Bonjour à tous,
 
J'ai un routeur wifi qui fonctionne très bien.  Tellement bien que mon voisin a détecté mon wifi et me propose de partager les frais du FAI en lui donnant accès au net.  
 
Comme je ne souhaite pas lui donner accès au réseau et que j'ai justement un deuxième point d'accès wifi sous la main, je voulais mettre en place un deuxième "réseau wifi" n'ayant qu'un accès vers l'extérieur.
 
L'idée de base :  
 - Mon routeur distribuant des ip appartenant à une certaine plage (disons : 10.10.10.x)
 - L'AP distribuant des ip appartenant à une autre plage ( 10.10.11.x )
 - L'AP ayant une ip fixe 10.10.11.1
 - Le routeur configuré pour router tout ce qui vient de 10.10.11.x vers l'extérieur uniquement.
 
Mais voilà, les deux serveurs DHCP se tirent dans les pattes.  C'est quasi tout le temps le dhcp du routeur qui distribue les adresse et rarement le DHCP de l'access point.  Pire : un PC connecté en filaire sur le routeur a reçu une adresse du DHCP de l'access point !
 
Qu'ai-je raté dans la config ?  Est-ce la bonne manière de faire ?
 
 

Peut tu m'expliquer comment tu configure ton routeur, pour router toutes les requetes du voisin , vers le net uniquement?
 
sinon pour ton probleme de dhcp, il est normal, quand on a 2 serveurs dhcp sur un même réseau,  le serveur choisi est aléatoire
Met des reservations d'adresse mac pour tes pc dans les deux...
 

mais ton système n'est pas légal
 
de plus, si ton voisin télécharge comme un dingue => c'est à ton nom

Un des objectifs est atteint !
 
Finalement, j'ai configuré comme ceci :  
 

 
J'ai donc bien deux réseaux distincts...
 
mais le routeur linksys redirige les messages du réseau 1 vers le réseau 2 (c'est logique, c'est ça fonction première).
Là où je me suis planté, c'est que j'ai assumé que le routeur linksys avait un pare-feu configurable, qui m'aurait permis de spécifier que les adresses réseau 10.10.11.x ne pouvaient accéder qu'à l'extérieur.  C'était le cas avec mon ancien modem-routeur, mais pas avec celui-ci :-(
 
Voyez-vous un autre moyen pour isoler deux réseaux tout en donnant un accès web aux 2 ?
 

 
avec le firewall de mon ancien routeur... Mais pas possible avec le linksys :-(
 

 
Exact.  Avec les deux routeurs, c'est corrigé.
 

Le D-link possède cette fonctionnalité (mais ce n'est pas un modem-routeur :-( ) mais pas le linksys.  Et vu les problèmes mentionnés avec l'upgrade du firmware, je suis pas trop tenté...
 

 
Je précise que je connais ce voisin, c'est pas un pro de l'info et de plus, comme l'AP sera connecté sur le routeur D-Link, je peux configurer le firewall pour ne laisser passer que l'http (port 80), le smtp, le pop3 et éventuellement msn...
 
De plus, il n'y a pas trop de risque sur le quota, j'ai un quota-mètre qui veille au grain.

Peut tu me préciser les paramétrages exacts de tes routeurs, je suis interessé...
Imagine qu'une requete internet, arrive sur ton linksys, a destination du réseau 10.10.10.5, comment il connait la route sur laquelle envoyer? tu as entreé une route statique sur le routeur?
 
Comment le probleme des dhcp est reglés? tes routeurs, n'ont pas de fonctions Dhcp relay?
ils en ont tout en général...
 
ils laissent en general passer les requetes dhcp
 
 
Ca n'a jamais été illégal de preter sa connexion, ce qui n'est légal c'est de se faire payer pour ca

c'est son intention  

 
Je n'ai rien rajouté dans les tables de routage, mais ça marche.
Sinon pour la config, je n'ai rien fait de particulier, mais voici quand meme :  
Linksys : Plage des adresses DHCP entre 100 et 200 > 10.10.10.100 à 10.10.10.200
Routeur Dlink : Plage d'adresses entre 2 et 255 (mais avec vérification mac adress : le DLink fait ça !)
                    connection wan du DLink : Adresse IP statique 10.10.10.x pour lequel x est entre 2 et 100.
                    de ce fait, le DLink est dans le réseau Linksys et effectue un NAT entre son réseau et le réseau Linksys
 
AP Dlink : rien de particulier : DHCP off
 

 
Chaque routeur a son propre DHCP.  Comme ils sont sur des réseaux différents, ils ne se boycottent pas l'un l'autre.
 

C'est la première fois que j'entends parler de ça.  Il ne s'agit pas de revendre un accès, il s'agit de partager les frais.  Le co-voiturage n'est pas illégal il me semble !

non, mais payer un abonnment telephonique a 2 si

Pour l'histoire du dhcp, il arrive que les routeur soit equipé de Dhcp relay...
si bien qu'ils laissent passer les requetes dhcp des autres réseaux

Presque réussi !
 
A ma réponse du dessus, je rajouterai que j'ai configuré le firewall du dlink pour bloquer toute requête venant de 10.10.11.x à destination de 10.10.10.x (où x > 1  car 1 = modem routeur)
 
Mais problème... il semble que msn, hotmail et yahoo posent problème.
Par contre, pas de problème avec gmail.
 
Vous auriez une piste ?

pour en savoir plus rien de tel qu'une bonne capture de trame

Je ferai ça ce soir avec wireshark.  Je posterai les résultats pour info.

Problème résolu !
 
En résumé : utilisation de 2 routeurs + 1 access point
 

 
Routeur 1 :

• WAN : PPPoE
• IP = 10.10.10.1
• DHCP : On (attribution d'ip entre 100 et 200)
• Wifi : ON

Routeur 2 :  

• WAN : IP Fixe : 10.10.10.2
• IP = 10.10.11.1
• DHCP : On (attributtion d'ip entre 100 et 200)
• L'access point est branché sur une des prises lan
• MTU à 1400 et non plus 1500 ==> MTU à 1500 empêche msn de se connecter !

AP :  

• Ip fixe : 10.10.11.2
• Rien de particulier

 
Points importants

• 2 réseaux différents => je peux ainsi utiliser 2 DHCP servers, chacun sur son réseau.
• Il faut attendre que le routeur raffraichisse sa table de routage pour pouvoir pinger les machines d'un réseau à partir de l'autre
• Les deux réseaux me permettent de configurer plus facilement les firewall => access denied pour toute ip en provenance de 10.10.11.x
• sur le routeur 2, configuration du firewall : Access denied en sortie pour toute ip différente de 10.10.11.x (Ce qui permet d'éviter qu'un utilisateur ne modifie son ip en statique vers 10.10.10.x
• le MTU  : C'est le point le plus surprenant de la configuration.  Je suis pas sur de l'explication exacte, donc je me contente de décrire le problème et la solution.  Certaines opérations de crypto (MSN, authentification hotmail, authentification yahoo) utilisent la taille max des trames IP.  n changeant le MTU du routeur 2 de 1500 à 1400, il n'y a plus de problème d'authentification.

Et voilà : 2 réseaux distincts, chacun son wifi, et tout roule !

Une machine sous PFSENSE avec 3 interfaces réseaux, une WAN, une LAN1 et une LAN2 ... et tu mets des paip différents, un peu de regles de filtrages et hop, basta ...

Ou alors il te faut un premiere routeur/modem qui fasse un premiere reseau IP sur lequel tu branche via le port WAN, 2 autres routeurs. Et là tu pourras tranquillement séparer tes reseaux.
Bien sur, le modem/routeur n'a pas de dhcp, etc ... (bien que ca ne gene pas) et les config WAN des 2 routeurs sont en fixe.
 
MODEM/ROUTEUR >>> ROUTEUR 1 > lan 1
                             >>> ROUTEUR 2 > lan 2

 
Exact.  C'est vrai que ce genre de structure est toujours très intéressante, surtout lorsqu'on a envie de se retrousser les manches.
 
Mais dans mon cas, l'aspect financier est prépondérant et je n'ai plus de vieille machine sous la main pour y mettre un firewall.