Discussion :

[dumoulex]

bonjour,

je dois faire un système de routage qui me permettrait d'autoriser des accès entre réseau mais entre les différentes interfaces et les réseaux j'ai du mal à comprendre...

je dispose d'un réseau 10.22.7.X en eth0

il y a plusieurs machines sur ce réseau, dont la machine 10.22.7.12 qui est censée faire passerelle vers un autre réseau local 10.69.1.X. Ce réseau est aussi en eth0.

Mais je n'ai pas de connexion direct entre ces deux réseaux.

Ma passerelle 10.22.7.12 est reliée à cet autre réseau local par un VPN avec une adresse du type 10.8.0.X

je voudrais, depuis une machine quelconque sur mon réseau 10.22.7.X, réussir à pinger mon réseau local 10.69.1.X.

J'ai déjà regarder comment les routes fonctionnent, si j'ai bien compris je dois faire une route sur ma passerelle 10.22.7.12 mais aussi sur la passerelle 10.69.1.253...

mais je n'y arrive guère, et je n'arrive toujours pas à comprendre vraiment comment tout ça marche.

merci de votre aide

dumoulex

PS : schéma en pièce jointe pour bien comprendre

[lennelei]

Déjà, dis ce qui fonctionne :
1) depuis ta passerelle 10.22.7.12, arrives-tu à pinger 10.0.8.253 ?
2) depuis ta passerelle 10.22.7.12, arrives-tu à pinger 10.69.1.254 ?

[dumoulex]

hello

merci de ton intérêt

j'ai fait une règle sur la machine embarqué (cf photo piece jointe) :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

route add -net 10.69.1.0/24 gw 10.8.0.253

avec ça, depuis ma machine 10.22.7.12
je lance le ping sur :
10.8.0.253
10.69.1.254
et même les machines du réseau privée 10.69.1.1

mais j'obtiens

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
PING 10.8.0.253 (10.8.0.253) 56(854) bytes of data
From X.X.X.X icmp_seq=1 packet filtered

donc j'arrive a joindre mais je passe pas..

dans l'autre sens je n'arrive a rien, pas de ping possible

[lennelei]

Tu as essayé de faire un traceroute ?

packet filtered peut vouloir dire que quelque chose filtre ton packet icmp, tu es sûr de ton schéma (il n'y a pas d'autres équipements) ?

As-tu la main sur le nexcom ? Est-ce qu'il ne bloquerait pas les requêtes icmp ?

[becket]

Pour que cela fonctionne, il faut évidemment que ton "nexcom embarqué" puisse faire du routage et qu'il connaisse les routes vers tes différents réseaux

[dumoulex]

merci de vos reponses,

j'ai reussi a avancer,

et j'obtiens même un ping ! depuis ma machine Nexcom, j'arrive a pinger la passerelle, en 10.22.7.12.

En revanche je n'arrive pas a pinger d'autres machines du reseau 10.22.12.X

et je n'arrive pas a pinger mon reseau privé coté nexcom depuis ma passerelle 10.22.7.12.

les commandes que j'ai utilisées :
coté nexcom :
route add -net 10.22.7.0 netmask 255.255.255.0 dev tun0

coté passerelle :
route add -net 10.69.1.0 netmask 255.255.255.0 dev tun0

mon but c'est de pouvoir interroger les cameras depuis une adresse du type 10.22.7.X, sur le reseau privé ou se situe la passerelle..

j'avance doucement, merci à ceux qui ont des suggestions !

[lennelei]

Comment as-tu configuré ton pont sur le nexcom et sur la passerelle ?

[dumoulex]

configuré a quel niveau ?

justement, pour le moment je n'ai rien qui fait le lien entre les réseaux privés. Je ne sais pas du tout comment faut s'y prendre, les réseaux et es lignes de shell comme ça je n'y comprend pas grand chose !

la j'essaie de faire communiquer et de pinger le nexcom et la passerelle 10.2.7.12, et même ca ca ne marche que dans un sens...
(nexcom -> passerelle) mais pas dans l'autre..

[lennelei]

Je ne connais pas les équipements nexcom, mais à mon avis, si un paquet venant de l'extérieur souhaite accéder à une caméra, il faut dire au nexcom soit "tout ce qui arrive de 10.8.* à destination de 10.69.* peut passer et utilise telle et telle interface" soit "ce qui arrive sur le port 8005 va vers le port x de la caméra 5 et ce qui arrive sur le port 8006 va vers le port y de la camera 6".

Dans le premier cas, tu as un pont entre tes 2 réseaux et tu ouvres les vannes en grand, dans le second cas, tu fais de la redirection de port...

Dans tous les cas, il faut configurer le nexcom...

Pour tes problèmes de ping, ça peut venir de pleins de problèmes : le nexcom bloque peut-être les requêtes de ping ?

Comment configures-tu le nexcom ? C'est du linux ? Tu as une interface d'administration ?
Quel est le but final ? Uniquement accéder aux caméras ? Si oui, comment se fait l'accès à une caméra ?
Comment as-tu conçu cette solution technique ?

[dumoulex]

j'ai deja fait un système avec iptables en nat pour rediriger sur les caméras, et effectivement, ca fonctionne, mais la je dois faire des routes..

donc comme tu dis, je dois faire un pont entre les 2 en precisant qu'il faut passer par le VPN..

mais je bug sur le fait que je peux pinger depuis le nexcom jusqu'à la passerelle 10.22.7.12 et pas le contraire.. pourtant je met les mêmes lignes de chaque coté.. je vais bien réussir par trouver !

le nexcom comporte un linux, debian kernel 2.6.26-2-686
je suis root dessus, juste pas d'interface graphique, tout en shell..

merci dans tous les cas pour le temps que tu prends pour m'aider !

[dumoulex]

oui le but c'est l'accès aux cameras, en connaissant leurs adresses IP.

je comptes y accéder via une requête rtsp du genre
rtsp://IPCAMERAORT/axis-media/media.amp
via des vlc intégrés dans des pages webs.

ce système marche parfaitement avec iptables en nat, mais les responsables préféreraient du routage direct.. après je suis d'accord que ça marche, mais j'aurai des problèmes par rapport à d'autres contraintes..

après je fais ce qu'on me demande ! (j'essaie tout du moins)

[becket]

1 - Je trouve effectivement plus propre d'utiliser des routes que d'utiliser PAT/DNAT/SNAT/MASQUERADING qui n'a apparemment pas d'utilité à la seule lecture de l'énoncé du problème.

2 - Pour que cela fonctionne, il faut que les deux sens soient configurés, ce qui sous-entend que les périphériques d'extrémités doivent l'être également. ( Que ce soit via une route spécifique ou via une route par défaut ).

[dumoulex]

qu'est ce que tu entends par périphérique d'extrémité ?
les caméras ? ou bien ma passerelle 10.22.7.12 et le nexcom relié chacun à un bout du VPN ?

sinon, je réussis a pinger l'adresse 10.22.7.12 depuis le nexcom, en revanche je n'ai pas accès à d'autres pc de ce reseau.

je suppose qu'il y a une règle route a ajouter pour que tous le réseau soit accessible via la passerelle 10.22.7.12 mais je ne sais pas trop a quoi elle ressemble..

[becket]

qu'est ce que tu entends par périphérique d'extrémité ?

Les caméra d'un coté et le pc qui va demander le flux de la caméra de l'autre.

La solution qui me semble la plus simple par rapport au schema que tu as donné, c'est de configurer

- les caméra avec l'ip du nexcom comme paserelle par défaut ( 10.69.1.254 )
- Le nexcom avec une gateway par défaut sur 10.8.0.254
- Le routeur INTRANET qui a une route vers les cameras ( 10.69.1.0/24 ) via le nexcom ( 10.8.0.253 )
- Le routeur INTRANET qui a une passerelle par defaut vers ?? ( pas d'information )
- Le pc de visualisation qui a une route par défaut vers 10.22.7.12

[dumoulex]

ok je vais regarder ca ! merci bien, je tiens le topic à jour !

juste le temps de réparer le VPN qui part en cacahuète, surement a cause de la 3G... bref.. peut être un autre topic !

merci a toi en tout cas

[lennelei]

Les caméra d'un coté et le pc qui va demander le flux de la caméra de l'autre.

La solution qui me semble la plus simple par rapport au schema que tu as donné, c'est de configurer

- les caméra avec l'ip du nexcom comme paserelle par défaut ( 10.69.1.254 )
- Le nexcom avec une gateway par défaut sur 10.8.0.254
- Le routeur INTRANET qui a une route vers les cameras ( 10.69.1.0/24 ) via le nexcom ( 10.8.0.253 )
- Le routeur INTRANET qui a une passerelle par defaut vers ?? ( pas d'information )
- Le pc de visualisation qui a une route par défaut vers 10.22.7.12

Il ne manque pas une configuration du nexcom pour autoriser le forwarding dans ce cas là ?!

[dumoulex]

hello !

j'ai trouvé la solution, apres quelques heures de galere !
mes routes sont OK, le soucis venait de openvpn

pour faire passer des redirection serveur à client, il faut preciser les adresses dans le serveur vpn en lui indiquant le nom du certificat du client associé, en créant un repertoire ccd et un fichier spécial...

adresse si jamais quelqu'un veut approfondir :
http://doc.ubuntu-fr.org/openvpn

merci en tout cas de vous etre penché sur mon probleme !