Discussion :

[Elminthor]

Bonjour a tous,

Comme l'indique le titre, je me pose actuellement une question :

J'ai mon réseau privé en 172.16.0.0, lequel est divisé en différents sous réseaux, communicants entre eux.
J'ai une contrainte : mon boss me demande de passer mon sous réseau de "test" sur lequel se trouve l'ensemble des machines de tests (d'où son nom) sur le dhcp (enfin ça, ça peut virer après ) d'une livebox prévue pour ce sous réseau là, afin de décharger une partie du réseau de l'entreprise.

Le soucis, c'est que du coup, le réseau de l'entreprise va chercher internet d'un coté, et du coup, théoriquement les machines de tests iront chercher internet sur la livebox.
Maintenant une des contraintes est que mes machines de tests sont actuellement sur le domaine de l'entreprise, et que les utilisateurs sont sur l'AD.
Si je "sépare" mon sous réseau de tests et que je le met sur le réseau de la livebox, si je ne me trompe pas, je n'aurais plus d'accès à mes sessions non ?
Dans ce cas, comment faire pour remédier a cela ?

Je ne sais pas si j'ai été très clair, si vous avez des questions, je tacherais d'y répondre le plus rapidement et précisément possible.

[Invité]

Salut,

oui, en faisant ça, tu risques de "sortir" ton sous-réseau de test de ton AD à cause des problématiques de DNS, ma recommandation serait donc de désactiver le DHCP sur la Livebox.

Par contre, le point structurant, c'est de savoir comment est réalisée l'interco entre le réseau 172.16.0.0/16 et le réseau de la Livebox (appelons-le 192.168.1.0/24).

Je vois deux scenarios possibles.


1. La Livebox sert de routeur entre ces réseaux

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
172.16.0.0/16 -------- LiveBox -------- 192.168.1.0/24
     |            .1.1         .254
 DHCP Server

Tu configures alors la LiveBox en DHCP Relay en précisant l'adresse IP du DHCP Server (je crois que c'est possible).

Simple et efficace. Enfin en théorie... Perso, ça me hérisse toujours le poil de voir une Livebox comme single point of failure...


2. La Livebox n'est pas routeur entre ces réseaux

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
LiveBox ------------------- 192.168.1.0/24
        .254                     |
                                 |
                                 |.253
                               +---+
172.16.0.0/16 -----------------| R |
     |                     .1.1+---+
 DHCP Server

Ici, le routeur R réalisant l'interco entre ces réseaux devra également supporter la fonctionnalité de DHCP Relay jusqu'à ton serveur DHCP.

Quant au serveur DHCP, il faudra également qu'il serve les requêtes DHCP venant de 192.168.1.0/24 mais il faudra forcer la gateway envoyée avec l'adresse de la Livebox 192.168.1.254, de telle façon que les stations utilisent toujours la Livebox comme point de sortie vers l'Internet. Et comme on sait jamais ce qui peut arriver à une Livebox, tu peux éventuellement servir une 2ème gateway, 192.168.1.253 (ça devrait être possible de l'envoyer avec un metric supérieur à celui de la 1ère gateway, mais je ne suis plus sûr du tout).

Il faudra en plus configurer la route statique suivante sur la Livebox :

réseau 172.16.0.0 mask 255.255.0.0
passerelle 192.168.1.253

Similairement, dans ton nuage 172.16.0.0/16, il faudra sans doute configurer ici et là une route statique pour joindre le réseau 192.168.1.0/24.

Sauf erreur de ma part, dans ces 2 scenarios, ton sous-réseau de test conserve l'adhérence sur ton AD.

Steph

[Elminthor]

Tout d'abord, merci beaucoup !!

J'avais parlé avec une amie, et elle ma proposé de me faire une DMZ ( d'un autre côté, elle ne jure que par ça ^^ ), mais je ne crois pas que ça colle réellement avec mon besoin, du moins si j'ai bien compris le principe de fonctionnement de la dmz...

Sur le principe de la seconde solution, j'ai fait quelque chose rapidement sur visio, je le link histoire de voir si ça correspondrait a ce qui a été dit.

Donc en gros, ça donnerait quelque chose dans ce style là ( si je ne me suis pas planté :



Donc voilà le résultat, votre avis ?

[Invité]

Oui, ça devrait ressembler à ça

Par contre, c'est quoi cette gateway 192.168.1.1 sur l'équipement qui connecte 172.16.0.0/16 ?

Steph

[Elminthor]

il ne faut pas rajouter de route sur le routeur du réseau 172.16.0.0/16 pour le faire communiquer avec le réseau de la livebox ?

pour le dhcp, je crois que pour le dhcp, je vais m'en passer, ça sera plus simple je pense.

En y pensant je viens de tilter sur quelque chose qui aurait du me venir a l'esprit directement aussi : les serveurs sont sur le domaine de mon entreprise. Faut-il que je les en sorte, mais du coup, là j'ai plus de connexion possible via l'AD si je ne me trompe pas ?

[Invité]

il ne faut pas rajouter de route sur le routeur du réseau 172.16.0.0/16 pour le faire communiquer avec le réseau de la livebox ?

Inutule puisque 192.168.1.0/24 est directement connecté (le routeur aura une patte dans ce réseau).

En outre, ce routeur devrait également avoir une default route pour envoyer le traffic depuis 172.16.0.0/16 vers l'Internet (d'après ce que j'ai compris, c'est le cas actuellement).

pour le dhcp, je crois que pour le dhcp, je vais m'en passer, ça sera plus simple je pense.

Si ce ne sont que des serveurs, tout à fait d'accord, mieux vaut configurer en dur.
Tu n'auras alors plus besoin du DHCP Relay sur la Livebox. Et tu pourras éventuellement garder le DHCP activé en excluant les adresses de tes serveurs.

Steph

[Elminthor]

Bon ! j'ai montré ça a mon boss...

La bonne nouvelle c'est qu'il aime bien l'histoire du plan de l'infra qu'il y a.
La mauvaise, c'est qu'il veut totalement couper les serveur de tests du réseau de la boite. Donc en gros, je suis reparti pour faire un schéma du "réseau" tel qu'il le veut ( jvous jure des fois...)

[Invité]

C'est lui le boss...
A priori, en faisant ça, tu as plus à perdre qu'à gagner...

Quels sont ses arguments de vouloir complètement isoler ton sous-réseau de test ?
Avec un peu d'écoute active, tu devrais pouvoir identifier toutes ses frayeurs

Steph

[Elminthor]

hum... oui alors ça j'ai essayé, ça fonctionne pas...

il est arrivé m'a dit : "tu me bouge tous les serveurs de tests, ça ralentit le réseau j'en ai marre".
En lui disant que ce n'est pas le cas ça ne passe pas ( je ne suis qu'en alternance après tout ).
Avant-hier il m'a deja fait bouger le serveur FTP pour la même raison ( parce que les clients font n'imp dessus, que c'est sur le réseau, ça plombe tout, m'voyez ?). Après, ça je voulais bien concevoir que ça ralentissais un peu tout, surtout quand ils sont plusieurs a télécharger dessus).
D'un autre coté, on à pas une connexion de malade (1.6mbps en upload et en download). Mais bon, pour les serveurs de tests, jsuis pas persuadé que ça changera quoi que ce soit, mais c'est le patron, j'vais pas argumenter dans le vent, puisqu'il a deja son idée d'arrêté sur la chose.

[Invité]

Ben alors isoles le sous-réseau de test...
Tu verras bien ce qu'il dit s'il y a toujours des ralentissements réseau...

Steph

[Elminthor]

ouaip, je vais faire comme ça et puis on vera bien ce qu'il se passera.

Mais deja, ( désolé de l'expression ) l'infra est foireuse...

Dans la logique, personnellement j'aurais fait avec des Vlans... d'une part pour séparer les services ( qui n'ont a priori pas besoins de communiquer entre eux ), de telle sorte qu'en cas de soucis réseau ( comme maintenant ), bah il suffisait de d'isoler un vlan et voir l'impact réseau que ça avait ... mais bon.

Remarque, jpeux toujours tenter de monter un ptit dossier avec ça, lui présenter l'avantage que ça représente et voir ce qu'il en dit et même si il le prend pas en compte, j'aurais au moins ma conscience pour moi on va dire.