By Boris Mallach

Transformer un ASUS RT-BE92U en Forteresse Numérique (AsusWRT ➡️ Merlin)

Transformer un ASUS RT-BE92U en Forteresse Numérique (AsusWRT ➡️ Merlin)
Photo by Marek Piwnicki / Unsplash

Il arrive un moment dans la vie de tout administrateur réseau où l'équipement fourni par le fournisseur d'accès internet (aussi véloce soit-il sur le papier) finit par ressembler à un hamster asthmatique tentant de faire tourner une roue de tracteur. C'est à ce moment précis qu'entre en scène l'ASUS RT-BE92U, un monstre Wi-Fi 7 taillé pour le 10G.

Source : https://www.asus.com/fr/networking-iot-servers/wifi-7/all-series/asus-rt-be92u/

Mais un tel matériel ne dévoile son potentiel qu'à condition d'être dompté. Ce tutoriel détaillé vous guidera pas à pas pour configurer ce routeur dans les règles de l'art, d'abord sur son firmware d'origine pour poser des fondations en béton armé, puis vers le firmware alternatif Asuswrt-Merlin pour débloquer sa véritable puissance de feu.

Sortez les câbles Cat 6A, on commence.

PARTIE I : L'Âge de Raison (Optimisation sous AsusWRT Officiel)

L'objectif ici n'est pas de cocher toutes les cases de l'interface graphique pour faire joli, mais d'obtenir un réseau local avec une latence sub-15ms et un débit capable de saturer les ports 2.5G et 10G.

Le Socle Filaire et l'Évasion du Double NAT

La première étape consiste à reléguer la box de votre opérateur au rang de simple convertisseur optique.

  • Le Mode Bridge : Passez la box opérateur en mode "Bridge".
  • Le Câblage : Reliez le port haut débit de la box (généralement SFP+ ou 10G RJ45) au port WAN 10G de l'ASUS.
  • Le Cas de l'IPv6 : Si la connexion IPv6 semble capricieuse en mode bridge, fuyez le réglage automatique. Allez dans le menu IPv6 de l'ASUS, choisissez Statique, et renseignez manuellement l'adresse du routeur et le préfixe délégué, sans oublier de configurer le Next Hop sur l'interface de votre box opérateur si nécessaire.

Résolution DNS : Reprendre le Contrôle

Laissez les serveurs DNS de Google ou de votre opérateur tranquilles. Pour un réseau digne de ce nom, un résolveur DNS local (comme AdGuard Home ou Pi-hole) hébergé sur un serveur ou un Raspberry Pi est indispensable.

  • Dans l'interface ASUS, naviguez vers Réseau Local (LAN) > Serveur DHCP.
  • Dans le champ Serveur DNS 1, entrez l'adresse IP statique de votre résolveur local (ex: 192.168.50.10).
  • L'astuce de pro : Laissez le champ Serveur DNS 2 vide. Si vous renseignez un DNS public en secours, les appareils de votre réseau auront la fâcheuse tendance à contourner votre bloqueur de publicités à la première occasion.

Wi-Fi 7 : La Chasse au "Bufferbloat" et à la Latence

C'est ici que l'on sépare les professionnels des amateurs. Le firmware officiel regorge d'options "intelligentes" qui, en réalité, détruisent la latence (ping) et provoquent des micro-coupures. Voici l'opération chirurgicale à effectuer dans le menu Réseau sans fil :

  • Désactiver le Smart Connect : Ne laissez jamais le routeur fusionner les bandes 2.4, 5 et 6 GHz sous un même nom. C'est la garantie de voir les appareils sauter d'une fréquence à l'autre en générant d'énormes pics de latence. Créez trois réseaux distincts.
  • Le 2.4 GHz (Le paradis de l'IoT) : Fixez la largeur de canal strictement sur 20 MHz et choisissez le canal 1, 6 ou 11. Les objets connectés ont besoin de stabilité, pas de vitesse.
  • Le 5 GHz et 6 GHz (L'autoroute) : Activez les largeurs massives de 160 MHz (pour le 5G) et 320 MHz (pour le 6G).
  • Les "Tweaks" Professionnels (L'étape cruciale) : Dans l'onglet Professionnel, désactivez impérativement :
    • L'Assistant d'itinérance (Roaming Assistant) : Empêche le routeur d'éjecter violemment vos appareils mobiles lorsqu'ils s'éloignent un peu.
    • Target Wake Time (TWT) : Cette option d'économie d'énergie désynchronise souvent les requêtes et fait exploser le ping à plus de 100 ms sur certains smartphones. Coupez-la.
    • Airtime Fairness : À désactiver pour éviter que le routeur ne bride artificiellement vos PC performants.

Segmentation : Le "Guest Network Pro"

Un réseau sécurisé est un réseau cloisonné. L'aspirateur robot n'a aucune raison de pouvoir communiquer avec le serveur NAS de la famille.

  • Utilisez le menu Guest Network Pro pour créer un profil Réseau IoT (VLAN dédié).
  • Connectez-y toute la domotique. L'ASUS isolera ce trafic du réseau principal (celui où transitent vos données sensibles et vos accès d'administration), tout en leur laissant un accès à internet.

PARTIE II : L'Ascension (Passage sous Asuswrt-Merlin)

Le firmware officiel est excellent, mais il reste une interface grand public. Si l'objectif est d'ajouter des listes de blocage IP massives (plus de 100 000 adresses bloquées à la source), le pare-feu natif d'AsusWRT rendra l'âme.

Il est temps de passer sous Asuswrt-Merlin, le firmware communautaire qui conserve l'accélération matérielle d'origine tout en débloquant l'accès à un véritable terminal d'administration.

Le Flash

Puisque le RT-BE92U est extrêmement récent, il faut souvent se tourner vers les versions Beta de Merlin, qui intègrent le code source le plus frais.

  1. Téléchargez la dernière version Beta de Merlin correspondant au BE92U.
  2. Allez dans Administration > Mise à jour du firmware et injectez le fichier.

AMTM : La Boîte de Pandore

Une fois reconfiguré, la magie de Merlin opère en ligne de commande.

  • Activez le service SSH dans le menu Administration.
  • Connectez-vous au routeur via un terminal (ex: PuTTY ou le terminal de votre système).
  • Branchez une clé USB formatée en ext4 à l'arrière du routeur.
  • Tapez simplement la commande amtm.

Vous voici devant l'Asuswrt-Merlin Terminal Menu. C'est d'ici que tout se gère.

Skynet : Le Bouclier Thermonucléaire

C'est la raison principale du passage sous Merlin. Skynet est un script de pare-feu avancé qui utilise la fonction ipset du noyau Linux. Contrairement à un pare-feu classique qui lit les règles une par une, ipset crée une table de hachage.

Résultat ? Vous pouvez intégrer des listes de blocage contenant des centaines de milliers d'adresses IP (botnets, réseaux malveillants, serveurs de télémétrie) sans utiliser la moindre ressource processeur, préservant ainsi vos 2,4 Gb/s de bande passante.

  • Dans le menu amtm, tapez i pour installer un script.
  • Choisissez Skynet et suivez les instructions à l'écran (le script formatera la clé USB pour y créer une partition d'échange et y stocker sa base de données).
  • Une fois installé, Skynet surveillera les connexions entrantes et sortantes en temps réel de manière totalement transparente.
  • Vous pouvez également importer les listes d'IP de cette magnifique collection : https://github.com/duggytuxy/Data-Shield_IPv4_Blocklist

Conclusion

En combinant le routage brut du RT-BE92U, la ségrégation réseau du firmware officiel, et la puissance de filtrage d'Asuswrt-Merlin en ligne de commande, l'infrastructure passe du statut de simple réseau domestique à celui d'appliance réseau professionnelle.

Le matériel est exploité à 100%, la latence est minime, et la sécurité est gérée directement à la frontière du réseau.

Previous

Mise en place d'un service DNS chiffré et sécurisé