« Kit de dépannage MV2025 » : différence entre les versions

De Wiki de Mémoire Vive
Aller à la navigation Aller à la recherche
← Modification précédenteModification suivante →
Aucun résumé des modifications
Aucun résumé des modifications
Ligne 5 : Ligne 5 :
Il est connecté directement derrière sa box et obtient une adresse dans :
Il est connecté directement derrière sa box et obtient une adresse dans :


Réseau B : 192.168.1.0/24
Réseau X : 192.168.1.0/24


La majorité des adhérents utilisent la même plage d’adresses que le dépanneur (192.168.1.x), ce qui entraîne naturellement un conflit d’adressage entre les deux sites.
La majorité des adhérents utilisent la même plage d’adresses que le dépanneur (192.168.1.x), ce qui entraîne naturellement un conflit d’adressage entre les deux sites.


== Besoin ==
== Besoin ==
Un PC du réseau A (côté dépanneur) doit pouvoir accéder à n’importe quelle machine du réseau B (chez l’adhérent), depuis l’extérieur.
Un PC du réseau MV (côté dépanneur) doit pouvoir accéder à n’importe quelle machine du réseau X (chez l’adhérent), depuis l’extérieur.


Le Pi3 doit établir automatiquement un tunnel VPN (WireGuard) sortant vers le routeur du réseau A, puisque l’adhérent n’ouvre aucun port entrant sur sa box.
Le Pi3 doit établir automatiquement un tunnel VPN (WireGuard) sortant vers le routeur du réseau MV, puisque l’adhérent n’ouvre aucun port entrant sur sa box.


Pour éviter le conflit d’adressage — A et B étant tous deux en 192.168.1.x — une translation d’adresses est indispensable.
Pour éviter le conflit d’adressage — X et MV étant tous deux en 192.168.1.x — une translation d’adresses est indispensable.


== Solution globale ==
== Solution globale ==
Mise en place d’un tunnel WireGuard avec deux adresses dédiées :
Mise en place d’un tunnel WireGuard avec deux adresses dédiées :


Pi3 (réseau B) : 13.0.0.1/24
Pi3 (réseau X) : 13.0.0.1/24


Routeur A (dépanneur) : 13.0.0.2/24
Routeur MV (dépanneur) : 13.0.0.2/24


Création d’un réseau virtuel :
Création d’un réseau virtuel :


192.168.7.0/24 = représentation du réseau B via le tunnel
192.168.7.0/24 = représentation du réseau X via le tunnel


Le Pi3 assure une translation d’adresses entre :
Le Pi3 assure une translation d’adresses entre :


192.168.7.x (vu depuis le réseau A)
192.168.7.x (vu depuis le réseau MV)


192.168.1.x (réseau réel de l’adhérent)
192.168.1.x (réseau réel de l’adhérent)
Ligne 36 : Ligne 36 :


== A. NAT de translation pour éviter la confusion d’adresses ==
== A. NAT de translation pour éviter la confusion d’adresses ==
Comme les deux sites utilisent la même plage 192.168.1.0/24, un réseau virtuel 192.168.7.0/24 est créé pour représenter le réseau B depuis le réseau A.
Comme les deux sites utilisent la même plage 192.168.1.0/24, un réseau virtuel 192.168.7.0/24 est créé pour représenter le réseau X depuis le réseau MV.


Le Pi3 applique :
Le Pi3 applique :
Ligne 43 : Ligne 43 :
Lorsque qu’un paquet arrive du tunnel WireGuard vers une destination 192.168.7.x :
Lorsque qu’un paquet arrive du tunnel WireGuard vers une destination 192.168.7.x :


→ il est converti en 192.168.1.x, adresse réelle du réseau B.
→ il est converti en 192.168.1.x, adresse réelle du réseau X.


=== 2. SNAT (POSTROUTING) ===
=== 2. SNAT (POSTROUTING) ===
Lorsqu’une machine du réseau B répond (source 192.168.1.x) :
Lorsqu’une machine du réseau X répond (source 192.168.1.x) :


→ la source est remplacée par 192.168.7.x avant renvoi dans le tunnel.
→ la source est remplacée par 192.168.7.x avant renvoi dans le tunnel.


'''Résultat :'''
'''Résultat :'''
Avec cette translation, toutes les machines du réseau B apparaissent côté réseau A sous 192.168.7.x, éliminant tout conflit d’adressage.
Avec cette translation, toutes les machines du réseau X apparaissent côté réseau MV sous 192.168.7.x, éliminant tout conflit d’adressage.


== B. Routage côté réseau A ==
== B. Routage côté réseau MV ==
Pour permettre l’accès au réseau virtuel 192.168.7.x, une route doit être configurée sur le routeur A :
Pour permettre l’accès au réseau virtuel 192.168.7.x, une route doit être configurée sur le routeur MV :


192.168.7.0/24 → via 13.0.0.1 (Pi3, interface wg0)
192.168.7.0/24 → via 13.0.0.1 (Pi3, interface wg0)
Ligne 60 : Ligne 60 :
Cette route peut être :
Cette route peut être :


diffusée automatiquement aux PC du réseau A via DHCP,
diffusée automatiquement aux PC du réseau MV via DHCP,


ou définie manuellement sur un PC spécifique.
ou définie manuellement sur un PC spécifique connecté au réseau MV.


'''Résultat :'''
'''Résultat :'''
Ligne 69 : Ligne 69 :
= 3) Paramétrage =
= 3) Paramétrage =


== A. Pi3 (OpenWrt – réseau B) ==
== A. Pi3 (OpenWrt – réseau X) ==


=== Interface WireGuard ''wg0'' ===
=== Interface WireGuard ''wg0'' ===
Ligne 75 : Ligne 75 :
Adresse tunnel : 13.0.0.1/24
Adresse tunnel : 13.0.0.1/24


Établissement du tunnel vers l’adresse publique du routeur A
Établissement du tunnel vers l’adresse publique du routeur MV


Keepalive activé pour maintenir le tunnel à travers le NAT
Keepalive activé pour maintenir le tunnel à travers le NAT
Ligne 83 : Ligne 83 :
DNAT : conversion des adresses virtuelles (192.168.7.x) vers les adresses réelles (192.168.1.x)
DNAT : conversion des adresses virtuelles (192.168.7.x) vers les adresses réelles (192.168.1.x)


SNAT : conversion inverse pour les réponses du réseau B
SNAT : conversion inverse pour les réponses du réseau X


Cela permet d’accéder à tout le réseau B sous l'identité 192.168.7.x.
Cela permet d’accéder à tout le réseau X sous l'identité 192.168.7.x.


== B. Routeur A (OpenWrt – réseau du dépanneur) ==
== B. Routeur MV (OpenWrt – réseau du dépanneur) ==


=== Interface WireGuard ''wg0'' ===
=== Interface WireGuard ''wg0'' ===
Ligne 95 : Ligne 95 :
Port d’écoute : 51827
Port d’écoute : 51827


sur le routeur A, le Pi3 est configuré comme peer WireGuard
sur le routeur MV, le Pi3 est configuré comme peer dans WireGuard


=== Route statique ===
=== Route statique ===
Ligne 101 : Ligne 101 :
Ajouter : 192.168.7.0/24 via 13.0.0.1 (wg0)
Ajouter : 192.168.7.0/24 via 13.0.0.1 (wg0)


Cela indique explicitement au routeur A :
Cela indique explicitement au routeur MV :


« Pour atteindre le réseau virtuel 192.168.7.x, emprunter le tunnel WireGuard. »
« Pour atteindre le réseau virtuel 192.168.7.x, emprunter le tunnel WireGuard. »


Ainsi, tout PC du réseau A peut atteindre les machines du réseau B sans conflit d’adresses.
Ainsi, tout PC du réseau MV peut atteindre les machines du réseau X sans conflit d’adresses.


= ✔ Résumé final =
= ✔ Résumé final =
Le Pi3 installé chez l’adhérent établit un tunnel WireGuard vers le routeur du dépanneur, effectue une translation entre 192.168.1.x et 192.168.7.x, et le routeur A annonce ce réseau virtuel aux PC du dépanneur.
Le Pi3 installé chez l’adhérent établit un tunnel WireGuard vers le routeur du dépanneur, effectue une translation entre 192.168.1.x et 192.168.7.x, et le routeur MV annonce ce réseau virtuel aux PC du dépanneur.
Grâce à cette architecture, l’accès à l’ensemble du réseau B est possible malgré l’usage identique de la plage d’adresses 192.168.1.0/24 sur les deux sites.
Grâce à cette architecture, l’accès à l’ensemble du réseau X est possible malgré l’usage identique de la plage d’adresses 192.168.1.0/24 sur les deux sites.


= référence =  
= référence =  
installer OPenwrt sur Pi3, https://wiki.memoirevive79.mooo.com/index.php/Param%C3%A9trer_OpenWRT_sur_PI3_(ou_autre)
installer OPenwrt sur Pi3, https://wiki.memoirevive79.mooo.com/index.php/Param%C3%A9trer_OpenWRT_sur_PI3_(ou_autre)

Version du 19 novembre 2025 à 09:41

1) Objectif : Kit de dépannage

Contexte

Un Raspberry Pi 3 sous OpenWrt est installé chez l’adhérent. Il est connecté directement derrière sa box et obtient une adresse dans :

Réseau X : 192.168.1.0/24

La majorité des adhérents utilisent la même plage d’adresses que le dépanneur (192.168.1.x), ce qui entraîne naturellement un conflit d’adressage entre les deux sites.

Besoin

Un PC du réseau MV (côté dépanneur) doit pouvoir accéder à n’importe quelle machine du réseau X (chez l’adhérent), depuis l’extérieur.

Le Pi3 doit établir automatiquement un tunnel VPN (WireGuard) sortant vers le routeur du réseau MV, puisque l’adhérent n’ouvre aucun port entrant sur sa box.

Pour éviter le conflit d’adressage — X et MV étant tous deux en 192.168.1.x — une translation d’adresses est indispensable.

Solution globale

Mise en place d’un tunnel WireGuard avec deux adresses dédiées :

Pi3 (réseau X) : 13.0.0.1/24

Routeur MV (dépanneur) : 13.0.0.2/24

Création d’un réseau virtuel :

192.168.7.0/24 = représentation du réseau X via le tunnel

Le Pi3 assure une translation d’adresses entre :

192.168.7.x (vu depuis le réseau MV)

192.168.1.x (réseau réel de l’adhérent)

2) Règles générales

A. NAT de translation pour éviter la confusion d’adresses

Comme les deux sites utilisent la même plage 192.168.1.0/24, un réseau virtuel 192.168.7.0/24 est créé pour représenter le réseau X depuis le réseau MV.

Le Pi3 applique :

1. DNAT (PREROUTING)

Lorsque qu’un paquet arrive du tunnel WireGuard vers une destination 192.168.7.x :

→ il est converti en 192.168.1.x, adresse réelle du réseau X.

2. SNAT (POSTROUTING)

Lorsqu’une machine du réseau X répond (source 192.168.1.x) :

→ la source est remplacée par 192.168.7.x avant renvoi dans le tunnel.

Résultat : Avec cette translation, toutes les machines du réseau X apparaissent côté réseau MV sous 192.168.7.x, éliminant tout conflit d’adressage.

B. Routage côté réseau MV

Pour permettre l’accès au réseau virtuel 192.168.7.x, une route doit être configurée sur le routeur MV :

192.168.7.0/24 → via 13.0.0.1 (Pi3, interface wg0)

Cette route peut être :

diffusée automatiquement aux PC du réseau MV via DHCP,

ou définie manuellement sur un PC spécifique connecté au réseau MV.

Résultat : Toute tentative d’accès à 192.168.7.x est automatiquement envoyée dans le tunnel WireGuard.

3) Paramétrage

A. Pi3 (OpenWrt – réseau X)

Interface WireGuard wg0

Adresse tunnel : 13.0.0.1/24

Établissement du tunnel vers l’adresse publique du routeur MV

Keepalive activé pour maintenir le tunnel à travers le NAT

NAT (mapping 192.168.7.x ↔ 192.168.1.x)

DNAT : conversion des adresses virtuelles (192.168.7.x) vers les adresses réelles (192.168.1.x)

SNAT : conversion inverse pour les réponses du réseau X

Cela permet d’accéder à tout le réseau X sous l'identité 192.168.7.x.

B. Routeur MV (OpenWrt – réseau du dépanneur)

Interface WireGuard wg0

Adresse tunnel : 13.0.0.2/24

Port d’écoute : 51827

sur le routeur MV, le Pi3 est configuré comme peer dans WireGuard

Route statique

Ajouter : 192.168.7.0/24 via 13.0.0.1 (wg0)

Cela indique explicitement au routeur MV :

« Pour atteindre le réseau virtuel 192.168.7.x, emprunter le tunnel WireGuard. »

Ainsi, tout PC du réseau MV peut atteindre les machines du réseau X sans conflit d’adresses.

✔ Résumé final

Le Pi3 installé chez l’adhérent établit un tunnel WireGuard vers le routeur du dépanneur, effectue une translation entre 192.168.1.x et 192.168.7.x, et le routeur MV annonce ce réseau virtuel aux PC du dépanneur. Grâce à cette architecture, l’accès à l’ensemble du réseau X est possible malgré l’usage identique de la plage d’adresses 192.168.1.0/24 sur les deux sites.

référence

installer OPenwrt sur Pi3, https://wiki.memoirevive79.mooo.com/index.php/Param%C3%A9trer_OpenWRT_sur_PI3_(ou_autre)

Récupérée de « https://wiki.memoirevive79.mooo.com/index.php?title=Kit_de_dépannage_MV2025&oldid=3526 »