Routeur qui ne route pas [Résolu]

[brunocott]

Bonjour à tous,

Je suis en cours d'installation d'un serveur qui fera aussi office de firewall.
J'utilise une distribution Debian Squeeze sur un Dell Power Edge 2800.
Trois interfaces eth dont une qui me servira plus tard de DMZ.

Le problème est que le serveur ne veut pas router entre le pc et la freebox !!!

Lorsque je suis sur le serveur, le ping passe sur la freebox et sur le pc mais lorsque je suis sur le pc, le ping ne passe que sur les deux adresses 192.168.0.1 et 192.168.1.1 et pas sur 192.168.1.254 ???

Est-ce-que quelqu'un peut m'aider parce-que là ça fait un deux trois quatre jours que je sèche et je n'y arrive pas !!!

Le reseau :

Freebox en mode routeur, adresse 192.168.1.254
serveur, adresse 192.168.1.1 et 192.168.0.1
pc client, adresse 192.168.0.11

Fichier "/etc/network/interfaces" du serveur :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
auto lo
iface lo inet loopback
 
allow-hotplug eth0
iface eth0 inet static
        address 192.168.1.1
        netmask 255.255.255.0
        network 192.168.1.0
        broadcast 192.168.1.255
 
auto eth1
iface eth1 inet static
        address 192.168.2.1
        netmask 255.255.255.0
        network 192.168.2.0
        broadcast 192.168.2.255
 
auto eth2
iface eth2 inet static
        address 192.168.0.1
        netmask 255.255.255.0
        network 192.168.0.0
        broadcast 192.168.0.255

routes du serveur :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
srv-princ - root - 05:29:20
/home/bruno : # route -n
Table de routage IP du noyau
Destination     Passerelle      Genmask         Indic Metric Ref    Use Iface
192.168.2.0     0.0.0.0         255.255.255.0   U     0      0        0 eth1
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0
192.168.0.0     0.0.0.0         255.255.255.0   U     0      0        0 eth2

Fichier "/etc/network/interfaces" du pc :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
auto lo
iface lo inet loopback
 
allow-hotplug eth0
iface eth0 inet static
        address 192.168.0.11
        netmask 255.255.255.0
        network 192.168.0.0
        broadcast 192.168.0.255

routes du pc :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
pc-bruno-deb - root - 05:58:53
~ : # route -n
Table de routage IP du noyau
Destination     Passerelle      Genmask         Indic Metric Ref    Use Iface
192.168.0.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0

J'ai autorisé le noyau à faire du routage en dé-commentant la ligne "net.ipv4.ip_forward=1" du fichier /etc/sysctl.conf.

J'ai saisie la ligne "iptables -A FORWARD -j ACCEPT".

Merci d'avance pour votre aide.

[becket]

Pour que cela puisse fonctionner, ta freebox doit avoir une route vers ton second réseau car par défaut elle ne connait que la route vers ton réseau local 192.168.1.x ( réseau directement connecté ) et une passerelle par défaut vers internet. Donc, tu dois dire à la freebox pour aller sur le réseau 192.168.0.0, tu dois utiliser la passerelle : 192.168.1.1

Mais il faut également configurer les routes sur tous les équipement qui ne peuvent pas trouver leur chemin tout seul dans ton réseau :

- Ton pc linux doit diriger la passerelle par défaut vers ta freebox ( 192.168.1.254 ).
- Ton pc client doit avoir lui, comme passerelle par défaut ton pc linux ( 192.168.0.1)

[brunocott]

Merci beaucoup pour ton aide, mais je n'arrive pas à comprendre la structure globale ?

Sur le pc, pas de problème, je met l'adresse du serveur en passerelle par defaut pour qu'il sache où aller lorsqu'il ne connait pas une adresse :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
auto lo
iface lo inet loopback
 
allow-hotplug eth0
iface eth0 inet static
        address 192.168.0.11
        netmask 255.255.255.0
        network 192.168.0.0
        broadcast 192.168.0.255
        gateway 192.168.0.1

route -n

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
 
Table de routage IP du noyau
Destination     Passerelle      Genmask         Indic Metric Ref    Use Iface
192.168.0.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0
0.0.0.0         192.168.0.1     0.0.0.0         UG    0      0        0 eth0

Par contre, sur le serveur, dans la sens "sortant" pas de problème, mais pour le retour je vois pas ???

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
auto lo
iface lo inet loopback
 
allow-hotplug eth0
iface eth0 inet static
        address 192.168.1.1
        netmask 255.255.255.0
        network 192.168.1.0
        broadcast 192.168.1.255
        gateway 192.168.1.254
 
auto eth1
iface eth1 inet static
        address 192.168.2.1
        netmask 255.255.255.0
        network 192.168.2.0
        broadcast 192.168.2.255
 
auto eth2
iface eth2 inet static
        address 192.168.0.1
        netmask 255.255.255.0
        network 192.168.0.0
        broadcast 192.168.0.255

route -n

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
srv-princ - root - 17:35:08
/home/bruno : # route -n
Table de routage IP du noyau
Destination     Passerelle      Genmask         Indic Metric Ref    Use Iface
192.168.2.0     0.0.0.0         255.255.255.0   U     0      0        0 eth1
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0
192.168.0.0     0.0.0.0         255.255.255.0   U     0      0        0 eth2
0.0.0.0         192.168.1.254   0.0.0.0         UG    0      0        0 eth0

Et alors sur la freebox, là, je ne vois vraiment pas comment lui attribuer une passerelle par défaut ???

Je patauge sévère j'ai beau lire plein de tuto sur le routage, je n'arrive pas me faire une idée net !

Merci encore

[becket]

Tu ne dois pas rajouter une passerelle par defaut sur la freebox mais une paserelle vers le réseau du pc.

[brunocott]

Je ne sais pas où l'ajouter cette passerelle ?

Je pense que c'est dans le fichier /etc/network/interfaces du serveur mais je ne vois pas à quelle ligne ?

[becket]

Cette route, tu dois l'ajouter sur la freebox.

[brunocott]

Je ne sais pas s'il est possible d'ajouter ca sur la freebox.

Voici la page de reglage du routeur :

[Alek-C]

Hello,

Je ne suis pas un expert en réseau, mais j'ai l'impression qu'il y a un petit mélange en passerelle et routeur.

Le premier point est de définir clairement ce qu'on veut.

Ici, je suppose que le point de sortie des machines vers Internet devient le serveur qui est le seul connecté à la box (d'un point de vue théorique : le switch de la box peut être utilisé, mais c'est dommage si le but est de sécurisé puisque n'importe qui peut potentiellement bypasser le routeur ).

Du coup, la freebox n'a pas besoin d'être en mode routeur puisque tu mets justement un pc dédié à cette tâche (pour rappel, une freebox en mode routeur fait déjà plus ou moins office de firewall).

Si tu laisses ta freebox en mode routeur, ça complique inutilement le schéma puisque tu te retrouves avec 2 routeurs à la suite. De plus, ça laisse la possibilité aux gens de passer par la freebox plutôt que par ton serveur pour aller sur Internet (sauf s'ils sont sur un autre switch bien sûr). Et ça t'oblige également à configurer 2 équipements dans l'éventualité où tu souhaites autoriser des connexions entrantes (ce qui sera difficile à faire sur l'interface de la freebox).

D'ailleurs, je ne crois pas avoir vu de passerelle dans les configurations de ton serveur (ce qui est correct si la freebox n'est pas en mode routeur, mais incorrect dans ton cas à priori) ? Le second point est donc évidemment de valider que le serveur ait accès à Internet

Bref, une fois ces points réglés, les commandes suivantes devraient suffire :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
echo 1 > /proc/sys/net/ipv4/ip_forward
/sbin/iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
/sbin/iptables -A FORWARD -i eth0 -o eth2 -m state --state RELATED,ESTABLISHED -j ACCEPT
/sbin/iptables -A FORWARD -i eth2 -o eth0 -j ACCEPT

Pour la première, c'est ce que tu as fait en décommentant ta ligne "net.ipv4.ip_forward=1" (tu as bien redémarré après ?) pour autoriser l'ip forwarding dans le noyau.
La seconde ligne fait la translation d'adresse en sortie d'eth0.
Les troisièmes et quatrièmes lignes autorisent l'ip forwarding d'eth2 vers eth0.

Ensuite, si le serveur est correctement configuré (ie, s'il arrive à accéder à internet), mettre une passerelle par défaut (192.168.0.1) sur le pc client devrait te permettre d'accéder à Internet, le routeur faisant le reste (idem pour la freebox).

[brunocott]

C'est vrai, j'aurais du être plus explicite sur mes manipulations.

Le but final est effectivement d'utiliser le serveur en tant que routeur/firewall et de n'avoir qu'un seul réseau derrière (plus une troisième interface au cas ou un jour, peut-être, je sois assez calé pour créer une DMZ et un second serveur accessible depuis Internet) et de n'utiliser la box que comme "modem".

En attendant je fait des tests pour maîtriser tout ça et je garde la Freebox en mode routeur pour la sécurité .

J'ai plusieurs sujets à maîtriser avant d'en arriver là :

- Mes gosses regardent la télé avec le Freebox HD branchée sur RJ45 (voir si tout est compatible avec une routeur) ?
- J'ai 10 pc dont trois en Wifi, plus une WII (voir si tout ça peut communiquer sur mon réseau et passer au travers du routeur) ?
- Apprendre à me servir de netfilter/iptables.
- etc...

Donc pour l'instant je fais beaucoup de tests sur mon serveur fraîchement reçu.

Citation:

De plus, ça laisse la possibilité aux gens de passer par la freebox plutôt que par ton serveur pour aller sur Internet (sauf s'ils sont sur un autre switch bien sûr)

C'est le cas, je n'ai qu'un câble entre a Freebox et eth0 du serveur, tout le reste de l’équipement est branché sur des switchs reliés sur eth2 du serveur.

Citation:

Et ça t'oblige également à configurer 2 équipements dans l'éventualité où tu souhaites autoriser des connexions entrantes (ce qui sera difficile à faire sur l'interface de la freebox).

C'est précisement là que je bloque

Citation:

D'ailleurs, je ne crois pas avoir vu de passerelle dans les configurations de ton serveur (ce qui est correct si la freebox n'est pas en mode routeur, mais incorrect dans ton cas à priori) ? Le second point est donc évidemment de valider que le serveur ait accès à Internet

Si si, j'ai mis une adresse de "gateway" sur mes clients qui pointe sur mon serveur/routeur pour les demandes sortantes, et une sur mon serveur/routeur qui pointe sur la Freebox pour faire suivre ses demandes.
Par contre c'est dans le sens retour que je ne peux pas mettre d'adresse de gateway dans la Freebox qui pointe sur mon serveur pour les adresses IP de mon second réseau ???
J'ai vérifié, un ping de mon serveur sur une adresse internet passe correctement.

Citation:

Bref, une fois ces points réglés, les commandes suivantes devraient suffire :

Merci beaucoup pour les commandes, je vais tester ça cette nuit.

Si cette manipulation ne fonctionne pas, je vais tester une configuration très simple (pc1 <==> serveur <==> pc2) sans Freebox pour maîtriser le routage entre deux réseaux.

Je tiens tout le monde au courant dès que j'ai pu bidouiller tout ça !

Merci encore

[Alek-C]

Attention à ne pas confondre connexions "entrantes" et "retours".

Si elles se font dans le même sens, elles ne marchent pas pareil

La première est une connexion initiée de l'extérieur vers ton réseau local. Pour cela, tu dois mettre en place de la redirection de port pour indiquer, par exemple, que ce qui arrive sur le port 8080 de ton routeur doit être redirigé sur le port 80 de ton serveur web sur le réseau local.

La seconde en revanche est traitée automatiquement par l'équipement qui fait office de routeur (si je ne dis pas de bêtise) : lorsque ton paquet sort du réseau local vers Internet, le routeur le modifie pour remplacer l'ip source par son ip externe et positionne un port qui va lui permettre d'identifier la machine du réseau local à l'origine de la demande (dans le cas d'un routage dynamique masqueradé < je me rends compte que je ne connais pas le nom français ^^). Lorsque le serveur renvoie sa réponse au routeur, ce dernier identifie par l'ip et le port quelle machine locale doit recevoir le paquet et remodifie la trame en conséquence. Donc normalement, à partir du moment où ton paquet sort du réseau et où ton serveur n'est pas trop restrictif (vérifier les règles iptables), ça devrait marcher tout seul

Mais ce fonctionnement (modification de la trame) pose des problèmes à quelques protocols ne respectant pas les différentes couches réseaux (ex. le plus courant : FTP qui a besoin d'un échange des ports pour les données).

[ram-0000]

Plus d'info ici : Introduction aux réseaux TCP IP et plus particulièrement dans le paragraphe 5 qui traite de la translation d'adresse.

[becket]

Généralement les interventions de Alek-C sont de très bonnes qualité et très pertinentes. Après ses interventions, un complément d'information est généralement inutile mais ici il me semble que l'on complique les choses inutilement.

Tout d'abord et en simplifiant un peu les choses, un routeur est simplement un équipement qui travaille sur la couche ip et qui permet à un paquet de passer d'un réseau à un autre. Un firewall est un équipement qui travaille sur la couche ip ( il fait donc office de routeur ) mais qui prend des décisions sur les couches supérieures ( tcp / udp ... etc ) en plus.

Donc pour que cela fonctionne ( quelque soit la configuration ) la freebox devra toujours faire office de routeur parce qu'il relie un réseau local à l'internet ( un autre réseau ).

Ton FAI n'offrant pas d'autre possibilité que d'obtenir une seule adresse IP publique, la totalité des machins box proposent de partager cette adresse en utilisant du masquerading.En d'autre termes, il va modifier l'adresse de source ou de destination ( en fonction du sens du trafic ) pour que plusieurs pc puissent se connecter de manière simultanée à internet.

Faire du masquerading deux fois, une fois sur la freebox et une fois sur le "routeur-firewall-pc" n'a pas de sens car
- Tu peux disposer d'autant d'adresses privées que tu le veux dans ton LAN.
- Tu compliques grandement un éventuel débugging.
- Tu compliques la configuration des protocoles qui ne sont pas NAT-Friendly.
- Tu ne diminues pas le nombre de "routeurs"
- ... etc

Alors qu'en utilisant un simple routage, les choses sont transparentes.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

 NET <==> FREEBOX <==> FIREWALL <==> RESEAU LOCAL

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

 NET <==> (IP PUBLIQUE) FREEBOX ( 192.168.1.254 ) <==> ( 192.168.1.1 ) FIREWALL ( 192.168.0.1 ) <==> (  192.168.0.11 ) PC RESEAU LOCAL

Pour que cela fonctionne, il faut simplement que chaque routeur puissent connecter les autres réseaux.

FIREWALL :

- Il connait : 192.168.0.x | 192.168.1.x
- Pour accéder a internet, on rajouter une passerelle par défaut vers l'ip de la freebox dans le réseau 192.168.1.x )
La route par défaut permet d'avoir une passerelle vers laquelle on va envoyer tout le trafic des réseaux de destination que l'on ne connait pas et cette adresse doit absolument être dans un réseau que l'on "connait".


PC :

- Il connait le réseau ( 192.168.0.x )
- On va rajouter une passerelle par défaut vers le firewall dans ce réseaux ( 192.168.0.1 )

A ce stade, Il peut donc contacter tout les pc de son réseau ( 192.168.0.x ) et l'adresse dans le réseau 192.168.1.x du firewall.

La freebox :

- A une passerelle vers INTERNET
- Connait le réseaux 192.168.1.x

Donc il est capable de contacter le firewall mais si il doit envoyer du trafic pour le PC en 192.168.0.x, la seule route qu'il peut utiliser est sa route par defaut ( vers internet )....

Pour résoudre le problème, il faut ajouter sur la freebox une route vers le réseau 192.168.0.0/24 qui utilise la passerelle 192.168.1.1

[brunocott]

Comme tu l'as si bien dit becket, c'est Alek-C qui m'as mis sur la piste pour débloqué le bouzin.

Le problème venait bien de Netfilter (que je ne maîtrise pas encore) qui bloquait le forwarding ou les translations d'adresses.

Je fait quelques tests supplémentaires et je posterai les tables de routages finales et les règles iptables nécessaires.

Merci encore pour votre aide à tous.

[Alek-C]

Citation:

Envoyé par becket

Généralement les interventions de Alek-C sont de très bonnes qualité et très pertinentes. Après ses interventions, un complément d'information est généralement inutile mais ici il me semble que l'on complique les choses inutilement.
...
Donc pour que cela fonctionne ( quelque soit la configuration ) la freebox devra toujours faire office de routeur parce qu'il relie un réseau local à l'internet ( un autre réseau ).
...

Merci pour la première remarque, le compliment peut se retourner à la plupart des interlocuteurs du forum mais ici, comme je ne suis pas un expert, mes posts sont un peu plus brouillons

Cela étant, je ne suis pas entièrement d'accord avec ton second point : si tu n'autorise qu'une seule machine (ici, le serveur) à se connecter à Internet, il n'est pas indispensable que la freebox soit en mode routeur puisque le serveur fait lui-même office de routeur. En ayant une freebox en mode modem, l'interface eth0 du serveur (connectée à la freebox) aura comme ip l'ip externe free (la freebox devenant un équipement transparent). C'est ce système que j'utilisais il y a de cela des années, mais j'ignore si c'est toujours possible (la case à cocher est grisée chez moi en tout cas).

Ensuite, j'ai une autre question. Comme je l'ai dit, je connais assez mal toutes ces histoires de routage, mais il y a un point qui me chiffonne dans ton explication : à partir du moment où ton serveur a deux interfaces (192.168.0.1 et 192.168.1.1), il va bien être obligé de faire du routage ?
Donc les paquets en provenance du réseau local 192.168.0.* vont être transformés soit en 192.168.1.1 dans le cas d'un NAT dynamique (avec masquerading), soit en 192.168.1.* en NAT statique (si tu as la possibilité d'avoir plusieurs ips sur ton interface eth0).
A partir de ce moment là, la freebox va recevoir des paquets qui ne seront que sur le réseau 192.168.1.*, donc elle ne devrait pas avoir besoin d'une route vers ce réseau. Pour moi, la seule nécessité d'avoir une route vers le réseau 192.168.0.* sur la freebox serait dans le cas où on souhaite pouvoir accéder à une machine du réseau local depuis l'extérieur.
De plus, comme je ne crois pas qu'il soit possible de définir une telle route sur la freebox, selon moi, le seul moyen et de faire une redirection de port vers un port du serveur, et de faire la même opération sur le serveur.

[becket]

Citation:

Envoyé par Alek-C

Ensuite, j'ai une autre question. Comme je l'ai dit, je connais assez mal toutes ces histoires de routage, mais il y a un point qui me chiffonne dans ton explication : à partir du moment où ton serveur a deux interfaces (192.168.0.1 et 192.168.1.1), il va bien être obligé de faire du routage ?

Pour que cela fonctionne, il devra évidement faire du routage.

Citation:

Envoyé par Alek-C

Donc les paquets en provenance du réseau local 192.168.0.* vont être transformés soit en 192.168.1.1 dans le cas d'un NAT dynamique (avec masquerading), soit en 192.168.1.* en NAT statique (si tu as la possibilité d'avoir plusieurs ips sur ton interface eth0).

Routage ne veut absolument pas dire modification des adresses sources et ou de destinations.

Citation:

Envoyé par Alek-C

A partir de ce moment là, la freebox va recevoir des paquets qui ne seront que sur le réseau 192.168.1.*, donc elle ne devrait pas avoir besoin d'une route vers ce réseau.

La freebox recevra des paquets des deux réseaux 192.168.0.0/24 et 192.168.1.0/24. Sans une route supplémentaire, la freebox ne sera pas capable de contacter le réseaux derrière le serveur à moins de faire du double NAT qui est inutile.

Citation:

Envoyé par Alek-C

Pour moi, la seule nécessité d'avoir une route vers le réseau 192.168.0.* sur la freebox serait dans le cas où on souhaite pouvoir accéder à une machine du réseau local depuis l'extérieur.

Route + nat, cela ne sert à rien ! Si tu NAT, tout ton trafic aura comme ip source, l'adresse du serveur.

[Alek-C]

Merci pour les explications, je me coucherais moins bête ce soir

Je pensais qu'un routeur transformait systématiquement les ip du réseau source vers une ip du réseau de destination... d'où mes autres questions mais si ça n'est pas le cas, ça change évidemment beaucoup de choses.

Par contre, je ne crois pas qu'il soit possible d'indiquer des routes à la freebox ?

[ram-0000]

Citation:

Envoyé par Alek-C

Par contre, je ne crois pas qu'il soit possible d'indiquer des routes à la freebox ?

Cela m'étonnerai que tu ne puisses le faire. Cherche bien dans toutes les pages d'administration de ta box (je n'ai pas de FreeBox pou t'aider).

En tout cas, sur mon AliceBox, il est possible de rajouter des routes vers des réseaux internes.

[Alek-C]

Je suis à peu près sûr que ça n'est pas possible Autant sur le fonctionnement détaillé des routeurs, je savais que je pouvais me tromper, autant sur les configurations offertes par l'interface de la freebox, j'ai beaucoup moins de doutes :p

Pour moi, une freebox + un routeur, c'est soit du double nat, soit une freebox en mode modem et un routeur (nat évidemment) !

[becket]

Citation:

Envoyé par Alek-C

Pour moi, une freebox + un routeur, c'est soit du double nat, soit une freebox en mode modem et un routeur (nat évidemment) !

Sans la possibilité d'ajouter une route dans l'interface web, je penche pour une config modem + routeur/nat

[Alek-C]

itoo, sauf à vouloir mettre une dmz bien séparée du réseau local par exemple... mais avec tous les problèmes liés au double nat...

sinon, l'autre solution est de tout basculer en ipv6