Problème: 2 cartes réseau, une en DHCP, l'autre en IP fixe
12 réponses
Patrick 'Zener' Brunet
Bonjour.
J'ai un problème intermittent sur mon petit LAN, au niveau de mon PC
passerelle.
Ce PC (sous W2000 Pro) a deux cartes réseaux définissant un segment
"interne" (mon LAN client), et un segment "externe" reliant le PC à un
routeur (Netgear RP614) suivi d'une N9ufBox (ADSL).
Le segment interne utilise un adressage IP fixe, toutes les stations
définissant le PC passerelle comme passerelle par défaut et comme proxy
Internet (il fait tourner un soft de serveur proxy). Ce segment utilise
NetBIOS/TCP/IP pour la facilité des voisinages réseau Windows. Le PC
passerelle est le maître NetBIOS (BrowseMaster).
Le segment externe utilise un adressage automatique (serveur DHCP du
routeur) et NetBIOS est désactivé sur ce segment. Les deux segments ne sont
reliés que par le PC passerelle.
Problème (intermittent):
===============
Le routage entre les deux segments ne se fait pas correctement. Par
intermittence le segment externe (donc le routeur) n'est plus accessible
depuis le LAN et même depuis le PC passerelle (pas de ping, page HTML
d'administration du routeur inaccessible), alors même que la connexion est
établie (la carte a son IP assignée et on accède à Internet).
Tout se passe comme si les trames IP au niveau de la passerelle partaient
préférentiellement sur le segment interne.
J'ai essayé de jouer sur la métrique des deux cartes réseau, c'est la cata :
si les métriques sont différentes, alors le PC passerelle ne voit plus qu'un
seul segment ! Ca me paraît anormal, il devrait seulement y avoir priorité
au segment externe.
Une solution temporaire consiste après le boot à désactiver puis réactiver
la carte réseau côté interne. Il semble alors que le routage soit redéfini
comme voulu, tout fonctionne, on a même accès à la config du routeur depuis
toute station du LAN côté interne.
Mais évidemment au premier reboot c'est fini.
Autre solution, fixer la métrique de la passerelle par défaut pour la carte
réseau côté interne à 200 (selon les RFC, le serveur DHCP donne à celle de
l'ISP pour la carte externe une métrique de 100).
Cette solution a fonctionné jusqu'à ce que le PC passerelle soit rebooté,
elle a alors cessé de fonctionner. Actuellement, le segment externe est donc
de nouveau isolé. Pourtant les utilitaires du PC passerelle qui se
connectent directement à Internet (HTTP) sans utiliser le serveur proxy y
accèdent sans problème.
==========
Le problème global est donc : par quel paramétrage conserver simultanément
l'adressage mixte et une liaison entièrement fonctionnelle entre les deux
segments du réseau ?
Infos complémentaires :
===============
Le serveur proxy ne route pas l'ICMP, donc les pings doivent passer par le
routage IP interne, et les softs utilisant HTTP installés sur le PC
passerelle n'utilisent pas le serveur proxy, donc se connectent directement
côté externe.
Par ailleurs, le LAN est entièrement en classe C, les deux segments étant
sur le même sous-réseau, et il n'y a pas d'erreur possible de recouvrement
de plages d'IP, j'ai fait gaffe.
Merci de votre aide.
Cordialement,
--
/**************************************************************\
* Patrick BRUNET @ ZenerTopia
* E-mail: lien sur http://zener131.free.fr/ContactMe
\**************************************************************/
<8#--X--< filtré par Avast! 4 Home
Le but était d'accorder à une telle machine invitée des facilités de voisinage, mais une confiance limitée. [...]
Je voudrais en fait lui permettre de partager l'un de ses répertoires au
sens de NetBIOS pour des transferts de fichiers, éventuellement d'accéder à
des ressources du LAN telles qu'une imprimante ou le proxy HTTP.
Dans ce cas, j'ai peur que la position dans le réseau interne s'impose.
Oui, j'arrive à la même conclusion.
Le tout bien sûr limité par des contraintes de login et cloisonné par les
firewalls internes des stations.
Le problème, c'est que certaines véroles utilisent des failles du partage de ressource Windows en se fichant des mots de passe. Et pour faire du transfert de fichiers, il faut bien que le firewall laisse passer le trafic correspondant. Attention à bien maintenir les OS à jour donc.
Dans l'hypothèse où c'est la machine invitée qui partage un répertoire et où c'est une station du LAN qui effectue les peek & poke dedans, je crois pouvoir espérer que le trafic correspondant soit bien identifié et puisse être surveillé par un firewall avec filtrage de paquets IP.
Mais c'est vrai que c'est franchement galère parce que je vais devoir faire ça sur toutes les stations du LAN.
?? A moins que je réactive le NetBIOS sur le segment externe, mais en mettant un firewall logiciel adéquat sur la carte du PC Proxy. Il faudrait aussi que je trouve comment empêcher les trames NetBIOS de sortir sur Internet dans la mesure où le routeur laisse tout sortir.
?? Ou alors je monte une troisième carte réseau sur le PC Proxy pour faire un segment réservé aux invités.
Mais dans ces deux derniers cas c'est le retour au problème du NetBIOS à cheval sur deux segments. C'est pas bon.
En fait je me demande si j'ai vraiment besoin de NetBIOS au niveau d'une machine invitée ? - pas pour accéder à Internet, si elle est sur le routeur, elle se débrouille, - pour accéder à une imprimante réseau, ça doit pouvoir se faire sans le nom, simplement avec l'IP, mais de toute manière il faudrait que la machine invitée ait une installation logique de l'imprimante (driver), donc en fait il y a des chances pour que ça devienne en fait un transfert de fichier sur une station du LAN capable de l'imprimer, - et donc pour transférer un fichier, il me suffirait de monter sur le PC Proxy un service adéquat côté segment externe. Ca doit bien se trouver un mini serveur FTP suffisant pour ça, non ?
Dans ce cas elle se retrouverait sur le segment externe et sans NetBIOS, et utiliserait le DHCP du routeur.
Je vais voir si je trouve le mini FTP (à vrai dire je cherche aussi un mini SMTP capable de fonctionner en service NT)...
<...>
Dans cette config :
{Internet}------[Routeur]------[Proxy]------[Station] [DynDNS] => ------[Serveur en DMZ]
Il s'agirait pour la Station d'accéder au Serveur par son nom externe, comme
un client issu d'Internet. Il faudrait pour ça que le Routeur réfléchisse
les paquets concernés (à moins de passer par un proxy externe).
Effectivement ceci ne marche généralement pas avec les routeurs domestiques. Il reste la solution de court-circuiter la résolution DNS en associant le nom dyndns à l'adresse privée du serveur dans le fichiers Hosts de la station et/ou du proxy (question souvent traitée ici).
Oui, ça ça me convient tout à fait.
[...] Et là je me rends compte que pour une machine invitée, ça fait beaucoup de
choses à configurer : l'IP fixe et surtout les proxies HTTP & HTTPS. Et je
crois bien qu'on ne peut pas facilement swapper entre deux configurations. A
moins de faire de l'import-export partiel de base de registres. Grrrrrr !
Il y a une possibilité qui résoud pas mal de problèmes : activer ICS sur le PC proxy. Il suffirait alors de configurer les machines invitée en automatique puisque ICS fait serveur DHCP.
Avantages : - les machines invitées reçoivent automatiquement les paramètres IP qui vont bien (adresse, masque, passerelle, DNS), - pas besoin de configurer de paramètres de proxy HTTP sur ces machines, - toutes les machines du réseau interne peuvent faire des pings et traceroutes vers l'extérieur grâce à la fonction routeur d'ICS,
Inconvénients : - la fonction proxy du PC proxy n'est plus suffisante pour contrôler les accès sortants, il faut pour cela utiliser un firewall qui fonctionne avec ICS.
Ben en fait je rencontre bien des problèmes avec les firewalls freeware. Là j'essaie de me débrouiller avec Look'n'Stop lite et Kerio, je crois que je ne vais pas compliquer encore le cocktail.
OK, je vais donc essayer de faire comme ci-dessus.
Merci pour les conseils.
Cordialement,
--
/************************************************************** * Patrick BRUNET @ ZenerTopia * E-mail: lien sur http://zener131.free.fr/ContactMe **************************************************************/ <8#--X--< filtré par Avast! 4 Home
Bonsoir.
"Pascal@plouf" <pascal@plouf.invalid> a écrit dans le message de news:
cn5esj$1jcb$1@biggoron.nerim.net...
Patrick 'Zener' Brunet wrote:
[...]
Le but était d'accorder à une telle machine invitée des facilités de
voisinage, mais une confiance limitée.
[...]
Je voudrais en fait lui permettre de partager l'un de ses répertoires au
sens de NetBIOS pour des transferts de fichiers, éventuellement
d'accéder à
des ressources du LAN telles qu'une imprimante ou le proxy HTTP.
Dans ce cas, j'ai peur que la position dans le réseau interne s'impose.
Oui, j'arrive à la même conclusion.
Le tout bien sûr limité par des contraintes de login et cloisonné par
les
firewalls internes des stations.
Le problème, c'est que certaines véroles utilisent des failles du
partage de ressource Windows en se fichant des mots de passe. Et pour
faire du transfert de fichiers, il faut bien que le firewall laisse
passer le trafic correspondant. Attention à bien maintenir les OS à jour
donc.
Dans l'hypothèse où c'est la machine invitée qui partage un répertoire et où
c'est une station du LAN qui effectue les peek & poke dedans, je crois
pouvoir espérer que le trafic correspondant soit bien identifié et puisse
être surveillé par un firewall avec filtrage de paquets IP.
Mais c'est vrai que c'est franchement galère parce que je vais devoir faire
ça sur toutes les stations du LAN.
?? A moins que je réactive le NetBIOS sur le segment externe, mais en
mettant un firewall logiciel adéquat sur la carte du PC Proxy. Il faudrait
aussi que je trouve comment empêcher les trames NetBIOS de sortir sur
Internet dans la mesure où le routeur laisse tout sortir.
?? Ou alors je monte une troisième carte réseau sur le PC Proxy pour faire
un segment réservé aux invités.
Mais dans ces deux derniers cas c'est le retour au problème du NetBIOS à
cheval sur deux segments. C'est pas bon.
En fait je me demande si j'ai vraiment besoin de NetBIOS au niveau d'une
machine invitée ?
- pas pour accéder à Internet, si elle est sur le routeur, elle se
débrouille,
- pour accéder à une imprimante réseau, ça doit pouvoir se faire sans le
nom, simplement avec l'IP, mais de toute manière il faudrait que la machine
invitée ait une installation logique de l'imprimante (driver), donc en fait
il y a des chances pour que ça devienne en fait un transfert de fichier sur
une station du LAN capable de l'imprimer,
- et donc pour transférer un fichier, il me suffirait de monter sur le PC
Proxy un service adéquat côté segment externe. Ca doit bien se trouver un
mini serveur FTP suffisant pour ça, non ?
Dans ce cas elle se retrouverait sur le segment externe et sans NetBIOS, et
utiliserait le DHCP du routeur.
Je vais voir si je trouve le mini FTP (à vrai dire je cherche aussi un mini
SMTP capable de fonctionner en service NT)...
<...>
Dans cette config :
{Internet}------[Routeur]------[Proxy]------[Station]
[DynDNS] => ------[Serveur en DMZ]
Il s'agirait pour la Station d'accéder au Serveur par son nom externe,
comme
un client issu d'Internet. Il faudrait pour ça que le Routeur
réfléchisse
les paquets concernés (à moins de passer par un proxy externe).
Effectivement ceci ne marche généralement pas avec les routeurs
domestiques. Il reste la solution de court-circuiter la résolution DNS
en associant le nom dyndns à l'adresse privée du serveur dans le
fichiers Hosts de la station et/ou du proxy (question souvent traitée
ici).
Oui, ça ça me convient tout à fait.
[...]
Et là je me rends compte que pour une machine invitée, ça fait beaucoup
de
choses à configurer : l'IP fixe et surtout les proxies HTTP & HTTPS. Et
je
crois bien qu'on ne peut pas facilement swapper entre deux
configurations. A
moins de faire de l'import-export partiel de base de registres. Grrrrrr
!
Il y a une possibilité qui résoud pas mal de problèmes : activer ICS sur
le PC proxy. Il suffirait alors de configurer les machines invitée en
automatique puisque ICS fait serveur DHCP.
Avantages :
- les machines invitées reçoivent automatiquement les paramètres IP qui
vont bien (adresse, masque, passerelle, DNS),
- pas besoin de configurer de paramètres de proxy HTTP sur ces machines,
- toutes les machines du réseau interne peuvent faire des pings et
traceroutes vers l'extérieur grâce à la fonction routeur d'ICS,
Inconvénients :
- la fonction proxy du PC proxy n'est plus suffisante pour contrôler les
accès sortants, il faut pour cela utiliser un firewall qui fonctionne
avec ICS.
Ben en fait je rencontre bien des problèmes avec les firewalls freeware. Là
j'essaie de me débrouiller avec Look'n'Stop lite et Kerio, je crois que je
ne vais pas compliquer encore le cocktail.
OK, je vais donc essayer de faire comme ci-dessus.
Merci pour les conseils.
Cordialement,
--
/**************************************************************
* Patrick BRUNET @ ZenerTopia
* E-mail: lien sur http://zener131.free.fr/ContactMe
**************************************************************/
<8#--X--< filtré par Avast! 4 Home
Le but était d'accorder à une telle machine invitée des facilités de voisinage, mais une confiance limitée. [...]
Je voudrais en fait lui permettre de partager l'un de ses répertoires au
sens de NetBIOS pour des transferts de fichiers, éventuellement d'accéder à
des ressources du LAN telles qu'une imprimante ou le proxy HTTP.
Dans ce cas, j'ai peur que la position dans le réseau interne s'impose.
Oui, j'arrive à la même conclusion.
Le tout bien sûr limité par des contraintes de login et cloisonné par les
firewalls internes des stations.
Le problème, c'est que certaines véroles utilisent des failles du partage de ressource Windows en se fichant des mots de passe. Et pour faire du transfert de fichiers, il faut bien que le firewall laisse passer le trafic correspondant. Attention à bien maintenir les OS à jour donc.
Dans l'hypothèse où c'est la machine invitée qui partage un répertoire et où c'est une station du LAN qui effectue les peek & poke dedans, je crois pouvoir espérer que le trafic correspondant soit bien identifié et puisse être surveillé par un firewall avec filtrage de paquets IP.
Mais c'est vrai que c'est franchement galère parce que je vais devoir faire ça sur toutes les stations du LAN.
?? A moins que je réactive le NetBIOS sur le segment externe, mais en mettant un firewall logiciel adéquat sur la carte du PC Proxy. Il faudrait aussi que je trouve comment empêcher les trames NetBIOS de sortir sur Internet dans la mesure où le routeur laisse tout sortir.
?? Ou alors je monte une troisième carte réseau sur le PC Proxy pour faire un segment réservé aux invités.
Mais dans ces deux derniers cas c'est le retour au problème du NetBIOS à cheval sur deux segments. C'est pas bon.
En fait je me demande si j'ai vraiment besoin de NetBIOS au niveau d'une machine invitée ? - pas pour accéder à Internet, si elle est sur le routeur, elle se débrouille, - pour accéder à une imprimante réseau, ça doit pouvoir se faire sans le nom, simplement avec l'IP, mais de toute manière il faudrait que la machine invitée ait une installation logique de l'imprimante (driver), donc en fait il y a des chances pour que ça devienne en fait un transfert de fichier sur une station du LAN capable de l'imprimer, - et donc pour transférer un fichier, il me suffirait de monter sur le PC Proxy un service adéquat côté segment externe. Ca doit bien se trouver un mini serveur FTP suffisant pour ça, non ?
Dans ce cas elle se retrouverait sur le segment externe et sans NetBIOS, et utiliserait le DHCP du routeur.
Je vais voir si je trouve le mini FTP (à vrai dire je cherche aussi un mini SMTP capable de fonctionner en service NT)...
<...>
Dans cette config :
{Internet}------[Routeur]------[Proxy]------[Station] [DynDNS] => ------[Serveur en DMZ]
Il s'agirait pour la Station d'accéder au Serveur par son nom externe, comme
un client issu d'Internet. Il faudrait pour ça que le Routeur réfléchisse
les paquets concernés (à moins de passer par un proxy externe).
Effectivement ceci ne marche généralement pas avec les routeurs domestiques. Il reste la solution de court-circuiter la résolution DNS en associant le nom dyndns à l'adresse privée du serveur dans le fichiers Hosts de la station et/ou du proxy (question souvent traitée ici).
Oui, ça ça me convient tout à fait.
[...] Et là je me rends compte que pour une machine invitée, ça fait beaucoup de
choses à configurer : l'IP fixe et surtout les proxies HTTP & HTTPS. Et je
crois bien qu'on ne peut pas facilement swapper entre deux configurations. A
moins de faire de l'import-export partiel de base de registres. Grrrrrr !
Il y a une possibilité qui résoud pas mal de problèmes : activer ICS sur le PC proxy. Il suffirait alors de configurer les machines invitée en automatique puisque ICS fait serveur DHCP.
Avantages : - les machines invitées reçoivent automatiquement les paramètres IP qui vont bien (adresse, masque, passerelle, DNS), - pas besoin de configurer de paramètres de proxy HTTP sur ces machines, - toutes les machines du réseau interne peuvent faire des pings et traceroutes vers l'extérieur grâce à la fonction routeur d'ICS,
Inconvénients : - la fonction proxy du PC proxy n'est plus suffisante pour contrôler les accès sortants, il faut pour cela utiliser un firewall qui fonctionne avec ICS.
Ben en fait je rencontre bien des problèmes avec les firewalls freeware. Là j'essaie de me débrouiller avec Look'n'Stop lite et Kerio, je crois que je ne vais pas compliquer encore le cocktail.
OK, je vais donc essayer de faire comme ci-dessus.
Merci pour les conseils.
Cordialement,
--
/************************************************************** * Patrick BRUNET @ ZenerTopia * E-mail: lien sur http://zener131.free.fr/ContactMe **************************************************************/ <8#--X--< filtré par Avast! 4 Home
guigui
wrote:
L'ICS de XP accepterait une adresse dynamique sur l'interface interne ?
Ben en fait j'en sais rien je suis en IP fixe. Mais à bien y réfléchir, je ne vois pas comment il ferait pour trouver son adresse si il est lui-même serveur dhcp ? De toutes façons, dans pas longtemps j'aurais un linux comme passerelle.
Pascal@plouf wrote:
L'ICS de XP accepterait une adresse dynamique sur l'interface interne ?
Ben en fait j'en sais rien je suis en IP fixe. Mais à bien y réfléchir,
je ne vois pas comment il ferait pour trouver son adresse si il est
lui-même serveur dhcp ? De toutes façons, dans pas longtemps j'aurais un
linux comme passerelle.
L'ICS de XP accepterait une adresse dynamique sur l'interface interne ?
Ben en fait j'en sais rien je suis en IP fixe. Mais à bien y réfléchir, je ne vois pas comment il ferait pour trouver son adresse si il est lui-même serveur dhcp ? De toutes façons, dans pas longtemps j'aurais un linux comme passerelle.
