# Déléguer fonction routeur d'une 9box à une Airport Extreme



## spiderben25 (27 Juin 2012)

Bonjour,
Je dispose actuellement d'une Neufbox V4 en zone non dégroupée. Je compte faire l'acquisition d'un routeur Airport Extreme dans la semaine pour diverses raisons (principalement pour la médiocre portée et le débit ridicule que j'ai avec la Neufbox, mais également pour placer tous les appareils de la maison derrière un VPN), mon but est de me servir de la Neufbox uniquement pour Internet et de tout déléguer le réseau à l'Airport Extreme.
J'ai tout d'abord pensé à passer simplement ma Neufbox en mode bridge, et de configurer l'Airport Extreme en PPPoE, mais d'après ce que j'ai vu sur Internet, si je fais ça, je n'ai plus de téléphonie, ce qui est très gênant...
Du coup je ne sais pas comment faire... On m'a parlé de placer l'Airport Extreme dans une DMZ et de créer un sous-réseau avec une adresse de type 192.168.2.x (alors que la Neufbox offre un réseau de type 192.168.1.x), est-ce que cette solution est bonne selon vous ? Quelle est la configuration à faire du côté de l'Airport Extreme ?
Ou alors il y a une meilleure solution dont je n'ai pas connaissance ?

Merci.


----------



## spiderben25 (27 Juin 2012)

Bon alors après de multiples recherches sur Internet, voici ce que je pense faire. Corrigez-moi si vous voyez quelque chose qui ne va pas.

Au niveau de la Neufbox :
- pour rappel son adresse IP locale est 192.168.1.1
- désactiver le wifi, le dhcp, le firewall, supprimer toutes les règles NAT
- attribuer pour l'adresse MAC de la future borne Airport Extreme l'adresse IP locale 192.168.1.2 en adresse statique (vu que le DHCP de la box est désactivé).
- activer le DMZ pour l'adresse 192.168.1.2, c'est-à-dire celle de la borne Airport Extreme. Ainsi tous les ports sont ouverts, vu que ce sera la borne Airport Extreme qui fera le pare-feu et les éventuelles redirections de ports.

Ensuite je branche le port WAN de la borne Airport Extreme à un des ports Ethernet de la Neufbox, et je branche tous mes PC/switch/CPL sur les ports LAN de la borne Airport Extreme.
Puis je configure la borne Airport Extreme pour avoir comme adresse IP publique 192.168.1.2 (normalement elle va se mettre toute seule vu que sur la Neufbox j'ai attribué cette IP fixe à l'adresse MAC de la borne Airport Extreme), et comme IP locale 192.168.2.1 (j'aurais pu choisir n'importe quoi d'autre tant que c'est pas la même classe que la neufbox). J'active ensuite le DHCP etc etc, et tous les appareils connectés auront une adresse de type 192.168.2.x.
Par contre juste une question, j'ai vu des captures d'écran de l'utilitaire Airport, et 3 modes sont proposés :
1) Mode bridge. Ca ne m'intéresse pas, je veux que ce soit la borne qui s'occupe du DHCP et du firewall
2) Partager une adresse IP Publique
3) Distribuer une plage d'adresses IP fixes.

J'ai du mal à voir la distinction entre les 2 et 3. D'après ce que j'ai compris c'est la 2) que je dois choisir, l'adresse IP publique étant 192.168.1.2, que la borne Airport va partager en créant un sous-réseau d'adresses 192.168.2.x ?
Et la 3) n'a rien à voir avec mon cas, mais est pour les FAI (notamment aux USA) qui fournissent plusieurs adresses IP fixes publiques par abonnement, et du coup la borne se charge juste de les distribuer c'est ça ?


----------



## spiderben25 (28 Juin 2012)

Bon, j'ai réussi à tout faire marcher, tant mieux. Par contre j'ai un message Double NAT qui s'affiche mais à priori ce n'est pas grave.
Par contre, quelqu'un sait-il comment accéder au disque branché sur le port USB de l'Airport Extreme depuis Internet ? Ca marche sans problème depuis le réseau local, mais si j'essaye de me connecter à mon adresse IP publique, rien. Il y a des ports à faire suivre ?
Je précise que l'Airport Extreme est dans la DMZ de ma neufbox, et que l'option pour accéder aux disques depuis WAN est activé.


----------



## Polo35230 (29 Juin 2012)

Bonjour,

Quand ça marche, c'est bien...

Si on part du principe que vous voulez deux routeurs sur votre lan, créer deux réseaux locaux sur deux plans IP différents (un entre le port wan de l'AE et la box, et l'autre côté Lan et wifi de l'AE) est bien la meilleure solution.

Perso, dans ce contexte, je n'aurais pas tout à fait fait comme vous.
Je n'aurais pas mis l'Airport extreme sur la DMZ de la box. Le niveau de sécurité y est médiocre.
D'autre part, je ne sais pas comment sont configurés les deux routeurs, mais si la NAT est configurée sur les deux, ça risque d'être lourd à gérer...
J'aurais désactivé la NAT sur l'AE.

Maintenant, il y a une deuxième solution (prévue dans la conf de l'AE) qui correspond peut-être plus à votre contexte; C'est de passer l'AE en mode bridge (voir le lien ci-dessous page 42).
Et là, plus de pb de double NAT. C'est la box qui fera le boulot (NAT, DHCP et DNS).
Tout le monde sera sur le même réseau.
http://manuals.info.apple.com/fr_FR/Apple_AirPort_Networks_Early2009_F.pdf




spiderben25 a dit:


> Par contre, quelqu'un sait-il comment accéder au disque branché sur le port USB de l'Airport Extreme depuis Internet ? Ca marche sans problème depuis le réseau local, mais si j'essaye de me connecter à mon adresse IP publique, rien. Il y a des ports à faire suivre ?



En ce qui concerne l'ouverture des ports pour accéder au DD connecté à la l'AE, tout dépend de ce qu'on veut faire.
Si, par exemple, on veut accéder au partage de fichiers (via AFP), il faut ouvrir le port TCP 548.
Si on a un serveur FTP, il faudra ouvrir les ports 21 et 20 (en mode actif), etc...


----------



## spiderben25 (29 Juin 2012)

Merci pour la réponse.
Je ne souhaite pas mettre l'AE en mode pont car j'ai besoin de certaines fonctions (accès uniquement à certaines heures selon l'adresse MAC du client, réseau invité...) qui ne sont pas disponibles dans ce mode.
J'ai choisi de mettre l'AE dans une DMZ car c'est l'alternative la plus proche de la neufbox en mode pont (ce que je ne veux pas faire car, étant en zone non dégroupée, je perdrais la téléphonie). D'après ce que j'ai compris, vu que le routeur est dans une DMZ, il va recevoir par défaut toutes les requêtes extérieures venant de tous les ports, la neufbox se contente de lui passer sans le moindre filtrage c'est ça ?
La sécurité est donc médiocre à ce niveau vu que rien n'est filtré, mais vu que seule l'AE elle-même est directement exposée à l'extérieur, je ne risque rien non ? Vu qu'elle opère la fonction de routeur, elle va protéger tous mes PC connectés à son réseau, de la même façon que le faisait la neufbox lorsque c'était mon seul routeur, c'est exact ?
Quant au problème de double NAT, après y avoir réfléchi, ça a l'air d'être un faux problème, puisque le NAT de la neufbox est pour ainsi dire quasi transparent vu que je suis dans la DMZ ? Il n'y a que le NAT de l'AE qui effectue réellement sa fonction. J'ai essayé de connecter la PS3 de mon frère, et j'ai lancé un client Bittorent qui ouvre les ports tout seul via NAT-PMP (ou uPnP), et visiblement cela fonctionne, donc je pense que je suis tout bon au final 
Quant à la connexion vers l'extérieur, l'AE se charge elle-même d'ouvrir les ports nécessaire d'après ce que j'ai vu, pour le partage de fichiers en tout cas, mais si ça ne marche pas chez moi c'est parce que j'essaye depuis mon propre réseau visiblement. Il faudra que je trouve une autre connexion pour tester.


----------



## Polo35230 (29 Juin 2012)

spiderben25 a dit:


> D'après ce que j'ai compris, vu que le routeur est dans une DMZ, il va recevoir par défaut toutes les requêtes extérieures venant de tous les ports, la neufbox se contente de lui passer sans le moindre filtrage c'est ça ?


Oui, je crois que c'est ça. Le firewall de la box est shunté pour tout ce qui est en DMZ. Enfin, je crois...



spiderben25 a dit:


> La sécurité est donc médiocre à ce niveau vu que rien n'est filtré, mais vu que seule l'AE elle-même est directement exposée à l'extérieur, je ne risque rien non ? Vu qu'elle opère la fonction de routeur, elle va protéger tous mes PC connectés à son réseau, de la même façon que le faisait la neufbox lorsque c'était mon seul routeur, c'est exact ?


Non, l'AE pourrait faire de la sécurité si elle faisait firewall. Mais je ne crois pas qu'elle le fasse...
Le routage n'apporte rien côté sécurité...



spiderben25 a dit:


> Quant à la connexion vers l'extérieur, l'AE se charge elle-même d'ouvrir les ports nécessaire d'après ce que j'ai vu, pour le partage de fichiers en tout cas, mais si ça ne marche pas chez moi c'est parce que j'essaye depuis mon propre réseau visiblement. Il faudra que je trouve une autre connexion pour tester.


Pour tester l'ouverture des ports depuis l'extérieur:
http://www.frameip.com/scan/

Pour UPnp, c'est bien que ça marche. Le client Bittorent a créé une table UPnP dans la box et dans l'AE?


----------



## spiderben25 (30 Juin 2012)

Polo35230 a dit:


> Non, l'AE pourrait faire de la sécurité si elle faisait firewall. Mais je ne crois pas qu'elle le fasse...
> Le routage n'apporte rien côté sécurité...


Pourtant la page d'Apple indique qu'elle intègre une option firewall : http://www.apple.com/fr/airportextreme/features/security.html
De plus j'ai vérifié l'ouverture des ports via ce site et tous les ports sont bien "stealth" (discrets) donc à priori c'est bon. Excepté le 548 (afp) et 139 (smb) qui sont marqués comme ouverts ce qui est normal vu que j'ai activé le partage via WAN. Donc je pense que j'ai bien fait de la mettre dans la DMZ pour éviter d'avoir un double pare-feu.



Polo35230 a dit:


> Pour UPnp, c'est bien que ça marche. Le client Bittorent a créé une table UPnP dans la box et dans l'AE?


Non pas dans la box, vu que j'ai activé le DMZ pour l'adresse de l'AE, tout le trafic est dirigé par défaut vers cette dernière, en gros c'est comme si j'avais créé une règle NAT qui englobe tous les ports et qui les redirige vers l'AE, en tout cas c'est comme ça que j'ai compris le principe du DMZ.
C'est au niveau de l'AE que la table NAT-PMP (vu que l'UPnP est pas supporté par l'AE) a du être faite en toute logique.

Je viens d'essayer d'accéder au disque via une connexion extérieure, ça fonctionne, j'ai juste eu à faire cmd+K dans le finder et taper afp://monadresseip et ça a marché tout seul.


----------



## Polo35230 (30 Juin 2012)

spiderben25 a dit:


> Pourtant la page d'Apple indique qu'elle intègre une option firewall : http://www.apple.com/fr/airportextreme/features/security.html
> De plus j'ai vérifié l'ouverture des ports via ce site et tous les ports sont bien "stealth" (discrets) donc à priori c'est bon. Excepté le 548 (afp) et 139 (smb) qui sont marqués comme ouverts ce qui est normal vu que j'ai activé le partage via WAN. Donc je pense que j'ai bien fait de la mettre dans la DMZ pour éviter d'avoir un double pare-feu.


Alors, si elle fait firewall, c'est parfait. 





spiderben25 a dit:


> Non pas dans la box, vu que j'ai activé le DMZ pour l'adresse de l'AE, tout le trafic est dirigé par défaut vers cette dernière, en gros c'est comme si j'avais créé une règle NAT qui englobe tous les ports et qui les redirige vers l'AE, en tout cas c'est comme ça que j'ai compris le principe du DMZ.
> C'est au niveau de l'AE que la table NAT-PMP (vu que l'UPnP est pas supporté par l'AE) a du être faite en toute logique.


Tout ça est très logique.





spiderben25 a dit:


> PJe viens d'essayer d'accéder au disque via une connexion extérieure, ça fonctionne, j'ai juste eu à faire cmd+K dans le finder et taper afp://monadresseip et ça a marché tout seul.


Donc, tout marche...

Je n'ai pas d'airport extreme.
Pour tout dire, j'avais parcouru la doc de celle-ci, et je ne voyais son intérêt que directement derrière un modem ou une box en mode bridge. Mais j'avais tort...
Au final, votre installation mériterait un tuto.


----------



## spiderben25 (1 Juillet 2012)

Merci pour les réponses en tout cas, tout marche parfaitement maintenant.
Pour le tuto pourquoi pas à l'occasion, mais je me permets de citer cette page qui m'a grandement aidé pour la configuration : http://jelnet.free.fr/jlnt_ncg2.htm


----------



## Raikstorm (5 Février 2017)

http://www.andromac.fr/questions-frequentes/comment-acceder-a-ma-timecapsule-depuis-lexterieur-

Sinon ici tu a une méthode que j'ai utilise et qui fonctionne très bien sur l'airport extreme (ne te fie pas au post pour la time capsule cela fonctionne également pour l'airport extreme, je l'utilise ailleurs)
bien à toi,


----------



## Daffy44 (5 Février 2017)

Ça m'intéresse bigrement.
À u e époque j'avais essayé pour bénéficier surtout du réseau wifi invité mais Ave u e livebox Play j'avais abandonné...
Je vais réessayer sur la liveboxplay4 qui sait....
Si quelqu'un l'a fait ou à des pistes....

Car la situation est similaire
Box qui ne peut passer en bridge
Et difficile de s'en passer sous peine de perdre les autres services tél TV ...
À suivre !


----------



## Raikstorm (5 Février 2017)

J'utilise la méthode du lien partager et ca fonctionne parfaitement... et il y a un gain au niveau de la sécurité, l'airport extrême étant mieux sécuriser que ta box
Édit : après quelque recherche je constate qu'aucune box orange ne peut être configurer en mode bridge...


----------

