routeur Internet avec de multiples passerelles, et collision d'IP
Le
Eric Belhomme
Bonjour,
Soit un routeur sous Linux, connecté à de multiples FAIs. Disons pour
simplifier une liaison pro (SDSL) pour le backbone IT, et une liaison ADSL
grand public (Free.fr) pour le confort des utilisateurs pour le surf.
La FreeBox est en mode bridge ethernet, j'ai donc sur mon routeur les
interfaces idoines configurées avec des IP publiques.
Je passe les détails de policy-routing pour aiguiller les flux. Il s'agit
simplement de marquer les paquets, et de rajouter des règles iproute pour
utiliser différentes tables de routage
Problème : ce routeur fait par ailleurs office de passerelle VPN (via la
liaison SDSL), or, un de mes utilisateurs a la mauvaise idée d'habiter
très près de son lieu de travail et d'être chez Free, et il semble qu'il
soit connecté sur le même DSLAM que ma FB.
Ce ne serait pas grave, sauf que FB pousse via DHCP un masque réseau
en /24, du coup l'IP publique de mon utilisateur se trouve sur le même
réseau que moi !
J'ai donc une connexion qui entre via le FAI pro, mais qui, du fait de la
table de routage, tente de sortir via Free, bref, ça ne marche pas
Quelle est selon vous la solution la plus propre pour résoudre ce
problème ?
Merci,
--
Rico
Moi, les films de cul, j'aime bien me les faire dans une grande salle.
-+- Dominique Farrugia -+-
Soit un routeur sous Linux, connecté à de multiples FAIs. Disons pour
simplifier une liaison pro (SDSL) pour le backbone IT, et une liaison ADSL
grand public (Free.fr) pour le confort des utilisateurs pour le surf.
La FreeBox est en mode bridge ethernet, j'ai donc sur mon routeur les
interfaces idoines configurées avec des IP publiques.
Je passe les détails de policy-routing pour aiguiller les flux. Il s'agit
simplement de marquer les paquets, et de rajouter des règles iproute pour
utiliser différentes tables de routage
Problème : ce routeur fait par ailleurs office de passerelle VPN (via la
liaison SDSL), or, un de mes utilisateurs a la mauvaise idée d'habiter
très près de son lieu de travail et d'être chez Free, et il semble qu'il
soit connecté sur le même DSLAM que ma FB.
Ce ne serait pas grave, sauf que FB pousse via DHCP un masque réseau
en /24, du coup l'IP publique de mon utilisateur se trouve sur le même
réseau que moi !
J'ai donc une connexion qui entre via le FAI pro, mais qui, du fait de la
table de routage, tente de sortir via Free, bref, ça ne marche pas
Quelle est selon vous la solution la plus propre pour résoudre ce
problème ?
Merci,
--
Rico
Moi, les films de cul, j'aime bien me les faire dans une grande salle.
-+- Dominique Farrugia -+-
Poser une question
Je me réponds à moi-même : faute de mieux, j'ai retiré la route de lien
local dans la table "main". C'est un peu violent, mais comme ça les
processus locaux n'en tiennent pas compte !
--
Rico
On ne voit bien qu'avec le coeur. L'essentiel est invisible pour les
yeux.
-+- Antoine de Saint-Exupéry (1900-1944) -+-
Eric Belhomme a écrit :
Pas exactement, mais peu importe.
En tenir compte dans la politique de routage, non ? Je ne comprends pas
trop le problème en fait.
La route de lien local ? La route directe vers le /24 du DSLAM, tu veux
dire ?
echo 0 > /proc/sys/net/ipv4/conf/<interface>/rp_filter
(sauf si tu veux vraiment pas, non non, que ça sorte via la freebox)
rp_filter empêche d'entrer, pas de sortir.
le probleme, c'est que le paquet est à destination d'un processus local,
donc j'ai beau tagger mon paquet, je n'ai aucun moyen de le faire passer
par une table de routage autre que la table "main" avant que la décision
de routage ne soit prise (ni après d'ailleurs), ce qui me force à
supprimer la route de lien local de la table main pour l'interface reliée
à la FB.
Dans mon cas particilier, ça ne gène pas outre mesure, mais dans
l'absolu, ça pourrait : genre je veux vérifier que la passerelle de Free
est bien là, je pourrai pas la pinger, puisque je n'ai plus de route pour
y aller dans la table main
--
Rico
L'argent ne fait pas le bonheur... de celui qui m'en a prêté !
-+- Pierre Perret -+-