Routeurs : comment ça marche et quel modèle choisir ?
Suite à mon précédent dossier, « Comprendre IPv6 et sa problématique », vous avez été nombreux à me poser des questions sur le routage. Mais plutôt côté IPv4 pratique de la vraie vie que concernant l’arlésienne IPv6 dont personne ne sait vraiment quand elle supplantera enfin l’ancienne norme (pourtant, ça fait déjà plusieurs années qu’il y a urgence). En attendant, je vous propose donc de plonger ensemble dans l’univers des appareils grand public permettant de faire du routage, qu’on appelle erronément « routeurs » par abus de langage, pour piger comment ça marche. Vous allez voir, c’est redoutablement simple !
Au XXIème siècle, on a tendance à ranger à tort dans la catégorie « routeur » toute boite branchée en direct sur le Net (typiquement les « Internet boxes », mais pas que). Pourtant, d’un point de vue technique, c’est bien plus que ça. On va donc essayer de séparer les torchons et les serviettes pour mieux s’y retrouver.
Tu seras routeur, mon fils
Comme on a pu le découvrir dans le dossier IPv6, Internet est composé de routeurs qui jouent à la patate chaude avec vos paquets IPv4 plein de vos précieuses data. Et à ce petit jeu-là, ils sont plutôt efficaces et parviennent généralement à diriger la bonne patate à la bonne personne, c’est-à-dire l’ordinateur à qui le paquet est destiné.
- Ce paquet est marqué « pour Caféine », je ne connais pas le chemin vers sa machine, hop j’emprunte le chemin par défaut
- Ce paquet est marqué « pour Faskil », je connais la route qui va bien vers sa machine, en route !
Et un routeur, ça ne fait que ça. Juste ça. Tout le temps.
En clair, le routeur ne fait que transmettre les paquets de données d’un point à un autre, sans s’intéresser à leur contenu. Du coup, c’est ultimement idiot et c’est pour ça qu’on dit régulièrement que dans la structure d’Internet, ce n’est pas le tronc du réseau qui fournit l’intelligence, ce sont les feuilles.
Et la box Internet fut…
Même si on a tendance à qualifier toute box Internet de routeur, c’est en réalité plus proche d’un pare-feu que d’un routeur simple, un pare-feu étant de facto un routeur, mais avec plus d’intelligence. Pour bien cerner la différence entre les deux, retenez simplement ceci : le routeur ne se préoccupe que de l’adresse de destination où envoyer le paquet de données, là où le pare-feu va jeter un œil plus attentif au paquet et se poser un peu plus de questions sur ce dernier.
- Qui est l’expéditeur ? En fonction de l’expéditeur, on peut accepter ou refuser le paquet.
- Qui est le destinataire ? De la même manière que pour l’expéditeur, on peut accepter ou refuser le paquet en fonction du destinataire.
- Quelle est l’application (le port, en termes techniques) qui est utilisée ? On peut aussi bloquer l’accès à certaines applications (ports) comme celui du serveur web (le port 80).
Et évidemment, on peut également utiliser des combinaisons de ces conditions :
- Si ça vient de chez Faskil et que ça doit aller chez Caféine en HTTP (port 80), accepter.
- Si ça vient de chez M. Pirate et que ça doit aller chez Caféine en HTTP (port 80), refuser.
Ça a l’air plutôt simple comme ça, sauf qu’on est rapidement confronté à un petit souci : on ne sait pas vraiment identifier Faskil et M. Pirate dans l’histoire, ce seront juste des adresses IP. Si on connaît Faskil, et si son FAI lui fournit une IP fixe, on peut raisonnablement écrire la règle 1. En revanche, comme on ne connaît pas l’IP de M. Pirate (et c’est un peu compliqué de lui demander), on va avoir du mal à écrire la règle 2. Le champ d’action d’un pare-feu est donc limité aux protocoles IP, ce qui est certes un peu restreint, mais permet malgré tout de faire pas mal de choses.
De plus, tous les pare-feu (à ma connaissance) sont capables de faire du NAT, comme on l’a vu dans le dossier IPv6. Ils peuvent donc faire correspondre une seule adresse externe publique visible sur Internet à toutes les adresses d’un réseau privé. En revanche, un routeur simple en est incapable.
Du coup, une box Internet et les routeurs grand public, c’est quoi ?
Quel que soit votre FAI, une box Internet reste un pare-feu, certes très basique, mais un pare-feu malgré tout. De la même manière, tout « routeur » Wi-Fi est également un pare-feu. Attention toutefois à ne pas confondre ce que le marketing appelle « routeur Wi-Fi » et « point d’accès Wi-Fi », ce n’est pas la même chose. Le routeur Wi-Fi du commerce est en réalité un pare-feu, assez similaire dans ses fonctionnalités avec une box Internet. Les points d’accès sont en revanche beaucoup plus basiques et, s’ils proposent parfois un serveur DHCP, ils intègrent rarement un pare-feu, même simple.
Le terme « routeur Wi-Fi » est donc, comme je le signalais en début de dossier, un abus de langage. Pour être correct, on devrait plutôt parler de pare-feu/routeur Wi-Fi. Oui, je pinaille si je veux.
Box FAI ou « routeur/pare-feu » du commerce, il faut choisir
Pour 90 % des utilisateurs, les fonctionnalités offertes par la box Internet fournie par les FAI suffiront. Mais on est sur Geekzone, et « power users » oblige, ces appareils ne suffiront pas forcement pour nos usages avancés. Le problème récurrent de ces appareils est une zone de réception Wi-Fi au mieux moyenne, ou utilisant des normes dépassées. Ça évolue, mais lentement, et la durée d’exploitation de ces produits rend inévitable le retour du problème à moyen terme.
L’autre souci potentiel provient de l’absence d’options de « firewalling » avancées, ou simplement un switch réseau ancien (bloqué à 10/100Mo au lieu du gigabit), ce qui peut jouer énormément sur la vitesse de transfert des vidéos de tata Janine en 1080p DTS sur votre réseau. Jetons donc un œil aux solutions qui existent sur le marché…
Wi-Fi turbo boost
Il existe plusieurs solutions pour améliorer ou remplacer le Wi-Fi d’une box.
1. Le répéteur Wi-Fi
Cette solution est la plus simple à mettre en œuvre au niveau des besoins structurels, mais ce n’est malheureusement pas forcément la plus efficace. En effet, le répéteur se connecte à votre box en Wi-Fi pour vous fournir un signal plus efficace. Il faut donc impérativement que ce répéteur soit placé dans la zone d’influence Wi-Fi de la box en question, mais pas trop près parce que c’est un peu con, mais pas trop loin non plus parce que ça ne marchera pas…
Typiquement, il ne faut pas faire ça…
L’exemple ci-dessus est très parlant : le répéteur est placé en limite de zone bleu, donc avec un signal de référence faible. La « répétition » du signal ne sera donc pas vraiment optimale.
L’autre point important à surveiller avec ce genre d’appareils est le choix du canal Wi-Fi. Il faut savoir que la bande 2,4 GHz propose un choix de 14 canaux, et il est évidement préférable de ne pas croiser les flux : si toutes les bornes Wi-Fi sont sur le canal 2, ça va évidemment moins bien marcher.
Malheureusement, il n’est pas systématiquement possible de modifier ce canal sur les box de nos FAI. Et parfois, le répéteur (surtout s’il est bon marché) ne le propose pas non plus. Privilégiez donc un répéteur qui offre cette option, et utilisez un outil (genre Wifi Analyzer sur Android) pour lister les canaux déjà utilisés dans votre maison. Une fois ces précieuses informations en main, procédez à quelques aménagements :
- si votre box est sur le canal 2, réglez le répéteur sur le canal 8 (loin, quoi)
- si vos voisins sont équipés en Wi-Fi aussi, essayez d’utiliser un canal relativement libre
Cela permettra de limiter la casse, mais votre connexion sera très dépendante de la qualité de la liaison Wi-Fi entre la box et le répéteur (spoiler alert : en général, ça ne marche pas super bien, sauf si vous accolez directement le répéteur à la box).
Bon, là, en l’occurrence, ça va être un peu compliqué… ^^
Prix : entre 20 et 40 euros, certains modèles proposant en plus de récupérer si besoin le réseau via un câble Ethernet, similaire à ce qu’on va voir dans le point suivant.
2. Point d’accès Wi-Fi / réseau filaire
Via câble Ethernet
Pour ceux qui ont le loisir de pouvoir tirer un câble réseau RJ45 de l’autre coté de la maison, pas de stress : choisissez un point d’accès Wi-Fi. Une prise réseau d’un côté, une (ou plusieurs) antenne(s) Wi-Fi de l’autre, et le tour est joué ! Notez toutefois que le choix d’un canal Wi-Fi optimal reste évidemment toujours un point crucial.
Quand on peut faire passer les câbles, c’est tout de suite mieux…
Prix : 25 euros pour un truc pas trop pourri.
Via CPL
Pour ceux qui ne peuvent pas tirer de câble Ethernet, et qui en plus ont des murs trop épais pour utiliser un répéteur Wi-Fi simple, il reste la solution du CPL (courants porteurs en ligne) :
- une prise CPL à brancher à côté de la box, qui se relie (généralement) via un câble Ethernet (il peut exister des prises CPL compatibles avec celui de la box, mais perso, je ne m’y risquerais pas)
- une prise CPL qui propose du réseau filaire (généralement) mais aussi du Wi-Fi
Attention toutefois à la présence de boîtiers de dérivation sur votre circuit électrique, ils ont tendance à faire changer l’impédance et risquent de drastiquement faire baisser la qualité de la bande passante.
Quand on ne peut pas faire passer un câble réseau, le CPL est une alternative à étudier.
Prix : ça commence à faire cher, puisqu’on passe à un budget autour de 50-70 euros pour un pack de deux prises.
Ça, c’était pour régler le problème du Wi-Fi (en tous cas, dans les grandes lignes). Maintenant, on va essayer de faire d’une pierre deux coups : un Wi-Fi plus efficace ET des fonctionnalités réseau avancées (comme une connexion en gigabit, par exemple).
3. Routeur Wi-Fi
Quand on choisit ce genre de solution, c’est pour remplacer tout ou partie des fonctionnalités de la box Internet fournie par votre FAI. Typiquement, pour remplacer un Wi-Fi moyen et un switch 100 Mbps par un Wi-Fi moderne et un switch gigabit. Pour ça, Il existe grosso modo deux solutions : un routeur en mode bridge ou en mode « full control », comprendre où l’on va utiliser toutes ses capacités, la box ne servant plus que de « tuyaux » pour fournir les données. Dans ce cas, c’est elle qui est en mode bridge. Et ça pose des problèmes, on va expliquer ça.
Routeur en mode bridge
L’idée est de conserver la box du FAI pour l’accès Internet de manière générale, et de rajouter un routeur sur le réseau pour bénéficier de fonctions avancées : c’est ce qu’on appelle le mode bridge (à ne pas confondre avec la box en mode bridge, dont on parle plus bas). Selon les options du firmware (le système d’exploitation du routeur), différentes configurations sont possibles, dont l’utilisation en répéteur Wi-Fi, comme vu plus haut. On a alors accès à des fonctions avancées, comme la limitation des heures d’accès pour vos têtes blondes, la création d’un sous-réseau pour diverses raisons, etc. On va rester sur des cas basiques, sinon vous savez déjà certainement comment tout ça fonctionne.
Principe de fonctionnement du routeur en mode bridge.
Les avantages sont nombreux :
- le routeur/pare-feu remplace le Wi-Fi de la box ou vient en complément de ce dernier
- il remplace éventuellement le switch 100 Mbps de la box (ou se place, encore une fois, comme un complément)
- il est généralement plus facile à configurer et offre plus d’options (c’est pour ça qu’on paye, généralement…)
Il faut juste trouver le routeur qui permettra de faire un mode bridge fonctionnel, car certains modèles n’en sont pas capables. Notez également que cette solution ne permet pas de remplacer les possibilités limitées de « firewalling » de la box Internet puisque cette fonction reste à la charge de la box. Notez également qu’il faut bien régler le routeur, pour éviter de complexifier le réseau local avec un double NAT (box + routeur). D’une manière générale, les paquets retrouvent pourtant souvent leurs petits, pas de panique, mais le mode bridge du routeur sert justement à éviter le problème.
Prix : ça démarre a 40 euros, mais des routeurs/pare-feux de qualité s’achètent en général à plus de 100 euros (surtout si vous voulez du gigabit) et ça monte à plus de 200 euros pour les Rolls.
Box en mode bridge
Dans ce cas, on va utiliser le routeur directement comme accès à Internet, la box ne servant plus que de modem pour contacter le FAI. Cela permet du coup d’avoir une solution de pare-feu moderne, avec un routage aux petits oignons. Ah, et accessoirement, ça va compliquer la tâche des FAI qui voudraient savoir ce que vous utilisez chez vous… Je ne voudrais pas faire exploser votre parano, mais si vous voyez tous vos appareils affichés sur votre box, eux aussi. Mais passons, parce que nous avons un autre souci avec cette option : de nombreux opérateurs commencent à livrer des produits incapables de faire ça simplement (Orange, SFR, etc.), ce qui oblige à passer un BAC +7 en réseaux&bidouillages et investir des sommes inappropriées pour que ça fonctionne. Avec généralement la perte des services TV et du téléphone au passage. On va se contenter des cas « faciles », ceux où l’option « mode bridge » est bien dans la box. Déjà que ça ne fonctionne pas si simplement chez certains (coucou Numericable)…
Il existe deux types de routeurs dans ce genre :
- les routeurs avec modem ADSL intégré, qui permettent d’éliminer la box, mais qui interdisent du coup souvent l’accès au téléphone et à la télévision, sauf certains modèles très avancés et très chers (et ça dépendra aussi de votre opérateur). De plus, il faut que votre fournisseur d’accès à Internet vous communique les informations de login (généralement au protocole PPPoE) pour configurer correctement votre routeur. Sauf cas très particulier, on utilise rarement cette solution, surtout depuis l’arrivée de la fibre !
Une config avec suppression totale de la box de votre FAI.
- les routeurs avec prise Ethernet WAN, qui permettent de conserver la box Internet, qu’on configure alors en mode bridge en laissant entièrement la main au routeur. Si vous avez de la chance, la télé et le téléphone fonctionnent toujours en passant par la box Internet (testé et approuvé par votre humble serviteur avec la v5 de la Freebox), mais si vous bidouillez pour passer outre l’absence de ce mode (ce qui peut se faire chez Orange), bon courage pour garder accès à ces services… Comme je le disais plus haut, de plus en plus de FAI ne proposent pas de box autorisant le mode bridge, rencardez-vous avant !
Remplacement quasi complet de la box de votre FAI, en conservant l’accès au téléphone et à la télévision.
Dans les deux cas, comme votre routeur est en direct sur le Net, je vous recommande de vérifier régulièrement si des mises à jour de firmware sont disponibles. Ça réduira les risques de mauvaises surprises et les visites intempestives de M. Pirate.
Le prix sera similaire au routeur en mode bridge, soit entre 40 et 60 euros pour les trucs très basiques. Avec modem ça grimpe très vite.
Ça pourrait être plus simple
On a pu voir que le routage en soi n’est pas très compliqué. La difficulté vient plus des choix à faire pour avoir un réseau efficace là où les FAI sont parfois à la traîne sur les technologies utilisées. Et donc bien comprendre ses besoins et les solutions existantes. Je n’ai pas proposé de modèle de routeur en particulier, parce que l’obsolescence de ces appareils est rapide. Mais n’hésitez pas à proposer vos modèles de prédilections dans les commentaires ou à poser des questions sur votre problématique. On en profitera pour noter que les opérateurs ne font pas grand-chose pour permettre le remplacement de leurs produits, et on comprend vite pourquoi : ils ne veulent pas perdre la main sur votre connexion et particulièrement sur votre box TV, qui devient une usine à vous vendre du contenu. Mais tout n’est pas perdu, il parait qu’Orange va peut-être rajouter un mode bridge officiel sur sa dernière box. On vous tiendra au courant si ça bouge de ce côté-là.
Note : cet article est l’équivalent de 4 à 5 pages de magazine. Il n’est possible de rédiger (ou plutôt écrire / réécrire / corriger / intégrer) des papiers de cette taille que grâce à nos soutiens PayPal, mais surtout à nos patrons. Oui, on sait, ce n’est pas le bon terme. Mais nous, ça nous fait rire. Et quand on reçoit des sous aussi, d’ailleurs. Du coup, merci à vous, qui mettez la main à la poche pour nous inciter à bien bosser ! Et si vous n’avez pas encore franchi le pas, pensez à soutenir Geekzone pour que nous puissions augmenter la cadence !
