Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 14-04-2017 15:25:15

tom120934
Membre
Inscription : 14-04-2017

Passerelle réseau

Bonjour,

Je souhaite monitorer mon traffic réseau et je veux donc transformer mon serveur (sous Jessie + Proxmox) en routeur.

J'ai donc ajouté une 2nde carte réseau et je reconfigure ma Freebox en mode bridge pour la rendre transparente.

Ainsi, mon réseau devient le suivant :

Internet ---- Freebox ---- Serveur ---- Réseau local

Côté internet, la carte réseau côté freebox obtient bien l'IP attribuée par le DHCP Free. La route par défaut du serveur est bien la passerelle Free.

Côté réseau local, la carte réseau côté réseau local est une IP locale 192.168.0.1. Le serveur joue son rôle de DHCP. La route par défaut des clients est bien 192.168.0.1.

J'ai bien activé le routage sur le serveur.

MAIS...

(car il y a un mais, sinon je ne vous embêterai pas smile)

Si le serveur accède bien à internet, les machines du réseau local n'y arrivent pas. Un simple ping vers 8.8.8.8 ne marche pas sur ces machines, alors que c'est ok depuis le serveur.

Qu'est-ce que j'ai pu rater ???

Merci d'avance de votre aide !

Tom

Dernière modification par tom120934 (14-04-2017 15:27:43)

Hors ligne

#2 14-04-2017 15:37:57

tux12
Membre
Lieu : ./
Distrib. : stable
Noyau : celui de la stable
(G)UI : KDE
Inscription : 27-02-2008

Re : Passerelle réseau

Bonjour,

Si je suppose que le fonctionnement interne au LAN est assuré et qu'une machine du LAN peut pinguer la passerelle (ce que tu appelles "serveur"), je dirais que tu n'as oublié que de mettre en place le NAT/masquerading des machines du LAN sur ladite passerelle.

Hors ligne

#3 14-04-2017 15:41:19

robert2a
Membre
Lieu : France
Distrib. : Stretch 9
Noyau : Linux 4.9.0-3 4.9.30-2
(G)UI : Mate
Inscription : 15-11-2014

Re : Passerelle réseau

Bonjour

une règle iptable de ce genre


# Generated by iptables-save v1.6.0 on Tue Oct 11 01:06:14 2016
*nat
:PREROUTING ACCEPT [7:532]
:INPUT ACCEPT [7:532]
:OUTPUT ACCEPT [40:2618]
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
# Completed on Tue Oct 11 01:06:14 2016
# Generated by iptables-save v1.6.0 on Tue Oct 11 01:06:14 2016
*filter
:INPUT ACCEPT [434:364232]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [423:60774]
COMMIT
# Completed on Tue Oct 11 01:06:14 2016
 



il te faut dire au noyau qu il laisse passer l ipv4 entre eth0 et eth1

https://debian-facile.org/doc:reseau:ip … asserelle&

a faire => - le fichier /etc/sysctl.conf a été modifié : la ligne net.ipv4.ip_forward=0 est devenue net.ipv4.ip_forward=1.

aussi => https://debian-facile.org/doc:reseau:dh … lle-debian

Dernière modification par robert2a (14-04-2017 15:46:12)

Hors ligne

#4 14-04-2017 15:50:07

tom120934
Membre
Inscription : 14-04-2017

Re : Passerelle réseau

Je suis super joueur aussi n'ai je pas encore activé de FW.

L'ip_forward est à 1, c'est ce que je voulais dire par "j'ai bien activé le routage sur le serveur".

Le NAT/masquerading je ne connais pas : quelle différence avec du bête NAT ?

Hors ligne

#5 14-04-2017 16:06:31

robert2a
Membre
Lieu : France
Distrib. : Stretch 9
Noyau : Linux 4.9.0-3 4.9.30-2
(G)UI : Mate
Inscription : 15-11-2014

Re : Passerelle réseau

Bonjour

pas assez puissant pour t'expliquer mais un fichier "firewall" que tu appelle dans ton fichier "interfaces"


# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

source /etc/network/interfaces.d/*

# The loopback network interface
auto lo
iface lo inet loopback

post-up iptables-restore < /etc/firewall

#la configuration de eth0

#la configuration de eth1
 


ceci => "-A POSTROUTING -o eth0 -j MASQUERADE"  va permettre le passage des paquets vers le sous-réseau de eth1  (explication trés approximative tongue  )

nota : au dessus je t'ai mit les wiki pour une passerelle et pour un pare-feu
ps: c'est un exemple , a modifier selon ta configuration (en autre pour le nom des cartes réseau )

Dernière modification par robert2a (14-04-2017 16:12:40)

Hors ligne

#6 14-04-2017 23:14:36

raleur
Membre
Inscription : 03-10-2014

Re : Passerelle réseau

tom120934 a écrit :

Le NAT/masquerading je ne connais pas : quelle différence avec du bête NAT ?


NAT est une appellation générique qui désigne un ensemble de techniques de manipulation d'adresses.
Le masquerading est une forme particulière de NAT source, qui a généralement pour but de pallier les carences du routage.

robert2a a écrit :

"-A POSTROUTING -o eth0 -j MASQUERADE"  va permettre le passage des paquets vers le sous-réseau de eth1  (explication trés approximative)


Approximative, oui. Il serait plus exact de dire que cela a pour but de permettre le passage des paquets de la box vers la machine servant de routeur, en palliant les carences de routage de la box. S'il était possible d'ajouter la route nécessaire sur la box, le masquerading ne serait pas nécessaire.

Hors ligne

#7 15-04-2017 00:34:53

robert2a
Membre
Lieu : France
Distrib. : Stretch 9
Noyau : Linux 4.9.0-3 4.9.30-2
(G)UI : Mate
Inscription : 15-11-2014

Re : Passerelle réseau

J'ai la possibilité de créer une "table de routage statique" sur mon "modem routeur" , mais je sais pas faire.
je ne saurai pas répondre , sa configuration est  en "bridge" (Freebox)  , du pourquoi les clients (du sous réseau ) ne voient pas le net a travers sa passerelle debian.

Hors ligne

#8 15-04-2017 10:39:33

raleur
Membre
Inscription : 03-10-2014

Re : Passerelle réseau

Certaines box permettent de gérer des routes statiques, d'autres non. La freebox ne le permet pas, au moins jusqu'à la version 5.
Mais de toute façon si la freebox est en mode "bridge" (qui n'est pas vraiment un fonctionnement en bridge/pont au sens classique mais plutôt semi-pont semi-routeur sans NAT(*)), c'est sans objet : la carence de routage se trouve en amont, sur tous les routeurs d'internet, qui ne savent pas router les adresses privées.

(*) Si vous voulez tester, exécutez arping sur des adresses IP du sous-réseau configuré sur l'interface connectée à une freebox en mode bridge, y compris celle de la passerelle en .254 et regardez si le résultat (adresses MAC et temps de réponse) correspond à un pont classique.

Hors ligne

#9 18-04-2017 09:28:17

tom120934
Membre
Inscription : 14-04-2017

Re : Passerelle réseau

Hello,

Merci pour vos retours nombreux. C'était bien un problème de masquerading ! Une fois activé dans Shorewall, ça fonctionnait sans souci. Je le gère via webmin, c'est très simple.

Il ne me reste plus qu'à trouver comment faire remarcher un bridge pour Proxmox (switch virtuel entre une carte réseau physique et les cartes des VM). Ca a eu marché avant que je rajoute une deuxième carte réseau physique dans mon serveur/routeur. Et ensuite, créer un VLAN pour la freebox player ...

Merci encore !

Hors ligne

Pied de page des forums