Problème de NAT avec un Routeur Asus AC-87u


Badge +3
Bonjour,


Depuis environ 10 jours, je suis l'heureux propriétaire d'un routeur Asus RT-AC87u et j'en suis très fier. Depuis que j'ai passé le Technicolor en mode Bridge (avec WiFi désativé), plus aucun décrochage, connexion parfaitement stable H24.

Cependant, étant un joueur sur Rainbow Six Siège sur PC, auparavant, en activant l'UpNp, mon NAT passait de "Modéré" à "Ouvert". Depuis que j'ai le routeur Asus, mon NAT reste en "Modéré" même en ouvrant les ports manuellement. :/

Je précise que le AC-87u tourne sur le firmware custom de Merlin, à savoir la version 380.67_0 .
Je précise que je ne suis pas en CGN, vu que mon IP commence par 95.18x.xxx.xx.


J'espère que vous allez pouvoir m'aider à résoudre ce problème.



Un bon weekend à tous !

17 commentaires

Niveau d'utilisateur 2
Badge +3
bonjour
sur votre routeur asus en plus d ouvrire les port avez vous l option transfere de port?
--si oui alors ajouter 0.0.0.0/0 ip source any ( sauf si vous conaiser exactement toute les ip rainbow six sur pc ) alors les ajouter manuelement
--destination externe (wan) le port voulu exemple pour rainbow six siege xbox one port udp 10000:10099
--destination interne (lan) ip de destination votre ip utiliser sur pc pour vous conecter a rainbow
-- puis activer la redirection
en simple ip source 0.0.0.0/0 --->port utiliser 10000 udp ----destination externe (wan1) ---->port utiliser 10000 udp------destination interne ip (lan)----->port utiliser 10000 udp
normalement vous paserez en nat ouvert
mais atention cette regle ouvre votre parfeu sur se port
pour plus de securiter
il est preferable de ne pas metre 0.0.0.0/0 any ip et de metre les vrai ip utiliser par le jeux et de refaire chaque regle pour chaque ip
Niveau d'utilisateur 7
Badge +12
Hello
Vous devez simplement autoriser l' uPNP pour les ports inférieurs à 1024 dans les réglages du firmware merlin. Le jeu a normalement besoin des ports 80 et 443 entre autres : Attention de vérifier qu'ils ne soient pas utilisés par exemple par Aicloud ou d' autres services internes asus ou externes comme le psn etc...
Badge +3
Bonjour,


Merci pour vos aides apportés. J'ai trouvé par moi-même la solution. Il suffisait que je désactive le QoS. Depuis lors, le NAT est tout le temps ouvert.

Cependant j'ai un autre petit "kwak". Quand je test l'IPV6, j'ai l'ICMP qui est en "filtered". Savez-vous d'où cela pourrait venir ?



Bonne semaine 🙂
Niveau d'utilisateur 7
Badge +12
Hello,
Ce n'est pas vraiment un problème "grave" et ca peut être lié à votre pc / navigateur ou système d'exploitation et pas forcément du routeur à moins que votre config ipv6 soit incorrecte ... Je n'ai pas ce problème avec le même routeur.

Badge +3
Hello,

Perso j'ai laissé sur le routeur tout par défaut lorsqu'on active l'IPV6. Vers 18h, j'avais 20/20 et là maintenant comme avant ICMP filtered et 18/20 du coup .... je comprends pas :(


Serais-ce possible que vous partagez vos paramètres (en privé si cela vous dérange ?)




Bonne soirée 🙂
Niveau d'utilisateur 7
Badge +12
Mes paramètres sont ceux par défaut une fois placés sur l'option ipv6 native..,
Si vous avez installé le firmware merlin sur le firmware original vous devez normalement effectuer un "clear nvram" afin d'effacer tous les paramètres antérieurs du routeur. Je pourrais vous poster une capture de mes reglages demain fin de matinée car la je suis en mobile .
Badge +3
Hello Roylion15,

En tout cas, merci pour ton aide, c'est sympa 🙂 J'ai remarqué un truc : tous mes ordi aussi bien en cablé qu'en Wifi avec les pc portables, l'ICMP est en filtered. Par contre quand je fais le test sur mon Galaxy S7 en Wifi également, là pas de soucis 20/20. Je sais pas d'où cela pourrait venir.


As-tu une idée ?




Bonne journée :)



EDIT : J'ai trouvé, c'est tout simplement le pare-feu Windows qui faisait des siennes. Je l'ai désactivé et hop plus de soucis ! En tout cas, si des gens recherchent un routeur, n'hésitez pas le AC-87u est parfait sur le réseau VOO !
Niveau d'utilisateur 7
Badge +12
Oui pour info chez moi c'est des 8.1 pro 64 bits mais mes pare feu Windows sont activés
Je vous l'avais dit plus haut que le souci ne venait pas du routeur ...
bonne journée
Badge +3
Hello Roylion15,


Chez moi mon ordi (i7 4770k @ 4.6GHZ - 16Go RAM - GTX 1080) tourne sur un Windows 10 Pro en 64 bits. Je trouve cela étonnant qu'il faut désactiver le firewall pour résoudre ce problème ... mais bon :p


Allez bonne journée à tous 🙂
Niveau d'utilisateur 7
Badge +12
Hum, votre pare-feu bloque peut être bien les requêtes "ICMP" en IPV6... Vous pouvez pallier à cela en les autorisant dans le pare feu windows: Je vous suggère de suivre ce tutoriel (en anglais) qui est très explicite via les captures d'écran et fonctionne sous Windows 7,8,10 sans souci ...
https://www.howtogeek.com/howto/windows-vista/allow-pings-icmp-echo-request-through-your-windows-vista-firewall/
Niveau d'utilisateur 5
Badge +7
Hello,

Quelques infos. Naturellement, les anti-virus bloquent les requêtes ICMP (IPV4 et IPV6), c'est une 'bonne pratique', en IPV4 surtout, car on peut alors éviter de localiser un ordi en vérifiant s'il répond... sur un linux par exemple, on peut pinger tout un réseau en 1 seule commande, il suffit ensuite de voir qui répond ...
Par contre, pour IPV6, c'est différent. Normalement, ICMP est partie intégrante des mécanismes de contrôle du protocole. Il est réellement utile (mais pas indispensable) de laisser passer les icmp V6, notamment pour permettre la découverte du meilleur MTU. En général, sur les connexions 'privées', pas de soucis, entre 1450 et 1500 et les portes réseaux faisant face aux clients sont souvent dimensionnées sur ces valeurs... donc, pas de soucis...
Mais pour être 'IPV6 compliant', il faut laisser passer les ICMP et contrairement à l'IPV4, IPV6 n'est pas aussi vulnérable à la découverte par IP scan .. il y a trop à scanner 🙂

Boai.
Niveau d'utilisateur 7
Badge +12
Effectivement, bien résumé et personnellement je n'ai pas installé d'antivirus tierce juste le Windows defender et MBAM me suffisent sur mes postes, apparemment pas de soucis avec ICMPv6 dans ma configuration serveur/clients ...
Niveau d'utilisateur 2
Badge +3
bonsoir
je n utilise pas ipv6 j aurais certainement mis une regle comme cela
# Anti-spoofing
ip6tables -A INPUT ! -i lo -s ::1/128 -j DROP
ip6tables -A INPUT -i $WAN_IF -s FC00::/7 -j DROP
ip6tables -A FORWARD -s ::1/128 -j DROP
ip6tables -A FORWARD -i $WAN_IF -s FC00::/7 -j DROP

avec un filtre sur les port source pour definire la bonne destination
ces plus au moins le meme principe que ipv4 192.168.0.0/16 -127.0.0.0/8 ect....

avec ipv6 ses encore plus compliquer il prend en compte ausi ipv4 interne externe et le local
je pense qu il faudrai une regle de ipv4 interne qui refuse ipv6 externe mais de numerotation local
en esperant que se que je vien de marquer est comprehensible
Niveau d'utilisateur 5
Badge +7
hello hk01,

Pourquoi vouloir mélanger IPV4 et IPV6, non, ce sont 2 protocoles totalement différent. Les règles IPV6 doivent être pour ipv6 uniquement et les règles ipv4, uniquement ipv4.
La seule chose qui est, pour le moment, commune parfois, c'est le DNS ou une requête DNS peut comporter des retours vers des adresses IPV6 ou des adresses IPV4 sachant qu'au niveau des piles TCP des PC (la majorité), l'IPV6 est préféré quand elle est connue, cela permet d'assurer une transition 'la plus transparente' possible entre IPV4 et IPV6.

Boai.
Niveau d'utilisateur 2
Badge +3
bonjour Boai
peut etre je me trompe mais ipv6 ne prent il pas la prioriter sur ipv4 quand il est activer?
je veux dire oui ses 2 interface diferente comme tu l explique
le retour dns peut il etre du a l adresse mac ?

desoler de te poser des question mais pourquoi ipv6 ne marche pas sen ipv4 alors qu il utilise 2 protocole different ?
ses cela qui me perturbe et jen revien a l adresse mac de la carte reseau qui elle existe sur les 2 protocole ....
l informatique est vraiment trop vaste
et je suis consien d etre un grain de sable dans le deser que represente l informatique
Niveau d'utilisateur 5
Badge +7
Hello hk01. Oui et non concernant la priorité. En fait, il est difficile d'obliger une machine (vu toutes les différentes versions qui existent, anciennes, linux, mac, solaris, unix, .... ) a d'abord essayé en IPV6. En fait, tout se fait au niveau DNS pour le moment. Normalement, dans les stack TCP/IP des machines, quand une requête DNS est envoyée, elle est normalement envoyée d'abord sur le DNS avec une IPV6 s'il existe, ensuite ipv4, mais ce n'est pas suffisant. Dans la réponse du DNS, par exemple, tu peux obtenir soit une IPV6, soit un IPV4, soit les
2. Dans ce cas (les 2), l'IPV6 est d'abord préférée... si pas de réponse, le stack utilise IPV4.

Ensuite, il ne faut pas confondre les moyens mis en place pour communiquer et les protocols. Par exemple, que ce soit en IPV6 ou IPV4, en Ethernet, c'est la mac adresse de la carte réseau qui identifie la machine sur le réseau. En IPV4, c'est le protocole ARP qui est utilisé pour résoudre ce problème (faire correspondre une IPV4 avec un mac, en IPV6, ARP n'est plus utilisé, mais un nouveau protocole 'neighbor sollicitation'. Le principe est identique, mais la fonctionnalité est un peu différente. Au final, le but est toujours de savoir quelle machine a quelle IP.

Donc, si, IPV6 fonctionne de manière tout à fait indépendante de IPV4. Le problème est au niveau DNS. Je n'ai pas vérifier si Voo était 100% ipV6, mais proximus par exemple, ne l'est pas encore. Cela veut dire que le DNS est toujours IPV4. Donc, ce qui se passe:

- Le PC veut faire une requête sur le net -> il commence par une requête DNS -> dans le mécanisme, il vérifie s'il connait un DNS V6, si oui, il essaye en V6, si non, il essaye en V4. Quand il reçoit la réponse DNS, il utilise d'abord une réponse IPV6 (car un DNS V4 peut envoyer une réponse avec un IPV6) si il y en a une, sinon, IPV4. Le truc c'est qu'on parle toujours de DUAL stack (IPV4/ IPV6) mais on pourrait très bien avec une carte ethernet configurée uniquement IPV4, et une autre uniquement IPV6 (donc, le dual stack ici ne serait jamais actif en mode 'dual', mais toujours sur une seule technologie) et là, on verra que sur chacune des ethernet, seul le trafic V4 ou V6 passe, ils ne seraient jamais mélangé.

Si tu veux en savoir plus, cherche les RFC IPV4 et IPV6 sur le site (https://www.ietf.org/rfc.html) .... c'est un peu long et chiant à lire (et en anglais), mais ce sont les descriptions officielles des protocols sur le net (cela ne veut pas dire que les implémentations sont 100% identiques aux RFC, mais elles devraient ... )

Boai
Niveau d'utilisateur 2
Badge +3
merci
je vais lire ce sujet
sur les RFC aussi je suis en étude amateur.

Commenter