routage entre reseau ethernet et VPN [Résolu]

dumoulex · 01/04/2011, 15h19

bonjour,

je dois faire un système de routage qui me permettrait d'autoriser des accès entre réseau mais entre les différentes interfaces et les réseaux j'ai du mal à comprendre...

je dispose d'un réseau 10.22.7.X en eth0

il y a plusieurs machines sur ce réseau, dont la machine 10.22.7.12 qui est censée faire passerelle vers un autre réseau local 10.69.1.X. Ce réseau est aussi en eth0.

Mais je n'ai pas de connexion direct entre ces deux réseaux.

Ma passerelle 10.22.7.12 est reliée à cet autre réseau local par un VPN avec une adresse du type 10.8.0.X

je voudrais, depuis une machine quelconque sur mon réseau 10.22.7.X, réussir à pinger mon réseau local 10.69.1.X.

J'ai déjà regarder comment les routes fonctionnent, si j'ai bien compris je dois faire une route sur ma passerelle 10.22.7.12 mais aussi sur la passerelle 10.69.1.253...

mais je n'y arrive guère, et je n'arrive toujours pas à comprendre vraiment comment tout ça marche.

merci de votre aide

dumoulex

PS : schéma en pièce jointe pour bien comprendre

Alek-C · 01/04/2011, 16h28

Déjà, dis ce qui fonctionne :
1) depuis ta passerelle 10.22.7.12, arrives-tu à pinger 10.0.8.253 ?
2) depuis ta passerelle 10.22.7.12, arrives-tu à pinger 10.69.1.254 ?

dumoulex · 01/04/2011, 16h39

hello

merci de ton intérêt

j'ai fait une règle sur la machine embarqué (cf photo piece jointe) :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

route add -net 10.69.1.0/24 gw 10.8.0.253

avec ça, depuis ma machine 10.22.7.12
je lance le ping sur :
10.8.0.253
10.69.1.254
et même les machines du réseau privée 10.69.1.1

mais j'obtiens

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
PING 10.8.0.253 (10.8.0.253) 56(854) bytes of data
From X.X.X.X icmp_seq=1 packet filtered

donc j'arrive a joindre mais je passe pas..

dans l'autre sens je n'arrive a rien, pas de ping possible

Alek-C · 01/04/2011, 17h16

Tu as essayé de faire un traceroute ?

packet filtered peut vouloir dire que quelque chose filtre ton packet icmp, tu es sûr de ton schéma (il n'y a pas d'autres équipements) ?

As-tu la main sur le nexcom ? Est-ce qu'il ne bloquerait pas les requêtes icmp ?

becket · 02/04/2011, 12h04

Pour que cela fonctionne, il faut évidemment que ton "nexcom embarqué" puisse faire du routage et qu'il connaisse les routes vers tes différents réseaux

dumoulex · 04/04/2011, 09h58

merci de vos reponses,

j'ai reussi a avancer,

et j'obtiens même un ping ! depuis ma machine Nexcom, j'arrive a pinger la passerelle, en 10.22.7.12.

En revanche je n'arrive pas a pinger d'autres machines du reseau 10.22.12.X

et je n'arrive pas a pinger mon reseau privé coté nexcom depuis ma passerelle 10.22.7.12.

les commandes que j'ai utilisées :
coté nexcom :
route add -net 10.22.7.0 netmask 255.255.255.0 dev tun0

coté passerelle :
route add -net 10.69.1.0 netmask 255.255.255.0 dev tun0

mon but c'est de pouvoir interroger les cameras depuis une adresse du type 10.22.7.X, sur le reseau privé ou se situe la passerelle..

j'avance doucement, merci à ceux qui ont des suggestions !

Alek-C · 04/04/2011, 10h55

Comment as-tu configuré ton pont sur le nexcom et sur la passerelle ?

dumoulex · 04/04/2011, 11h49

configuré a quel niveau ?

justement, pour le moment je n'ai rien qui fait le lien entre les réseaux privés. Je ne sais pas du tout comment faut s'y prendre, les réseaux et es lignes de shell comme ça je n'y comprend pas grand chose !

la j'essaie de faire communiquer et de pinger le nexcom et la passerelle 10.2.7.12, et même ca ca ne marche que dans un sens...
(nexcom -> passerelle) mais pas dans l'autre..

Alek-C · 04/04/2011, 13h50

Je ne connais pas les équipements nexcom, mais à mon avis, si un paquet venant de l'extérieur souhaite accéder à une caméra, il faut dire au nexcom soit "tout ce qui arrive de 10.8.* à destination de 10.69.* peut passer et utilise telle et telle interface" soit "ce qui arrive sur le port 8005 va vers le port x de la caméra 5 et ce qui arrive sur le port 8006 va vers le port y de la camera 6".

Dans le premier cas, tu as un pont entre tes 2 réseaux et tu ouvres les vannes en grand, dans le second cas, tu fais de la redirection de port...

Dans tous les cas, il faut configurer le nexcom...

Pour tes problèmes de ping, ça peut venir de pleins de problèmes : le nexcom bloque peut-être les requêtes de ping ?

Comment configures-tu le nexcom ? C'est du linux ? Tu as une interface d'administration ?
Quel est le but final ? Uniquement accéder aux caméras ? Si oui, comment se fait l'accès à une caméra ?
Comment as-tu conçu cette solution technique ?

dumoulex · 04/04/2011, 13h56

j'ai deja fait un système avec iptables en nat pour rediriger sur les caméras, et effectivement, ca fonctionne, mais la je dois faire des routes..

donc comme tu dis, je dois faire un pont entre les 2 en precisant qu'il faut passer par le VPN..

mais je bug sur le fait que je peux pinger depuis le nexcom jusqu'à la passerelle 10.22.7.12 et pas le contraire.. pourtant je met les mêmes lignes de chaque coté.. je vais bien réussir par trouver !

le nexcom comporte un linux, debian kernel 2.6.26-2-686
je suis root dessus, juste pas d'interface graphique, tout en shell..

merci dans tous les cas pour le temps que tu prends pour m'aider !

dumoulex · 04/04/2011, 14h01

oui le but c'est l'accès aux cameras, en connaissant leurs adresses IP.

je comptes y accéder via une requête rtsp du genre
rtsp://IPCAMERA

ORT/axis-media/media.amp
via des vlc intégrés dans des pages webs.

ce système marche parfaitement avec iptables en nat, mais les responsables préféreraient du routage direct.. après je suis d'accord que ça marche, mais j'aurai des problèmes par rapport à d'autres contraintes..

après je fais ce qu'on me demande ! (j'essaie tout du moins)

becket · 04/04/2011, 14h37

1 - Je trouve effectivement plus propre d'utiliser des routes que d'utiliser PAT/DNAT/SNAT/MASQUERADING qui n'a apparemment pas d'utilité à la seule lecture de l'énoncé du problème.

2 - Pour que cela fonctionne, il faut que les deux sens soient configurés, ce qui sous-entend que les périphériques d'extrémités doivent l'être également. ( Que ce soit via une route spécifique ou via une route par défaut ).

dumoulex · 04/04/2011, 14h44

qu'est ce que tu entends par périphérique d'extrémité ?
les caméras ? ou bien ma passerelle 10.22.7.12 et le nexcom relié chacun à un bout du VPN ?

sinon, je réussis a pinger l'adresse 10.22.7.12 depuis le nexcom, en revanche je n'ai pas accès à d'autres pc de ce reseau.

je suppose qu'il y a une règle route a ajouter pour que tous le réseau soit accessible via la passerelle 10.22.7.12 mais je ne sais pas trop a quoi elle ressemble..

becket · 04/04/2011, 15h00

Citation:

Envoyé par dumoulex

qu'est ce que tu entends par périphérique d'extrémité ?

Les caméra d'un coté et le pc qui va demander le flux de la caméra de l'autre.

La solution qui me semble la plus simple par rapport au schema que tu as donné, c'est de configurer

- les caméra avec l'ip du nexcom comme paserelle par défaut ( 10.69.1.254 )
- Le nexcom avec une gateway par défaut sur 10.8.0.254
- Le routeur INTRANET qui a une route vers les cameras ( 10.69.1.0/24 ) via le nexcom ( 10.8.0.253 )
- Le routeur INTRANET qui a une passerelle par defaut vers ?? ( pas d'information )
- Le pc de visualisation qui a une route par défaut vers 10.22.7.12

dumoulex · 04/04/2011, 15h11

ok je vais regarder ca ! merci bien, je tiens le topic à jour !

juste le temps de réparer le VPN qui part en cacahuète, surement a cause de la 3G... bref.. peut être un autre topic !

merci a toi en tout cas

Alek-C · 04/04/2011, 15h32

Citation:

Envoyé par becket

Les caméra d'un coté et le pc qui va demander le flux de la caméra de l'autre.

La solution qui me semble la plus simple par rapport au schema que tu as donné, c'est de configurer

- les caméra avec l'ip du nexcom comme paserelle par défaut ( 10.69.1.254 )
- Le nexcom avec une gateway par défaut sur 10.8.0.254
- Le routeur INTRANET qui a une route vers les cameras ( 10.69.1.0/24 ) via le nexcom ( 10.8.0.253 )
- Le routeur INTRANET qui a une passerelle par defaut vers ?? ( pas d'information )
- Le pc de visualisation qui a une route par défaut vers 10.22.7.12

Il ne manque pas une configuration du nexcom pour autoriser le forwarding dans ce cas là ?!

dumoulex · 05/04/2011, 09h37

hello !

j'ai trouvé la solution, apres quelques heures de galere !
mes routes sont OK, le soucis venait de openvpn

pour faire passer des redirection serveur à client, il faut preciser les adresses dans le serveur vpn en lui indiquant le nom du certificat du client associé, en créant un repertoire ccd et un fichier spécial...

adresse si jamais quelqu'un veut approfondir :
http://doc.ubuntu-fr.org/openvpn

merci en tout cas de vous etre penché sur mon probleme !

04/04/2011, 14h01	#11
dumoulex Membre du Club nicolas Développeur informatique Inscription : février 2011 Messages : 111 Détails du profil Informations personnelles : Nom : nicolas Localisation : France Informations professionnelles : Activité : Développeur informatique Secteur : Transports Informations forums : Inscription : février 2011 Messages : 111 Points : 52 Points : 52	oui le but c'est l'accès aux cameras, en connaissant leurs adresses IP. je comptes y accéder via une requête rtsp du genre rtsp://IPCAMERAORT/axis-media/media.amp via des vlc intégrés dans des pages webs. ce système marche parfaitement avec iptables en nat, mais les responsables préféreraient du routage direct.. après je suis d'accord que ça marche, mais j'aurai des problèmes par rapport à d'autres contraintes.. après je fais ce qu'on me demande ! (j'essaie tout du moins)
	10

01/04/2011, 16h28	#2
Alek-C Membre Expert Alexis Intégrateur d'Exploitation Inscription : février 2003 Messages : 876 Détails du profil Informations personnelles : Nom : Alexis Âge : 32 Localisation : France Informations professionnelles : Activité : Intégrateur d'Exploitation Secteur : Biens de consommation Informations forums : Inscription : février 2003 Messages : 876 Points : 1 619 Points : 1 619	Déjà, dis ce qui fonctionne : 1) depuis ta passerelle 10.22.7.12, arrives-tu à pinger 10.0.8.253 ? 2) depuis ta passerelle 10.22.7.12, arrives-tu à pinger 10.69.1.254 ?
	10

01/04/2011, 17h16	#4
Alek-C Membre Expert Alexis Intégrateur d'Exploitation Inscription : février 2003 Messages : 876 Détails du profil Informations personnelles : Nom : Alexis Âge : 32 Localisation : France Informations professionnelles : Activité : Intégrateur d'Exploitation Secteur : Biens de consommation Informations forums : Inscription : février 2003 Messages : 876 Points : 1 619 Points : 1 619	Tu as essayé de faire un traceroute ? packet filtered peut vouloir dire que quelque chose filtre ton packet icmp, tu es sûr de ton schéma (il n'y a pas d'autres équipements) ? As-tu la main sur le nexcom ? Est-ce qu'il ne bloquerait pas les requêtes icmp ?
	20

02/04/2011, 12h04	#5
becket Membre Expert Frédéric Brugmans Informaticien multitâche Inscription : février 2005 Messages : 661 Détails du profil Informations personnelles : Nom : Frédéric Brugmans Informations professionnelles : Activité : Informaticien multitâche Informations forums : Inscription : février 2005 Messages : 661 Points : 1 196 Points : 1 196	Pour que cela fonctionne, il faut évidemment que ton "nexcom embarqué" puisse faire du routage et qu'il connaisse les routes vers tes différents réseaux
	02

04/04/2011, 09h58	#6
dumoulex Membre du Club nicolas Développeur informatique Inscription : février 2011 Messages : 111 Détails du profil Informations personnelles : Nom : nicolas Localisation : France Informations professionnelles : Activité : Développeur informatique Secteur : Transports Informations forums : Inscription : février 2011 Messages : 111 Points : 52 Points : 52	merci de vos reponses, j'ai reussi a avancer, et j'obtiens même un ping ! depuis ma machine Nexcom, j'arrive a pinger la passerelle, en 10.22.7.12. En revanche je n'arrive pas a pinger d'autres machines du reseau 10.22.12.X et je n'arrive pas a pinger mon reseau privé coté nexcom depuis ma passerelle 10.22.7.12. les commandes que j'ai utilisées : coté nexcom : route add -net 10.22.7.0 netmask 255.255.255.0 dev tun0 coté passerelle : route add -net 10.69.1.0 netmask 255.255.255.0 dev tun0 mon but c'est de pouvoir interroger les cameras depuis une adresse du type 10.22.7.X, sur le reseau privé ou se situe la passerelle.. j'avance doucement, merci à ceux qui ont des suggestions !
	10

04/04/2011, 10h55	#7
Alek-C Membre Expert Alexis Intégrateur d'Exploitation Inscription : février 2003 Messages : 876 Détails du profil Informations personnelles : Nom : Alexis Âge : 32 Localisation : France Informations professionnelles : Activité : Intégrateur d'Exploitation Secteur : Biens de consommation Informations forums : Inscription : février 2003 Messages : 876 Points : 1 619 Points : 1 619	Comment as-tu configuré ton pont sur le nexcom et sur la passerelle ?
	10

04/04/2011, 11h49	#8
dumoulex Membre du Club nicolas Développeur informatique Inscription : février 2011 Messages : 111 Détails du profil Informations personnelles : Nom : nicolas Localisation : France Informations professionnelles : Activité : Développeur informatique Secteur : Transports Informations forums : Inscription : février 2011 Messages : 111 Points : 52 Points : 52	configuré a quel niveau ? justement, pour le moment je n'ai rien qui fait le lien entre les réseaux privés. Je ne sais pas du tout comment faut s'y prendre, les réseaux et es lignes de shell comme ça je n'y comprend pas grand chose ! la j'essaie de faire communiquer et de pinger le nexcom et la passerelle 10.2.7.12, et même ca ca ne marche que dans un sens... (nexcom -> passerelle) mais pas dans l'autre..
	10

04/04/2011, 13h50	#9
Alek-C Membre Expert Alexis Intégrateur d'Exploitation Inscription : février 2003 Messages : 876 Détails du profil Informations personnelles : Nom : Alexis Âge : 32 Localisation : France Informations professionnelles : Activité : Intégrateur d'Exploitation Secteur : Biens de consommation Informations forums : Inscription : février 2003 Messages : 876 Points : 1 619 Points : 1 619	Je ne connais pas les équipements nexcom, mais à mon avis, si un paquet venant de l'extérieur souhaite accéder à une caméra, il faut dire au nexcom soit "tout ce qui arrive de 10.8.* à destination de 10.69.* peut passer et utilise telle et telle interface" soit "ce qui arrive sur le port 8005 va vers le port x de la caméra 5 et ce qui arrive sur le port 8006 va vers le port y de la camera 6". Dans le premier cas, tu as un pont entre tes 2 réseaux et tu ouvres les vannes en grand, dans le second cas, tu fais de la redirection de port... Dans tous les cas, il faut configurer le nexcom... Pour tes problèmes de ping, ça peut venir de pleins de problèmes : le nexcom bloque peut-être les requêtes de ping ? Comment configures-tu le nexcom ? C'est du linux ? Tu as une interface d'administration ? Quel est le but final ? Uniquement accéder aux caméras ? Si oui, comment se fait l'accès à une caméra ? Comment as-tu conçu cette solution technique ?
	10

04/04/2011, 13h56	#10
dumoulex Membre du Club nicolas Développeur informatique Inscription : février 2011 Messages : 111 Détails du profil Informations personnelles : Nom : nicolas Localisation : France Informations professionnelles : Activité : Développeur informatique Secteur : Transports Informations forums : Inscription : février 2011 Messages : 111 Points : 52 Points : 52	j'ai deja fait un système avec iptables en nat pour rediriger sur les caméras, et effectivement, ca fonctionne, mais la je dois faire des routes.. donc comme tu dis, je dois faire un pont entre les 2 en precisant qu'il faut passer par le VPN.. mais je bug sur le fait que je peux pinger depuis le nexcom jusqu'à la passerelle 10.22.7.12 et pas le contraire.. pourtant je met les mêmes lignes de chaque coté.. je vais bien réussir par trouver ! le nexcom comporte un linux, debian kernel 2.6.26-2-686 je suis root dessus, juste pas d'interface graphique, tout en shell.. merci dans tous les cas pour le temps que tu prends pour m'aider !
	10

04/04/2011, 14h37	#12
becket Membre Expert Frédéric Brugmans Informaticien multitâche Inscription : février 2005 Messages : 661 Détails du profil Informations personnelles : Nom : Frédéric Brugmans Informations professionnelles : Activité : Informaticien multitâche Informations forums : Inscription : février 2005 Messages : 661 Points : 1 196 Points : 1 196	1 - Je trouve effectivement plus propre d'utiliser des routes que d'utiliser PAT/DNAT/SNAT/MASQUERADING qui n'a apparemment pas d'utilité à la seule lecture de l'énoncé du problème. 2 - Pour que cela fonctionne, il faut que les deux sens soient configurés, ce qui sous-entend que les périphériques d'extrémités doivent l'être également. ( Que ce soit via une route spécifique ou via une route par défaut ).
	00

04/04/2011, 14h44	#13
dumoulex Membre du Club nicolas Développeur informatique Inscription : février 2011 Messages : 111 Détails du profil Informations personnelles : Nom : nicolas Localisation : France Informations professionnelles : Activité : Développeur informatique Secteur : Transports Informations forums : Inscription : février 2011 Messages : 111 Points : 52 Points : 52	qu'est ce que tu entends par périphérique d'extrémité ? les caméras ? ou bien ma passerelle 10.22.7.12 et le nexcom relié chacun à un bout du VPN ? sinon, je réussis a pinger l'adresse 10.22.7.12 depuis le nexcom, en revanche je n'ai pas accès à d'autres pc de ce reseau. je suppose qu'il y a une règle route a ajouter pour que tous le réseau soit accessible via la passerelle 10.22.7.12 mais je ne sais pas trop a quoi elle ressemble..
	00

04/04/2011, 15h11	#15
dumoulex Membre du Club nicolas Développeur informatique Inscription : février 2011 Messages : 111 Détails du profil Informations personnelles : Nom : nicolas Localisation : France Informations professionnelles : Activité : Développeur informatique Secteur : Transports Informations forums : Inscription : février 2011 Messages : 111 Points : 52 Points : 52	ok je vais regarder ca ! merci bien, je tiens le topic à jour ! juste le temps de réparer le VPN qui part en cacahuète, surement a cause de la 3G... bref.. peut être un autre topic ! merci a toi en tout cas
	00

05/04/2011, 09h37	#17
dumoulex Membre du Club nicolas Développeur informatique Inscription : février 2011 Messages : 111 Détails du profil Informations personnelles : Nom : nicolas Localisation : France Informations professionnelles : Activité : Développeur informatique Secteur : Transports Informations forums : Inscription : février 2011 Messages : 111 Points : 52 Points : 52	hello ! j'ai trouvé la solution, apres quelques heures de galere ! mes routes sont OK, le soucis venait de openvpn pour faire passer des redirection serveur à client, il faut preciser les adresses dans le serveur vpn en lui indiquant le nom du certificat du client associé, en créant un repertoire ccd et un fichier spécial... adresse si jamais quelqu'un veut approfondir : http://doc.ubuntu-fr.org/openvpn merci en tout cas de vous etre penché sur mon probleme !
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email