Looking for Computer Science  & Information Technology online courses ?
Check my new web site: https://www.yesik.it !

Le ZyXEL Prestige P-660H-D1 [ Voir sur Amazon.fr] est un routeur-modem ADSL destiné au marché SOHO (Small Office/Home Office – Un segment de marché qui correspond aux entreprises de 1 à 10 employés.) . Malgré un prix abordable entre 50€ et 80€ c'est un appareil bourré de fonctionnalités et capable de s'adapter à de nombreuses situations. Comme beaucoup de produits ZyXEL (tous?) ce routeur est équipé de l'OS propriétaire ZyNOS, et il est possible de l'administrer à distance par telnet. C'est à dire sans passer par l'interface web. Pour moi, c'est un plus, car cela me permet d'accéder à l'ensemble des commandes – y compris les fonctionnalités avancées – sans perdre du temps à les rechercher au travers des différents écrans de l'interface web. En outre, la ligne de commande se révèle encore plus pratique quand on a plusieurs routeurs à administrer: en effet il est bien plus efficace de transférer un fichier contenant quelques commandes plutôt que cliquer à droite et à gauche dans l'interface graphique! Bref, c'est un argument qui m'a incité à tester ce routeur pour mon usage personnel...

Administration avec l'interface http

Bon, vous l'avez vu dans l'introduction, l'interface web, ce n'est pas ma tasse de thé. Mais c'est une des possibilités d'administration des routeurs de la famille P-660 – et accessoirement c'est la plus simple d'abord pour mettre en œuvre ce produit. Et je dois dire qu'en l'occurrence, malgré mes à prioris négatifs, celle-ci est plutôt bien faite et suffisamment conviviale pour permettre à tout à chacun de configurer la bête en quelques instants.

Piège:

JavaScript doit être activé sur votre navigateur pour configurer le ZyXEL à partir de l'interface http.

Comme-il-se-doit™, l'adresse IP par défaut du routeur est 192.168.1.1. Pour vous connecter à l'interface d'administration, il suffit donc une fois le P-660 raccordé à votre réseau de pointer votre navigateur web sur l'adresse http://192.168.1.1. A condition bien sûr que votre ordinateur soit sur le réseau 192.168.0.0 ou de jouer avec les netmask pour faire comme si.

Si vous ne voulez pas déconfigurer votre interface réseau juste pour la configuration initiale de votre routeur...

... il est également possible de modifier les tables de routage pour router des paquets IPv4 vers une machine dont l'adresse est sur un autre réseau. Je vous laisse suivre le lien précédent pour les détails.

P-660 login.png

Login sur P-660 — L'écran d'accueil de l'interface web d'administration du ZyXEL P-660. Avec la configuration d'usine, le mot de passe par défaut de l'administrateur est 1234. C'est la première chose que vous devrez changer! Le P-660 autorise aussi un autre compte dont le mot de passe est user pour la consultation des informations d'état sur le routeur. Aucune configuration n'est possible avec ce compte.



Attention:

Le navigateur et le routeur communiquent par http. Pas https! Par ailleurs, je n'ai pas fait une analyse très poussée du code, mais visiblement c'est un MD5 du mot de passe qui est transmis au modem ZyXEL lors de l'authentification. Si cela peut éviter la capture de votre mot de passe, comme aucun salt ne semble être utilisé, on peut envisager de rejouer la connexion en retransmettant le même hash.

P-660 Administrateur ou utilisateur.png

Administrateur ou utilisateur — Selon que vous vous êtes connecté avec le mot de passe administrateur ou le mot de passe utilisateur, vous avez accès à des informations différentes. Seul l'administrateur peut modifier la configuration.


Remarque:

Pour la suite je suppose que vous êtes connecté en administrateur.

Changer le mode de passe (ZyXEL P-660).png

Mot de passe (P-660) — La toute première chose à faire lors de la configuration de votre routeur est de changer le mot de passe administrateur. Accessoirement vous pouvez aussi changer le mot de passe utilisateur. L'idéal serait de faire cette manipulation avec le routeur directement relié à votre ordinateur, sans passer par le réseau... Pour modifier les mots de passe du ZyXEL P-660 cliquez sur Maintenance > Système. Ensuite, suivez les instructions à l'écran et cliquez sur Appliquer. Il va de soi que ces mots de passe sont à conserver précieusement!


Changer l'adresse IP sur le LAN (ZyXEL P-660).png

Changer l'adresse IP du P-660 — Une fois le mot de passe de votre routeur changé, vous souhaiterez peut-êche changer aussi son adresse sur le réseau local (LAN). C'est par cette adresse que les autres machines du réseau pourront y accéder. Si vous êtes dans une configuration de base (IP fixe du réseau 192.168.0.0 et/ou adresses fournies par le DHCP du routeur), ça ne sera pas nécessaire. Dans le cas contraire, il faudra aller dans Réseau > LAN et fixer les valeurs qui correspondent à votre cas particulier. Ainsi, dans la configuration ci-dessus, vous constatez que mon réseau est 10.0.0.0 et que le routeur y a l'adresse 10.129.36.245.


Configuration du WAN ADSL (ZyXEL P-660).png

Configurer le WAN sur P-660 — La dernière étape avant de pouvoir vous connecter à Internet est de configurer l'accès au WAN par l'ADSL. Dans Réseau > WAN renseignez les informations que votre fournisseur d'accès a dû vous transmettre. Vraisemblablement vous serez tout comme moi en PPPoA (Point-to-Point Protocol over ATM) . Par contre, remarquez que dans la copie d'écran ci-dessus j'utilise une adresse IP fixe. Si vous n'avez pas pris cette option – ou si vous ne savez pas ce que c'est – c'est sans doute que vous devez plutôt choisir Obtenir automatiquement une adresse IP.


A partir de maintenant, votre configuration devrait vous permettre l'accès à Internet. Il suffit de désigner votre tout nouveau routeur comme passerelle par défaut et comme serveur DNS pour les différents clients de votre réseau. Vous pouvez aussi vérifier l'activation des voyants DSL et Internet sur le routeur:

DSL
Cet indicateur est allumé si le routeur détecte une ligne DSL (au fait, vous avez bien branché le filtre sur la prise téléphonique?)
Internet
Cet indicateur est allumé une fois la connexion à votre FAI établie.

Si vous avez un problème, après avoir vérifié les différentes connexions, vérifiez à nouveau les informations saisies dans les différents écrans et assurez vous d'avoir à chaque fois cliqué sur Appliquer. Enfin, il se peut qu'un redémarrage du routeur soit nécessaire. Pour ce faire, allez dans Maintenance > Outils > onglet Redemarrage et cliquez sur Redémarrer.

Bien sûr, la configuration du ZyXEL P-660 ne s'arrète pas là. Il y a de nombreuses possibilités que vous pouvez explorer à l'aide du manuel. Mais pour la suite de cet article, je vais plutôt m'intéresser aux autres possibilités d'interface du P-660.

Explorer le ZyXEL P-660

Bon, il est maintenant temps de savoir ce que ce routeur a dans la peau. Première étape pour prendre contact, un petit nmap:

sh# nmap 10.129.36.245

Starting Nmap 4.62 ( http://nmap.org ) at 2010-09-21 14:55 CEST
Interesting ports on 10.129.36.245:
Not shown: 1711 closed ports
PORT     STATE    SERVICE
21/tcp   open     ftp
23/tcp   open     telnet
80/tcp   open     http
8080/tcp filtered http-proxy
MAC Address: 00:23:XX:XX:XX:XX (Unknown)

Nmap done: 1 IP address (1 host up) scanned in 6.613 seconds

Voici qui est intéressant: outre l'interface de configuration http et un proxy http pour le filtrage d'internet (ici visiblement désactivé), on voit aussi que les ports telnet et ftp sont ouverts.

Serveur ftp intégré

Telnet, c'est pour l'accès à ZyNOS en ligne de commande. Et ce sera l'objet de la fin de cet article. Mais ftp?

sh$ ftp 10.129.36.245
Connected to 10.129.36.245.
220  FTP version 1.0 ready at Tue Sep 21 15:54:02 2010
Name (10.129.36.245:sylvain): admin
331 Enter PASS command
Password: ******
230 Logged in
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> ls
200 Port command okay
150 Opening data connection for LIST 
--w--w--w-   1 owner    group         1723890 Jul 01 12:00 ras
-rw-rw-rw-   1 owner    group           49152 Jul 01 12:00 rom-0
?????226 File sent OK

Remarque:

La documentation de ZyXEL suggère admin comme identifiant de connexion. Mais, à l'usage, cet identifiant ne semble pas avoir d'importance du moment que vous fournissez le mot de passe de l'administrateur du routeur.

En fait, le serveur ftp permet d'accéder à la mémoire flash du routeur. Le fichier rom-0 est la configuration actuelle du routeur. Configuration que vous pouvez récupérer pour faire un backup ou pour copier sur une autre machine:

ftp> get rom-0
local: rom-0 remote: rom-0
200 Port command okay
150 Opening data connection for RETR rom-0
226 File sent OK
49152 bytes received in 1.84 secs (26.1 kB/s)

Le fichier ras (en écriture seulement) permet de mettre à jour le firmware. Le nouveau firmware est à copier dans ce fichier. D'après le manuel (je n'ai pas testé!) cela entraînera le redémarrage du routeur avec le nouveau firmware une fois la copie terminée.

Pour plus de détails sur l'utilisation du serveur ftp, je vous renvoie sur http://www.zyxel.co.uk/web/support_faq_detail.php?faqID=172&pid=20040812093058.

Serveur telnet

Enfin ce qui m'intrigue le plus depuis que j'ai passé commande de ce routeur: l'accès à ZyNOS en ligne de commande par telnet:

sh$ telnet 10.129.36.245
Trying 10.129.36.245...
Connected to 10.129.36.245.
Escape character is '^]'.

Password: *********
Copyright (c) 1994 - 2007 ZyXEL Communications Corp.
ras> 

Piège:

On ne peut pas utiliser l'interface web quand un utilisateur est connecté via l'interface telnet!

Vous pouvez avoir accès à la liste des commandes disponibles avec help:

ras> help
Valid commands are:
sys             exit            ether           wan               
ip              bridge          bm              lan    

On peut aussi utiliser le point d'interrogation pour obtenir des informations sur les options (sous-commandes) disponibles après une commande:

ras> wan ?
atm             node            hwsar           tr069             
callsch         backup          adsl            zeroCfg

Ceci m'indique que je peux utiliser les commandes wan atm, wan node, wan hwsar, etc.

ras> wan adsl ?
chandata        opmode          linedata        perfdata          
rateadap        reset           status          open              
opencmd         close           coinfo          targetnoise       
version         driver

Et je vois maintenant que j'ai à ma disposition les commandes wan adsl chandat, wan adsl opmode, etc.

Si l'aide intégrée est pratique pour se remémorez l'orthographe d'une sous-commande ou son emplacement, elle se révèle très vite limitée. Et vous risquez fréquemment de vous retrouver avec le message no help:

ras> wan adsl opmode ?
Usage: no help
Download ZyNOS CLI reference manual.png

Référence ZyNOS CLI — Les manuels de références pour les commandes ZyNOS sont disponibles en téléchargement sur le site de ZyXEL. Accessoirement vous pouvez aussi explorer le ftp ftp://ftp2.zyxel.com à leur recherche. Attention cependant, il existe plusieurs versions du manuel selon la version de ZyNOS que vous utilisez et le matériel considéré. Curieusement, on ne trouve pas de manuel pour tous les produits. Et certaines gammes sont même largement sous-représentées. C'est le cas pour les modems ADSL, ce qui est particulièrement gênant car les commandes spécifiques ne sont pas décrites dans les manuels d'autres produits. Au final, je me suis rabattu sur les deux seuls manuels disponibles pour la série P-660: P-660W-T1 v2_1.pdf et P-660HN-F1_1.pdf.

Bref, sans le guide des commandes CLI de ZyNOS, il est très difficile de faire quoi que ce soit. C'est d'autant plus dommage que les manuels ne sont pas sur le CD livré avec le routeur, et qu'ils ne sont pas si facile que ça non plus à dénicher sur le site du fabriquant (voir encadré ci-contre).

Avis aux apprentis sorciers:

ZyXEL met en garde contre l'utilisation à l'aveugle de commandes ZyNOS. Et d'autant plus à propos des commandes non documentées. En substance, ZyXEL nous avertit que faire n'importe quoi avec ZyNOS peut rendre le routeur inutilisable. Vous voici prévenus. En cas de doute, n'hésitez donc pas à vérifier deux fois la documentation! Raison de plus pour la télécharger dans les plus brefs délais...

Configuration du routeur en ligne de commande

Obtenir le numéro de version

Avant de poursuivre, j'insiste bien sur le fait que le P-660 est un produit de la gamme SOHO. Bref, pas nécessairement conçu dans l'idée que son propriétaire veuille l'administrer de façon très poussée. De ce fait, l'interface primaire est l'interface web. Ce qui a pour corollaire la pauvreté des informations spécifiques à l'interface CLI (Commande Line Interface – Interface en ligne de commande) pour ce modèle. Il faut donc faire avec la documentation d'autres modèles ou des informations en partie périmées glanées à droite et à gauche sur des forums. Accessoirement, vous aurez besoin de la version de ZyNOS installée sur votre routeur pour pouvoir rechercher par vous même de plus amples informations. Voici la version de ZyNOS installée d'usine sur le routeur lors de mon achat:

ras> sys ver
ZyNOS version: V3.40(ATN.0) | 01/18/2007
romRasSize: 1723890 
system up time:   119:02:27 (28de963 ticks)
bootbase version: V1.06 | 1/20/2006

Changer le mot de passe administrateur

Passons maintenant aux commandes essentielles pour mettre en œuvre votre routeur de la famille ZyXEL P-660. Tout d'abord, comme nous l'avions fait plus haut au moment de décrire l'interface http, la première opération sera de changer le mot de passe administrateur. Une fois connecté par telnet à votre routeur:

ras> sys adminPassword XXXXXXXX
save ok

Attention:

Petit rappel: tous les échanges de données entre le client et le serveur telnet passent en clair sur le réseau!

Autrement dit, si quelqu'un sniff la ligne entre votre ordinateur et le routeur, il va voir passer votre mot de passe en clair. Et même en Ethernet commuté vous n'êtes pas à l'abri par exemple d'une attaque de type man-in-the-middle. Je vous conseille donc lors de l'utilisation de telnet, soit d'être relié directement au routeur hors réseau, soit d'envisager de sécuriser un minimum la communication entre les deux. Par exemple en établissant un tunnel SSH vers une machine plus proche du routeur et en configurant votre réseau pour éviter au mieux les fuites possibles de données en clair entre ces deux points. Dommage tout de même qu'il ne soit pas possible d'avoir du SSH de bout en bout avec ce routeur. D'autant plus que sur les versions de ZyNOS livrées avec d'autres produits (ZyWALL) c'est possible...

Modifier l'adresse IP du routeur

Si changer le mot de passe est une opération instantanée, modifier la configuration LAN est un peu plus complexe, puisqu'il faut procéder en trois étapes:

  1. d'abord charger la configuration à modifier (commande lan index ...);
  2. faire les modifications (commandes lan ...);
  3. et enfin sauvegarder cette configuration (commande lan save).

L'avantage, c'est qu'aucun changement n'est pris en compte tant que vous n'avez pas sauvegardé. Ce qui finalement peut être pratique quand vous changez l'adresse IP de votre routeur...

L'interface LAN principale est enif0 et correspond à l'index n°1 dans la liste des interfaces de ZyNOS. Et voici comment changer l'adresse IP du routeur:

ras> lan index 1
enif0 is selected
ras> lan ipaddr 10.129.35.245 255.255.255.0
ras> lan save

Huh?

Ah,ben oui, forcément! Si vous changez l'adresse IP du routeur, la connexion telnet est interrompue...

Il est donc normal qu'après la sauvegarde de la configuration votre client telnet bloque. Il ne vous reste qu'à le terminer, et à vous reconnectez en utilisant la nouvelle adresse de votre routeur. Il semblerait aussi que le routeur soit inaccessible quelques instants après ce changement d'adresse. Si la connexion avec telnet ne fonctionne pas tout de suite, armez-vous donc d'un peu de patience et retentez quelques secondes après...

A tout moment, il est possible de vérifier la configuration avec la commande lan display:

 sh$ telnet 10.129.35.245
...
ras> lan index 1
ras> lan display
Active: Yes
Interface: enif0
IP Address: 10.129.35.245
Subnet Mask: 255.0.0.0
RIP Direction: None
RIP Version: RIP-2B
Multicast: None
Protocol Filter Set:
Incoming:   0  0  0  0
Outgoing:   0  0  0  0
Device Filter Set:
Incoming:   0  0  0  0
Outgoing:   0  0  0  0

Rebooter

En tripatouillant la configuration IP du ZyXEL P-660 il m'est arrivé une ou deux fois de me retrouver dans des situations curieuses où le routeur ne répondait plus aux pings/aux tentatives de connexion telnet venant de certaines machines ou encore ne permettait qu'à certains clients d'accéder à internet. Je soupçonne un problème de routage – mais je n'ai pas eu le temps de pousser plus loin mes investigations pour savoir s'il s'agissait d'un bug ou simplement d'une fausse manipulation de ma part. Toujours est-il que je dois avouer avoir eu besoin de rebooter l'engin:

ras> sys reboot

Configuration de l'accès ADSL

Le ZyXEL peut mémoriser plusieurs configurations pour l'accès ADSL. L'idée étant d'avoir une configuration principale et une de secours (backup) sur laquelle facilement basculer en cas de besoin. Tout comme dans le cas du LAN, il faut d'abord charger la configuration à modifier, faire ses modifications puis sauvegarder. Sur ce modèle, la configuration 1 correspond à la configuration normale. Et la 9 (que je n'illustrerai pas) correspond à la configuration de secours.

ras> wan node index 1

ras> wan node ppp username sylvain@XXXXXX
ras> wan node ppp password ********
ras> wan node wanip static 80.80.80.80
ras> wan node ispname MonFAI

ras> wan node save

Remarque:

Si la documentation ne fait explicitement référence qu'aux configurations d'index 1 et 9, il semblerait que d'autres soient disponibles:

ras> wan node index 2
ras> wan node disp
WAN node index = 2
Active = yes
Route IP = on
Bridge = off
Name = 
Encapsulcation <2:PPPoE|3:RFC1483|4:PPPoA|5:Enet Encap> = 0
Mux <1:LLC|2:VC> = 0
VPI/VCI = 0 / 0
PPPoE service name = 
PPP username =  
PPP password =  
PPP authentication <1:PAP|2:CHAP|3:BOTH> = 3
SUA/NAT is enabled, NAT lookupset = 255
Dynamic IP address 
WAN IP address		  = 0.0.0.0
Remote IP address	  = 0.0.0.0
Remote IP subnet mask = 0.0.0.0
Idle timeout = 100
Call scheduling set =   0  0  0  0
Nailed-up connection = off
QOS Type <2:CBR|3:UBR|4:VBR_nRT|5:VBR_RT> = 0
QOS PCR/SCR/MBS =     0,    0,    0
RIP direction <0:none|1:both|2:in|3:out>= 1
RIP version <0:RIP-1|1:RIP-2B|2:RIP-2M> = 1
Multicast <0:IGMP-v2|1:IGMP-v1|2:none>	= 2
Incoming protocol filter set =   0  0  0  0
Incoming device filter set   =   0  0  0  0
Outgoing protocol filter set =   0  0  0  0
Outgoing device filter set   =   0  0  0  0

Remarque:

Si vous voulez intervenir sur plusieurs configurations, vous devez libérer la mémoire avant de changer:

ras> wan node index 3
Je travaille sur la config 3. Eventuellement sauvegardée avec wan node save
ras> wan node index 1
Need to free memory first!
Oups: je dois libérer la mémoire avant...
ras> wan node freememory
Memory freed!
ras> wan node 1
Prêt à travailler sur la config 1

C'est fini?

À ce stade, l'accès internet par l'ADSL devrait être opérationnel. De ce point de vue, la configuration du ZyXEL P-660 est terminée. Je dois aussi dire que la configuration par défaut de firewall intégré est telle que votre réseau est raisonnablement protégé. Néanmoins, au delà d'un simple usage domestique, vous aurez sans doute besoin d'ajuster la protection à votre besoin spécifique, ce qui me laisse matière à d'autres articles...

Conclusion

Pour terminer, j'ai mon P-660 opérationnel depuis une dizaine de jour, et je dois dire que j'en suis satisfait. Je m'en sert pour mon usage domestique avec juste quelques ordinateurs réliés au réseau local et un trafic peu important. Je ne saurais donc présager du comportement de ce produit lors de la montée en charge. Par contre, dans mon contexte, il s'est révélé jusqu'à présent très stable et ses performances sont parfaitement compatibles avec un accès ADSL2+. Par ailleurs, il faut souligner les possibilités de configuration très au delà des éléments de base présentés ici. C'est assez impressionnant pour un routeur de cette gamme de prix. Le seul vrai bémol, et que j'ai déjà souligné plus haut, étant l'absence d'interface SSH. Mais somme toute cela reste un très bon routeur à recommander!

Références