Discussion :

[titux]

Salut à tous,
Je continue avec mon server PXE dans ma ressourcerie en autodidacte.Cette fois je viens vous embêter pour le routage ou IP forwarding qui n'a jamais voulu fonctionner.
Ce que je voudrais au final c'est que les machines que j'installe aient un accès au net pour lancer des netinstall de debian et autres distribs, ou faire les maj des machines win installées.

J'ai 2 cartes réseau : celle reliée à l'intranet en 192.168.10.0 et le sous réseau que j'ai créé pour les installs PXE en 10.10.10.0, l'intranet donne accès au net, classic.
Je me connecte à ce serveur PXE en ssh par l'intranet. La carte PXE est une carte réseau de récup, je crois 100Mo

j'ai fait toutes les manips classiques :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

net.ipv4.ip_forward = 1

et les manips dans le firewall en masquerade comme sur cette page : https://www.linode.com/docs/guides/l...ip-forwarding/

rien ne fonctionne, mais c'est peut être parce que j'ai créé un script au démarrage pour diverses config :
assigner une ip à la carte PCIe
redémarrer le réseau
divers montages
modifier des routes

c'est peut être la modification des routes qui passe pas.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
# ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host noprefixroute 
       valid_lft forever preferred_lft forever
2: enp1s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
    link/ether 50:3e:aa:0c:24:9d brd ff:ff:ff:ff:ff:ff
    inet 192.168.10.176/24 brd 192.168.10.255 scope global enp1s0
       valid_lft forever preferred_lft forever
    inet6 fe80::523e:aaff:fe0c:249d/64 scope link 
       valid_lft forever preferred_lft forever
3: eno1: <BROADCAST,MULTICAST,DYNAMIC,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
    link/ether 90:1b:0e:ee:36:fe brd ff:ff:ff:ff:ff:ff
    altname enp0s31f6
    inet 10.10.10.2/24 brd 10.10.10.255 scope global eno1
       valid_lft forever preferred_lft forever
    inet 169.254.27.226/16 brd 169.254.255.255 scope global eno1
       valid_lft forever preferred_lft forever
    inet6 fe80::921b:eff:feee:36fe/64 scope link 
       valid_lft forever preferred_lft forever

Le fameux script :
à la fin je dois mettre un sleep 300 car il m'ajoute une route en 0.0.0.0 qui bloque tout qques minutes après le boot

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
#! /bin/bash
beep
beep
 
sleep 30
beep
 
#   Assigne une IP à eno1
sudo ifconfig eno1 10.10.10.2/24
sleep 2
beep
 
sudo systemctl restart networking
sudo systemctl restart isc-dhcp-server
sudo systemctl restart tftpd-hpa
sudo systemctl restart samba
 
 
[--- Divers montages ---]
 
 
sudo echo "Exécuté Systemd" $(date '+%d-%m-%Y %H:%M:%S') >> /home/.../init-route.log
beep
beep
beep
 
sleep 300
sudo ip route del 0.0.0.0 dev eno1 scope link
sudo ip route del default dev eno1 scope link
sudo route add default gw 192.168.10.1 dev enp1s0
sudo route add 10.10.10.0 gw 192.168.10.1 dev enp1s0
beep -f 880
beep -f 880
beep -f 880

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
# ip route
default via 192.168.10.1 dev enp1s0 
10.10.10.0 via 192.168.10.0 dev enp1s0 
10.10.10.0/24 dev eno1 proto kernel scope link src 10.10.10.2 
169.254.0.0/16 dev eno1 proto kernel scope link src 169.254.27.226 
192.168.10.0/24 dev enp1s0 proto kernel scope link src 192.168.10.176 
192.168.10.1 dev enp1s0 scope link

Merci du temps que vous m'accorderez

[A3gisS3c]

Hello,

Désolé je n'avais pas vu ce post Si c’est toujours d’actualité je peux t’aider à déboguer sans problème.
Mais pour ceux qui tombent sur ce post : évitez ABSOLUMENT les scripts maison avec sleep et ifconfig, c'est vraiment pas beau.

Utilisez la conf native : /etc/network/interfaces (Debian) ou /etc/netplan/ (Ubuntu), ou NetworkManager/systemd-networkd selon la distrib (RHEL par ex).

Déjà on voit une IP en 169, y'a un souci avec une conf système qui overlap avec ton script. et tes routes sont bizarres (Cf. 10.10.10.0 via 192.168.10.0 dev enp1s0).

Enfin bref, mettez vos confs réseaux au bon endroit, pas de scripts maison.

[titux]

Hello,

Désolé je n'avais pas vu ce post Si c’est toujours d’actualité je peux t’aider à déboguer sans problème.
Mais pour ceux qui tombent sur ce post : évitez ABSOLUMENT les scripts maison avec sleep et ifconfig, c'est vraiment pas beau.

Utilisez la conf native : /etc/network/interfaces (Debian) ou /etc/netplan/ (Ubuntu), ou NetworkManager/systemd-networkd selon la distrib (RHEL par ex).

Déjà on voit une IP en 169, y'a un souci avec une conf système qui overlap avec ton script. et tes routes sont bizarres (Cf. 10.10.10.0 via 192.168.10.0 dev enp1s0).

Enfin bref, mettez vos confs réseaux au bon endroit, pas de scripts maison.

CouCou,

arf n'ayant pas de réponse j'avais oublié ce post.
merci A3gisS3c, en effet je veux bien un coup de pouce si tu es toujours ok, je suis autodidacte en linux donc j'ai des lacunes,
mais y a des choses qui semblent bouger seules par exemple récemment je mets une commande reboot pour démarrer dnsmasq dans le crontab root et d'un coup sans avoir fait de maj, dnsmasq ne se lançait plus donc j'ai bidouillé dans mon script maison

[Artemus24]

Salut à tous.

Pourquoi avez-vous besoin de deux cartes réseaux dans votre "Boot Server PXE" ? Une seule suffit et tous vos problèmes viennent de là.
N'essayez pas de vouloir tout faire en même temps car comme vous êtes débutant, vous n'y arriverez pas.
Commencez par le plus simple et ensuite, quand c'est opérationnel, vous pouvez alors passer dans l'étape suivante et ainsi de suite.

Définissez une adresse IPv4 fixe dans votre "Boot Server PXE" et référencez là pour que vos Raspberry Pi ou vos ordinateurs puissent installer l'OS.
Votre script Bash ne vous sert à rien, sinon à saloper la configuration.

A3gisS3c vous conseille d'utiliser " /etc/network/interfaces" qui est plutôt vieillot sous Debian.
Je ne sais pas dans qu'elle version vous êtes, mais la dernière est Debian Trixie.
Ce qui est activé par défaut est "/etc/NetworkManager".
En ce qui me concerne, je ne l'utilise pas mais plutôt "/etc/systemd/network" qui est bien plus souple à l'usage.

L'identification de mes Raspberry Pi se passe à partir des numéros de séries qui sont en fait le nom de mes répertoires où se trouvent l'OS.
La seule adresse IPv4 importante est celle de votre "Boot Server PXE", qui est à renseigner dans "/pxe/tftp/xxxxxxxx/cmdline.txt", ainsi que dans "/pxe/nfs/xxxxxxxx/etc/fstab", pour le client (le numéro de séries à récupérer sont les huit derniers chiffres symbolisés ici par les x).

Pour mes Raspberry Pi clientes, je n'ai qu'à modifier le Bootloader pour justement démarrer en mode PXE et c'est tout.
Pas de disque, ni de carte micro SD installé dans la Raspberry Pi cliente.

[titux]

Plusieurs là choses artemus,

même si c'est une solution basique, je ne suis pas débutant mais autodidacte, j'ai des lacunes et le reconnais, je ne suis pas un grand ingénieur qui a suivi la voie royale, donc j'essaie et j'y arriverais j'ai appris beaucoup de choses de cette façon
déjà quand je suis arrivé à mon poste il y a 1 an 1/2 il n'y avait pas de PXE, j'ai tout mis en place à partir de 0 sans savoir comment on configure un tftp, dnsmasq etc... j'ai tenté plein de trucs à l'époque avant d'en arriver à la solution du script de démarrage,
j'ai besoin de 2 cartes réseau pour justement ne pas """saloper""" le réseau déjà existant de la ressourcerie, et avoir toutes mes machines à installer dans un sous réseau dédié et relativement protégé comme j'ai pu derrière un nftables,
mais biensûr tout ça ne sera jamais assez pour les grands experts parfaits qui sachent tout, avec une philosophie "les débutants ne doivent pas essayer car ils n'y arriveront pas" on n'aurait pas découvert le feu ou le biface et donc pas d'informatique

[Christophe]

avec une philosophie "les débutants ne doivent pas essayer car ils n'y arriveront pas" on n'aurait pas découvert le feu ou le biface et donc pas d'informatique

Ce n'est pas ce qui a été dit.

Le msg qu'on cherche à te faire passer, c'est de déjà de faire fonctionner en mode simple avec une seule carte réseau. Une fois que ça fonctionne, tu peux éventuellement rajouter une couche de complexité.

[disedorgue]

CouCou,

arf n'ayant pas de réponse j'avais oublié ce post.
merci A3gisS3c, en effet je veux bien un coup de pouce si tu es toujours ok, je suis autodidacte en linux donc j'ai des lacunes,
mais y a des choses qui semblent bouger seules par exemple récemment je mets une commande reboot pour démarrer dnsmasq dans le crontab root et d'un coup sans avoir fait de maj, dnsmasq ne se lançait plus donc j'ai bidouillé dans mon script maison

Peux tu nous faire un petit schéma explicatif de ton réseau car personnellement, j'ai du mal à comprendre ton archi ?

[Artemus24]

@ Titux : je ne cherche pas à te rabaisser comme tu sembles le croire, mais à t'éviter à faire une usine à gaz pour rien.
Je n'ai pas eu besoin d'installer une seconde carte réseau pour faire fonctionner mon serveur "Boot Server PXE".
Tu dis ne pas "saloper" le réseau déjà existant. Tout au contraire, tu complexifies sans rien ajouter de plus à ton réseau.

Comme je l'ai dit, commence par faire simple, puis tu essayes tes idées pour voir si cela est viable.
C'est en bricolant que l'on apprend et cela n'a rien avoir avec un diplôme d'ingénieur ou pas.
Maintenant si tu crois savoir mieux que nous, tant mieux pour toi, mais que viens tu faire dans ce forum ?

[Christophe]

Faire un réseau isolé pour son PXE n'est pas forcément une mauvaise idée. En entreprise on cloisonne avec des VLAN c'est pas pour rien.
L'idée restant de commencer par mettre en place une config fonctionnelle simple, et éventuellement la complexifier après.

[titux]

ok j'ai peut être sur-réagit.

je suis parti sur cette structure de réseau car c'est la 1è idée que je m'en suis fait avec mes connaissances quand j'ai commencé sur ce projet pxe. je ne savais pas qu'on pouvait mettre en parallèle sur un même réseau un serveur PXE et les machines à installer, pour moi c'était le serveur qui fournissait tout aux machines IP, iso.... et d'autre part pour avoir subi une attaque chez moi il y a plusieurs années, je fais attention à la sécu tout en ayant de gros manques, mais c'est des machines qu'on installe et vend ensuite

Depuis la question initiale, à un moment j'ai remplacé isc-dhcp-server par dnsmasq, ça fonctionne déjà mieux, l'IP forwarding fonctionne mais c'est dnsmasq qui parfois ne démarre pas avec le serveur. Sur ce serveur j'ai réglé un allumage automatique dans le bios tous les matins et avec une règle crontab pour qu'il s'éteigne le soir quand on part, pour économiser de l'électricité, pas besoin de pxe quand on n'est pas là et ça réduit le temps pendant lequel le serveur est attaquable même si la sécu est pas folle.

J'ai fait un schéma comme demandé.



Merci

[Artemus24]

Faire un réseau isolé pour son PXE n'est pas forcément une mauvaise idée. En entreprise on cloisonne avec des VLAN c'est pas pour rien.

En entreprise, le problème sécuritaire est primordiale. Subir une attaque et tenter de la contrer va faire perdre du temps pour rendre les postes à nouveau disponible. Comme tu le sais, le temps, c'est de l'argent et c'est le nerf de la guerre en entreprise.

Dans un réseau local personnel, on n'est pas obligé de pousser la sécurité à son paroxisme.
La sécurité passe avant tout par le pare-feu et l'on peut restreindre l'accès du "Boot Server PXE" à l'internet.
Comment ? Cela va dépendre des choix que l'on veut faire car il existe plusieurs solutions.

ok j'ai peut être sur-réagit.

Oui, je crois. Mon ton est peut-être direct mais je n'attaque personne.

je ne savais pas qu'on pouvait mettre en parallèle sur un même réseau un serveur PXE et les machines à installer, pour moi c'était le serveur qui fournissait tout aux machines IP, iso...

Il n'y a pas de règles figés dans le marbre. C'est à toi de trouver ce qui te convient le mieux.

Il y a deux approches, l'une consistant à tout ouvrir et ensuite à restreindre les accès.
Ou bien, tout interdire et ensuite autoriser les accès. Cela se fait dans le pare-feu.
Il faudra t'investir dans le pare-feu de ton serveur, là où tu vas installer ton "Boot Server PXE" !

On peut aussi créer des VLAN, mais il faut encore maitriser le sujet.

Je te suggère plutôt de te procurer un Mini PC où tu vas installer uniquement ton "Boot Server PXE".
Comme tu désires avoir une carte réseau, celle-ci se présente dans ce Mini PC.
Tu pourras lui associer une plage d'adresse comme "172.16.0.0/12" afin de l'isoler du reste de ton réseau local.
Et bien sûr, dans le pare-feu de ce Mini PC, interdire tous les accès à l'internet.

L'installation se fera par l'adresse IP de ton "Boot Server PXE" donc en 172.16.0.0/12.
Et tout ce qui concerne les accès à l'internet, via ton autre serveur, se feront pas 192.168.0.0/16.
Ainsi tu dissocies l'installation de l'OS et de son exploitation par des adresses différentes.
Le tout passe par le même câblage dans ton réseau local.

[disedorgue]

Donc ok, tes machines à installer on un routage vers le serveur PXE, c'est quoi leur reseau IP (le 192 ou le 10) ?

ensuite le 169, je suppose que c'est le routeur (169 => internet, 10 ou 192 => intranet) ?

en fait, ce que l'on ne sait pas c'est ton adressage (si on part des serveur à installer) :
192 -> pxe 10 -> routeur 169
ou
10 -> pxe 192 -> routeur 169

C'est quoi l'ip interne du routeur ?

[Christophe]

je ne savais pas qu'on pouvait mettre en parallèle sur un même réseau un serveur PXE et les machines à installer, pour moi c'était le serveur qui fournissait tout aux machines IP, iso

Un client PXE va d'abord chercher un DHCP qui peut ne pas être celui du serveur PXE.

Si tu as une adresse en 169, c'est que la machine n'a pas obtenue d'adresse DHCP.