Variantes NAT
Lors de l'utilisation de votre propre pare-feu ou d'une passerelle de sécurité derrière une Centro Business, différents modes de fonctionnement sont disponibles. Le choix du bon mode est crucial pour la stabilité du réseau, la compatibilité VPN et l'utilisation des services Swisscom supplémentaires tels que blue TV ou le backup Internet.
Ce guide compare les cinq méthodes disponibles : IP-Passthrough, PPP-Passthrough, DMZ, 1:1 NAT et Redirection de port. Il sert de base de décision aux spécialistes IT pour assurer la connexion optimale de leur propre infrastructure au réseau Swisscom.
Aperçu
| Fonctionnalité | IP-Passthrough | PPP-Passthrough | DMZ | 1:1 NAT | Redirection de port |
|---|---|---|---|---|---|
| WAN-IP Host | 172.31.255.6 | IP publique | IP publique | IP LAN privée | IP LAN privée |
| MTU Size | 1500 | 1492 | 1500 | 1500 | 1500 |
| Login (PPPoE) | Centro Business | Propre pare-feu | Centro Business | Centro Business | Centro Business |
| Pare-feu Centro Business | Inactif | Inactif | Pare-feu DMZ | Pare-feu LAN | Pare-feu LAN |
| Affectation des ports | Port 1*/5** | Port 1*/5** | Port 1*/5** | N'importe lequel | N'importe lequel |
| Nb d'IP fixes nécessaires | aucune | min. 1 IP fixe | min. 4 IP fixes | min. 4 IP fixes | min. 4 IP fixes |
| Internet Backup | Oui | Non | Oui | Oui | Oui |
| Blue TV | Oui | Oui avec restrictions*** | Oui | Oui | Oui |
* Centro Business 2.0 / ** Centro Business 3.0
* La radio ainsi que toutes les applications comme Netflix, Youtube, etc. ne fonctionnent pas
DMZ / Adresses publiques
Ce mode permet l'attribution directe d'adresses IP publiques à des terminaux internes sans aucune intervention NAT.
-
Condition préalable : Nécessite l'option payante "Adresses IP fixes" avec un sous-réseau d'au moins 4 adresses IP statiques (par ex. un réseau /30).
-
Fonctionnement : Une adresse IP publique du sous-réseau loué est attribuée à un appareil spécifique (par ex. serveur ou pare-feu). La Centro Business agit alors comme un routeur de couche 3 transparent pour ce sous-réseau.
-
Sécurité : Pour protéger le réseau interne, l'accès depuis la DMZ vers le LAN local (sous-réseau par défaut du routeur) est bloqué par défaut.
-
Avantages : Pas de conflits de paquets liés au NAT, MTU complète de 1500 octets et support complet du backup Internet Swisscom (failover LTE).
Cliquez ici pour la page DMZ (Adresses publiques).
IP-Passthrough (cas particulier Swisscom)
Dans ce processus, la Centro Business termine la connexion Internet, mais transmet le trafic via un réseau de transfert dédié au pare-feu en aval.
-
Mise en œuvre technique : Swisscom utilise pour cela un sous-réseau de transfert (172.31.255.4/30). Le pare-feu en aval est configuré avec l'IP statique 172.31.255.6, tandis que la Centro Business effectue un NAT 1:1 automatique de l'IP publique vers cette adresse.
-
Avantages : Support complet de la MTU standard de 1500. De plus, tous les services basés sur le routeur tels que la VoIP et blue TV restent pleinement fonctionnels sans configuration supplémentaire.
-
Particularité : Contrairement aux implémentations standards, le pare-feu ne voit pas l'IP publique sur l'interface WAN, mais l'IP du réseau de transfert. Ceci doit être pris en compte lors de la configuration du VPN (NAT Traversal).
Cliquez ici pour la page IP-Passthrough.
PPP-Passthrough (PPPoE)
Annonce
L'utilisation du PPP-Passthrough sera progressivement abandonnée au cours des deux à trois prochaines années, car le procédé PPPoE est considéré comme obsolète et est de moins en moins supporté par les infrastructures réseau modernes.
Notre recommandation :
Remplacer ce besoin à moyen terme par la fonction DMZ ou l'IP-Passthrough.
Dans ce mode, la Centro Business agit comme un intermédiaire transparent pour le protocole PPPoE (Point-to-Point Protocol over Ethernet).
-
Configuration : Le pare-feu en aval se charge de la connexion active au réseau Swisscom en utilisant les données d'accès du fournisseur d'accès (nom d'utilisateur/mot de passe).
-
Avantage : Le pare-feu reçoit l'adresse IP publique directement sur son interface WAN, ce qui simplifie la gestion des points de terminaison VPN et des ouvertures de ports.
-
Inconvénient : La taille des paquets utilisable est réduite à une MTU de 1492 en raison de l'overhead du protocole. Sans un ajustement correct (MSS Clamping), cela peut entraîner des pertes de performance importantes ou des interruptions de connexion.
-
Statut : Ce procédé est considéré comme obsolète et ne sera plus supporté à moyen terme dans le cadre d'un retrait progressif.
Cliquez ici pour la page PPP-Passthrough.
1:1 NAT (Standard)
Le NAT 1:1 associe de manière fixe une adresse IP privée interne à une adresse IP publique externe. Contrairement au Port Forwarding classique (PAT), tous les ports et protocoles sont transmis de manière transparente.
-
Communication bidirectionnelle : L'association entre l'adresse privée et l'adresse publique reste permanente :
-
Inbound : Le trafic entrant vers l'IP publique est entièrement redirigé vers l'IP interne spécifique.
-
Outbound : Le trafic sortant de l'hôte interne apparaît sur Internet de manière cohérente sous l'IP publique attribuée.
-
Cliquez ici pour la page 1:1 NAT.
Redirection de port
La redirection de port est la méthode la plus courante pour rendre accessibles des services spécifiques d'un hôte interne (par ex. serveur web sur le port 80/443) via l'IP publique de la Centro Business.
-
Fonctionnement : Les demandes de connexion entrantes vers l'adresse IP publique du routeur sont redirigées vers une adresse IP privée interne spécifique sur la base d'un numéro de port défini.
-
Sécurité : Contrairement aux modes DMZ ou Passthrough, le pare-feu de la Centro Business reste actif. Seul le port explicitement autorisé est ouvert ; le reste du trafic vers l'hôte interne reste bloqué.
-
Limitation : Comme l'adresse IP publique est partagée (Port Address Translation - PAT), un port spécifique (par ex. TCP 443) ne peut être redirigé que vers un seul appareil interne à la fois.
Cliquez ici pour la page Redirection de port.