Petite question de "routing".

Richard Lemay a écrit :

Bonjour à tous,

J'ai un problème relativement simple et je ne suis pas parvenu, en deux
journées de lecture, à trouver la solution. Je soumet le problème dans
l'espoir que quelqu'un saura me donner une bonne piste! :)

J'ai une machine qui possède deux adresses avec du ip alias.

eth0 = 192.168.0.15
eth0:0 = 10.50.1.1

Je roule un vserver (un serveur virtuel) qui utilise l'adresse 10.50.1.1
(eth0:0). Je suis capable de faire un ping sur 192.168.0.15 et sur
10.50.1.1. Cependant, je ne peux pas me connecter sur l'internet qui
s'accède avec un routeur sur 192.168.0.1.

Je recherche donc la/les commande(s) qui permettrait à la machine sur le
subnet 10.50.1.0 de communiquer avec celles sur le subnet 192.168.0.0.

route add -net 192.168.0.0 gw <routeur pour joindre 10.51.1.0>

Remarques:
1. J'ai essayé le vserver avec une adresse 192.168.0.16. La
communication est impécable. Il s'agit donc d'un problème de deux
subnets pour une carte.

2. Il est indispensable d'avoir deux subnets puisque la machine est
destinée à aller dans plusieurs écoles avec des réseaux différents.
L'adresse eth0 doit être dynamique (DHCP) et l'adresse eth0:0 doit être
statique dans un subnet dédié pour ne pas demander de reconfiguration
des infrastructures existantes. (C'est beaucoup plus pratique ainsi).

Des idées? :)
Merci,
Richard

--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

--nextPart6467770.oMNnkhvrND
Content-Type: text/plain;
charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline

Le Dimanche 21 Août 2005 10:00, Richard Lemay a écrit :

Bonjour à tous,

J'ai un problème relativement simple et je ne suis pas parvenu, en
deux journées de lecture, à trouver la solution. Je soumet le
problème dans l'espoir que quelqu'un saura me donner une bonne piste!
:)

J'ai une machine qui possède deux adresses avec du ip alias.

eth0 = 192.168.0.15
eth0:0 = 10.50.1.1

Je roule un vserver (un serveur virtuel) qui utilise l'adresse
10.50.1.1 (eth0:0). Je suis capable de faire un ping sur 192.168.0.15
et sur 10.50.1.1. Cependant, je ne peux pas me connecter sur
l'internet qui s'accède avec un routeur sur 192.168.0.1.

Je recherche donc la/les commande(s) qui permettrait à la machine sur
le subnet 10.50.1.0 de communiquer avec celles sur le subnet
192.168.0.0.

Tu a une route par défaut sur le réseau 192.168.0.0, les machines
(vserver) du 10.50.1.0 ne peuvent pas accéder à ce routeur par défaut
car il n'est pas sur leur réseau.
Il faudrait une route par défaut pour le réseau 10.50.1.0, ou plus
simple, une interface par défaut.
Je ne sais pas comment ça peut ce configurer sous Debian, mais sous
Mandriva ou RedHat/Fedora, c'est la variable GATEWAYDEV
dans /etc/sysconfig/network.

A la main, tu peux faire par exemple un :
# route add default gw dev eth0

Et là, tous tes sous réseaux devrait sortir par l'interface eth0. Par
contre si cette interface est connecté à un réseau sur lequel il y a un
routeur, permettant de joindre le 10.50.1.0, ça marchera toujours pas.

Remarques:
1. J'ai essayé le vserver avec une adresse 192.168.0.16. La
communication est impécable. Il s'agit donc d'un problème de deux
subnets pour une carte.

2. Il est indispensable d'avoir deux subnets puisque la machine est
destinée à aller dans plusieurs écoles avec des réseaux différe nts.
L'adresse eth0 doit être dynamique (DHCP) et l'adresse eth0:0 doit
être statique dans un subnet dédié pour ne pas demander de
reconfiguration des infrastructures existantes. (C'est beaucoup plus
pratique ainsi).

Je pense que l'infrastructure existante (les routeurs) vont devoir
forcement être modifiés pour router ce nouveau réseau 10.50.1.0.

Est-ce-que ce vserver est destiné à être accedé par les autres de
l'école ? Directement par son adresse 10.50.1.1 ?

Quelle est la route par défaut des autres machines ?

--nextPart6467770.oMNnkhvrND
Content-Type: application/pgp-signature

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.0 (GNU/Linux)

iD8DBQBDCE/oDltnDmLJYdARAqOlAKCT3Zln/e7NvvpBWLingyK2NgpxqACgoQim
Ri6Y2U5Qb5zX1MnwRSpnvFc =RzoQ
-----END PGP SIGNATURE-----

--nextPart6467770.oMNnkhvrND--


--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Après de nombreuses recherches, j'ai découvert que le problème vient du
routeur qui n'acceptait tout simplement pas les connexions originant du
subnet 10.50.1.0. (Quand on met netmask 255.255.0.0 ça passe, mais pas
avec 255.255.255.0... j'ai honte de ne pas l'avoir vu!).

Serait-il possible de demander à linux de réécrire l'adresse source d'un
paquet? Par exemple, que tout paquet allant vers 192.168.0.1 provenant
de 10.50.1.1 soit réécris pour qu'il donne l'impression de venir de
192.168.0.15? Cela règlerait définitivement le problème.

Merci,
Richard


Le Souricier Gris a écrit :

Richard Lemay a écrit :

Bonjour à tous,

J'ai un problème relativement simple et je ne suis pas parvenu, en deux
journées de lecture, à trouver la solution. Je soumet le problème dans
l'espoir que quelqu'un saura me donner une bonne piste! :)

J'ai une machine qui possède deux adresses avec du ip alias.

eth0 = 192.168.0.15
eth0:0 = 10.50.1.1

Je roule un vserver (un serveur virtuel) qui utilise l'adresse 10.50.1.1
(eth0:0). Je suis capable de faire un ping sur 192.168.0.15 et sur
10.50.1.1. Cependant, je ne peux pas me connecter sur l'internet qui
s'accède avec un routeur sur 192.168.0.1.

Je recherche donc la/les commande(s) qui permettrait à la machine sur le
subnet 10.50.1.0 de communiquer avec celles sur le subnet 192.168.0.0.

route add -net 192.168.0.0 gw <routeur pour joindre 10.51.1.0>

Remarques:
1. J'ai essayé le vserver avec une adresse 192.168.0.16. La
communication est impécable. Il s'agit donc d'un problème de deux
subnets pour une carte.

2. Il est indispensable d'avoir deux subnets puisque la machine est
destinée à aller dans plusieurs écoles avec des réseaux différents.
L'adresse eth0 doit être dynamique (DHCP) et l'adresse eth0:0 doit être
statique dans un subnet dédié pour ne pas demander de reconfiguration
des infrastructures existantes. (C'est beaucoup plus pratique ainsi).

Des idées? :)
Merci,
Richard

--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Richard Lemay a écrit :

Serait-il possible de demander à linux de réécrire l'adresse sour ce d'un
paquet? Par exemple, que tout paquet allant vers 192.168.0.1 provenant
de 10.50.1.1 soit réécris pour qu'il donne l'impression de venir de
192.168.0.15? Cela règlerait définitivement le problème.

Oui, c'est le SNAT :
http://www.netfilter.org/documentation/HOWTO/fr/NAT-HOWTO.html

Bon we
GL

Salut,

Disclaimer : j'ignore tout de vserver et ses spécificités.

Le Souricier Gris a écrit :

Richard Lemay a écrit :

J'ai une machine qui possède deux adresses avec du ip alias.

eth0 = 192.168.0.15
eth0:0 = 10.50.1.1

Je roule un vserver (un serveur virtuel) qui utilise l'adresse 10.50.1.1

^^^^^
Tiens, un Québécois ? Ah ben ouais, avec un nom pareil. ;-)

(eth0:0). Je suis capable de faire un ping sur 192.168.0.15 et sur
10.50.1.1. Cependant, je ne peux pas me connecter sur l'internet qui
s'accède avec un routeur sur 192.168.0.1.

Je recherche donc la/les commande(s) qui permettrait à la machine sur le
subnet 10.50.1.0 de communiquer avec celles sur le subnet 192.168.0.0.

route add -net 192.168.0.0 gw <routeur pour joindre 10.51.1.0>

Pas si simple. Reprenons.
Principe de base : pour qu'une communication IP fonctionne, il faut que
chaque noeud impliqué - hôtes mais aussi routeurs intermédiaires - sache
comme joindre la destination, et ceci dans les deux sens.

Pour sortir, le vserver doit savoir comment joindre la passerelle. On
crée donc la route suivante :

$ route add 192.168.0.1 dev eth0

Résultat dans la table de routage :

Destination Mask Gateway Interface
192.168.0.1 255.255.255.255 - eth0

Tant qu'on y est, on peut en profiter pour rendre accessibles tous les
hôtes du réseau local connecté à eth0, en étendant la destination en
écrivant à la place de la règle précédente. La route devient :

$ route add -net 192.168.0.0/24 dev eth0

Résultat dans la table de routage :

Destination Mask Gateway Interface
192.168.0.0 255.255.255.0 - eth0

En supposant que le masque est bien /24. Maintenant que la passerelle
est joignable, on peut créer la route par défaut pour sortir sur internet :

$ route add default gw 192.168.0.1

Résultat dans la table de routage :

Destination Mask Gateway Interface
0.0.0.0 0.0.0.0 192.168.0.1 eth0

MAIS.... il y a un "mais". Comme j'écrivais juste avant, il faut que ça
marche aussi dans le sens retour, c'est-à-dire au moins de la passerelle
vers le vserver. C'est toujours cette partie qu'on a tendance à oublier.
Il faut donc de la même façon que ci-dessus créer une route sur la
passerelle pour lui indiquer comment joindre l'adresse 10.50.1.1. Je
vais supposer que la passerelle est sous Linux :

$ route add 10.50.1.1 gw 192.168.0.15

Destination Mask Gateway Interface
10.50.1.1 255.255.255.255 192.168.0.15 ethX

Mais attention, si l'adresse 192.168.0.15 est attribuée par DHCP et
suceptible de changer, on doit créer une route indépendante de l'adresse
de la machine hôte du vserver :

$ route add 10.50.1.1 dev ethX

Résultat dans la table de routage :

Destination Mask Gateway Interface
10.50.1.15 255.255.255.255 - ethX

où ethX est l'interface de la passerelle vers le réseau local.

Si on veut étendre la destination à tout le sous-réseau 10.0.0.0/8 (en
supposant que le masque est /8), on utilisera plutôt :

$ route add -net 10.0.0.0/8 dev ethX

Résultat dans la table de routage :

Destination Mask Gateway Interface
10.0.0.0 255.0.0.0 - ethX

Enfin, pour que les machines de 192.168.0.0 autres que la passerelle
puissent joindre celles en 10.0.0.0, il y a deux possibilités. La
première consiste à créer sur chacune une route identique à celle créée
sur le routeur. La seconde, si ces machines ont toutes le routeur
192.168.0.1 comme passerelle par défaut, consiste à configurer celui-ci
pour rerouter les paquets. Pour un routeur Linux, il n'y a rien de plus
à faire qu'activer le forward IP (déjà fait puisque c'est un routeur),
mettre en place les routes qui vont bien (on vient de le faire) et le
cas échéant autoriser les paquets de ethX vers ethX dans les règles du
firewall.


--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Effectivement, le SNAT fait ce que je veux. Je fais un masquerade de
10.50.1.0 vers 10.50.0.101 (qui est l'adresse de eth0). Par la suite, la
route par défaut entre en jeu et le routeur est content, car il voit que
le paquet vient d'une adresse 10.50.0.0.

Il me reste à déterminer comment je peux prévoir le changement d'adresse
par DHCP. Peut-être un script... chouette! Encore du boulot! :D

Merci,
Richard

G(P)L a écrit :

Richard Lemay a écrit :

Serait-il possible de demander à linux de réécrire l'adresse source
d'un paquet? Par exemple, que tout paquet allant vers 192.168.0.1
provenant de 10.50.1.1 soit réécris pour qu'il donne l'impression de
venir de 192.168.0.15? Cela règlerait définitivement le problème.

Oui, c'est le SNAT :
http://www.netfilter.org/documentation/HOWTO/fr/NAT-HOWTO.html

Bon we
GL

--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Merci pour le petit cours, je vais m'en souvenir! :) Malheureusement, le
problème était au niveau du routeur donc j'ai pu le régler avec un IP
Masquerade... reste à savoir comment adapter ça pour prévoir le DHCP...
(le IP Masquerade fait la conversion des 10.50.1.0 vers 192.168.0.15
pour ensuite rejoindre le routeur... de cette façon, les paquets ne sont
pas rejetés... le problème, c'est que je dois mettre une valeur
statique, ce qui n'est pas pratique si l'adresse change... :)).

Encore merci,
Richard

Pascal@plouf a écrit :

Salut,

Disclaimer : j'ignore tout de vserver et ses spécificités.

Le Souricier Gris a écrit :

Richard Lemay a écrit :

J'ai une machine qui possède deux adresses avec du ip alias.

eth0 = 192.168.0.15
eth0:0 = 10.50.1.1

Je roule un vserver (un serveur virtuel) qui utilise l'adresse 10.50.1.1

^^^^^
Tiens, un Québécois ? Ah ben ouais, avec un nom pareil. ;-)

Enfer et damnation! Je suis fait! On m'a découvert!

(eth0:0). Je suis capable de faire un ping sur 192.168.0.15 et sur
10.50.1.1. Cependant, je ne peux pas me connecter sur l'internet qui
s'accède avec un routeur sur 192.168.0.1.

Je recherche donc la/les commande(s) qui permettrait à la machine sur le
subnet 10.50.1.0 de communiquer avec celles sur le subnet 192.168.0.0.

route add -net 192.168.0.0 gw <routeur pour joindre 10.51.1.0>

Pas si simple. Reprenons.
Principe de base : pour qu'une communication IP fonctionne, il faut que
chaque noeud impliqué - hôtes mais aussi routeurs intermédiaires - sache
comme joindre la destination, et ceci dans les deux sens.

Pour sortir, le vserver doit savoir comment joindre la passerelle. On
crée donc la route suivante :

$ route add 192.168.0.1 dev eth0

Résultat dans la table de routage :

Destination Mask Gateway Interface
192.168.0.1 255.255.255.255 - eth0

Tant qu'on y est, on peut en profiter pour rendre accessibles tous les
hôtes du réseau local connecté à eth0, en étendant la destination en
écrivant à la place de la règle précédente. La route devient :

$ route add -net 192.168.0.0/24 dev eth0

Résultat dans la table de routage :

Destination Mask Gateway Interface
192.168.0.0 255.255.255.0 - eth0

En supposant que le masque est bien /24. Maintenant que la passerelle
est joignable, on peut créer la route par défaut pour sortir sur internet :

$ route add default gw 192.168.0.1

Résultat dans la table de routage :

Destination Mask Gateway Interface
0.0.0.0 0.0.0.0 192.168.0.1 eth0

MAIS.... il y a un "mais". Comme j'écrivais juste avant, il faut que ça
marche aussi dans le sens retour, c'est-à-dire au moins de la passerelle
vers le vserver. C'est toujours cette partie qu'on a tendance à oublier.
Il faut donc de la même façon que ci-dessus créer une route sur la
passerelle pour lui indiquer comment joindre l'adresse 10.50.1.1. Je
vais supposer que la passerelle est sous Linux :

$ route add 10.50.1.1 gw 192.168.0.15

Destination Mask Gateway Interface
10.50.1.1 255.255.255.255 192.168.0.15 ethX

Mais attention, si l'adresse 192.168.0.15 est attribuée par DHCP et
suceptible de changer, on doit créer une route indépendante de l'adresse
de la machine hôte du vserver :

$ route add 10.50.1.1 dev ethX

Résultat dans la table de routage :

Destination Mask Gateway Interface
10.50.1.15 255.255.255.255 - ethX

où ethX est l'interface de la passerelle vers le réseau local.

Si on veut étendre la destination à tout le sous-réseau 10.0.0.0/8 (en
supposant que le masque est /8), on utilisera plutôt :

$ route add -net 10.0.0.0/8 dev ethX

Résultat dans la table de routage :

Destination Mask Gateway Interface
10.0.0.0 255.0.0.0 - ethX

Enfin, pour que les machines de 192.168.0.0 autres que la passerelle
puissent joindre celles en 10.0.0.0, il y a deux possibilités. La
première consiste à créer sur chacune une route identique à celle créée
sur le routeur. La seconde, si ces machines ont toutes le routeur
192.168.0.1 comme passerelle par défaut, consiste à configurer celui-ci
pour rerouter les paquets. Pour un routeur Linux, il n'y a rien de plus
à faire qu'activer le forward IP (déjà fait puisque c'est un routeur),
mettre en place les routes qui vont bien (on vient de le faire) et le
cas échéant autoriser les paquets de ethX vers ethX dans les règles du
firewall.

--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

--nextPart2372101.l2UuE7q16X
Content-Type: text/plain;
charset="iso-8859-15"
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline

Le Dimanche 21 Août 2005 14:25, Richard Lemay a écrit :

Merci pour le petit cours, je vais m'en souvenir! :) Malheureusement,
le problème était au niveau du routeur donc j'ai pu le régler avec un
IP Masquerade... reste à savoir comment adapter ça pour prévoir le
DHCP... (le IP Masquerade fait la conversion des 10.50.1.0 vers
192.168.0.15 pour ensuite rejoindre le routeur... de cette façon, les
paquets ne sont pas rejetés... le problème, c'est que je dois mettre
une valeur statique, ce qui n'est pas pratique si l'adresse change...
:)).

Encore merci,
Richard

Avec ce NAT je ne vois vraiment plus l'utilité d'avoir une adresse en
10.50.1.1, pour quoi pas rester dans les réseaux locaux (192.168.0.x) ?
A moins que chaque école n'aie pas le même plan d'adressage.

Tu parles de DHCP, je pense qu'on peut très bien affecté via DHCP une
adresse à une interface virtuelle comme eth0:0, pas en affectation
statique, car l'adresse MAC sera la même, mais sur une zone dynamique,
ça devrait passer.

--nextPart2372101.l2UuE7q16X
Content-Type: application/pgp-signature

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.0 (GNU/Linux)

iD8DBQBDCJXWDltnDmLJYdARArIVAKCx1KyZc2JQ21STRbzgFZ6z0YJY4QCgoofm
jBhN+xNnBwtzlMNmNIhZXmo =re0+
-----END PGP SIGNATURE-----

--nextPart2372101.l2UuE7q16X--


--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

C'est parce que je ne peux pas modifier le DHCP de l'école. Comme je
route un serveur de terminaux (ltsp), je dois assigner aux terminaux une
adresse et leur donner certains paramètres. Comme il ne m'est pas
possible d'être certain que je ne leur assigne pas une adresse déjà
occupée (puisque je n'ai pas le contrôle sur l'autre DHCP), je leur
assigne des adresses dans 10.50.1.0 pour éviter tout conflit. De là la
nécessité de faire un NAT. Le seul élément manquant, c'est que je dois
être en mesure de faire un masquerade dynamique... j'ai pensé à un
script pour modifier la ligne de shorewall dans masq (eth0 10.50.1.0/24
192.168.0.15). J'aurais seulement à modifier le dernier paramètre avec
un éditeur automatique comme sed lorsque le DHCP change d'adresse
(Debian m'offre un endroit pour le faire)... Un peu de lecture s'impose
parce que sed, c'est franchement pas évident!

Richard

Gilles Mocellin a écrit :

Le Dimanche 21 Août 2005 14:25, Richard Lemay a écrit :

Merci pour le petit cours, je vais m'en souvenir! :) Malheureusement,
le problème était au niveau du routeur donc j'ai pu le régler avec un
IP Masquerade... reste à savoir comment adapter ça pour prévoir le
DHCP... (le IP Masquerade fait la conversion des 10.50.1.0 vers
192.168.0.15 pour ensuite rejoindre le routeur... de cette façon, les
paquets ne sont pas rejetés... le problème, c'est que je dois mettre
une valeur statique, ce qui n'est pas pratique si l'adresse change...
:)).

Encore merci,
Richard

Avec ce NAT je ne vois vraiment plus l'utilité d'avoir une adresse en
10.50.1.1, pour quoi pas rester dans les réseaux locaux (192.168.0.x) ?
A moins que chaque école n'aie pas le même plan d'adressage.

Tu parles de DHCP, je pense qu'on peut très bien affecté via DHCP une
adresse à une interface virtuelle comme eth0:0, pas en affectation
statique, car l'adresse MAC sera la même, mais sur une zone dynamique,
ça devrait passer.

--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org