Voila mon pb, je dispose de deux connections Internet:
A = 80.10.159.0/29
B = 194.250.52.218 IP publique, IP sur le LAN 192.168.10.1 (nouvelle
connection).
Le routeur de la connection A est connectée sur le slot 1 d'un SWITCH 4
ports
Le routeur de la connection B est connectée sur le slot 2 d'un SWITCH 4
ports
La carte eth1 du serveur faisant office de passerelle/pare feu avec le
LAN sur le slot 4 d'un SWITCH 4 ports.
Ce que je veut, c'est utiliser la conenction B pour le traffic LAN<->WAN.
J'ai fait un route add default gateway 192.168.10.1 dev eth1:1
Mais quand un service veut acceder aux service de la passerelle (comme
le service SMTP, POP et IMAP) via l'IP de la connection A depuis
l'exterieur, alors il n'y a pas de réponse.
En réalité, la demande arrive par l'interface eth1, et la réponse
ressort par l'interface eth1:1. Du coup, depuis l'exterieur, un telnet
80.10.159.5 25 reste sans réponse.
Comment puis je faire pour que ma connection A reste opérationnelle
depuis l'exterieure ?
A noter que cette solution est temporaire et qu'a terme seule la
connection A subsistera.
Ce que je veut, c'est utiliser la conenction B pour le traffic LAN<->WAN. J'ai fait un route add default gateway 192.168.10.1 dev eth1:1
Note : le routage ne prend en compte que les interfaces réelles, pas les alias ; eth1 ou eth1:1 c'est pareil.
Mais quand un service veut acceder aux service de la passerelle (comme le service SMTP, POP et IMAP) via l'IP de la connection A depuis l'exterieur, alors il n'y a pas de réponse. En réalité, la demande arrive par l'interface eth1, et la réponse ressort par l'interface eth1:1. Du coup, depuis l'exterieur, un telnet 80.10.159.5 25 reste sans réponse.
Les paquets de réponse sortent par eth1 mais à destination du routeur B, comme le spécifie la route par défaut. Et comme B fait du NAT - si jamais il accepte sur son interface interne des paquets ayant une adresse source n'appartenant pas à 192.168.10.0/24 - ces paquets sont altérés.
Comment puis je faire pour que ma connection A reste opérationnelle depuis l'exterieure ?
Bon, je vois que je vais encore devoir m'y coller...
C'est une question récurrente qui revient souvent ici ou dans fr.comp.reseaux.ip. Le LARTC-howto (Linux Advanced Routing & Traffic Control) est ton ami.
En résumé, la passerelle doit avoir deux routes par défaut, une via A pour les réponse au trafic entrant par A et une via B pour le reste du trafic sortant. Comme une table de routage ne doit contenir qu'une route par défaut au plus, il faut créer une table de routage alternative à utiliser pour les paquets concernés grâce à l'outil 'ip' du paquet iproute2.
Les paquets concernés sont ceux qui ont : - l'adresse source 80.10.159.5, - et une adresse destination autre que 192.168.10.0/24, 80.10.159.0/29 ou le sous-réseau du LAN.
On peut utiliser la table 100 qui est libre pour notre route par défaut alternative via A :
$ ip route add default via 80.10.159.x table 100
où 80.10.159.x est l'adresse de l'interface interne de A.
On va ensuite créer les règles de la politique de routage avancé :
$ ip rule add to <prefixe_lan> lookup main pref 10 $ ip rule add to 80.10.159.0/29 lookup main pref 20 $ ip rule add to 192.168.10.0/24 lookup main pref 30 $ ip rule add from 80.10.159.5 lookup 100 pref 40
où <prefixe_lan> est le préfixe du sous-réseau du LAN, par exemple 192.168.1.0/24.
Les trois premières règles sont prioritaires et utilisent la table de routage normale 'main' pour les destinations du LAN et des sous-réseaux de A et B. La troisème utilise la table de routage alternative (100) quand l'adresse source est 80.10.159.5. Une règle déjà présente, de priorité plus basse, renvoie le reste vers la table de routage normale.
Les règles présentes peuvent être consultées avec :
$ ip rule
Les routes d'une table de routage peuvent être consultées avec :
$ ip route list table <table>
où <table> est le numéro ou le nom de la table.
Après avoir modifié les règles et routes, il peut être utile de vider le cache de routage avec :
$ ip route flush cache
Salut,
Voila mon pb, je dispose de deux connections Internet:
ConneXions, merci.
A = 80.10.159.0/29
B = 194.250.52.218 IP publique, IP sur le LAN 192.168.10.1 (nouvelle
connection).
[Les deux routeurs sont reliés à l'interface eth1 de la passerelle]
Ce que je veut, c'est utiliser la conenction B pour le traffic LAN<->WAN.
J'ai fait un route add default gateway 192.168.10.1 dev eth1:1
Note : le routage ne prend en compte que les interfaces réelles, pas les
alias ; eth1 ou eth1:1 c'est pareil.
Mais quand un service veut acceder aux service de la passerelle (comme
le service SMTP, POP et IMAP) via l'IP de la connection A depuis
l'exterieur, alors il n'y a pas de réponse.
En réalité, la demande arrive par l'interface eth1, et la réponse
ressort par l'interface eth1:1. Du coup, depuis l'exterieur, un telnet
80.10.159.5 25 reste sans réponse.
Les paquets de réponse sortent par eth1 mais à destination du routeur B,
comme le spécifie la route par défaut. Et comme B fait du NAT - si
jamais il accepte sur son interface interne des paquets ayant une
adresse source n'appartenant pas à 192.168.10.0/24 - ces paquets sont
altérés.
Comment puis je faire pour que ma connection A reste opérationnelle
depuis l'exterieure ?
Bon, je vois que je vais encore devoir m'y coller...
C'est une question récurrente qui revient souvent ici ou dans
fr.comp.reseaux.ip. Le LARTC-howto (Linux Advanced Routing & Traffic
Control) est ton ami.
En résumé, la passerelle doit avoir deux routes par défaut, une via A
pour les réponse au trafic entrant par A et une via B pour le reste du
trafic sortant.
Comme une table de routage ne doit contenir qu'une route par défaut au
plus, il faut créer une table de routage alternative à utiliser pour les
paquets concernés grâce à l'outil 'ip' du paquet iproute2.
Les paquets concernés sont ceux qui ont :
- l'adresse source 80.10.159.5,
- et une adresse destination autre que 192.168.10.0/24, 80.10.159.0/29
ou le sous-réseau du LAN.
On peut utiliser la table 100 qui est libre pour notre route par défaut
alternative via A :
$ ip route add default via 80.10.159.x table 100
où 80.10.159.x est l'adresse de l'interface interne de A.
On va ensuite créer les règles de la politique de routage avancé :
$ ip rule add to <prefixe_lan> lookup main pref 10
$ ip rule add to 80.10.159.0/29 lookup main pref 20
$ ip rule add to 192.168.10.0/24 lookup main pref 30
$ ip rule add from 80.10.159.5 lookup 100 pref 40
où <prefixe_lan> est le préfixe du sous-réseau du LAN, par exemple
192.168.1.0/24.
Les trois premières règles sont prioritaires et utilisent la table de
routage normale 'main' pour les destinations du LAN et des sous-réseaux
de A et B. La troisème utilise la table de routage alternative (100)
quand l'adresse source est 80.10.159.5. Une règle déjà présente, de
priorité plus basse, renvoie le reste vers la table de routage normale.
Les règles présentes peuvent être consultées avec :
$ ip rule
Les routes d'une table de routage peuvent être consultées avec :
$ ip route list table <table>
où <table> est le numéro ou le nom de la table.
Après avoir modifié les règles et routes, il peut être utile de vider le
cache de routage avec :
Ce que je veut, c'est utiliser la conenction B pour le traffic LAN<->WAN. J'ai fait un route add default gateway 192.168.10.1 dev eth1:1
Note : le routage ne prend en compte que les interfaces réelles, pas les alias ; eth1 ou eth1:1 c'est pareil.
Mais quand un service veut acceder aux service de la passerelle (comme le service SMTP, POP et IMAP) via l'IP de la connection A depuis l'exterieur, alors il n'y a pas de réponse. En réalité, la demande arrive par l'interface eth1, et la réponse ressort par l'interface eth1:1. Du coup, depuis l'exterieur, un telnet 80.10.159.5 25 reste sans réponse.
Les paquets de réponse sortent par eth1 mais à destination du routeur B, comme le spécifie la route par défaut. Et comme B fait du NAT - si jamais il accepte sur son interface interne des paquets ayant une adresse source n'appartenant pas à 192.168.10.0/24 - ces paquets sont altérés.
Comment puis je faire pour que ma connection A reste opérationnelle depuis l'exterieure ?
Bon, je vois que je vais encore devoir m'y coller...
C'est une question récurrente qui revient souvent ici ou dans fr.comp.reseaux.ip. Le LARTC-howto (Linux Advanced Routing & Traffic Control) est ton ami.
En résumé, la passerelle doit avoir deux routes par défaut, une via A pour les réponse au trafic entrant par A et une via B pour le reste du trafic sortant. Comme une table de routage ne doit contenir qu'une route par défaut au plus, il faut créer une table de routage alternative à utiliser pour les paquets concernés grâce à l'outil 'ip' du paquet iproute2.
Les paquets concernés sont ceux qui ont : - l'adresse source 80.10.159.5, - et une adresse destination autre que 192.168.10.0/24, 80.10.159.0/29 ou le sous-réseau du LAN.
On peut utiliser la table 100 qui est libre pour notre route par défaut alternative via A :
$ ip route add default via 80.10.159.x table 100
où 80.10.159.x est l'adresse de l'interface interne de A.
On va ensuite créer les règles de la politique de routage avancé :
$ ip rule add to <prefixe_lan> lookup main pref 10 $ ip rule add to 80.10.159.0/29 lookup main pref 20 $ ip rule add to 192.168.10.0/24 lookup main pref 30 $ ip rule add from 80.10.159.5 lookup 100 pref 40
où <prefixe_lan> est le préfixe du sous-réseau du LAN, par exemple 192.168.1.0/24.
Les trois premières règles sont prioritaires et utilisent la table de routage normale 'main' pour les destinations du LAN et des sous-réseaux de A et B. La troisème utilise la table de routage alternative (100) quand l'adresse source est 80.10.159.5. Une règle déjà présente, de priorité plus basse, renvoie le reste vers la table de routage normale.
Les règles présentes peuvent être consultées avec :
$ ip rule
Les routes d'une table de routage peuvent être consultées avec :
$ ip route list table <table>
où <table> est le numéro ou le nom de la table.
Après avoir modifié les règles et routes, il peut être utile de vider le cache de routage avec :
