Soucis de routage entre plusieurs machines

[Entoni]

Bonjour tout le monde,

Je bosse sur un projet avec ma boîte et je bute un peu contre un mur de difficultés que je n'arrive pas à passer...
J'aurais donc besoin de vous, je vous expose le problème.



Voici donc un schéma du réseau que je souhaite mettre en place.
Pour commencer l'adressage réseau n'est absolument pas changeable, parce que je sais que les adresses en 192.0.0.X c'est pas tip top, mais no choice !

Concrétement il faut que le réseau ordi (10.10.X.X / 10.24.X.X / 10.22.X.X ) puisse accéder à la caméra situé à l'autre bout du réseau en 10.29.1.10.

Mais le parcours est semé d'embuches et de routes variés.
De mon côté je n'ai pas accès au firewall, en brique sur le schéma, car c'est celui de mon client. Une personne compétente a déja fait le paramétrage.

Je veux donc que le flux passe de manière transparente d'un bout à l'autre du réseau. J'ai donc mis sur le Routeur A la route par défaut suivante:

10.29.1.0 gateway 192.0.0.11

Et sur le Routeur B j'ai ça:
10.10.X.X gateway 192.0.0.10
10.24.X.X gateway 192.0.0.10
10.22.X.X gateway 192.0.0.10

Mon soucis c'est que mon réseau fonctionne d'une manière particulière, qu"ici aussi on ne peut pas modifier, c'est à dire que tous les flux qui circulent par les adresses 192.0.0.X passe forcément par la machine qui à l'ip en 192.10.200.248.

Cette machine sur laquelle je n'ai pas la main envoi systématiquement ces paquets vers l'IPCOP en 192.10.200.254.

En pratique aujourd'hui j'ai donc une régle sur l'ipcop : 192.0.0.0 gw 192.10.200.248. Donc je peux pinger du Routeur A (192.0.0.10) le routeur B (192.0.0.11) si le NAT est activé sur un des deux routeurs, mais pour faire fonctionner mes routes et que tout sois transparent je dois le désactiver.

Ma question est simple, quelles règles ou route dois-je mettre au niveau de l'ipcop (192.10.200.254) pour que le réseau ordi puissent voir les caméras (en partant du principe que le firewall en brique est bien configuré).

Merci d'avance pour votre aide

[ccnet]

Quel est l'équipement en bleu au milieu du schéma ? Un ipcop, un routeur, beaucoup d'interfaces semble t il ?

les flux qui circulent par les adresses 192.0.0.X

Je ne comprend pas ce que cela signifie.

en partant du principe que le firewall en brique est bien configuré

On ne sait ni si c'est le cas, ni comment il est configuré.

Il semble que ce soir un réseau de type ALC. Pour l'adressage nous vous en avons déjà parlé.

[Entoni]

En faites je suis basé sur une infra type IMS d'un opérateur de téléphonie mobile.

L'équipement bleu est donc l'équipement fourni par l'opérateur qui se trouve chez moi et qui est configuré de telle manière à renvoyer tous les flux vers mon firewall, je n'ai donc pas la main dessus.

Concernant le firewall en brique, la question ne porte pas sur cette partie et il est inutile de savoir comment il est configuré pour pouvoir me conseiller sur les routes à mettre en place sur mes routeurs A et B, si je ne me trompe pas.

[ccnet]

Inutile en effet d'aller plus loin.

[Entoni]

Euh...J'ai pas compris là, y'a quelques choses que j'ai mal fait ou mal représenté, si on pouvait m'expliquer ?

Merci.

[Entoni]

Si y'a une âme charitable...je suis bien bloqué

[Titofe]

Vous ne motivez pas trop à vous répondre.

Vous n'écoutai pas les conseille qu'on vous donne, je pense à votre adressage qui n'est pas bon.
Et trop de d'éléments sont sans réponse, Firewall du client auquel on n'a aucune information entre autre.

Sans oublier qu'on ne sait rien de vos tests effectué ; à partir de où cela coince ! ?

[jibe]

Salut,

Vous ne motivez pas trop à vous répondre.

Belle formule diplomatique !

Mais désolé : je pense que pour avancer, il faut être beaucoup moins diplomate...

je suis bien bloqué

Le pied sur le frein au point d'en tordre la pédale, ça ne m'étonne pas vraiment...

On n'aborde jamais un dépannage avec des a-priori, mais avec des certitudes qu'il faut absolument obtenir. Et si les obtenir n'est pas possible, il est également impossible de garantir un résultat. Donc, sauf à être simultanément kamikaze et masochiste, on ne peut pas accepter de traiter le problème.

Je n'ai pas regardé en détails, mais d'office je vois trois points qui me font renoncer à me pencher sur la question : on veut faire passer un flux de données à travers :
- Un firewall dont on ne sait absolument rien et sur lequel on ne peut pas agir,
- Un équipement dont on ne sait même pas ce qu'il est,
- Un adressage fait en dépit du bon sens qu'il ne faut absolument pas toucher.

Pieds et poings liés, complètement immergé la tête en bas dans un aquarium, Robert Houdin lui-même n'a eu la vie sauve que grâce à un collaborateur qui a détruit l'aquarium, l'a délié et l'a remis dans une position plus naturelle.

Sans briser l'aquarium, sans se libérer et sans se mettre dans une position normale, le problème n'aura très probablement aucune solution. A supposer qu'il puisse en avoir, il y a certainement très peu de monde disposé à prendre de tels risques pour une solution qui n'en vaut probablement pas la peine. Il est en effet fort probable qu'en faisant les choses correctement tout se mettra à fonctionner comme par magie. De même qu'un homme non enchaîné et placé dans une atmosphère respirable arrive généralement à vivre sans trop de difficultés...

[Entoni]

Merci Jibe,

Au moins je comprend mieux ce qui ne va pas, je vais essayer de vous refaire ça en apportant plus d'éléments concret.

[Entoni]

Comme promis je reviens vers vous.

Oublié ce que j'ai écrit précédemment, je sais clairement d'où provient mon problème.

Je ré-explique.

Aujourd'hui j'ai un routeur A avec une interface LAN (192.168.197.6) et une interface 3G (192.0.0.10) qui doit communiquer avec un autre routeur B avec une interface 3G (192.0.0.11) et une interface LAN en 10.29.1.253.

Entre ces deux routeurs, un réseau IMS, toutes les requêtes qui partent sur le réseau en 192.0.0.0 sont envoyés vers une machine C en 192.10.200.248 qui transmet ça à mon IPCOP D en 192.10.200.254. Mon IPCOP sait qui si il y'a une requête pour une adresse en 192.0.0.0, il doit renvoyer ça à la machine C qui elle connaît la table de routage du réseau 192.0.0.0.

Ca donne donc:


(192.168.197.1) Routeur A ---------------------------- Machine C--------------------------------Routeur B (10.29.1.0)
( 192.10.200.248)
|
|
(192.10.200.254)
IPCOP


Ce que j'ai su (je crois) et que je ne connais plus c'est comment faire pour faire comprendre à mon IPCOP que lorsque j'ai une requête vers le réseau 10.29.1.0, il doit la faire transiter vers le 192.0.0.11 ? (la trame repartant vers le machine C, saura trouver le 192.0.0.11 tout seul vu que la machine C sait où se trouve cette machine).

Parce qu'aujourd'hui, il reçoit la requête et la fait transiter vers la machine C mais elle ne connaît pas ce réseau (le 10.29.1.0) et l'équipement étant un équipement opérateur, je n'ai pas la main dessus.


J’espère que je suis assez clair cette fois ci.

Merci d'avance !

EDIT: En continuant de chercher...je sens que je vais devoir me servir d'IPTABLES !

[Entoni]

Bon j'ai rentré deux règles sur mon IPCOP:

# iptables -t nat -A PREROUTING -d 10.29.1.0 -p tcp -j DNAT --to-destination 192.0.0.11
# iptables -t nat -A PREROUTING -d 192.168.197.0 -p tcp -j DNAT --to-destination 192.0.0.10

Mais je me demande un truc maintenant...En faisant ça, le paquet ne cherche plus à accéder au réseau derrière, respectivement 10.29.1.0 et 192.168.197.0, mais juste les deux routeurs...

En faisant un tracert

Le paquet accède au 192.10.200.248
Délai d'attente de la demande dépassé
Le paquet accède au 192.10.200.248
Délai d'attente de la demande dépassé
Le paquet accède au 192.10.200.248
Délai d'attente de la demande dépassé
....

C'est sans fin...je sent que j'avance mais j'y suis pas encore...

[Entoni]

Je continue, (à parler tout seul), et j'avance un peu...

Je pense que j'allais dans une mauvaise direction avec mes règles précédentes.
Etant donné que les machines ne doivent parler qu'entres elles, pourquoi m'embêter à identifier le réseau de destination.

Je pense donc mettre:

iptables -t nat -A PREROUTING -s 192.0.0.10 -p tcp -j DNAT --to-destination 192.0.0.11
iptables -t nat -A PREROUTING -s 192.0.0.11 -p tcp -j DNAT --to-destination 192.0.0.10

Mon soucis reste par contre le même, mon paquet qui part du 192.0.0.10, il veut allez derrière le 192.0.0.11 mais vu la règle que j'ai mise, il va juste arriver à la porte d'entrée du .11 sans vouloir y entrer...et là par contre j'ai beau m'enfiler le tutorial d'IPTABLES, je vois pas la règle à faire pour dire à un paquet de passer à un endroit précis, tout en gardant son réseau de destination d'origine en tête...

Toujours besoin d'aides !