellement

Pour info complémentaire : je suis arrivé à faire fonctionner les choses de cette manière en mettant en place un VPN

- j'ai d'abord coché l'option dans la config VPN "autoriser d'autres appareils du reseau a se connecter via la connexion Internet de ce serveur Synology"

de cette manière ma connexion internet semble se propager au LAN2 et au travers du VPN

- j'ai ensuite créé des règles sur le Firewall du Synology sur le LAN2 en mettant en place des interdictions de certains services et protocoles

et de cette façon ça fonctionne super.

Par contre mon problème arrive quand je dois couper le VPN : à ce moment là, plus de la connexion Internet sur le LAN2 :(

Quelqu'un pourrait il me dire comment faire pour propager ma connexion Internet au LAN2 sans avoir à lancer mon VPN à chaque fois ?

j'avais pensé a un root statique, ou un truc du genre, mais j'avoue être un peu dépassé sur ce qu'il faut faire, j'ai surtout peur de faire une boulette avec cette partie.

Par avance merci pour tous vos conseils.

Posté(e)

Ce que tu souhaites faire est techniquement possible (la preuve tu y arrives), mais c'est vraiment tiré par les cheveux. Tu souhaites que tes clients WIFI passent par le syno mais n'y aient pas accès et tu souhaites que ton nas fasse routeur.

La commande est simple :

iptables -t nat -A POSTROUTING -o ethX -j MASQUERADE

Par contre il faudra la relancer de temps en temps, certaines actions réinitialises les règles de FW

Posté(e)

Bonjour Fenrir,

merci pour cette réponse, par contre suis-je obligé de faire cela en ligne de commande ? n'y a t'il pas un moyen de le faire en configurant quelque chose sur la partie routeur du NAS, ou en route statique ?

 

Posté(e)

Pourquoi relier un équipement réseau au NAS sachant que les clients de cet équipement ne doivent pas accéder au NAS ? C'est capilo-tracté comme solution.

La solution qui me paraît la plus simple est de brancher la borne Wi-Fi (AP) sur la box (pour un accès à internet uniquement, ça me paraît plus pertinent), ensuite ça va surtout dépendre des capacités de l'AP. Dans l'idéal, il faudrait que l'AP supporte le NAT. Vérifie ce point.

Posté(e)

Ma borne wifi est vraiment toute simple, et je ne suis pas sur qu'elle supporte le NAT

C'est une DI-634M DLink

Le soucis est que si je branche mon wifi publique directement à ma box, sachant que la box fait également office de switch, les ordinateurs ainsi que le Nas  qui sont également reliés à la box, apparaissent sur ce réseau wifi publique (normal puisque pour récup Internet sur ce wifi publique, je suis obligé de lui donner comme passerelle celle de ma box, et par conséquent une IP en 192.168.1.xx). Même si leurs accès sont verrouillés par login et pass cela ne me convient pas - je préfèrerai qu'ils n'apparaissent absolument pas sur ce réseau publique.

D'où mon souhait d'utiliser le Lan 2 du NAS pour créé un 2em réseau indépendant en 192.168.2.xx, mais par lequel je souhaite uniquement récupérer la connexion Internet.

Je me doutais bien qu'il faudrait probablement investir dans une borne wifi plus performante, mais j'aurai préféré trouver une solution avec ce que j'ai comme matos sous la main

Si le Synology est en mesure de faire cela avec le  VPN activé, alors pourquoi pas sans le VPN aussi, et c'est plutôt par là que j'aimerai trouver une solution même si c'est un peu Rock'nRoll ;)

Posté(e)
Il y a 2 heures, PiwiLAbruti a dit :

ça va surtout dépendre des capacités de l'AP. Dans l'idéal, il faudrait que l'AP supporte le NAT. Vérifie ce point.

Si je dois investir dans une borne wifi avec NAT intégré au firewall, que me conseillerais tu comme référence ?

si possible un qui ne soit pas cher (moins de 50€ serait parfait ;)

Posté(e)

Que tu branches ta borne sur le nas (qui est derrière la box) ou sur la box directement, ça ne changera RIEN au fait que les clients wifi seront dans tous les cas derrière ta box.

Tu cherches vraiment trop compliqué pour un problème qui est tout simple.

  • si tu souhaites limiter les accès au NAS : utilise le FW du nas (tu peux autoriser par exemple 192.168.1.1->99 mais bloquer 192.168.1.100-199)
  • si tu souhaites limiter l'accès à tout le 192.168.1.X aux clients wifi, il te faut un FW entre la borne et le reste (ou sur la borne elle même)
  • si tu souhaites que les clients wifi ne soient pas en 192.168.1.X et n'ai pas accès à ce réseau, il te faut un autre routeur (ou un routeur qui gère les vlan)

La borne la moins que je connais permettant de faire ça simplement coute un peu moins de 100€. Le routeur le moins cher permettant de faire ça c'est 60€, mais je pense que ça conf est trop complexe pour toi.

Ce que tu as mis en place précédemment ne fonctionne que par accident (pb de route de retour).

ps : une borne qui ferait NAT ne résoudrait en rien ton problème

Posté(e)

Ok Fenrir, effectivement expliqué comme cela c'est beaucoup plus clair dans ma tête, et plus logique aussi.

Comme tu le dis, mon histoire de VPN n'est qu'un accident de fonctionnement, mais c'était aussi mon idée de départ.

En fait je gère une chambre d’hôte dans lequel il y a beaucoup de passage, et mon but était de fournir internet aux locataires via un wifi indépendant, et au travers d'un VPN histoire de protéger ma connexion sur ce réseau publique en cas de dl de torrent (je voudrais éviter les avertissements Hadopi de préférence) ou de visites de sites pas très recommandables.
De plus je ne voulais pas que ce VPN agisse sur la passerelle de ma box directement car je ne souhaitais pas que mes ordinateurs soient en permanence derrière un VPN quand je travaille.

En configurant donc le VPN du Nas j'ai vu cette petite option que je cite dans mon 1er post, et oh miracle ! internet par ce biais se partage automatiquement sur les 2 réseaux LAN et au travers du VPN.
VPN qui, en plus, n'agit que sur les passerelles 192.168.1.1 ou 2.1 - mais qui n'agit pas sur la passerelle .1.254 (à savoir celle de ma box que j'utilise d'ailleurs sur tous mes ordinateurs, tablettes et smartphone)
Il ne suffisait plus qu'a paramétrer le Firewall du LAN 2 et bingo - j'ai obtenu la config que je souhaitais - mais comme tu dis : Coup de bol, Rock'nRoll ;)

En plus génial, il me suffisait plus qu'a modifier la passerelle d'un ordinateur spécifique de .1.1 ou .1.254  pour être ou ne pas être derrière le VPN

J'ai effectué plusieurs recherches entre temps et effectivement la solution du switch ou routeur avec config VLAN était celle que je souhaitais poser, mais tu m'as devancé.

En tout cas un grand merci pour ces explications, je vais continuer de creuser la chose avant de me décider, car pour le moment mon bricolage fonctionne presque comme je le voudrais.

Seul petit problème qu'il me pose : c'est que pour accéder au NAS depuis l'extérieur quand le VPN est activé ; le seul moyen qui fonctionne est d'utiliser la solution QuickConnect plutôt que l'IP fixe de mon FAI directement,
c'est contraignant car c'est lent en comparaison d'un accès via l'IP directe et sans VPN.

Je vais donc approfondir la question du coté de la borne ou du routeur - merci Fenrir

 

Posté(e)
il y a 15 minutes, fla2paris a dit :

En fait je gère une chambre d’hôte dans lequel il y a beaucoup de passage, et mon but était de fournir internet aux locataires via un wifi indépendant, et au travers d'un VPN histoire de protéger ma connexion en cas de dl de torrent (je voudrais éviter les avertissements Hadopi de préférence) ou de visites de sites pas très recommandables.
Mais aussi au travers d'un réseau par lequel ils ne puissent ni accéder à mes ordinateurs, ni au NAS, ni à la domotique de la résidence en général.

N'autorise que les ports standard (dns, web, mail, ...), logs les connexions et fais signer ne charte

il y a 16 minutes, fla2paris a dit :

Il ne suffisait plus qu'a paramétrer le Firewall du LAN 2 et bingo - j'ai obtenu la config que je souhaitais - mais comme tu dis : Coup de bol, Rock'nRoll ;)

mais aucun vrai filtrage vers le net et aucune sécu de ton réseau (un petit malin passerait sans souci)

il y a 16 minutes, fla2paris a dit :

Je vais donc approfondir la question du coté de la borne ou du routeur - merci Fenrir

les bornes ubiquiti proposent nativement un accès GUEST avec plein de controles possibles

Archivé

Ce sujet est désormais archivé et ne peut plus recevoir de nouvelles réponses.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.