Config Pfsense pour modem Voo bridge (avec ipv6)

Capture d’écran 2022-04-18 à 15.39.41.png

Cet article vous montrera comment utiliser PfSense comme routeur pour votre modem Voo en mode BRIDGE, ainsi que toute la config pfSense correcte pour un fonctionnement impeccable de IPV4 et IPV6. Remise à jour d'un article de 2018 en 2022 avec la nouvelle interface Voo.

Je vous résume mes semaines de chipotage pour obtenir une configuration PfSense fonctionnelle pour un modem Voo Bridgé, qui résiste à la fois aux fréquents reboots de l'opérateur, ainsi qu'aux éventuels problèmes sur les serveurs DHCP de VOO.

Avant toute chose, cet article ne va pas vous apprendre ce qu'est un mode bridge. Si vous en avez besoin : c'est que vous savez ce que c'est.

Votre modem/routeur, il vous est livré initialement en mode "routeur". Celui-ci est accessible par une adresse IP qui est aussi celle du "default gateway" de tous les appareils de votre réseau. En général, c'est 192.168.0.1. C'est donc la première adresse IP de votre réseau.

Pour accéder à l'interface admin de ce modem/routeur ; surfez sur cette IP et loggez vous avec l'user "voo" (mot de passe au cul de votre routeur). Extrèmement important ; assurez-vous que vous avez bien prévenu toute votre famille que l'internet va sauter (et que ca pourrait foirer et priver vos enfants de tiktok pendant plus de 15 minutes)

voo1.png


On va passer votre modem Voo en mode bridge.
En théorie, et par définition, un modem bridgé n'a plus d'adresse IP. La fonction routeur est inactivée, il se fout complètement des adresses IP (du niveau 4) et n'est plus qu'un "tuyau" entre les équipements Voo et votre nouveau routeur.
Si tout à coup le modem Voo n'a plus d'ip : cela rendrait ce passage au mode "bridge" sans espoir de retour. Voo triche un peu, et votre modem, même bridgé, va continuer à "intercepter" une fausse adresse IP (virtuelle) qui sera " 192.168.100.1 " - IP généralement située hors de votre réseau et qui sera donc passée au modem comme étant du traffic externe.

voo2.png


Une fois bridgé, votre réseau interne ne fonctionnera plus, c'est normal. Il faut remplacer la fonction "routeur" du modem Voo, par votre propre routeur. A charge de celui-ci de distribuer les IP (DHCP).

Votre routeur va aussi obtenir une IP externe (un IP Publique Voo) directement via les DHCP de Voo.

voo3.png


Ensuite lancez votre PfSense, équipé de deux interfaces réseau (LAN et WAN). Vous devez configurer le coté WAN en DHCP, et le coté LAN en IP statique, par exemple et classiquement 192.168.0.1 pour le routeur coté LAN.

Vous pouvez faire cette config minimale "en shell" ( SSH vers votre pfsense ).

C'est hélas dans le détail que Voo se distingue, en particulier par l'attribution de prefixe IPV6 non standards, et la nécessité d'options qui ne sont pas celles par défaut.

C'est la que GamerZ vous aide !

Voici le résultat qu'on veut obtenir ;


pfsense1.png


Et donc étape par étape ;


Coté WAN, classiquement, on demande à être un client DHCP tant pour l'ipv4 que pour l'ipv6

pfsense2.png



Par contre, la config DHCPv6 (client) doit être sacrément modifiée si vous voulez la moindre stabilité de ces adresses (croyez-moi).
Vous n'êtes pas obligé d'activer le debug mode mais ça ne mange pas de pain.

pfsense3.png



On demande ici à l'interface LAN V6 de "suivre" l'interface WAN; en clair elle passera les IPs attribuées coté WAN vers le coté LAN ; c'est l'idée même d'ipV6 de ne plus avoir besoin de NAT et donc dans cette config, vos clients LAN recoivent en réalité une "fausse" ipv4 (privée - 192.168.X.Y) et une vraie ipv6 (routable, appartenant à VOO).

pfsense4.png



On tracke WAN dans les options avancées.
Niveau serveur DHCP sur votre LAN, coté IPV4 vous réglez cela comme vous voulez ( 192.168.0.1 -> 192.168.0.100 par exemple ) il n'y a rien de particulier à prévoir.

pfsense5.png



Voici les settings les plus importants, Encore une fois expliquer toutes mes décisions nous mènerait loin (et direction le forum pour les motivés) mais disons que je demande au routeur d'accepter à la fois les simples "clients dhcp ipv6" qui demandent leur ip sagement, mais aussi les clients plus agressifs qui génèrent eux même leur adresse IPV6, sur base de leur MAC.
J'accepte aussi de donner des infos de DNS à tous les clients, DHCP ou pas.

pfsense6.png



Ici je n'ai rien changé, à noter que la "sous délégation" ne sert à rien chez voo, qui ne fournit à priori pas assez d'ipv6 pour avoir des routeurs derrière le routeur.

pfsense7.png



Vous saurez que votre coté "wan" fonctionne bien si vous voyez (après un reboot) apparaîtresur l'écran d'accueil du pfsense ;

pfsense8.png


On voit ci dessus qu'il a reçu une info DNS (en DHCP coté WAN) à la fois en ipv4 et en ipv6, donc vous parlez correctement dhcp et avec les deux protocoles. C'est donc bon signe que vous pouvez commencer a distribuer coté LAN.
Un petit tour dans le "status" -> "dhcp lease" doit vous montrer les premiers clients de votre LAN qui demandent leur IP !

Et l'ecran d'accueil doit vous montrer que vous avez bien un IPV4 & IPV6 publique sur le WAN, que vous avez un IP de default gateway sur le LAN et aussi une IPV6 de ce coté là. Les DNS doivent montrer un mix d'ip V4 et V6.

pfsense1.png


Bienvenue chez Voo, avec leur bonne vitesse et débarrassé de leur infâme routeur remplacé par un PfSense !
 
Dernière édition:
Sebulba

Commentaires

Joon

Squadeur.
C est possible d allier NAS+routeur sur un seul mini pc?
Avec par exemple ceci :
Je viens de trouver ça sur AliExpress :
€284.69 | Mini PC de Poche Intel 12e Isabel, NAS i3 N305 N100, 4xM.2, Carte NVMe 2xi226-V 2.5G, Routeur Pare-enquêter, Ordinateur DDR5 2xUSv1.2 2xHD
C'est un peu light si tu veux que ça soit performant.
'Enfin, ça dépend lequel, mais cette version i5 12eme gen et n100 n'est pas vraiment recommandé dans ce genre d'usage à cause de leurs archi bizarre. Plutôt chez AMD, ils ont des cpu qui sont 8 vrai cœurs, comme le 5700U, qui feront bien mieux le boulot.
Le i5 12eme gen a 2 performance core et 8 économique ce qui provoque des résultats un peu chelou en virtualisarion/container/multiservice

et je vous confirme que pfsens sont des enflures. Aujourd'hui le meilleur routeur open source a mon avis est OPNsens
 

untuch

GeekSportif
tu fais un routeur sous openwrt + partage samba ou docker pour truenas, unraid ou autres.

tu attends quel service de ton nas?
En toute honnêteté, only plex, musique flac.
 

untuch

GeekSportif
C'est un peu light si tu veux que ça soit performant.
'Enfin, ça dépend lequel, mais cette version i5 12eme gen et n100 n'est pas vraiment recommandé dans ce genre d'usage à cause de leurs archi bizarre. Plutôt chez AMD, ils ont des cpu qui sont 8 vrai cœurs, comme le 5700U, qui feront bien mieux le boulot.
Le i5 12eme gen a 2 performance core et 8 économique ce qui provoque des résultats un peu chelou en virtualisarion/container/multiservice

et je vous confirme que pfsens sont des enflures. Aujourd'hui le meilleur routeur open source a mon avis est OPNsens
J avoue ne pas etre fige sur un budget spécifique. Mais je veux pas me payer une machine de guerre pour rien.
 

Groszours

Elite
J avoue ne pas etre fige sur un budget spécifique. Mais je veux pas me payer une machine de guerre pour rien.
En suivant les conseils de certains ici j'ai acheté ceci:


Pas encore reçu mais une fois que c'est le cas je peux faire un retour :)
 

titoum

OPTC:970342646
En suivant les conseils de certains ici j'ai acheté ceci:
en vrai avec le dual rj45, tu peux y foutre un openwrt puis tu tape un docker pour faire tourner un NAS dessus. ca sera rentabilisé
 

@lex

Elite
Oui,

J'ai plusieurs problèmes qui rendent l'update nécessaire
- Le support de mes cartes reseaux du Qotom a été patché pour la stabilité (j'ai oublié les details mais les drivers reseau ne sont pas "stock"), et du coup ca me limite dans les updates du softwares que je peux faire
- le hardware montre des signes de faiblesses, clairement mes cartes reseau sont en train de lâcher, des fois elles retombent de 1000 à 100 sans raison, ou l'interface se bloque... Faut dire que ca tourne 24/7 depuis des années, pour un truc a 100EUR je peux pas lui en vouloir.
- les vitesses de VPN sont devenues lentes aux standards actuels. Avant si tu avais un vpn qui débite a 10Mbps c'etait suffisant, la avec les lignes a la maison qui dépassent parfois le Gbps en upload (!), et les connections dans les hotels ou vacances qui sont souvent dans les 100Mbps (quand le vent souffle), je me retrouve limité en vitesse de download depuis chez moi par mon propre vpn Ipsec.:confused: (Pour solutionner ca j'ai privilégié un chip qui supporte la AES-NI, ici le Intel N100)
Si je peux tirer un bon 100Mbps en ipsec je suis content, mais faut deja un CPU costaud pour y arriver.

Donc oui, upgrade hardware needed. Niveau software, mon vieux pfsense qui date d'avant negate ne me pose aucun problème.
Pour info, avec un J3455 comme CPU, je viens de tester openVPN en local (sur OPNsense), voici ce que j'ai comme débit:

1731862618920.png


Le même speedtest sans le VPN monte à 250 Mbits, donc c'est bien limité par le firewall (sur lequel tourne le serveur VPN).
 

Joon

Squadeur.
C'est pas mal déjà !
Le mieux est d'avoir une puce qui sait chiffrer l'AES, ça te donne des perfs bien au delà.
 
1er
OP
Sebulba

Sebulba

Dieu
Staff
50 à 100Mbps en aes faut pas espérer beaucoup plus . Moi je suis encore limité par la vitesse d’upload de la ligne donc je n’arrive pas à la limite de mon aes ; mais je sais qu’elle est basse
 

@lex

Elite
Pour info, avec un J3455 comme CPU, je viens de tester openVPN en local (sur OPNsense), voici ce que j'ai comme débit:

Voir la pièce jointe 121684

Le même speedtest sans le VPN monte à 250 Mbits, donc c'est bien limité par le firewall (sur lequel tourne le serveur VPN).
Je viens d'installer WireGuard, maintenant disponible sous OPNsense.

En local, je suis à plus du double des valeurs d'OpenVPN. J'ai même 4x plus en UL.

C'est vraiment nickel !
 
Haut