Donner accès à Internet mais pas à mon Lan

[Picard]

Bonjour amis de Futura-Techno,
J'ai chez moi un accès internet assez simple, Livebox réglée pour tout laisser passer vers un routeur Linksys qui "distribue" internet sur mon LAN familial (où les disques durs des uns et des autres sont volontairement accessibles à tous sans mot de passe - il s'agit de PC sou XP et Win 7 plus un Mac). Je voudrais pouvoir raccorder à ce réseau des utilisateurs occasionnels qui puissent avoir accès à Internet (Web, Mail, FTP...) sans "voir" les PC du réseau familial... et leurs disques durs. Comment faire ? Je précise que je dispose d'un routeur supplémentaire inutilisé, si cela peut être la base d'une solution... Je précise aussi que j'ai des connaissances basiques sans être complètement nulles en réseau...
Merci de votre aide !

[jp77]

Bonjour Picard,
Afin de déterminer si vous pouvez le faire avec le matériel que vous possédez, j'ai besoin des références de ceux-ci.
Il existe plusieurs techniques pour faire ce cloisonnement. il peut être logique ou physique, ce que peut permettre votre matériel.

Cordialement,
JP

[Picard]

Merci beaucoup JP de me répondre . Désolé d'avoir un peu tardé à réagir, comme ma question avait eu beaucoup de lecteurs mais pas de réponse j'avais fini par relâcher un peu mon attention... Je vais essayer de satisfaire ta demande, dis-moi si ça n'est pas encore assez précis...

Mon matériel, outre une Livebox (fibre, V2 je crois), comporte un routeur Linksys WRT54G (je préférais garder un "vrai" routeur plutôt que de confier ma sécurité entièrement à la Livebox...). J'ai mis en "DMZ" dans la Livebox le numéro IP fixe que j'ai attribué au routeur coté internet (192.168.1.51 pour être précis), et tous les ordinateurs sont ensuite reliés coté LAN au Linksys, via quelques switches. Je précise aussi que dans cette configuration il y a encore au moins une des "sorties Internet" de la Livebox qui est inutilisée, si ça peut aider.

Le routeur inutilisé que j'ai en rab est aussi un Linksys WRT54G.

Dans cette configuration, j'ai activé le DHCP du Linksys, et c'est aussi lui qui procure l'accès Wifi qui sert à certains de mes "visiteurs". Mais du coup ils voient les PC du LAN - et comme je n'ai pas trop envie de les protéger par mot de passe car on échange constamment des fichiers entre eux, mes visiteurs ont accès à mes disques durs ...

Voilà, je suis bien sûr à ta disposition si des précisions te sont nécessaires...

[jp77]

Ok,

Une solution très simple consiste à brancher tes visiteurs directement sur ta livebox, soit en filaire soit sur le wifi.

ainsi ils sont devant ton firewall linksys et donc n'ont pas accès à tes machines internes.

[Picard]

Merci JP, c'est en effet très simple ! Cela dit, si je n'avais pas pensé à tester cette solution, c'est peut-être parce que le point de branchement le plus facile (je parle pour du filaire) est en aval du routeur (la Livebox est très loin des points de branchement possibles, il faudrait que je tire une nouvelle ligne d'une vingtaine de mètres avec plein de murs à franchir...). Une solution APRES ROUTEUR est-elle possible aussi (en fait, je peux avoir besoin des deux) ?

[jp77]

Possible aussi, il me faut cependant les modèles précis de tes WRT54G car il existe de nombreuses versions (http://fr.wikipedia.org/wiki/WRT54G)

[Picard]

Celui qui est en service affiche cette mention dans son statut : Micrologiciel v7.00.1, Juin. 8, 2006. Et celui qui est encore dans sa boîte a une étiquette en dessous qui dit : "WRT54GS VER 6". Est-ce suffisant comme indication ? Merci en tous cas de ton attention précise !

[jp77]

Que je suis con !

J'ai trouvé...

C'est tout simple :

réseau.PNG


Je t'ai mis des adresses IP en exemple

Est-ce que le schéma est clair ou bien as-tu besoin d'explications ?

[JPL]

Tu peux faire l'économie d'un routeur en mettant l'invité en 192.168.1.xxx sur la livebox.

[jp77]

Tu peux faire l'économie d'un routeur en mettant l'invité en 192.168.1.xxx sur la livebox.

C'est ce que j'avais proposé en premier lieu mais Picard a une contrainte de distance en filaire

[Picard]

Que je suis con !

J'ai trouvé...

C'est tout simple :

Je t'ai mis des adresses IP en exemple

Est-ce que le schéma est clair ou bien as-tu besoin d'explications ?

Tu es bien négatif sur tes capacités . Je pense que je comprends ton schéma : comme le routeur "des invités" est en aval de l'autre (le premier en quelque sorte sur la voie vers internet), ceux qui s'y connectent ne peuvent accéder "à l'envers" jusqu'aux machines connectées sur le 2e routeur. Merci. Juste deux questions pour finir - si ce n'est abuser - puisque je tiens un spécialiste...
1/ Dans ton schéma l'accès est théoriquement impossible, mais est-ce qu'un "hacker" doué pourrait contourner cette protection, et si oui quelles précautions dois-je prendre (j'imagine par exemple mettre de bons mots de passe sur l'administration des routeurs).
2/ Comme "mon" accès à moi passera par deux routeurs en cascade (dont les ports ne sont pas Gigabit), est-ce qu'il risque d'y avoir une baisse perceptible de performance (je rappelle que j'ai la chance de disposer d'un Internet à 100 Mbps) ou est-ce que ça reste négligeable ?

Merci aussi à JPL, mais effectivement j'avais "mis une contrainte de plus" à JP77...

[jp77]

J'étais parti dans une solution beaucoup trop complexe, d'où mon exclamation !

1/ dans mon schéma il faut garder à l'esprit que si tu souhaites protéger ton réseau interne, il faut bien configurer le parefeu sur le WRT54G: aucune connexion entrante autorisée, même pas l'interface d'administration du routeur.
Le choix du mot de passe est évidemment important. Rien n'est infranchissable pour qui s'en donne les moyens. Le risque en revanche est très faible, à moins que tu n'héberges des données ultra-confidentielles qui pourraient se monnayer... mais les photos de mémère lors du dernier séjour à l'ile d'Oléron bof bof

2/ Il y a forcément une baisse de performance dans la mesure où ton traffic va passer un routeur de plus. (d'ailleurs, en ajoutant la route vers le réseau interne sur le WRTG 'externe', tu peux t'affranchir d'utiliser la translation d'adresse, qui doit être active par défaut sur ces équipements).
Mais cette baisse de performance sera à mon avis imperceptible !

[JPL]

Je pense que je comprends ton schéma : comme le routeur "des invités" est en aval de l'autre (le premier en quelque sorte sur la voie vers internet), ceux qui s'y connectent ne peuvent accéder "à l'envers" jusqu'aux machines connectées sur le 2e routeur. Merci. Juste deux questions pour finir - si ce n'est abuser - puisque je tiens un spécialiste...

La raison pour laquelle les ordinateurs du réseau privé sont inaccessibles à l'invité réside dans le fait que ceux-ci sont dans une plage IP différente : 192.168.2.xx et 192.168.3.xx (à condition de bien mettre les masques de sous-réseau à 255.255.255.0)

[Picard]

Merci JPL, je serai donc particulièrement attentif à la saisie des masques...

[jp77]

La raison pour laquelle les ordinateurs du réseau privé sont inaccessibles à l'invité réside dans le fait que ceux-ci sont dans une plage IP différente : 192.168.2.xx et 192.168.3.xx (à condition de bien mettre les masques de sous-réseau à 255.255.255.0)

C'est inexact. le WRT54G, par sa fonction de parefeu, assure l'étanchéité. Sans cette fonction active, en agissant en simple routeur, un utilisateur invité qui définit une route vers 192.168.3.0/255.255.255.0 via 192.168.2.253 pourra accéder aux ressources internes.