Ajout bridge (802.1d) dans noyau IPCOP

[fifi12]

Bonjour,

Je souhaitais modifier le noyau de IPCOP pour y ajouter le module 802.1d et faire du bridge sur des ports Ethernet. Y'a-t'il déjà eu des tentatives de ce genre ? Est-ce possible ?

Comment récupérer le fichier ".config" suite à une installation sur une machine nue ?

D'avance merci pour vos réponses.

[jdh]

Bonjour,

Ce fil pose plusieurs interrogations :
- 1er fil et "grosse" question : très étonnant,
- bridger des interfaces sous IPCOP : très curieux comme demande,
- modifier noyau : surprenant de ne pas avoir déjà trouvé comment construire IPCOP.

Je (nous) ne connais pas votre niveau technique. Aussi je suis surpris de ce fil. (D'ailleurs il aurait certainement du être posé en sens inverse : bridge possible ? recompil ensuite !)

Avez vous d'abord recherché sur ce forum cette question ?
Ou sur le site d'origine IPCOP ?
Etes vous compétent en recompil de noyau ? (je ne le suis pas)

Mais avant, quel est le besoin ? (besoin réel : bridge c'est "vague" ! 802.1d est précis mais ne détaille pas vraiment le besoin)

[ccnet]

Je proposerai bien une solution simple. Prendre un firewall qui gère le bridge d'interface. Mais en même temps, comme on ne sait pas ce qu'il s'agit de faire ...

[fifi12]

Avez vous d'abord recherché sur ce forum cette question ?
Il y a des questions précedemment posées mais je n'ai pas trouvé de réponses viables sur ce forum.

- Ou sur le site d'origine IPCOP ?
Sur le site dIPCOP non plus. On entend souvent parler de "bridge" pour la connexion WAN PPP mais pas grand chose autrement.

- Etes vous compétent en recompil de noyau ? (je ne le suis pas)
J'ai tenté de recompilé un kernel en version 2.4.37.5 pour prendre en compte les dernières corrections du noyau et j'arrive à faire booter mon IPCOP mais vu que je n'ai pas le fichier ".config" d'origine, mon noyau a quelques soucis avec des modules extensions de IPTABLES. Je pense que je n'utilise pas le bon GCC.

- Mais avant, quel est le besoin ? (besoin réel : bridge c'est "vague" ! 802.1d est précis mais ne détaille pas vraiment le besoin)
L'objectif du bridge: j'ai un mini-pc avec 4 ports Ethernet et je souhaite mutualiser 2 d'entres d'eux sous l'interface GREEN (comme cela peut se faire sur un routeur) pour ne pas avoir à mettre un switch ou hub en cascade du mini-pc en utilisant l'outil "brctl". Je limiterais largement le nombre d'équipements et pourrais enfin utiliser des ports Ethernets qui sont inutilisés.

[ccnet]

Pour le 110 m haies avec jambes de bois je passe la main.

[fifi12]

Je vois qu'il y a des comiques par ici.

[jdh]

Ce que je comprends c'est
- bridger 2 cartes ethernet pour avoir une interface Green à 200M.

Je suis très dubitatif.

Autant pour un serveur de partage de données, on peut estimer doubler (voire tripler et plus) l'interface réseau et augmenter le débit qui se répartit sur de nombreux clients.
Autant sur un firewall, le lien réseau n'est certainement pas le plus limitant (et surtout pas Green).


A moins que j'ai mal compris : c'est à dire que le souhait soit de disposer d'une carte Green avec 2 connecteurs. J'ignore si le bridging permet la duplication de ports.

Et un switch 5 ports 10/100 coute moins de 15€ pour des marques "basic" ...

[fifi12]

2eme cas: utiliser 2 ports Ethernet dans un pont Ethernet. Faire en sorte que ces ports soient vu comme appartenant à un switch virtuel et faire l'économie d'un switch physique qui prend de la place, consomme de l'énergie pour 2 machines à raccorder.

Voir l'exemple trouvé (lien suivant): http://formation-debian.via.ecp.fr/bridge.html

[jdh]

Il faudrait
- disposer d'un noyau disposant du nécessaire,
- correctement créer une interface br0 bridge de 2 interfaces ethX et extY,
- modifier dans chaque recoin ethZ alias Green par br0.

Les 2 premières étapes sont loin d'être triviales (y compris pour un vieux routier d'IPCOP).
La 2ème nécessite notamment une expertise nette en terme de réseaux (STP ou pas ?).
La troisième exige une habitude d'IPCOP : l'IPCOP est connu pour sa "facilité" à modifier les scripts !

(Je serais curieux de connaitre l'avis de Gesp ou Franck78 sur cette question).

Très franchement un petit switch fera l'affaire ... vite et bien ...

Il est fort possible que d'autres solutions de firewall (utilisant Packet Filter par exemple plutôt que Netfilter !) permettent cela ... (pour ne pas dire que la fonction "bridge" y est nativement prévue !)

[Franck78]

Code: Tout sélectionner

un switch virtuel

il ne sera certainement pas virtuel puisqu'il aura deux interfaces physiques pour le constituer.

C'est une extension qui aurit du être faite depuis longtemps, et surement pour la prochaine version. Mais non, faudra attendre.

En gros, il y deux étapes

-contruire l'ISO Ipcop en ajoutant brtcl et quelques modifs kernel. Facile. Aucun problème, suffit de rentrer dans le build IPCop.

-manager le bridge sans à chaque fois tout péter lors d'une reconfig réseau. Moyennement dur à integrer proprement dans IPCop. !

Pas mal de lignes référencent directement les interfaces physiques. Pas de couche intermédiaire qui pourrait faire abstraction à 100% des ethxxx <<dans tout IPCop>>.
Donc un paquet d'utilitaires IPCop sera étonné si $GREEN devient un bridge (ou autre chose qu'une interface ethernet).

IPCop 2 n'implémente pas (encore) ce genre d'amélioration malgré
-le travail acharné des Allemands et Gesp
-le fait que cela fut suggéré déjà en 2005...

[philippe_PMA]

Je vois qu'il y a des comiques par ici.

IpCop fait très bien ce quelle sait faire. C'est le mot d'ordre et ce n'est pas faut.

Si tu as l'idée saugrenue de ne pas rester dans la ligne du parti, certain (sans s) devient fortement humoristique.

C'est juste, comment dire, parfois, désagréable.

Faut se dire que ça fait parti de l'image iso.

[Gesp]

Pour recompiler, et reprendre la configuration d'origine, voir le building how-to

C'est je pense relativement facile d'utiliser une interface green qui soit un bridge. A la main, il suffirait de remplacer eth0 par br0 dans le fichier de config (/var/ipcop/ethernet/config de mémoire).
Cela devrait suffire comme modification pour que cela fonctionne.

Par contre, pour que ce soit supporté dans le programme de configuration setup, ce sera nettement plus compliqué. Et je n'ai pas trop envie d'inclure ce genre de modification en 1.4, il vaudrait mieux inclure cela dans la version en développement. Je préfèrerais que notre énergie soit vraiment concentrée sur cette nouvelle version qui se présente bien mais est bien trop longue à terminer.

Je suis aussi un peu perplexe sur l'intérêt de cette modification quand une carte ethernet peut fonctionner en Gbits, voir 10Gbits. Surtout si ce n'est que pour économiser un switch à 20 euros.
La limite de bande passante sera le disque dur pour ce qui concerne le proxy et qui n'est pas caché en mémoire. Rajouter une barette mémoire permettrait d'avoir plus de données en cache.

[Franck78]

Gilles, je ne suis pas d'accord avec toi sur le switch. Si IPCop peut remplacer un switch (=électricité,fillasse,place) dans un environement 'home' moyennant quelques lignes de code, il faut le faire dans la prochaine version.
On peut même imaginer un IPcop avec plusieurs cartes quatres ports packagé clé en main pour un petit réseau.

[Gesp]

La prochaine version a le module bridge il me semble.

Mais c'est plutôt dans l'optique d'avoir potentiellement une machine sans NAT.
Et pour le moment aucun script n'est fait pour supporter cette configuration.

L'utilisation que tu proposes est assez marginale. Je n'ai rien contre mais il faut que l'on se concentre sur l'essentiel si on veux aboutir un jour. Si quelqu'un ajoute proprement la possibilité de bridger une interface, pourquoi pas.

[fifi12]

Bonjour,

Merci Gesp pour ta réponse et merci Franck78 pour ton soutien. Tu as tout à fait compris mon besoin. Economie de matériels, d'électricité, de place pour une utilisation à la maison.
J'ai déjà un hub mais je suis limité en 10 Mb/s half-duplex et je souhaite pouvoir utiliser les 4 ports GigaEthernet que j'ai sur mon mini-pc car mon interface de sortie WAN me permet de faire du 20 Mb/s vers internet et j'aimerais bien en profiter sans être bridé à 5Mb/s par un hub dont je pourrais me passer si IPCOP me permet d'avoir 2 ports physiques en GREEN.

En fait, je me doutais bien qu'il fallait changer dans le fichier de config ethX par brX. J'ai réussi à compiler en lfs un "brctl" que j'ai intégré dans mon système. J'ai même réussi à passer le kernel en 2.4.37.5 en 2.4.36 en ajoutant le module 802.1d qui permet de faire du bridge mais le système n'est pas très stable avec IPTABLES car je n'ai pas récupéré la version 1.3.5 de IPTABLES qui fonctionne sous IPCOP 1.4.21 mais une version 1.4.4 qui est la dernière et j'ai le plus grand mal à retrouver les patchs pour NETFILTER sur PATCH-O-MATIC-NG.

Si vous savez comment patcher un noyau ou les récupérer ces patchs sans utiliser PATCH-O-MATIC-NG qui ne fonctionne pas très bien avec les extensions NETFILTER existantes sur la version 1.4.21, je suis preneur. Je n'arrive pas à patcher mon noyau pour utiliser les extensions suivantes: h323-conntrack-nat & pptp.

Pour le script permettant d'activer le bridge, j'ai déjà une petite idée de ce que je vais faire l'intégrer aux scripts de démarrage.