Août 05 2021
Comment Remplacer la LiveBox Orange Fibre par un Cisco ASA
Vous souhaitez ajouter un firewall Cisco ASA (ou autre) derrière votre routeur Orange afin de filtrer le trafic ou monter des VPN? Est-ce vraiment utile de conserver la box dans ce cas?
La Livebox ne sert plus qu’à s’authentifier sur le réseau Orange, ce qui peut être fait sur le Cisco. De plus, elle introduit un SPF – Single Point of Failure – supplémentaire sur votre réseau. Autant s’en débarrasser complètement!
VLAN sur l’Interface Externe du Cisco
Orange connecte sa box à la fibre grâce à un adaptateur, la LiveBox n’a donc que des interfaces ethernet, tout comme le firewall.
En ce qui concerne la configuration, Orange fait passer 2 types de trafic – Internet et la téléphonie sur IP – sur des vlans dédiés:
– 835 pour la data
– 851 pour la téléphonie
Le réseau interne est sur le vlan 10 dans mon cas puisque j’ai plusieurs sous-réseaux, on aurait pu le laisser sur l’interface physique évidemment.
Il suffit donc d’ajouter le vlan 835 à l’interface externe comme ceci:
!
interface GigabitEthernet1/1
nameif outside
security-level 0
no ip address
!
interface GigabitEthernet1/1.835
vlan 835
nameif Internet
security-level 0
pppoe client vpdn group cpte_orange
ip address pppoe setroute
!
interface GigabitEthernet1/3
nameif local
security-level 100
no ip address
!
interface GigabitEthernet1/3.10
description reseau LOCAL
vlan 10
nameif vlan10
security-level 100
ip address 172.16.10.1 255.255.255.0
!
Authentification PPPoE
L’authentification se fait toujours avec le protocol PPPoE, héritage des modems/routeurs ADSL. Elle se configure plus bas en ajoutant les identifiants fournis par Orange.
L’adresse IP est ensuite obtenue par DHCP tout simplement.
vpdn group cpte_orange request dialout pppoe
vpdn group cpte_orange localname fti/abcdefg
vpdn group cpte_orange ppp authentication chap
vpdn username fti/abcdefg password *****
dhcp-client client-id interface outside
dhcpd dns 8.8.8.8
dhcpd lease 3000
dhcpd auto_config outside
!
Accès à Internet par NAT
A ce stade, le firewall a obtenu une adresse IP et peut communiquer avec l’extérieur.
Il ne reste plus qu’à donner accès à Internet au matériel situé sur le réseau interne via un NAT. J’ai ajouté quelques règles autorisant le ping, non permis sur les Cisco ASA par défaut. Vous avez maintenant remplacé votre Livebox Orange par un firewall Cisco ASA.
access-list outside_access_in extended permit ip any object lan10
access-list outside_access_in extended permit icmp any any echo-reply
access-list outside_access_in remark ICMP type 11 for Windows Traceroute
access-list outside_access_in extended permit icmp any any time-exceeded
access-list outside_access_in remark ICMP type 3 for Cisco and Linux
access-list outside_access_in extended permit icmp any any unreachable
nat (vlan10,outside) source dynamic lan10 interface
access-group outside_access_in in interface outside