Problèmes de route ou de NAT

Le
SLE
Bonjour,

Je suis face à un problème de route et j'aurais bien besoin de conseils.

Voici la topologie :

- Réseau 1 - (0/0) R1 (0/1) switch --
(192.168.20.0/24) .254 0.20.254 .2 |
|
|(10.0.0.0/8)
|
|
- Réseau 2 - (0/0) R2 (0/1) switch --
(192.168.100.0/24) .7 0.100.7 .3

Résumé :
R1, interface 0/0 : 192.168.20.254
R1, interface 0/1 : 10.0.20.254

switch 1 : 10.0.0.2
switch 2 : 10.0.0.3

R2, interface 0/0 : 192.168.100.7
R2, interface 0/1 : 10.0.100.7

Une machine du réseau 1 : 192.168.20.62

Une machine du réseau 2 : 192.168.100.6

Voici quelques faits :
Une machine du réseau 1 ping le routeur quelque soit son interface et
ping également les routes créées pour ses voisines. Ainsi, une machine
du réseau 1 ping très bien l'IP 10.0.20.190 correspondant à 192.168.20.190

Le routeur R1, quant à lui, ping le routeur R2 et réciproquement. Les 2
routeurs ping-ent les switchs intermédiaires. En revanche, ni le routeur
R1 ni le routeur R2 ne sont capables de ping-er les adresses qu'ils
translatent.

Ainsi, R1 ping 192.168.20.190, mais pas 10.0.20.190
Et R2 ping 192.168.100.5, mais pas 10.0.100.5

Là où cela devient vraiment le coeur du problème, c'est que la machine
du réseau 1 ne contacte ni les switchs, ni le routeur 2, et donc encore
moins les adresses que celui-ci translate. Et ce, malgré l'ajout de la
route suivante :

Machine 192.168.20.62 :
# route add -net 10.0.0.0 netmask 255.0.0.0 gw 192.168.20.254

résultat du route -v (tout concerne eth0) :
Destination Passerelle Genmask Indic Metric Ref Use
192.168.20.0 * 255.255.255.0 U 0 0 0
link-local * 255.255.0.0 U 1000 0 0
10.0.0.0 192.168.20.254 255.0.0.0 UG 0 0 0
default 192.168.20.1 0.0.0.0 UG 100 0 0

Je suis un peu perdu : Comment faire pour que les machines du réseau 1
puissent voir les machines du réseau 2 via cette configuration ?

Voici la configuration des routeurs puis, plus en dessous, le résultat
de quelques requêtes ICMP :

R1#show run
Building configuration

Current configuration : 1159 bytes
!
version 12.2
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
service udp-small-servers
service tcp-small-servers
!
hostname R1
!
logging monitor alerts
enable secret 5 *******************
enable password ********
!
memory-size iomem 10
ip subnet-zero
no ip routing
!
!
!
call rsvp-sync
!
interface FastEthernet0/0
ip address 192.168.20.254 255.255.255.0
ip nat inside
no ip route-cache
no ip mroute-cache
duplex auto
speed auto
no mop enabled
!
interface FastEthernet0/1
ip address 10.0.20.254 255.0.0.0
ip access-group 1 in
ip nat outside
no ip route-cache
no ip mroute-cache
duplex auto
speed auto
!
ip nat inside source static 192.168.20.62 10.0.20.62
ip nat inside source static 192.168.20.190 10.0.20.190
ip nat inside source static 192.168.20.254 10.0.20.254
ip classless
ip http server
!
access-list 1 permit any log
!
snmp-server community abf-stat RW
snmp-server enable traps tty
!
dial-peer cor custom
!
line con 0
line aux 0
line vty 0 4
password ********
login
!
end


R2#show run
Building configuration

Current configuration : 2251 bytes
!
version 12.4
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
service udp-small-servers
service tcp-small-servers
!
hostname R2
!
logging monitor alerts
enable secret 5 *******************
enable password ********
!
no aaa new-model
!
resource policy
!
memory-size iomem 10
no ip routing
!
interface FastEthernet0/0
ip address 192.168.100.7 255.255.255.0
ip nat inside
no ip route-cache
duplex auto
speed auto
!
interface FastEthernet0/1
ip address 10.0.100.7 255.0.0.0
ip access-group 1 in
ip nat outside
no ip route-cache
duplex auto
speed auto
!
!
ip http server
ip nat inside source static 192.168.100.5 10.0.100.5
ip nat inside source static 192.168.100.6 10.0.100.6
ip nat inside source static 192.168.100.7 10.0.100.7
!
access-list 1 permit any log
snmp-server community efood-stat RW
snmp-server enable traps tty!
!
line con 0
line aux 0
line vty 0 4
password ******
login
!
!
end

R1#ping 10.0.20.190

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.0.20.190, timeout is 2 seconds:
..
Success rate is 0 percent (0/5)

R1#ping 10.0.100.7

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.0.100.7, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 4/4/4 ms


seb@192.168.20.62:~$ ping 10.0.20.254
PING 10.0.20.254 (10.0.20.254) 56(84) bytes of data.
64 bytes from 10.0.20.254: icmp_seq=1 ttl%5 time=1.21 ms
64 bytes from 10.0.20.254: icmp_seq=2 ttl%5 time=1.08 ms

10.0.20.254 ping statistics
2 packets transmitted, 2 received, 0% packet loss, time 1001ms
rtt min/avg/max/mdev = 1.083/1.150/1.217/0.067 ms


seb@192.168.20.62:~$ ping 10.0.20.190
PING 10.0.20.190 (10.0.20.190) 56(84) bytes of data.
64 bytes from 10.0.20.190: icmp_seq=1 ttl%5 time=1.03 ms
64 bytes from 10.0.20.190: icmp_seq=2 ttl%5 time=1.08 ms

10.0.20.190 ping statistics
2 packets transmitted, 2 received, 0% packet loss, time 999ms
rtt min/avg/max/mdev = 1.038/1.063/1.088/0.025 ms


seb@192.168.20.62:~$ ping 10.0.100.192
PING 10.0.100.192 (10.0.100.192) 56(84) bytes of data.
64 bytes from 10.0.100.192: icmp_seq=1 ttl%5 time=1.06 ms
64 bytes from 10.0.100.192: icmp_seq=2 ttl%5 time=1.13 ms

10.0.100.192 ping statistics
2 packets transmitted, 2 received, 0% packet loss, time 999ms
rtt min/avg/max/mdev = 1.069/1.101/1.133/0.032 ms


seb@192.168.20.62:~$ ping 10.0.100.7
PING 10.0.100.7 (10.0.100.7) 56(84) bytes of data.

10.0.100.7 ping statistics
10 packets transmitted, 0 received, 100% packet loss, time 4976ms

Cordialement,
--
SLE
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
SLE
Le #7043761
Suite et éclaircissements

SLE a écrit :
Je suis face à un problème de route et j'aurais bien besoin de conseils.

Voici la topologie :

---- Réseau 1 ------- (0/0) R1 (0/1) ------ switch -----
(192.168.20.0/24) .254 0.20.254 .2 |
|
|(10.0.0.0/8)
|
|
---- Réseau 2 ------- (0/0) R2 (0/1) ------ switch -----
(192.168.100.0/24) .7 0.100.7 .3

Résumé :
R1, interface 0/0 : 192.168.20.254
R1, interface 0/1 : 10.0.20.254

switch 1 : 10.0.0.2
switch 2 : 10.0.0.3

R2, interface 0/0 : 192.168.100.7
R2, interface 0/1 : 10.0.100.7

Une machine du réseau 1 : 192.168.20.62

Une machine du réseau 2 : 192.168.100.6




Le "Réseau 1" est en fait notre réseau de supervision. Il contient la
machine gérant les VM Nagios dont je te parlais il y a quelques mois.

Le "Réseau 2", lui, est un client lambda.

L'objectif, c'est de router les machines virtuelles Nagios depuis le
réseau de supervision vers leur Réseau Client respectif.

Pour ceci, nous disposons donc de 2 switch représentant notre "backbone"
sur lequel nous interfaçons tous nos routeurs chargés des routes de la
supervison.

Pourquoi le NAT :

Sur le Réseau 2 (celui du client), la passerelle par défaut est un
routeur avec l'IP 192.168.100.4 et qui détient la règle suivante:
"Tout ce qui commence par 192.168. m'appartient et je le route moi-même
; Sinon, voir cela avec l'appliance en 192.168.100.1"

On ne peut pas déroger à cette règle

Il nous faut donc NAT-er notre machine de supervision vers le réseau
10.0.0.0/8

Et sur l'appliance, on a ajouté une route qui dit que tout ce qui
est pour 10.0.0.0/8 doit passer par R2

La configuration a été entièrement revue, et voila où nous en sommes :
Sur le routeur R1, nous avons activé le routage et défini la règle "Pour
parle au réseau 100.X, aller voir R2" :
ip route 192.168.100.0 255.255.255.0 10.0.100.7

Pour autant, et pour les raisons expliquées ci-dessus, les NAT demeurent
sur R1 :
ip nat inside source static 192.168.20.62 10.0.20.62

Sur R2, le routage est activé mais aucune route particulière n'est
définie. On n'a pas non plus de NAT sur R2 non plus.

mon ultime problème :
Comment faire discuter ma machine 192.168.20.62 du réseau 1 avec
l'ensemble des machines 192.168.100.0 (26 machines en tout)

Ma machine 192.168.20.62 dispose de la route 192.168.100.0 via
192.168.20.254

Elle ping parfaitement le 192.168.100.7 (IP du routeur R2 "côté
client"... je peux même m'y connecter en telnet !) mais aucune des IPs
du LAN (aucune des machines).


Cordialement,
--
SLE
GuiGui
Le #7045741
SLE a écrit :

Sur le Réseau 2 (celui du client), la passerelle par défaut est un
routeur avec l'IP 192.168.100.4 et qui détient la règle suivante:
"Tout ce qui commence par 192.168. m'appartient et je le route moi-même



Ce qui pose le problème : comment depuis une machine du 192.169.100.0/24
joindre le réseau 192.168.20.0/24 qui n'est pas directement connecté à
cette passerelle ?

Même si une machine du 192.169.20.0/24 arrive à envoyer un ping vers une
machine du 192.168.100.0/24, la réponse ne lui parviendra jamais.

Donc il vous faudra *obligatoirement* expliquer à 192.168.100.4 que le
réseau 192.168.20.0/24 est routé via le routeur R2 (192.168.100.7).
SLE
Le #7046301
GuiGui a écrit :
SLE a écrit :

Sur le Réseau 2 (celui du client), la passerelle par défaut est un
routeur avec l'IP 192.168.100.4 et qui détient la règle suivante:
"Tout ce qui commence par 192.168. m'appartient et je le route moi-même



Ce qui pose le problème : comment depuis une machine du 192.169.100.0/24
joindre le réseau 192.168.20.0/24 qui n'est pas directement connecté à
cette passerelle ?

Même si une machine du 192.169.20.0/24 arrive à envoyer un ping vers une
machine du 192.168.100.0/24, la réponse ne lui parviendra jamais.

Donc il vous faudra *obligatoirement* expliquer à 192.168.100.4 que le
réseau 192.168.20.0/24 est routé via le routeur R2 (192.168.100.7).



Seulement, lorsque j'effectue un ping depuis une machine 192.168.20.62
(par exemple), le routeur R1 NAT la requete avec 10.0.20.62 en source et
une regle sur le routeur 192.168.100.4 dit de renvoyer sur 192.168.100.1
tout ce qui n'est pas 192.168. le routeur 192.168.100.1 dispose lui
d'une regle specifiant que tout ce qui est 10.0.0.0/8 est routé via R2
(192.168.100.7)

Pour autant, cela ne suffit pas, et oui, je reclamerai aux
administrateurs du routeur 192.168.100.4 de modifier leur regle

Merci !
--
SLE
Publicité
Poster une réponse
Anonyme