Discussion :

[cr1ptal]

Bonjour à tous,

Chez moi, j'ai configuré un PC en routeur avec Debian 4.19. D'abord j'avais un réseau en 10.0.0.0/24 où étaient toutes mes machines. De l'autre côté du routeur, il y a un réseau 192.168.0.0 où il n'y a que le modem. Le problème est que tout mon réseau est finalement derrière un seul port ETH du modem et chaque port à un débit max limité. J'ai un Internet Fibre, je pourrais utiliser plus de débit global. Alors, j'ai essayé de configurer mon réseau en utilisant deux ports du modem; j'ai acheté une deuxième carte réseau, ayant maintenant 5 ports ETH sur le routeur. J'ai essayé d'ajouter un nouveau réseau 172.16.0.0/24 où il y a une machine. Un "tuyau" pour la machine 172.16.0.2 et un autre pour le reste du réseau en 10.0.0.0.
Ma tentative n'a pas réussi, je n'arrive pas à pinguer des machines du WAN depuis 172.16.0.2. Voici ma nouvelle archi réseau:


Voici "ip route" sur le routeur Debian, de memoire:
default via 192.168.0.1 dev enp1s0f1 onlink
10.0.0.0/24 dev enp1s0f0 proto kernel scope link src 10.0.0.6
172.16.0.0/24 dev enp4s0f1 proto kernel scope link src 172.16.0.3
192.168.0.0/24 dev enp1s0f1 proto kernel scope link src 192.168.0.6
192.168.0.0/24 dev enp4s0f0 proto kernel scope link src 192.168.0.3

Je vois que la destination 192.168.0.0/24 est listée deux fois, c'est peut être ca le problème. Je ne sais pas comment faire autrement.
Ou alors il faut que je replanifie le réseau autrement, je ne suis pas expert réseau. Il est possible que ce que j'essaye d'accomplir ne puisse pas marcher; utiliser deux ports du modem avec mon routeur n'est peut être pas possible.

J'ai configuré le forwaring NAT ainsi avec ufw, dans before.rules:

-A POSTROUTING -s 10.0.0.0/24 -o enp4s0f0 -j MASQUERADE
-A POSTROUTING -s 172.16.0.0/24 -o enp1s0f1 -j MASQUERADE


Je rappelle le problème constaté: je ne peux pas pinguer de ma machine 172.16.0.2 une machine du WAN (www.google.fr). Quelqu'un aurait une piste?

Merci à vous,
cr1ptal

[becket]

Salut,

Tu dois vérifier que ton routeur dans iptable que tu nat bien le réseau 172.16 sur une carte 192.168.

Simplement ...

Pour ta topologie, tu peux poser la question dans la section réseau, on sera ravi de te proposer des modifications

Edit :

Tu as apparemment modifié ton message. Tu fais ta règles sur base de la carte de sortie alors que tu as deux chemins.

Opte pour du SNAT plutôt pour du MASQUERADE, cela te permettra de forcer l'adresse de sortie

[cr1ptal]

Merci becket!

Je dois avouer que je ne comprends pas bien le POSTROUTING.
Je reprends les deux instructions NAT:

-A POSTROUTING -s 10.0.0.0/24 -o enp4s0f0 -j MASQUERADE
-A POSTROUTING -s 172.16.0.0/24 -o enp1s0f1 -j MASQUERADE

Deja, je ne sais pas si je peux utiliser deux règles de POSTROUTING ainsi dans la section NAT de ufw.
Ma comprehension de ces deux règles:
règle 1 : router les paquets du réseau 10.0.0.0 vers l'interface enp4s0f0.
règle 2: router du réseau 172.16.0.0 vers enp1s0f1.
J'utilse 4 interfaces réseau:
enp1s0f0
enp1s0f1
enp4s0f1 (inversion de l'ordre des ports physiques entre les deux cartes...)
enp4s0f0

Avec les deux règles, il me semble que tout est spécifié. Entre ma config initiale à une carte et la nouvelle à deux cartes, j'ai ajouté le deuxième POSTROUTING. Je ne comprends pas ce qui manque.
De plus, je ne comprends pas ce que sont les "chemins", je ne trouve rien sur gogol. Les deux chemins seraient enp4s0f0 ---> 10.0.0.0 et enp1s0f1 ---> 172.16.0.0 ?

Je ne vois pas ce qui n'est pas spécifié...

merci bien,
cr1ptal

[becket]

Merci becket!

Je dois avouer que je ne comprends pas bien le POSTROUTING.
Je reprends les deux instructions NAT:

-A POSTROUTING -s 10.0.0.0/24 -o enp4s0f0 -j MASQUERADE
-A POSTROUTING -s 172.16.0.0/24 -o enp1s0f1 -j MASQUERADE

Deja, je ne sais pas si je peux utiliser deux règles de POSTROUTING ainsi dans la section NAT de ufw.
Ma comprehension de ces deux règles:
règle 1 : router les paquets du réseau 10.0.0.0 vers l'interface enp4s0f0.
règle 2: router du réseau 172.16.0.0 vers enp1s0f1.
J

merci bien,

iptables/ufw ne concernent pas le routage mais les règles de firewall, c'est à dire qu'ils ne s'occupent pas de choisir un chemin mais opèrent une action sur le trafic qui passe.

Avec les 2 règles que tu configures, tu dois simplement lire que le trafic ayant une adresse XXX.XXX et qui sort sur l'interface XY est alors NATTE Dynamiquement ( MASQUERADE ). Cela n'a aucun impact sur la route que ton trafic doit prendre.

Petit précision par rapport au chemin, c'est simplement un chemin physique que les données peuvent prendre. Avec deux cables vers ton modem ( et la configuration ip ), tu as deux chemins.

D'ailleurs normalement dans ce genre de configuration avec une double carte réseau, tu devrais avoir non pas une mais deux default gw, sinon une des deux cartes ne sert strictement à rien.

[cr1ptal]

Je comprends mieux maintenant grace a tes explications, merci.

Je crois que tu as mis le doigt sur un probleme potentiel: les gateways. Lorsque j'avais configure mon ancien reseau (2 ports sur le routeur), j'ai pose des questions sur stackoverflow et qq un a ecrit qu'il ne peut y avoir qu'une gateway par fichier "interfaces", il me semble. D'ailleurs, avec ifconfig je vois que la gateway se retrouve dans la route 'default'. Comment est-ce qu'il peut y avoir deux routes default??

Toujours est-il, je ne vois pas ce que je dois mettre comme deuxieme gateway. Mon fichier interfaces est le suivant:


allow-hotplug enp4s0f0
iface enp4s0f0 inet static #reliee au reseau modem
address 192.168.0.6
netmask 255.255.255.0
gateway 192.168.0.1 #adresse modem, ok?

allow-hotplug enp4s0f1 #reliee au 1er reseau 'interne'
iface enp4s0f1 inet static
address 10.0.0.6
netmask 255.255.255.0
gateway ?

allow-hotplug enp1s0f1 #reliee au reseau du modem
iface enp1s0f1 inet static
address 192.168.0.3
netmask 255.255.255.0
gateway ?

allow-hotplug enp1s0f0 #reliee au 2e reseau 'interne'
iface enp1s0f0 inet static
address 172.16.0.3
netmask 255.255.255.0
gateway ?


salutations,
cr1ptal

[becket]

Je viens de vérifier avec un VM et effectivement c'est une limitation du fichier interfaces.

Comment peut-il exister deux routes par défauts ? Petite précision avant de répondre, ton schéma est très très particulier avec ces deux gateway sur le même réseau ( ip, physique ) avec deux fois la même gw. Il y a de bien meilleures façon d'arriver à doubler la bande passante sans arriver à ce genre d'extrémité.

C'est un routeur, heureusement qu'il peut avoir deux route par défaut sinon internet serait bien fragile. En pratique, le rôle du routeur va être de trouver la meilleure route, dans la cas d'une passerelle par défaut ce sera la même chose. Donc si le routeur n'est pas capable de départager deux routes pour la même destination, il va soit balancer en priorité sur une interface, soit il va distribuer un coup sur l'un, un coup sur l'autre. ( pour faire simple ) ( En fonction de l'os ).



Maintenant en pratique


allow-hotplug enp4s0f0
iface enp4s0f0 inet static #reliee au reseau modem
address 192.168.0.6
netmask 255.255.255.0
gateway 192.168.0.1 #adresse modem, ok?

allow-hotplug enp4s0f1 #reliee au 1er reseau 'interne'
iface enp4s0f1 inet static
address 10.0.0.6
netmask 255.255.255.0
gateway ?

allow-hotplug enp1s0f1 #reliee au reseau du modem
iface enp1s0f1 inet static
address 192.168.0.3
netmask 255.255.255.0
gateway ?

allow-hotplug enp1s0f0 #reliee au 2e reseau 'interne'
iface enp1s0f0 inet static
address 172.16.0.3
netmask 255.255.255.0
gateway ?

Tout d'abord, tu ne dois avoir de gw que vers 192.168.0.1, donc tu peux oublier cela pour 10.0 et 172.16.

En imaginant

default via 192.168.0.1 dev enp1s0f1 onlink
10.0.0.0/24 dev enp1s0f0 proto kernel scope link src 10.0.0.6
172.16.0.0/24 dev enp4s0f1 proto kernel scope link src 172.16.0.3
192.168.0.0/24 dev enp1s0f1 proto kernel scope link src 192.168.0.6
192.168.0.0/24 dev enp4s0f0 proto kernel scope link src 192.168.0.3


Si tu perds la connectivité avec l'interface enp1s0f1, enp1s0f1 tombe et alors tu vas perdre


default via 192.168.0.1 dev enp1s0f1 onlink
192.168.0.0/24 dev enp4s0f0 proto kernel scope link src 192.168.0.3

Plus d'internet alors que tu n'as perdu qu'une carte

[cr1ptal]

Petite précision avant de répondre, ton schéma est très très particulier avec ces deux gateway sur le même réseau ( ip, physique ) avec deux fois la même gw. Il y a de bien meilleures façon d'arriver à doubler la bande passante sans arriver à ce genre d'extrémité.

J'ai utilisé ce schéma par contraintes successives:
1/ Pour doubler la bande p. vers le modem, je dois utiliser deux ports ETH du modem.
2/ A quels équipements puis-je relier ces deux ports? Je n'ai qu'un seul routeur (je ne me vois pas ajouter un deuxième routeur pour cela), donc ces deux ports ont été reliés au même routeur.

Le problème est, comme dans le premier post, que le routeur a deux voies pour atteindre le même réseau, la même GW.

Mais comment faire autrement avec le même matériel?

/cr1ptal

[becket]

J'ai utilisé ce schéma par contraintes successives:
1/ Pour doubler la bande p. vers le modem, je dois utiliser deux ports ETH du modem.
2/ A quels équipements puis-je relier ces deux ports? Je n'ai qu'un seul routeur (je ne me vois pas ajouter un deuxième routeur pour cela), donc ces deux ports ont été reliés au même routeur.

Le problème est, comme dans le premier post, que le routeur a deux voies pour atteindre le même réseau, la même GW.

Mais comment faire autrement avec le même matériel?

/cr1ptal

Il y a tellement de choses à dire.

1 - Si tu veux conserver le même matériel, ce n'est effectivement pas possible de faire autrement que de mettre deux câbles pour obtenir au max 2* la bande passante d'un port.
2 - Cela va dépendre essentiellement du matériel existant et sans plus d'infos c'est compliqué d'imaginer des solutions sans savoir ce que tu peux faire avec ce matériel ( protocoles, capacité, ... etc )

Tu ne veux pas ajouter de routeur ? C'est tout à fait compréhensible mais il existe des solutions pour obtenir plusieurs tables de routage sans ajouter de matériel.

[cr1ptal]

Merci pour ta réponse becket.
Le matériel existant est celui du graphique du 1er post. Il y a :

1. un modem
2. un routeur 5 interfaces avec deux cartes réseau (une 2x1Gbps, une autre ~ 2x500Mbps) et un port ETH très limité sur la carte mère
3. un switch 8 ports 1Gbps
4. le reste est secondaire

Mon objectif est de réserver un port du modem (500Mbps) à ma workstation principale (172.16.0.2) et de faire passer tout le reste sur un autre port modem.
J'ai réservé la carte 2x1Gbps du routeur pour ma workstation. La carte moins rapide route le reste du réseau en 10...
Pour avoir une vision d'ensemble il suffit de se référer au schéma.

Donc je pourrais utiliser plusieurs tables de routage en gardant ma topologie bizarre?

salutations,
cr1ptal

[becket]

Donc je pourrais utiliser plusieurs tables de routage en gardant ma topologie bizarre?

Oui absolument.
Par contre plus le fil avance et plus je me demande pourquoi tu as besoin de router tout cela.
Qu'est ce qui t’empercherais d'associer des paires de carte réseau sur ton serveur pour que chaque groupe dispose de la bande passante voulue ?

[cr1ptal]

Qu'est ce qui t’empercherais d'associer des paires de carte réseau sur ton serveur pour que chaque groupe dispose de la bande passante voulue ?

En fait, le problème ne vient pas du serveur/routeur, mais du fait d'utiliser au final un seul port du modem et être limité. Ce que j'essaye de faire est d'arriver à configurer mon réseau pour pouvoir avoir deux chemins vers le même modem. Je n'ai pas d'autre option pour augmenter le débit; excluant un routeur supplémentaire pour ne pas encombrer l'espace déjà encombré où se trouvent les principales machines/materiels réseau.

Ma question est: vers quelle solution me tourner pour faire fonctionner mon réseau tel que décrit dans mon schéma?

bien cordialement,
cr1ptal

[becket]

En fait, tu n'as pas une solution mais plein.

1 - Tu peux utiliser deux passerelles avec un SNAT
2 - Tu peux utilser des VRF ( plusieurs tables de routage )
3 - Tu peux créer des bridges sur ton routeur
4 - Tu pourrais utiliser des VLANS ( pour autant que les switches le supporte )
5 - Tu pourrais changer le modem pour joindre ton modem et ton routeur ( avec des interfaces plus rapide )
6 - Tu pourrais faire de la QOS

[cr1ptal]

Merci beket. J'ai ajouté une deuxième gw en ajoutant une 2e table de routage. J'ai utilisé cette page web comme référence (scenario 2).
Maintenant, j'arrive à pinguer mon modem 192.168.0.1 et à accéder au WAN depuis ma workstation 172.16.0.3. Ouf!
Par contre, les reseaux 172.16.0.0 et 10.0.0.0 ne communiquent pas. J'ai fait des essais avec de nouvelles routes, sans succès.

Voici la table de routage principale de mon routeur:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
 
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
default         bbox.lan        0.0.0.0         UG    0      0        0 enp1s0f1
10.0.0.0        0.0.0.0         255.255.255.0   U     0      0        0 enp4s0f1
172.16.0.0      0.0.0.0         255.255.255.0   U     0      0        0 enp1s0f0
192.168.0.0     0.0.0.0         255.255.255.0   U     0      0        0 enp1s0f1
192.168.0.0     0.0.0.0         255.255.255.0   U     0      0        0 enp4s0f0

(Je ne sais pas comment accéder à la table que j'ai créée)
Pourtant, logiquement, ca ne doit pas être compliqué de relier ces deux réseaux...

Tu aurais une piste?

salutations,
cr1ptal

[becket]

Lorsque tu crées deux tables de routage et que ne donne le listing que d'une seule, cela me semble compliqué.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
 
 
ip route show table all

[cr1ptal]

ok, j'avais pas trouve la commande ^_^
j'ai exécuté "ip route show table mytab" et il n'y a rien dedans! Je ne sais pas si c'est un bug, je sais pas. Pourtant quand j'essayais d'ajouter une règle qui était déjà existante, il me disait qu'elle existait déjà dans "mytab". En tout cas, l'accès au WAN est opérationnel depuis ma workstation 172.16.0.2 (et non 3, err), il ne l"était pas avant.
Voici tout de même le "show all" même si c'est complètement indigeste (à part la table main standard, il n'y a que des entrées "local"):

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
 
default via 192.168.0.1 dev enp1s0f1 onlink 
10.0.0.0/24 dev enp4s0f1 proto kernel scope link src 10.0.0.6 
172.16.0.0/24 dev enp1s0f0 proto kernel scope link src 172.16.0.3 
192.168.0.0/24 dev enp1s0f1 proto kernel scope link src 192.168.0.3 
192.168.0.0/24 dev enp4s0f0 proto kernel scope link src 192.168.0.6 
broadcast 10.0.0.0 dev enp4s0f1 table local proto kernel scope link src 10.0.0.6 
local 10.0.0.6 dev enp4s0f1 table local proto kernel scope host src 10.0.0.6 
broadcast 10.0.0.255 dev enp4s0f1 table local proto kernel scope link src 10.0.0.6 
broadcast 127.0.0.0 dev lo table local proto kernel scope link src 127.0.0.1 
local 127.0.0.0/8 dev lo table local proto kernel scope host src 127.0.0.1 
local 127.0.0.1 dev lo table local proto kernel scope host src 127.0.0.1 
broadcast 127.255.255.255 dev lo table local proto kernel scope link src 127.0.0.1 
broadcast 172.16.0.0 dev enp1s0f0 table local proto kernel scope link src 172.16.0.3 
local 172.16.0.3 dev enp1s0f0 table local proto kernel scope host src 172.16.0.3 
broadcast 172.16.0.255 dev enp1s0f0 table local proto kernel scope link src 172.16.0.3 
broadcast 192.168.0.0 dev enp1s0f1 table local proto kernel scope link src 192.168.0.3 
broadcast 192.168.0.0 dev enp4s0f0 table local proto kernel scope link src 192.168.0.6 
local 192.168.0.3 dev enp1s0f1 table local proto kernel scope host src 192.168.0.3 
local 192.168.0.6 dev enp4s0f0 table local proto kernel scope host src 192.168.0.6 
broadcast 192.168.0.255 dev enp1s0f1 table local proto kernel scope link src 192.168.0.3 
broadcast 192.168.0.255 dev enp4s0f0 table local proto kernel scope link src 192.168.0.6 
::1 dev lo proto kernel metric 256 pref medium
fe80::/64 dev enp4s0f1 proto kernel metric 256 pref medium
fe80::/64 dev enp4s0f0 proto kernel metric 256 pref medium
fe80::/64 dev enp1s0f1 proto kernel metric 256 pref medium
fe80::/64 dev enp1s0f0 proto kernel metric 256 pref medium
local ::1 dev lo table local proto kernel metric 0 pref medium
local fe80::21b:21ff:fe32:e2d0 dev enp4s0f0 table local proto kernel metric 0 pref medium
local fe80::21b:21ff:fe32:e2d1 dev enp4s0f1 table local proto kernel metric 0 pref medium
local fe80::6eb3:11ff:fe1c:5f82 dev enp1s0f0 table local proto kernel metric 0 pref medium
local fe80::6eb3:11ff:fe1c:5f83 dev enp1s0f1 table local proto kernel metric 0 pref medium
ff00::/8 dev enp4s0f1 table local metric 256 pref medium
ff00::/8 dev enp4s0f0 table local metric 256 pref medium
ff00::/8 dev enp1s0f1 table local metric 256 pref medium
ff00::/8 dev enp1s0f0 table local metric 256 pref medium

[becket]

Ce n'est pas indigeste Suffit de savoir jouer avec grep

J'avais lu le mauvais scénario :

Suffit maintenant de faire

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
 
ip route add 10.10.0/24 via 10.0.0.6 dev enp1s0f0 table myorg
ip route add 172.16.0.0/24 via 172.16.0.3 dev enp4s0f1  table myorg

[cr1ptal]

En executant les deux cmd ip route, j'obtiens: "Nexthop has invalid gateway".
En fait, je ne comprends pas pourquoi tu as propose ces routes. Est-ce qu'elles n'existent pas quand on lit dans la table main ceci? :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
 
10.0.0.0/24 dev enp4s0f1 proto kernel scope link src 10.0.0.6 
172.16.0.0/24 dev enp1s0f0 proto kernel scope link src 172.16.0.3

Je pensais qu'il fallait relier 10.0.0.0 à 172.16.0.0, non?

Et, je ne comprends pas aussi pourquoi lorsque je fais "ip route show table myorg" je n'obtiens aucune entrée

[cr1ptal]

Aie aie aie, j'ai fait une boulette. J'avais inversé deux cables sur la deuxième carte! Désolé d'avoir fait perdre du temps.
Mes problèmes ne sont pas résolus pour autant. J'y travaille.

bon dimanche,
cr1ptal

[cr1ptal]

Bonjour les devs,

J'ai finalement réussi à m'en sortir grâce à la piste de becket sur une deuxième table de routage. Voici la solution:

Quelques commandes utiles:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
 
#show routing table main/myorg
ip route show table <name>
 
# show IPs
ip -4 -c addr show

fichier /etc/network/interfaces:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
 
[...]
allow-hotplug enp1s0f1
iface enp1s0f1 inet static
address 192.168.0.3
netmask 255.255.255.0
gateway 192.168.0.1
 
allow-hotplug enp1s0f0
iface enp1s0f0 inet static
address 172.16.0.3
netmask 255.255.255.0
 
allow-hotplug enp4s0f0
iface enp4s0f0 inet static
address 192.168.0.6
netmask 255.255.255.0
 
allow-hotplug enp4s0f1
iface enp4s0f1 inet static
address 10.0.0.6
netmask 255.255.255.0

routage avec une table custom (avec root):

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
 
echo "1   myorg" >> /etc/iproute2/rt_tables
ip route add 192.168.0.1 scope link dev enp4s0f0
ip rule add from 192.168.0.6 table myorg
ip route add default via 192.168.0.1 dev enp4s0f0 table myorg

fichier /etc/ufw/before.rules:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
 
#NAT
*nat
 
#:PREROUTING ACCEPT - [0:0]
:POSTROUTING ACCEPT - [0:0]
 
#Port fwd
#-A PREROUTING -i enp1s0f1 -p tcp --dport 22 -j DNAT --to-destination 10.0.0.3
 
# Forward traffic from eth0 through eth1
-A POSTROUTING -s 172.16.0.0/24 -o enp1s0f1 -j MASQUERADE
 
# don't delete the 'COMMIT' line or these nat table rules won't be processed
COMMIT
 
*nat
 
:POSTROUTING ACCEPT - [0:0]
 
-A POSTROUTING -s 10.0.0.0/24 -o enp4s0f0 -j MASQUERADE
 
COMMIT

Ainsi, les machines du réseau 172.16.0.0 et celles du réseau 10.0.0.0 ont accès à Internet. De plus, ces deux réseaux sont accessibles entre eux.
Et, enfin, la bande passante du réseau vers Internet est doublée, grâce à l'utilisation de deux ports ethernet sur le modem!

Merci becket :^)

/cr1ptal

[cr1ptal]

En fait, mes bidouillages du message précédent ont marché pendant une soirée. Après reboot et meme config seulement une partie du réseau avait accès au net. J'ai fait d'autres recherches et il s'avère que j'ai tout mélangé dans ma précédente solution, j'ai que de maigres bases en réseau.
Finalement, j'ai reçu un coup de main très valable sur unix stackexchange (je ne sais pas si j'ai le droit de les référencer). Pour ne pas recopier bêtement la solution (elle n'est pas de moi), voici le lien.
Maintenant le réseau est vraiment opérationnel!

bonne soirée,
cr1ptal