Club-Internet et les sous-réseaux

[tsing]

Bonsoir,

Je suis chez Club-Internet et j'ai à la maison 4 PC dont l'un est configuré en routeur/firewall.
Par défaut, j'ai à partir du modem/passerelle l'adresse réseau : 192.168.1.0/24

J'avoue que c'est déjà bien pratique : jusqu'à 254 machines adressables Mais je vous rassure : je n'en ai que 4
Ceci dit, comme je suis étudiant, j'aime bien faire des tests et bien que je ne dépasserais sans doute jamais les 254 machines, j'ai récemment eu besoin de créer des sous-réseaux. Avec un bon OpenBSD ça n'a pas été bien difficile : j'ai pris une tour que j'ai transformé en routeur et le tour fut joué. Cependant, y'a quand même eu un problème : aucune machines du sous-réseau n'avait accès à l'Internet. Pis : elles ne pouvaient même pas pinger le modem/passerelle. Mais après avoir sniffé (merci tcpdump ), j'ai pu comprendre que la requête ICMP du ping peut atteindre le modem/passerelle mais que ce dernier n'y répond pas . Et là, je me suis dit que c'était sans doute volontaire : c'est sûrement une methode pour éviter que derrière le modem/passerelle il y ai plus de 254 machines ! Le cas échéant, le modem/passerelle se réfèrerait à l'IP source et prodéderait ainsi : toute ce qui n'appartient pas au réseau 192.168.1.0/24 doit être inioré.

Partant de cette hypothèse fort probable, j'ai alors naté à la sortie de mon routeur les adresses afin qu'elles aient toute l'adresse source de mon routeur : 192.168.1.2 (en sachant que le routeur peut pinger le modem/passerelle et qu'il peut aussi accéder à l'Internet). Mais rien n'y fait : il reste impossible d'avoir accès à l'Internet depuis une machine dans un sous-réseau (comme par exemple 10.0.0.0/8 ), c'est à dire un sous-réseau différent de l'adresse par défaut pour le réseau globale : 192.168.1.0/24 (en ethernet).

Je ne sais pas si j'ai été clair. Vous avez essayé, vous aussi ?

[jdh]

Le routeur dispose sur son port Lan d'une adresse 192.168.1.x/24 (ce qui fait 253 machines = on enlève le .0 qui désigne le réseau, le .255 qui désigne le broadcast et ... l'adresse du routeur/passerelle).

Si on place une machine agissant en tant que routeur dans ce réseau que j'apellerais "Green", que se passe-t-il pour les PC sur l'autre interface de ce routeur ?

Bien sur, il faut que ces PC soit dans un autre réseau (192.168.2.x/24 par exemple).

1er cas, ce routeur (2) ne fait pas de NAT : il est TOTALEMENT nécessaire que le 1er routeur connaisse la route 192.168.2.x via 192.168.1.y (le routeur 2). Cette route est nécessaire pour TOUS les protocoles IP, et par exemple ICMP c'est à dire le ping : le paquet ICMP du ping atteint bien le routeur 1 mais le routeur 1 ne peut y répondre sans connaitre la route retour.

2me cas, le routeur (2) fait du NAT : aucune route n'est nécessaire ! En effet le routeur 2 transforme TOUS les paquets le traversant en remplacant l'adresse ip source par celle de l'interface de sortie (c'est à dire 192.168.1.x) et ... en le notant dans une table de suivi de connexion (conntrack !) ... sous réserves que bien évidemment les bons modules du noyau soient présents (en particulier ip_conntrack). Cette méthode permet de traiter correctement les paquets retours en faisant le changement d'adresse destination nécessaire.

Donc ce que tu décrit semble ne pas fonctionner comme je le décris (même si pour ICMPc'est peut-être pas tout à fait comme cela). Les pistes : quels sont les modules chargés (lsmod) ? le forward est-il bien activé (/proc/sys/net/ipv4/ip_forward = 1) ? Y aurait-il des règles iptables actives qui empeche la chose ?

[tsing]

Merci pour ta réponse, ça m'a éclairé sur tous les cas

2me cas, le routeur (2) fait du NAT

Je suis fénéant Donc j'ai préféré éviter d'essayer de bidouiller mon modem/passerelle. Surtout qu'il est assez vieux (par rapport aux derniers qui sortent) et moins je modifie sa configuration par défaut, mieux il fonctionne

quels sont les modules chargés (lsmod) ?

Pour être franc, je ne sais pas exactement comment le contrôler sous OpenBSD. Cependant, j'ai déjà dans mon école installé sa version 3.8 que j'utilise à la maison et tout fonctionne très bien pour le routage... là bas.

le forward est-il bien activé (/proc/sys/net/ipv4/ip_forward = 1)

Oui, j'ai plus d'une fois vérifié. Toujours sur OpenBSD (c'est le seul Unix que je connais à peu près pour ce que je fais), je dois pour cela décommenter une ligne dans le fichier :

Code: Tout sélectionner

vi /etc/sysctl.conf

Y aurait-il des règles iptables actives qui empeche la chose ?

Le coupe-feu qui n'est pas activé au démarrage ne peut charger mes éventuelles règles de filtrages. Son coupe-feu est pf (pour Packet Filter) et je peux éventuelement le désactiver via la commande :

Code: Tout sélectionner

pfctl -d

Par rapport au routage, j'avais (lorsque je l'ai essayé à la maison) aussi pensé à bien configurer les passerelles par défaut (sinon ça marche encore moins ), en spécifiant comme passerelle aux machines dans le sous-réseau le routeur.
J'ai en tout cas une piste : lorsque j'essaye de pinger le modem/passerelle à partir d'une machine dans le sous-réseau en sniffant les trames sur le routeur, je vois que les requêtes (ICMP de type 8 ) le traversent et qu'ensuite le modem/passerelle répond au routeur par une erreur (il s'agissait d'une réponse ICMP mais pas de type 2, quelque chose comme "non trouvé" - j'aurai du cconcerver le message d'erreur ).
Le comble, c'est que :

• en vu des trames sniffées, le natage fonctionnait bien (l'adresse source était bien mise à jour pour l'émission).
• De plus, il est cependant possible de pinguer entre le routeur et le modem/passerelle

C'est pour le moment une bisarrerie que j'essayerai de résoudre en reconfigurant mon réseau-maison avec mon routeur OpenBSD

Merci pour l'aide apportée, bonne journée.

Cyril.