route et sous-réseaux

par **jgilles** » 17 Sep 2003 19:47

j'ai trouvé toutes sortes de config pour les sous-réseaux et meme ce que Antolien a créé comme HOW-TO mais ca ne s'applique pas ou bien je n'ai rien compris (ce qui est très plausible) donc j'ai un green 172.20.14.xxx mask 255.255.255.0 gw 172.20.14.10 et un sous-réseau 172.20.13.xxx mask 255.255.255.0 gw 172.20.13.1 mon sous réseau sort sur un ligne rnis privé pour un intranet. je voudrais que mes utilisateurs du sous réseau puisse avoir acces a internet par le green. c'est possible?

par **tomtom** » 17 Sep 2003 21:29

As-tu un routeur entre les 2 sous-reseaux (par exemple, une station avec une interface dans les 2 reseaux, ou alors un vrai routeur) ? Si oui, tu pourras faire ce que tu veux. Il te suffira de declarer sur IPCop la route vers le sosu-reseau en question. Ensuite, tu devras si tu utilises le proxy autoriser le lan distant. Enfin, ton routeur entre les 2 sous-reseaux devra avoir comme passerelle par defaut IPCop... Thomas

par **jgilles** » 17 Sep 2003 21:49

non ils sont sur le meme switch je ne peut pas jouer avec le sous-reseau (la sortie) elle ne m'appartient pas

par **tomtom** » 17 Sep 2003 22:57

Même si ils sont sur le même switch (ce qui n'est pas conseillé d'ailleurs..... ?), les 2 reseuax ne peuvent pas se voir, sauf s'il y a un routeur au milieu. Par contre tu peux essayer une astuce à 2 balles... [WARNING] Ceci est un truc qui n'est pas vraiment le top de la secu [/Fin de WARNING, vous etes prevenus] Bon, tu peux tricher en disant à ipcop que sur son green, il y a 17.20.0.0 masque 255.255.0.0 Tu as bien noté, il faut modifier le masque pour que IPCop pense que sur son green, il y a un reseau de classe B. Ainsi, il pourra adresser les 2 indifféremennt. Au passage, les 2 reseaux devraient être capables de se "voir" au travers de IPcop, mais ce n'est pas sur, car je ne sais pas trop comment il va se comporter si il doit redistribuer des paquets sur la mêem interface que là ou ils les a reçus. Dans tous les cas, cela devrait au moins permettre aux postes du sous rseau d'acceder au web. Le truc, c'est que les postes du sous-reseau ne sauront pas acceder à ipcop directement. IL faut donc ajouter une interface virtuelle avec l'adresse dans le second sous-reseau....... Bref, ce n'est pas facile et vraiment galère ! T.

par **jdh** » 17 Sep 2003 23:25

Le firewall active automatiquement le routage entre interface réseau. (Comment ferait du masquerade sans cela ?) Ce routage est dépendant de la valeur de "/proc/sys/net/ipv4/ip_forward" : 1 signifie routage, 0 pas de routage. On peut afficher la valeur par "cat /proc ..." et affecter une valeur par "echo 1 >/proc ...". Donc 2 possibilités : - affecter à l'interface green 2 adresses ip : 1 dans chaque (sous-)réseau. - installer 2 cartes green : chacune avec 1 adresse. Le deuxième cas est plus performant en routage avec un switch. Je ne sais pas par contre comment se configure IPCOP avec 2 réseaux green (sur 1 ou 2 cartes). Y a-t-il des règles de forward spécifiques à écrire ? Sans doute !

par **tomtom** » 17 Sep 2003 23:26

Il faut pour cela utiliser le truc d'un membre (wann je crois) pour ajouter une zone (purpule) sur IPCop... T.

par **jgilles** » 18 Sep 2003 03:32

Quel serait la meilleure solution: ajouter un routeur a mon sous-réseau 172.20.13.xxx Alors quelle serait la config? pour la classe b je dois rejeter cette solution car je devrais changer le gateway pour notifier a mon sous réseau de passer par la pour internet et mon intranet ne fonctionnera plus N.B. ----------172.20.13.xxx--------gw 172.20.13.1-----RNIS privé switch ----------172.20.14.xxx--------gw 172.20.14.10------ipcop----cable

par **remi** » 18 Sep 2003 07:59

Rajouter un routeur avec les adresses du réseau1 et l'adresse du réseau2, te permettra de faire la jonction entre tes deux réseau. c'est a dire qu'il seront accessibles entre eux.

par **jgilles** » 18 Sep 2003 17:26

ok je comprend la fonction d'un routeur <IMG SRC="images/smiles/icon_smile.gif"> mais comment je le configure si je n'ai pas acces au sous reseau 172.20.13.xxx ? par la suite comment je configure la route pour que tout le monde aille acces au web et au rnis privé?

par **tomtom** » 18 Sep 2003 17:45

Alors là tu vas avoir un problème. Car pour aller vers internet, il faut que la route par defaut des clients du second lan soit vers le routeur..... Dans le meilleur des cas, si tu utilises un proxy, il faut que tu mettes sur tous les clients la route vers l'adresse du proxy et bien evidemment le proxy en manuel... Mais pourquoi ne peux-tu pas mettre la route par defaut vers le IPCop ? Tu devrais ajouter uniquement la route vers le reseau RNIS privé ! T.

par **jgilles** » 18 Sep 2003 17:53

parce que le sous-réseau privé continent un pc juste avant le rnis qui est le gateway et les clients doivent avoir ce gateway pour acceder a l'intranet. ca répond a ta question ou bien je n'ai rien compris... <IMG SRC="images/smiles/icon_bawling.gif">

par **tomtom** » 18 Sep 2003 18:37

Tu reponds à ma question.. A peu près <IMG SRC="images/smiles/icon_wink.gif"> Je suppose que l'intranet est composé de quelques réseauxseulement (voir d'un seul classe C ou même classe B) et qu'en plus il a des adresses privées. Donc tu pourrais declarer une route vers l'intranet via ta gateway (qui est d'ailleurs un routeur, tu avais compris <IMG SRC="images/smiles/icon_wink.gif"> ) Et tu pourrais avoir la route par defaut (ce que u appelles gateway) vers le IPCOp. Je t'assure que ca peut marcher ! Mais il faut que tu ait accès à la config des postes sur le lan2, sinon c'est sur que tu ne risques pas de faire grand chose ! T.

par **jgilles** » 18 Sep 2003 19:02

si je résume ce que tu dis, ca pourrais ressembler a ca: -----router---hub---172.20.13.xxx----gateway------rnis switch -----172.20.14.xxx------ipcop-----modem cable et mes routes doivent ressembler a quoi?

par **tomtom** » 18 Sep 2003 21:13

<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> Le 2003-09-18 19:02, jgilles a écrit: si je résume ce que tu dis, ca pourrais ressembler a ca: -----router---hub---172.20.13.xxx----gateway------rnis switch -----172.20.14.xxx------ipcop-----modem cable et mes routes doivent ressembler a quoi? </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> Alors deja tu peux eventuellement continuer d'utiliser ton switch, mais la machine qui fait routeur doit avoir 2 cartes réseau, chacune avec une ip dans un des lan (172.20.14.1 et 172.20.13.1 par exemple) et branchée sur un port du switch. Un autre moyen plus sioux est d'utiliser les interfaces virtuelles pour pouvoir utiliser 2 ip sur la même carte avec un seul port d'utilisé sur le switch... Ensuite, au niveau des routes : Sur la machine routeur : route par defaut=IPCOP sur les machines du lan 1 (172.20.14.xxx), route par defaut = IPCOP. sur les machines du lan 2 (172.20.13.xxx), route par defaut=adresse du routeur (dans mon exemple, 172.20.13.1). et route vers l'adresse du reseau RNIS=@gateway (par exemple 172.20.13.254) T dois determiner les adresses disponibles sur le reseau RNIS pour bien créer cette route ! Ensuite, tu peux eventuellement ajouter cette route sur le routeur, et ainsi le smachines du lan1 (172.20.14.xxx) pourront communiquer avec le RNIS (si tu veux !) en ajoutant une route vers les réseaux en question via l'adresse du routeur (ex : 172.20.14.1). Tu piges l'architecture ? T.

par **jgilles** » 18 Sep 2003 23:21

OUF! je crois que tu me perd peu a peu je comprend le cote lan1 (172.20.14.xxx) mais le cote lan2 (172.20.13.xxx) me demande de réfléchir un peu plus... supposons que j'utilise un router Linksys befsr11 du cote lan=172.20.14.xxx mask 255.255.255.0 gw 172.20.14.10 du cote wan= 172.20.13.xxx mask 255.255.255.0 gw 172.20.13.1 mon ipcop est green=172.20.14.10 alors les routes static que j'écris dans le router Linksys seraient? n.b. les adresses sont réelles

route et sous-réseaux

Qui est en ligne ?