L’adresse 172.30.1.1 qui apparaît dans la table ARP ou la liste des clients DHCP d’un réseau domestique surprend souvent les propriétaires d’installations photovoltaïques Enphase. Cette IP appartient à la plage privée 172.16.0.0/12 (RFC 1918), rarement utilisée par les box grand public françaises, ce qui explique pourquoi sa présence semble anormale.
Conflit de sous-réseau entre passerelle Enphase et routeur domestique
La passerelle Enphase IQ Gateway utilise 172.30.1.1 comme adresse IP par défaut pour son interface d’administration locale. Lorsqu’elle ne parvient pas à obtenir une adresse via DHCP auprès du routeur principal, elle bascule sur cette IP statique de repli et crée un réseau Wi-Fi isolé.
Lire également : Les meilleures pratiques pour sécuriser votre environnement localhost : 8080
Le problème survient quand le routeur domestique attribue un sous-réseau qui chevauche partiellement la plage 172.16.0.0/12. Certains routeurs d’opérateurs ou configurations VPN d’entreprise utilisent cette même plage. Le conflit empêche la passerelle de remonter les données de production vers le cloud Enphase, et l’adresse 172.30.1.1 reste visible comme un nœud orphelin sur le réseau.
Nous observons fréquemment cette situation après un remplacement de box internet ou une mise à jour firmware du routeur qui modifie silencieusement la plage DHCP.
A découvrir également : Pourquoi utiliser un logiciel de gestion dans votre entreprise ?
Vérifier la collision en quelques commandes
Sur un poste connecté au même réseau, une commande arp -a (Windows) ou ip neigh (Linux) révèle si 172.30.1.1 est associée à une adresse MAC connue. Les passerelles Enphase utilisent des OUI enregistrés auprès de l’IEEE, identifiables par les trois premiers octets de l’adresse MAC.
- Si le préfixe MAC correspond à Enphase (ou à un fabricant OEM lié), le dispositif est légitime et le conflit est purement réseau.
- Si le préfixe MAC ne correspond à aucun équipement identifié dans votre inventaire, la source de cette IP doit être investiguée immédiatement.
- Si aucune entrée MAC n’apparaît mais que l’IP répond au ping, un dispositif en mode bridge ou un conteneur virtualisé peut masquer son adresse physique.
172.30.1.1 d’origine inconnue : risque d’équipement IoT compromis
Une adresse 172.30.1.1 qui apparaît sans lien avec un gateway Enphase documenté pose un problème de sécurité réseau à ne pas minimiser. Plusieurs scénarios expliquent cette apparition.
Un objet connecté (caméra, thermostat, compteur intelligent) peut recevoir une mise à jour over-the-air (OTA) qui reconfigure son interface réseau sur une IP statique 172.30.1.1. Si cette mise à jour est légitime, le fabricant l’a documentée. Si elle ne l’est pas, l’équipement IoT a potentiellement été compromis et un attaquant utilise cette IP comme point de pivot sur le réseau local.
Le choix de 172.30.1.1 n’est pas anodin. Cette adresse appartient à une plage privée peu surveillée par les outils de monitoring domestiques, qui se concentrent sur les sous-réseaux 192.168.x.x. Un dispositif malveillant exploitant cette plage échappe aux alertes par défaut de la plupart des routeurs grand public.
Indicateurs de compromission à vérifier
Nous recommandons de croiser plusieurs signaux avant de conclure à une intrusion.
- Trafic sortant anormal depuis l’IP 172.30.1.1 vers des destinations externes, visible dans les logs du routeur ou via un outil comme Wireshark.
- Réponse HTTP sur le port 80 ou 443 de cette adresse affichant une interface non reconnue (différente de l’interface Enphase Enlighten).
- Présence de routes statiques ajoutées dans la table de routage du routeur principal, pointant vers le sous-réseau 172.30.0.0/24 sans intervention manuelle.
- Horodatage de l’apparition coïncidant avec une mise à jour firmware automatique d’un équipement connecté.
Si plusieurs de ces indicateurs sont positifs, isoler le segment réseau concerné et révoquer les baux DHCP constitue la première mesure à prendre.
Différence de gestion DHCP entre Enphase et les passerelles concurrentes
L’apparition « fantôme » de 172.30.1.1 sans changement réseau est en partie liée au comportement DHCP spécifique des passerelles Enphase. Lorsqu’un bail DHCP expire ou qu’une reconnexion Wi-Fi échoue, le gateway ne réitère pas agressivement sa demande d’adresse. Il retombe sur son IP statique de secours.
Les systèmes concurrents comme SolarEdge adoptent une approche différente : leur IP par défaut (souvent dans la plage 192.168.x.x) se situe dans le même sous-réseau que la majorité des box domestiques, ce qui réduit les cas de conflit visible. Le mécanisme de détection DHCP plus agressif de SolarEdge force plusieurs tentatives avant de basculer sur une configuration statique.
Cette différence architecturale explique pourquoi les forums de support Enphase concentrent davantage de signalements liés à des adresses IP inattendues. Le choix d’une plage 172.x par Enphase visait à éviter les collisions avec les réseaux domestiques classiques, mais crée un effet inverse : l’adresse paraît suspecte précisément parce qu’elle sort du schéma habituel.
Résoudre l’apparition de 172.30.1.1 sur un réseau domestique
La résolution dépend du diagnostic posé. Si l’adresse provient d’une passerelle Enphase identifiée, le problème est un défaut de communication Wi-Fi entre le gateway et le routeur.
Forcer la reconnexion passe par l’application Enphase Installer Toolkit, qui permet de reconfigurer le Wi-Fi du gateway sans accès physique à l’interface 172.30.1.1. Si cette interface ne répond pas (cas fréquemment signalé par les utilisateurs), un redémarrage électrique du gateway, suivi d’une reconnexion manuelle au SSID temporaire émis par le boîtier, rétablit généralement la communication.
Pour les cas où 172.30.1.1 provient d’un équipement non identifié, segmenter le réseau via un VLAN dédié aux objets connectés empêche tout mouvement latéral. Les routeurs compatibles OpenWrt ou les systèmes mesh récents permettent cette segmentation sans matériel supplémentaire.
La persistance de cette adresse après isolation de tous les équipements connus indique soit un dispositif physique non inventorié (adaptateur CPL oublié, répéteur Wi-Fi d’un ancien occupant), soit une configuration résiduelle dans le firmware du routeur. Réinitialiser la table ARP et vider le cache DNS local élimine les entrées fantômes sans impact sur le fonctionnement du réseau.
