La fibre chez ma mère, chapitre 3 : on tente de prendre le contrôle du réseau

Cet article a été publié il y a 5 ans 1 mois 22 jours, il est donc possible qu’il ne soit plus à jour. Les informations proposées sont donc peut-être expirées.

Comme je l’avais indiqué à la fin du premier chapitre, j’étais bloqué par un bug en attente de correction pour pouvoir m’occuper des paramètres du réseau local. Ce n’était pas bloquant pour commencer à profiter d’une vraie connexion digne de ce nom en 2019, mais tout de même, vu les besoins, il fallait se pencher dessus. Attaquons donc le tour du propriétaire.

J’attendais donc une mise à jour de la box, finalement j’ai eu un rappel téléphonique du support de NordNet  : y’a peut-être pas besoin d’attendre 107 ans. De son côté, l’opératrice voit la box, via son numéro de série, déconnectée depuis le 3 janvier, jour de l’activation de la ligne. Original quand on sait que la connexion en question fonctionne parfaitement avec la box fournie. La personne au téléphone me propose donc de tenter un redémarrage à la fois de la box et du convertisseur (au cas où).

Eh bien ça a fait le café, via l’interface client on sait maintenant accéder aux maigres options proposées, à savoir la gestion du wifi, et le gestion des ouvertures de port :

Juré j’ai rien caché, ça servait à rien de vous montrer le vide autour. Alors c’est marrant de proposer de l’ouverture de ports quand on sait qu’on va devoir jouer aux devinettes pour récupérer l’adresse IP de la connexion qui va passer sa vie à changer, contrairement à la connexion Free qui elle a la même adresse depuis 2010 lors du passage en dégroupage total. Mais bon, à la limite, il n’est pas impossible que ça soit les fonctions les plus utilisées donc pourquoi pas. Côté gestion du wifi c’est assez spartiate aussi, à part activer/désactiver les deux points d’accès (5ghz et 2.4Ghz), changer le nom et la clé, on est vite limité.

Mais c’est pas suffisant du tout, pour rappel je veux avoir accès aux réglages avancés du point d’accès, je veux pouvoir manipuler le DHCP, le DNS, d’éventuelles fonctions avancées comme du point d’accès Wifi invité, bref, pas mal de choses (je suis d’ailleurs en train de faire un gros billet sur le sujet). Avant de raccrocher avec le service client je leur demande comment accéder à l’interface locale. La personne en face me donne des codes d’accès qui sont manifestement des codes par défaut tellement peu sécurisés qu’il faudrait brûler l’idiot qui pu penser que c’était une bonne chose de faire ça comme ça.

Et là, c’est moche, très moche, visuellement parlant. Déjà le mec qui a touché au CSS est un flemmard de première, ça a pensé à forcer la couleur du texte dans les formulaires, mais pas du fond, ce qui fait que sur un thème sombre le texte et le fond ont la même couleur donc on ne voit rien. Dieu merci j’ai toujours Stylus sous la main. Concernant les fonctionnalités c’est autre chose, et là on souffle le bon et le moins bon. Dans le bon on a la main sur le DHCP, notamment pour le désactiver si besoin, par contre pas moyen de modifier les résolveurs DNS, sachant que le DHCP fournit l’IP de la box qui fait donc office d’intermédiaire avec les résolveurs DNS qui sont indiqués sur la page de statut.  Heureusement donc qu’on peut désactiver le service DHCP pour en utiliser un plus complet et sous contrôle qui peut fournir des résolveurs propres, ou des résolveurs adaptés (pihole ?).

Les paramètres Wifi semblent assez complets, rien à voir avec l’interface client, par contre, en recoupant toutes les infos on a l’impression que par défaut le point d’accès Wifi fonctionne en WPA et pas en WPA2. C’est pour le moins surprenant comme paramétrage par défaut, il y a donc besoin de retoucher ça. Très cool par contre, la possibilité de créer jusqu’à trois points d’accès invités par point d’accès principal (un pour le 5Ghz, un pour le 2.4), je ne comprend pas par contre comment modifier leurs mots de passe. Mais ça permettra d’isoler les invités et leurs appareils non contrôlés/contrôlables du reste de votre propre réseau, et ça c’est juste obligatoire.

L’interface de gestion du NAT est très peu ergonomique, de plus on a les noms « linux » des interfaces c’est pas évident pour tout le monde. Le contrôle parental est lui aussi très succinct, il consiste surtout à définir des plages horaires de créneaux de blocage, et de blocage complet. Ça se base sur l’adresse MAC et  si c’est un téléphone avec Android 9 qui utilise la randomisation, ça sera un peu la merde pour le contrôler. M’enfin c’est là, c’est mieux que rien. L’option Dyndns ne sert à rien vu que seulement deux services sont proposés. On peut par contre modifier les serveurs NTP.

Enfin, pour les plus aventureux il y a une option DMZ pour tenter d’héberger des trucs chez soi.

Alors pour la blague j’ai repassé un nmap maintenant que tout est fonctionnel, bizarrement y’a des ports qui ont été refermés :

Dommage pour le SSH, j’aurais bien aimé mettre les mains dedans. Mais il y a effectivement plus de ports qui apparaissent désormais.

Pour la blague j’ai cherché un peu à récupérer la documentation officielle du routeur chez Sagem. Quand je vois la couverture fonctionnelle que propose officiellement le fabricant sur le routeur, les multiples coupes effectuées par NordNet dans le firmware sont à la limite du compréhensible.

Bilan : il me faut un Raspberry Pi

Malgré quelques options bienvenues on a l’impression que NordNet a voulu faire son possible pour que l’on ne puisse rien faire avec leur box, alors même qu’elle a pas mal de possibilités en soi. Un choix regrettable, pas seulement pour les techniciens, quand je vois comment on pourrait éviter de passer son temps à filer toutes les clés de son réseau local au moindre gamin de couple d’amis, voire au couple d’amis, juste pour qu’ils profitent du bon débit est assez pénible. Et pourtant ça ne prendrait pas non plus énormément de ressources au niveau de l’interface client pour implémenter.

Dans mon cas plus précisément, il manque aussi le fait de pouvoir contrôler le DNS. C’est à la limite de l’éliminatoire pour moi. La fonction dyndns ne sert à rien non plus, puisqu’il n’y a qu’un seul service proposé. Donc pour à la fois remonter un bastion, proposer un vrai serveur DHCP, utiliser un autre service de DNS dynamique (coucou ovh), et pourquoi pas tenter d’autres choses, je pense que le plus simple est de déployer une petite machine dédiée à ces tâches, ce qui permettra à la fois de gérer le DHCP, pourquoi pas un cache DNS en plus (en se basant sur des résolveurs qui sentent pas le moisi), une tâche planifiée qui s’occupe de mettre à jour le domaine de la madre pour qu’on puisse accéder à distance (se basant sur celui que j’avais pondu lors du déploiement de gogs sur Docker Swarm), et pourquoi pas un reverse proxy parce qu’après tout, pas la peine de se faire chier pendant 107 ans sur la multiplication des ouvertures de ports.

Et rien de tel qu’un Raspberry pi qui consomme à peine 3W avec le vent dans le dos, le tout avec une alimentation de smartphone qui pour une fois ne prendra pas la place de la concorde sur une rallonge. Si je pensais recycler le pi 1 qui est en convalescence chez moi depuis un moment, je pense qu’il est préférable d’éviter l’acharnement thérapeutique et partir sur un Pi 3, je préfère la souplesse du multicœurs plutôt que me limiter pour gagner quelques euros. D’autant plus que je penses le raccorder au réseau en Wi-Fi, afin de pouvoir éviter d’utiliser une énième prise Ethernet, car il y en a déjà trois d’exploitées sur les quatre : Xbox 360, lecteur bluray, box videofutur (bientôt remplacée elle aussi).

Si je pense qu’il faudra en dire quelque chose en particulier, je vous ferai un billet sur les choix logiciels et les paramétrages effectués pour remplir le rôle du bousin. Le prochain billet sera surtout consacré à la situation « TV » et aux options qui s’offrent ou pas à nous quand on est abonné chez un opérateur de « seconde zone ». Même avec la fibre, la fracture existe encore…

PS : Quid d’un autre routeur ?

Apparemment, il est possible d’utiliser un autre routeur en remplacement de la Nordnetbox si l’on en ressent le besoin. Sachant que la connexion est toute fraîche, je vais encore patienter pour jauger déjà de la fiabilité de tout ça, ne serait-ce que pour avoir un réel retour d’expérience sur du matériel fourni à un public qui n’est pas forcément aguerri au fait de changer de matos. D’autant plus qu’il faudra se poser la question de la ligne téléphonique, et là ça va être costaud si on change la box pour un routeur classique.

PPS : Entre temps, Free a officialisé la signature du partenariat avec Covage (dont Tutor Somme est une filiale) pour déployer ses offres sur les RIP gérés par l’opérateur. Sauf qu’arrivé fin février, l’offre n’est toujours pas active dans la Somme, et le support Free a été incapable de mettre une date. J’ai donc pris l’amère décision de mettre fin à une relation de 13 ans avec le même opérateur dont la seule faute aura été d’être incapable de faire bouger un autre opérateur en situation abusive de monopole sur la gestion d’infrastructure (la ligne téléphonique, qui reste propriété d’Orange), qui est payé en théorie pour l’entretenir mais ne veut le faire que pour ses propres abonnés. De toute façon, l’arrivée de la Delta et de la One a rendu l’offre Free complètement inintéressante (augmentation de tarifs, box mal segmentées, engagement d’un an sur la plupart, l’achat à 500 balles du player Devialet…). Non vraiment la situation du marché du THD en France est une catastrophe d’un point de vue du consommateur.