[Résolu] Routeur Ubiquiti Unifi USG‑PRO‑4 + Overthebox (OVH & Freebox)

Bonjour BOBC,

A ta place, j'aurais plutôt brancher le lien Modem Thomson / USG Pro 4 sur la partie Wan de ton routeur. Ensuite, tu met la Gateway de l'Overthebox dans t'es paramètres sur ton routeur, afin de lui fournir la route pour l'accès Wan.

Enfin, sur l'Overthebox tu crée une DMZ vers ton USG pour laisser la main à ton routeur.

Cordialement,

DamG.

Bonjour,

J'ai exactement le meme probleme que BOBC.
Mon firewall /routeur DHCP a un port WAN qui est relié à un modem (mode bridge).
L'OVB est connecté sur le switch qui lui meme est connecté sur le port LAN de mon firewall routeur DHCP.
J'ai desactivé le DHCP sur l'OVB et cree une DMZ route qui pointe sur l'adresse IP locale de mon firewall/routeur.

Mais ca ne marche tjs pas. tous les clients DHCP ont l'adresse IP publique du modem et non de l'OVB

Que dois je renseigner de plus dans la config de mon firewall/routeur SVP ?

Merci.

Bonjour,
Je viens au nouvelle sur le fonctionnement ou non de l'installation suite a l'intervention de DamG (staff OVH) car j'ai commandé le routeur unifi security gateway pro 4 que je dois recevoir rapidement dans la semaine.

Je suis donc, preneur si ta réussi ta config réseau.....

Merci d'avance

Bonsoir,

J'essaye de configuré comme vous indiquez.
Gateway OTB = 192.168.74.253
Freebox (modem principale) sur le WAN de USG Pro 4 /
Sur USG Pro 4 j'active le DHCP (192.168.74.0/24) sur LAN1 cable branché sur le switch ou d'ailleurs l'OTB est branché.
Après ou mettre la gateway de OTB (192.168.74.253) dans les paramètres du USG pro 4 afin de fournir la route via le DHCP.
ci joint des captures afin de voir plus claire.

merci d'avance de votre aide

J'ai changé la version unifi en v5.6.20, je peux maintenant mettre la gateway dans le DHCP du routeur les pc on bien par le dhcp de USG pro 4 la gateway du OTB.
Sur l'Overthebox j'ai crée une DMZ vers mon USG pour laisser la main à mon routeur, malheureusement impossible de joindre mon serveur web, mail etc... depuis l'extérieur.

Avez vous une idée du souci ?

Après plusieurs essai, toujours au même point.

Mes services (web, mail ....) sont accessible seulement si dans mon serveur DNS (Bind chez online) je met l'ip de la freebox (A ip 78....). Si je laisse l'ip OVH ( A ip 152....) ne fonctionne pas comme si le DMZ fait dans OTB ne route pas le trafic ????

Une idée ?

La solution de DAMG plus haut ne marche pas. J'ai essayé mais rien n'y fait.
Pierre-AngeC pourriez vous me montrer schématiquement parlant comment vous avez réussi deja ?
Merci par avance

Bonjour,

Je n'ai pas réussi, malgré le changement de version sur l'UNIFI mais serveur ne son toujours pas accessible depuis l'extérieur en essayant de créer un DMZ sur l'overthebox.
C'est donc toujours l'overthebox qui s'occupe de router le traffic de mon serveur (port 80,443 etc...).
A tu avancé de ton coté ?

tu peut il voir mon installation ici : https://www.1perso.com/Serveur.htmlperso.com/Serveur.html

Bonjour,

Je re-déterrer le vieux sujet pour savoir si des personnes sont arrivée a faire avec OTB une DMZ avec le routeur unifi security gateway pro 4 ?
- crée une DMZ vers le USG pour laisser la main à ton routeur

OTB = 192.168.74.253 (GW) DHCP desactivé
Unfi routeur = 192.168.74.4
Serveur (dell) web, mail , ftp... = 192.168.74.3
le DHCP se fait par le routeur UNIFI qui donne envoi les IP et la gateway (192.168.74.253)

Mon ID OTB si une personne du STAFF OVH peut regarder
- Device ID b8dfa7f2-a258-4722-b1dd-15679d3d0789
- Service name overthebox.c6c62f2c-3c82-4eec-a6bd-ce4ab8ae2634

Je reste en attente de solution ? merci d'avance

capture de UNIFI du DHCP qui transmet bien la GW sur les PC (OK)

Salut à tous,

Comme vous pouvez le constater ce sujet date mais n’a toujours pas été réglé je suis toujours dans l’impossibilité de faire fonctionner alors que je suis pourtant passé à l’Overthebox plus ...

Je serai extrêmement heureux qu’un génie passe par là pour nous aider je serai extrêmement heureux qu’un génie passe par là pour nous aider :)



Ne faites pas attention à ces branchements c’est juste pour vous montrer qu’elle est toujours là en attente d’une solution ;) Bon ce n’est pas faute d’essayer ...

Un énorme merci à la personne qui réussira à me sortir de ce gros problème :(

Excellente journée à tous

Hello @Pierre-AngeC, je vois ça dans tes règles firewall:
```
config redirect
option target 'DNAT'
option src 'wan'
option dest 'lan'
option proto 'tcp udp'
option name 'DMZ-FW-UNIFI'
option dest_ip '192.168.74.4'
option enabled '0'
```
Je peux passer enabled à 1 pour regarder ce qui ne va pas ?

Hello,

Tu peux me donner ton service id pour que je puisse checker stp.
L'IP de ton lan d'OTB est bien sur le même range (`/24` par example ) que ton router Ubiquity ?

Bonjour @gregdel,

Un ENORME Merci pour ton aide ;)

overthebox.73813351-ea81-4219-a995-5d5fe670af4c

J’ai tellement essayé de paramétrage que je ne sais plus quoi mettre

Hello @BOBC, @Pierre-AngeC

Si cela peu aider, voici le plan de mon infra réseau fonctionnel avec Firewall, OTBv2 et Vlan.



Bonne journée

Bonjour

Oui j'ai desactivé le DMZ et ouvert port part port. Je viens d'acitvé peux le DMZ
et je vais désactiver les autres ....

J'ai retiré ton interface `if4` qui n'était pas utile.
La règle de NAT semble bien appliquée pour tout le traffic tcp/udp. Si tu veux NATter un autre protocole il faudra ajouter une règle.
Tu peux voir les règles NAT dans iptables:
```
root@OverTheBox:~# iptables -t nat -nvL zone_wan_prerouting
Chain zone_wan_prerouting (6 references)
pkts bytes target prot opt in out source destination
73 4585 prerouting_wan_rule all -- * * 0.0.0.0/0 0.0.0.0/0 /* !fw3: user chain for prerouting */
17 912 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 /* !fw3: DMZ-FW-UNIFI */ to:192.168.74.4
3 1925 DNAT udp -- * * 0.0.0.0/0 0.0.0.0/0 /* !fw3: DMZ-FW-UNIFI */ to:192.168.74.4
```
Comme c'est du NAT, le compteur n'augmente de 1 qu'a chaque nouvelle connection, pas à chaque paquet qui passe.
Tu constates que ça fonctionne ?

J’ai branché les cinq connexion ADSL & 4G sur l’OTB Plus, ensuite je passe par le SFP1 pour me connecter dans le SFP1 du l’USG Pro puis du LAN1 de l’USG Pro sur le premier switch.

Et l’USG Pro ne détecte toujours pas internet sur le SFP1

Adresse de l’OTB Plus : 192.168.1.100
Adresse de l’USG Pro : 192.168.1.1

Voici un nouveau plan ;



Le support de Unifi me renvoie vers la documentation : https://help.ubnt.com/hc/en-us/articles/236281367-UniFi-How-to-Adopt-a-USG-into-an-Existing-Network ... je ne suis pas un pro du réseau...je suis complètement perdu ;'(

Merci beaucoup pour votre aide

Apparemment ca mouline je n'arrive pas a atteindre le serveur web : https://www.1perso.com/perso.com/

Ton port SFP semble bien être sur ton réseau LAN.
Ton serveur DHCP de l'OTB est toujours actif, si tu veux qu'ubiquiti prenne la main en DHCP il faudra désactiver celui de l'OTB.

Sur l'OTB, si je fais:
```
root@OverTheBox:~# ip route get 192.168.1.1
192.168.1.1 dev eth0.2 table lan src 192.168.1.100
cache
```
La route pour contacter Ubiquiti est bien le lan, j'arrive bien a le ping.
Dans ton ubiquiti, dans les parametres de ton LAN, tu as bien mis l'OTB en gateway ?

PS1: Pour que ça soit plus clair tu pourrais utiliser des /24 différentes pour chaque WAN / LAN
PS2: Sur tes 5 interfaces je n'en vois que 3 de up, c'est normal ?

Slt

Je vois dans ta capture de l'unifi tu a deux fois ip 192.168.1.1 (IP + router) c'est pas possible.
Tu a branché quoi sur ton wan (quelle adsl) ?

Si je fais un `curl` sur `https://www.1perso.com/` perso.com/` et que je fais une capture en regardant uniquement ce qui vient de mon IP:
```
root@OverTheBox:~# tcpdump -i any -n tcp and host 109.190.254.33 and port 443
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on any, link-type LINUX_SLL (Linux cooked), capture size 262144 bytes
15:12:42.556922 IP 109.190.254.33.12593 > 10.166.178.2.443: Flags [S], seq 2549131456, win 29200, options [mss 1380,sackOK,TS val 432158173 ecr 0,nop,wscale 7], length 0
15:12:42.556987 IP 109.190.254.33.12593 > 192.168.74.4.443: Flags [S], seq 2549131456, win 29200, options [mss 1380,sackOK,TS val 432158173 ecr 0,nop,wscale 7], length 0
15:12:42.556991 IP 109.190.254.33.12593 > 192.168.74.4.443: Flags [S], seq 2549131456, win 29200, options [mss 1380,sackOK,TS val 432158173 ecr 0,nop,wscale 7], length 0
```
Le paquet arrive bien depuis l'IP ton service via le tunnel (l'IP 10.166.178.2), puis le paquet est bien NATté et envoyé à 192.168.74.4.
Tu es sûr de ne pas avoir des règles de firewall sur ton Unfi routeur ?
Parce que pour moi tout est bon niveau network, c'est 192.168.74.4 qui ne répond pas.

les regles firewall dans unifi (192.168.74.3 est le serveur)

ci joint des captures du wan / lan unifi et dhcp unifi chez moi

J'ai mis plusieurs capture. pense tu que j'ai mal cablé quelque chose ?
J'ai fais ainsi :
Sur le routeur UNIFI sur la WAN j'ai branché la freebox qui a pour gateway 192.168.1.254 puis toujours sur UNIFI sur la partie LAN je vais jusqu'au switch 24 ports ou est branché la connexion 4G + connexion ALSATIS et l' OTB

Je ne suis pas du tout expert Ubiquiti, je peux juste te dire que l'OTB fait bien le nat... :)

En tout cas merci tu ma fait avancé je vais regarder du coté de l'UNIFI.
Ca fait du bien d'avoir un support sur le forum, on se sent un peu moins seul :-) merci

https://w000t.me/3750c41494

Hello

Dans ta configuration tu fait

Ton LAN (avec l'otb et le modem 4G) -> Patte LAN de ton UNIFI -> routeur UNIFI -> patte wan de ton UNIFI -> freebox -> internet

Une configuration correct serait plutôt :

Ton lan ->patte LAN de ton UNIFI -> routeur unifi -> patte wan UNIFI -> switch ( 5 port par exemple ) -> otb + freebox + routeur 4g. -> internet

Pour m'expliquer :

Tu fait une demande du port web 443 depuis l'ip source du tunnel otb -> la demande est forward à ton UNIFI, qui lui même forward bien au 192.168.74.3 -> le serveur apache renvoi la réponse à ton UNIFI, mais au lieu de renvoyer la demande à l'ip source (le tunnel ) l'UNIFI renvoie à sa gateway, c'est a dire le modem FREE.

Dans cette configuration la un exemple de config pour ta patte wan UNIFI serait (si l'ip de l'otb est par défaut ):

ip = (sur le même range que l'otb ) = 192.168.100.253
Gateway = (otb) = 192.168.100.1
Mask : /24

Et ton sous réseau en 192.168.74.0/24 pour la patte LAN.

Je t'invite à regarder le shéma que j'ai posté plus haut.

Merci je regarde

Bonjour à tous,

Bon pour commencer merci beaucoup pour votre aide ça fait plaisir de voir du support sur mon petit "vieux" topic ;)

Aussi incroyable que cela puisse paraître, j'ai enfin réussi ! En sachant qu'avec l'ancienne OTB les mèmes paramètres ne fonctionnait pas. Voici comment j'ai procédé :

Avant l'USG :

- Tous les modems ainsi que l'OTB Plus sont sur la plage IP 192.168.2.x
- Aucun paramètre DMZ dans l'OTB Plus (Dès que je l'active je n'accède plus à la configuration de l'OTB)
- DHCP activé sur tous les modems ainsi que sur l'OTP Plus

-- Branchement du port SFP de l'OTB sur le port SFP1 de l'USG
-- Branchement du port WAN1 sur le premier Switch

USG en 192.168.1.1 en configuration automatique DHCP (Oui, Oui....) DHCP activée sur l'USG

Toutes les machines de mon réseau on bien les adresses IP distribués en 192.168.1.x donc par le DHCP de l'USG.

Ça fonctionne ! Enfin :)

Par contre deux questions me trotte :

- C'est pas grave d'avoir autant de DHCP activé (Modems ok par contre l'OTB + l'USG ... ?
- C'est pas grave d'avoir aucun paramètre DMZ sur l'OTB Plus ?

(Désolé je ne suis pas un professionnel du réseau....)

Bonne journée ;)

Hello,
Il vaut mieux couper le serveur DHCP de l'OTB si c'est l'USG qui joue ce rôle. Sinon ça va être le plus rapide à répondre qui gagne :)
La DMZ n'est nécessaire que si tu souhaites faire des redirections de port depuis l'IP publique de l'OTB et que tu veux que ça soit l'USG qui gère le firewalling.

Bonjour,

J'ai reussi a connecté comme expliqué plus haut, merci a @gregdel et @Benoit.D
OTB = LAN : 192.168.100.253
UNIFI LAN : 192.168.74.0/24 (IP de UNIFI 192.168.74.4) et (LAN de 192.168.74.10-100)
UNIFI WAN: 192.168.100.99 GW : 192.168.100.253

Sauf que j'ai un souci. J'ai créer la DMZ sur l'OTB en direction de 192.168.74.4 et que j'essaye d'accéder a mon serveur web je tombe sur l'interface de UNIFI.
Je comprends pas pourquoi
Voir capture DMZ sur OTB et UNIFI

Bonjour @BOBC

A tu réussi a créer une DMZ sur OTB afin que c'est UNIFI qui transfert le trafic sur les ports ?

merci

Salut, @Pierre-AngeC

Parles tu du site https://www.1perso.com/perso.com/ ? si oui j’accède bien à celui-ci.

Mais vue la config de ton firewall , je pense que la dmz est désactivée:
option name 'DMZ-FW-UNIFI'
option dest_ip '192.168.74.4'
option enabled '0'


Sinon :

Si tu as mis ta DMZ de l'overthebox vers l'ip de ton UNIFI, il est normale que tu arrives sur son interface WEB depuis l’extérieur si celui-ci écoute sur le port 80 ou 443.

A tu mise en place la redirection vers ton serveur WEB depuis ton UNIFI ?( wan vers lan, redirection du port à destination du 443 vers l'ip du serveur apache vers le port 443 )


----------

Petit plus pour vérifier si la DMZ fonctionne bien

réactiver la DMZ et lancer en ssh un tcpdum

root@OverThebox:~# tcpdump -i any port 443 | grep 192.168.74.4

effectue en parallèle une tentative de connexion sur ton site en https, tu devrais voir la demande arriver par ton ip publique et être transférée à 192.168.74.4

La réponse devrait ressembler a sa :
root@OverTheBox:~# tcpdump -i any port 443 | grep 192.168.74.4

[date] IP [IP_Source].[port_source] > 192.168.74.4.443: Flags [S], seq 3733802494, win 29200, options [mss 1360,sackOK,TS val 212056679 ecr 0,nop,wscale 7], length 0

Si cette réponse apparaît, c'est que la demande est bien envoyée à ton UNIFI. tu peu faire la même chose sans doute sur celui-ci pour voir si la demande est ensuite envoyer à ton site web.

bonjour @Benoit.D
Effectivement tu accède au site serveur-perso.com car la DMZ de OTB est désactivé. J'ai remis les règles d'avant voir capture.



Pour les règles de UNIFI oui il sont bien inscrite, voir captures.



Je fais la manip en SSH est reviens vers toi.

voici la réponse SSH depuis OTB

tcpdump -i any port 443 | grep 192.168.74.4
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on any, link-type LINUX_SLL (Linux cooked), capture size 262144 bytes
13:07:31.464096 IP 192.168.74.127.56330 > 192.168.74.4.443: Flags [SEW], seq 2321904671, win 29200, options [mss 1410,sackOK,TS val 660339917 ecr 0,nop,wscale 7], length 0
13:07:31.464104 IP 192.168.74.127.56330 > 192.168.74.4.443: Flags [SEW], seq 2321904671, win 29200, options [mss 1410,sackOK,TS val 660339917 ecr 0,nop,wscale 7], length 0
13:07:31.464308 IP 192.168.74.4.443 > 192.168.74.127.56330: Flags [S.], seq 2735655201, ack 2321904672, win 14480, options [mss 1460,sackOK,TS val 10835848 ecr 660339917,nop,wscale 7], length 0
13:07:31.464313 IP 192.168.74.4.443 > 192.168.74.127.56330: Flags [S.], seq 2735655201, ack 2321904672, win 14480, options [mss 1460,sackOK,TS val 10835848 ecr 660339917,nop,wscale 7], length 0
13:07:31.519376 IP 192.168.74.127.56330 > 192.168.74.4.443: Flags [.], ack 1, win 229, options [nop,nop,TS val 660339931 ecr 10835848], length 0

Voici coté Unifi en ssh

@ubnt:~$ sudo tcpdump -i any port 443 | grep 192.168.74.3
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on any, link-type LINUX_SLL (Linux cooked), capture size 262144 bytes
13:25:12.136784 IP 192.168.74.3.47939 > 151.127.13.102.https: Flags [S], seq 1942414175, win 29200, options [mss 1460,sackOK,TS val 3477396060 ecr 0,nop,wscale 7], length 0
13:25:12.225208 IP 151.127.13.102.https > 192.168.74.3.47939: Flags [S.], seq 313179047, ack 1942414176, win 14480, options [mss 1410,sackOK,TS val 10941921 ecr 3477396060,nop,wscale 7], length 0
13:25:12.225825 IP 192.168.74.3.47939 > 151.127.13.102.https: Flags [.], ack 1, win 229, options [nop,nop,TS val 3477396149 ecr 10941921], length 0
13:25:12.226100 IP 192.168.74.3.47939 > 151.127.13.102.https: Flags [P.], seq 1:290, ack 1, win 229, options [nop,nop,TS val 3477396149 ecr 10941921], length 289
13:25:12.320719 IP 151.127.13.102.https > 192.168.74.3.47939: Flags [.], ack 290, win 122, options [nop,nop,TS val 10941931 ecr 3477396149], length 0
13:25:12.446599 IP 151.127.13.102.https > 192.168.74.3.47939: Flags [P.], seq 1:1357, ack 290, win 122, options [nop,nop,TS val 10941940 ecr 3477396149], length 1356
13:25:12.596787 IP 192.168.74.3.47939 > 151.127.13.102.https: Flags [.], ack 1357, win 251, options [nop,nop,TS val 3477396520 ecr 10941940], length 0

Merci pour les captures.

Effectivement les demandes depuis la DMZ arrive bien sur ton UNIFI, par contre celui-ci a l'air de prendre le pas sur la redirection du 443 et du 80, et je suis redirigé vers son interface depuis le site : https://www.1perso.com/perso.com/

Dans la liste de tes règles, la DMZ est en dernière. si j'active la règle du 443, je suis bien rediriger vers ton serveur web.

Un paramètre doit bloquer la redirection du web sur ton UNIFI.

Sur cette configuration ( redirection depuis l'otb pour le serveur web, et DMZ sur l'UNIFI pour les autres services ) tes services fonctionnes t'ils correctement ?

quand la DMZ activé seul dans OTB les autres services (mail, ftp etc..) ne fonctionne pas aussi.
Pour que ça fonctionne je suis obligé de faire port a port comme le 443 dans OTB.
J'arrive pas a voir ce qui coince dans unifi.

Tu as bien autorisé les flux dans ton firewall unifi ?

https://help.ubnt.com/hc/en-us/articles/235723207-UniFi-USG-Port-Forwarding-Configuration-and-Troubleshooting#port%20fw%20firewall%20rules

Il me semble avoir bien paramètres, regarde les capture.
Onglets firewall et port forwarding

Bonjour,

Toujours dans mes réglages, rien avance, toujours le même soucis.
Afin de pouvoir m'aider voici un schéma de mon installation en ou je me suis planter quelque part.
merci a vous de votre aide

Bon je pense avoir réussi. Enfaite, la DMZ vers le routeur Unifi que j'avais mis 192.168.74.4 (lan de unifi) il fallait mettre ip wan de unifi 192.168.100.183

Voir schéma plus haut (avant)
Nouveau, celui ci-dessous qui fonctionne



Merci pour votre aide en tout cas @gregdel et @Benoit.D sans vous je serais au même point qu'il y des mois. Ça fait un bien fou de vous avoir sur le forum afin de nous aider. Encore merci

[résolu]

Plop

Super, merci pour ton retour, je suis ravie que cela marche correctement.

Profite bien de ta config perso =)

@BOBC Je t'invite à noter le sujet comme [résolu],si tout est bon pour toi également.

Bonne journée a tous

Bonjour,
J'utilise egalement un routeur Unifi USG pro 4.
Je souhaiterai pouvoir y connecter ma fibre OVH (en cours de souscription) directement et me passer du modem et de l'ONT.
Est ce qu'un module GPON OLT SFP serai compatible ? quel norme prendre C+, B+?
D'avance merci