Discussion de forum
Helix FI - DNS / DHCP Relay
Bonjour j'ai soucris a ce nouveau service! Comme plusieurs j'ai des serveurs a la maison/Machine Virtuel. Depuis Helix je ne peux plus avoir accès a mon domaine local, Car cette petit chose i...
Petit suivi de mes expériences:
jeanpbegin: Tu disais "Très décevant ce manque de contrôle ...".
Et bien, laisse-moi te dire que c'est plus qu'un manque de contrôle. Il y a un problème majeur avec la borne Helix et son implémentation du serveur DHCP.
Après quelques heures seulement que j'avais restraint la plage DHCP du Helix à 1 addresse et placé mon routeur TP-Link comme serveur DHCP, les problèmes d'ordinateurs qui changent d'adresses tout seul on recommencés.
Je me suis rendu compte que dans les logs du TP-Link, il y avait des tentatives d'attaques ARP. Le ARP sert à faire correspondre les adresses MAC (style 2A:45:D3:FF:2C:12) à une adresse IP.
Hors, il semble que le Helix n'arrive pas à gérer cette liste correctement et ça entre en conflit avec la liste ARP que le TP-Link tente de maintenir de son côté. Résultat, l'adresse MAC d'un ordi est associé à une adresse IP différente d'une liste ARP à l'autre, alors l'ordi change d'adresse IP au moment de renouveller son bail et ce même s'il y a une réservation de l'adresse IP pour cet ordi.
Le problème s'agrave encore plus quand on va voir la liste des appareils actifs sur le site HelixFI qui lui aussi semble maintenir sa propre liste ARP differente des deux autres.
Depuis hier, j'ai placé mon routeur TP-Link complètement derrière le Helix pour que mon LAN n'ait qu'un seul routeur. Autrement dit, le coté WAN de mon TP-Link est branché au coté LAN du Helix ce qui isole le Helix de mon LAN.
Depuis ce changement, tous mes appareils reçoivent et renouvellent les adresses IP correctement. Fini les problèmes.
Mais, je ne peux garder cette configuration car mon routeur TP-Link n'est pas assez puissant pour gérer le NAT de au dessus de 250mbs ce qui fait que je paye 400mbs pour rien présentement.
Le pire dans tout ça est que mon réseau fonctionnait très bien avec le Helix depuis son installation l'été dernier jusqu'à il y a environ deux semaines. Tous ces problèmes ont commencés subitement il y a de ça deux lundis. Y-a-t-il eu une mise à jour du logiciel ? On le saura jamais.
En tout cas, Vidéotron, vous allez avoir un appel au service technique cette semaine ...
- Merci pour ce partage d'expérience... Sam22
Par curiosité, avant de faire ces changements, est-ce que tu avais préalablement assigné des ip statiques a tes devices ? Aussi, pendant que ton routeur TP-Link est de la partie, le modem Helix est en mode bridge ? Merci d'avanceAvant que je commence à avoir tous ces problèmes, la borne Helix était la pièce maître (Gateway et serveur DHCP) de mon réseau. Je n'ai jamais utilisé le mode "bridge". J'avais 3 ou 4 appareils avec des réservations d'adresse IP dans le serveur DHCP pour m'assurer que ces appareils soient toujours rejoingnable (remote desktop etc ..). Tout fonctionnait bien.
Quand les problèmes on commencé (il y a de ça environ 2 semaines) j'ai essayé plusieurs configurations soit des adresses statiques dans les appareils, des adresses réservées dans le DHCP du Helix, Des adresses réservées dans le TP-Link (quand il était mon serveur DHCP). Rien n'a réglé mes problèmes. Dès que le Helix est dans le même LAN que mes appareils, j'ai des problèmes peu importe.
Présentement (et temporairement), le Helix est toujours en mode normal et il assigne une adresse à mon TP-Link et tout mon réseau est en arrière du TP-Link. Seuls mes 2 téléviseurs (Pod FI) utilise le WIFI 5g du Helix car si je met le Helix en mode "Bridge", je devrai faire passer les Pod FI par mon réseau derrière le TP-Link sur lequel je n'ai pas de WIFI 5g.
En fait, la problématique de Vidéotron est qu'il ont fait une box "Tout public .... mais juste ceux qui n'ont pas de besoin spécifique".
Outre le problème de la gestion des DNS, et de désactiver le DHCP on retrouve également l'impossibilité de gérer les option DHCP, le port forwarding limiter aux équipement "découverts" par la box (donc pas de possibilité avec une IP).
Plus l'impossibilité de créer des route statique ou de faire des Vlans.
Bref, pour 80% des gens, ca peut être suffisant. Mais pour certain, la solution Vidéotron n'est pas viable.
Plusieurs solutions possibles:
1°)
Pour ma part, l'option est d'opter pour un routeur du type Unify (Genre USG ou mieux, la Dream machine) qui permet de tout faire et surtout :
- avoir un passerelle de sécurité
- Avoir un firewall (layer 4) digne de ce nom
- Avoir un IPS/IDS
- Avoir la possibilité de créer ces propres sous réseau / Vlan
et....... Bref pouvoir tout contrôler.
2°)
Sinon une solution d'automatisation est d'utiliser ansible (par exemple) afin d'automatiser la configuration des postes sur le réseaux (en statique du coup).
- Pour Linux, il est possible de rester en DHCP, et de forcer le DNS via le fichier /etc/resolv.conf. Faciliement automatisable avec ansible
- Toujours sous Linux, si votre appareil utilise la paquet network-manager, ne pas oublier de modifier le fichier /etc/NetworkManager/NetworkManager.conf => dns = none
Grace à cela, vous pourrez utiliser le DNS de votre choix.
Sous Windows, pareil, automatisation possible.
Sous Android, il existe de s logiciel pouvant forcer les DNS (4G/5G et en Wifi).
3°)
Sinon, une solution peu couteuse :
Avec une SBC avec wifi et rj45 + 1 Cable USB3 RJ45, il pourrait être possible de monter un routeur sous linux.
1 interfaces RJ45 sur le modem (en bridge).
1 interfaces pour le LAN
Le wifi en point d'accès
=> 1 serveur DHCP + 1 serveur DNS + 1 Firewall + Pihole + PiVPN, sur la SBC. Ne pas oublier la config pour autorisé le ipv4_forwarding, et ca devrait fonctionner. (en théorie)
4°) Quitter Videotron
Si j'avais su, j'aurais pas pris Vidéotron. Pour mon prochain logement (bientôt) je risque pas de resigner.
En espérant que cela pourra aider.
