Logo GNT
Actualités Tests & Guides Bons Plans
GTA 6 iPhone 17 Copilot Switch 2 Temu ChatGPT Tesla
OVH Cloud OVH Cloud
Entraide Matériel Réseaux et Internet IP Probleme de routage entre VLANs

Probleme de routage entre VLANs

31 réponses
Avatar
xavier
Bonjour,

Le réseau de mon nouveau taf est assez (et amha inutilement) complexe.

Le coeur de réseau est composé de Nortels Baystack dans chaque bâtiment, avec des VLANs
définis comme suit :

| VLAN 1 admininstration (des switches) 192.168.1.0/24
| VLAN 10 bâtiment central 172.16.214.0/24
| VLAN 20 bâtiment 2 192.168.0.0/24
| VLAN 30 batiment 3 10.75.2.0/24
| VLAN 40 (reserved for future use ;-)
| VLAN 100 VoIP 10.75.3.0/24

Je pique un port où tous les VLANs sont présents sur le Nortel, et je crée les
interfaces VLAN sur la passerelle :

| gateway_enable="YES"
| default_router="10.75.2.1"
| cloned_interfaces="vlan0 vlan1 vlan2 vlan3 vlan4"
| ifconfig_fxp0="up"
| ifconfig_vlan0="inet 192.168.1.251 netmask 255.255.255.0 vlan 1 vlandev fxp0"
| ifconfig_vlan1="inet 172.16.214.251 netmask 255.255.255.0 vlan 10 vlandev fxp0"
| ifconfig_vlan2="inet 192.168.0.251 netmask 255.255.255.0 vlan 20 vlandev fxp0"
| ifconfig_vlan3="inet 10.75.2.251 netmask 255.255.255.0 vlan 30 vlandev fxp0"
| ifconfig_vlan4="inet 10.75.3.251 netmask 255.255.255.0 vlan 100 vlandev fxp0"

Depuis la passerelle elle-même, tous les réseaux répondent, un nmap me l'a prouvé.

D'ailleurs, sa table de routage me semble nickel :

| Destination Gateway Flags Refs Use Netif Expire
| default 10.75.2.1 UGS 0 13742 vlan3
| 192.168.1.0/24 link#9 U 5 234765 vlan0
| 172.16.214.0/24 link#10 U 4 395054 vlan1
| 192.168.0.0/24 link#11 U 1 4659 vlan2
| 10.75.2.0/24 link#12 U 0 3361 vlan3
| 10.75.3.0/24 link#13 U 0 2716 vlan4


Par contre, depuis mon poste, qui est sur le réseau 172.16.214.0/24, avec 172.16.214.251
défini en gateway, ça ne marche qu'à moitié :

| [xavier@imac-xav ~]$ traceroute 192.168.1.4
| traceroute to 192.168.1.4 (192.168.1.4), 64 hops max, 52 byte packets
| 1 gateway (172.16.214.251) 5.416 ms 0.176 ms 0.152 ms
| 2 arcades-sw (192.168.1.4) 5.105 ms 1.103 ms 1.144 ms

Donc le routage de VLAN 10 vers VLAN 1, ça passe.

Mais, si je veux atteindre la passerelle de sortie :

| [xavier@imac-xav ~]$ traceroute 10.75.2.1
| traceroute to 10.75.2.1 (10.75.2.1), 64 hops max, 52 byte packets
| 1 gateway (172.16.214.251) 0.460 ms 0.217 ms 0.145 ms
| 2 * * *
| 3 * * *
| 4 * * *

De VLAN 10 vers VLAN 30, rien ne passe. Ca pourrait presque sembler logique, le VLAN 1
étant non taggué, ça passe, vers les autres non....

Qu'ai-je oublié de si évident que je ne le verrais pas ?

Merci,

--
Xav
In your pomp and all your glory you're a poorer man than me,
as you lick the boots of death born out of fear.
Signaler un problème avec ce contenu

10 réponses

Supprimer
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire

Veuillez sélectionner un problème

Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
1 2 3 4
Avatar
xavier
TeXitoi <texitoi+ wrote:

Y'a pas un sysctl à changer sous FreeBSD pour router ? Enfin, je sais
juste qu'il y en a un sous OpenBSD.



La directive gateway_enable="YES" s'en occupe :

[ ~]$ sysctl net.inet.ip.forwarding
net.inet.ip.forwarding: 1



--
XAv
In your pomp and all your glory you're a poorer man than me,
as you lick the boots of death born out of fear.
(Jethro Tull)
Avatar
Pascal Hambourg
Xavier a écrit :
Xavier wrote:

Bon, j'ai l'impression que je ne sais tout simplement plus configurer
une passerelle :-(

J'ai un problème similaire chez moi, où je veux essayer d'utiliser un AP
autre que le Wifi Free.



Y a des VLAN ? (humour douteux)

---- /etc/rc.conf
defaultrouter="192.168.100.254" # Freebox
hostname="aragorn.groumpf.org"
ifconfig_fxp0="inet 192.168.100.16 netmask 255.255.255.0"
ifconfig_em0="inet 192.168.0.254 netmask 255.255.255.0"
gateway_enable="YES"



les routes semblent OK :

netstat -rn | grep -v lo0
Internet:
Destination Gateway Flags Refs Use Netif Expire
default 192.168.100.254 UGS 0 172 fxp0
192.168.0.0/24 link#2 U 1 4708 em0
192.168.100.0/24 link#1 U 3 59289 fxp0



Juste une chose me titille, je n'ai pas d'entrée avec leq flags UHL pour
l'AP2.168.0.16, comme c'est le cas pour les tables de routage des
autres serveurs de mon réseau.



Sauf erreur le flag H signale une route d'hôte (/32). Si la route vers
cette adresse est déjà couverte par une route de préfixe, une route
d'hôte est a priori inutile.

et l'AP :

get config
IP Address: 192.168.0.50





Tu n'avais pas dit plus haut que l'AP était 192.168.0.16 ?

IP Mask: 255.255.255.0
Host IP Address: 0.0.0.0
Gateway IP Address: 192.168.0.254



La passerelle pinge l'AP, l'AP pinge la passerelle, mais ça ne va pas
plus loin : LAN inacessible depuis l'AP, AP inacessible depuis le LAN



Encore une histoire de route de retour vers 192.168.0.0/24. Les machines
du LAN (excepté ta passerelle) n'ont pas de route spécifique vers
192.168.0.0/24 donc envoient via la route par défaut à la Freebox qui
n'a pas plus de route vers 192.168.0.0/24, et qui donc soit renvoie
bêtement sur internet soit jette parce que c'est un préfixe privé qu'on
ne doit pas voir sur internet.

Mais bon sang de bonsoir, pourquoi plus aucun de mes FreeBSD ne veut
router ????



Elles routent, mais si une moitié du réseau n'a pas les routes qui vont
bien pour atteindre l'autre moitié elle vont devoir faire du
masquerading en plus.
Avatar
Stephane Catteau
Pascal Hambourg n'était pas loin de dire :

La passerelle pinge l'AP, l'AP pinge la passerelle, mais ça ne va pas
plus loin : LAN inacessible depuis l'AP, AP inacessible depuis le LAN



Encore une histoire de route de retour vers 192.168.0.0/24.



S'il arrive à pinguer, c'est bien qu'il y a une route dans les deux
sens, non ? Etant entendu que moi je le lis sa phrase comme, "j'envoie
l'echo request et je reçois bien l'echo reply qui va avec".
Avatar
Pascal Hambourg
Stephane Catteau a écrit :
Pascal Hambourg n'était pas loin de dire :

La passerelle pinge l'AP, l'AP pinge la passerelle, mais ça ne va pas
plus loin : LAN inacessible depuis l'AP, AP inacessible depuis le LAN


Encore une histoire de route de retour vers 192.168.0.0/24.



S'il arrive à pinguer, c'est bien qu'il y a une route dans les deux
sens, non ?



Sur la passerelle, oui. Mais pas plus loin. Les équipements au delà de
la passerelle n'ont pas de route vers le sous-réseau de l'AP, et leur
route par défaut ne va pas au bon endroit.
Avatar
xavier
Pascal Hambourg wrote:

Sur la passerelle, oui. Mais pas plus loin. Les équipements au delà de
la passerelle n'ont pas de route vers le sous-réseau de l'AP, et leur
route par défaut ne va pas au bon endroit.



Ben oui, et avec sur un poste :
route add -net 192.168.0.0/24 192.168.100.16
ça marche tout de suite mieux...

En fait, cette machine est destinée à devenir *la* passerelle IPv4/IPv6
du réseau, avec la FreeBox en bridge sur fxp0 + tunnel IPv6 et le réseau
interne en 192.168.0.0/24 sur em0. J'ai voulu commencer avec l'AP, sans
songer que ce n'était que la moitié du boulot...

Il est temps que je prenne les vacances que je n'ai pas encore pu
prendre :-)

--
XAv
In your pomp and all your glory you're a poorer man than me,
as you lick the boots of death born out of fear.
Avatar
xavier
Pascal Hambourg wrote:

> J'essaye ça demain, merci beaucoup.

Alors, du nouveau ?
J'aimerai bien connaître le fin mot de l'histoire.



Bon, c'est clair et net :

# nmap -S 172.16.214.251 -e vlan1 -PN -sT 10.75.2.0/24

ne me "montre" que deux équipents : le routeur lui-même, et l'interface
correspondante du switch L3 sur lequel je suis connecté.

C'est donc bien un problème de route retour. D'ailleurs, si je vois les
autres switches du backbone, ce n'est pas un artefact : ceux-là ont une
route retour vers le switch nodal.

J'ai juste un problème d'oeuf et de poule : les machines du sous réseau
10.75.2.0/24 ont leur propre passerelle internet. Si je change ça, il va
falloir faire du source routing pour les renvoyer vers cette passerelle,
et je ne suis pas sûr d'y arriver.

Ca va finir par la suppression de cet autre accès internet, et
l'augmentation de la BP de celle que je gère.

--
XAv
In your pomp and all your glory you're a poorer man than me,
as you lick the boots of death born out of fear.
(Jethro Tull)
Avatar
xavier
Xavier wrote:

J'ai juste un problème d'oeuf et de poule : les machines du sous réseau
10.75.2.0/24 ont leur propre passerelle internet. Si je change ça, il va
falloir faire du source routing pour les renvoyer vers cette passerelle,
et je ne suis pas sûr d'y arriver.



Bon, j'ai pris les grands moyens, et installé vnc sur la passerelle.
Pris la main sur une des machines, et changé sa route par défaut vers
10.75.2.251, c'est à dire l'adresse de la passerelle sur l'interface
vlan3.

Automagiquement, la machine apparaît sur le moniteur SNMP de mon poste.
Je croyais avoir gagné, mais malheureusement, plus moyen de la faire
causer avec Internet. Un traceroute s'arrête à 10.75.2.251, et n'atteint
pas 172.16.214.254, le routeur Internet, qui est pourtant la route par
défaut de ma passerelle (cf la config dans le tout premier post de ce
thread).

Ca va finir par la suppression de cet autre accès internet, et
l'augmentation de la BP de celle que je gère.



Compte-tenu de ce qui précède, c'est pas gagné non plus :-(

Je commence à en avoir plein le c*l.... Je me demande si le morceau
foireux de config L3 sur le switch nodal ne serait pas en cause...

!
! *** L3 ***
!
no ip directed-broadcast enable
ip routing
interface vlan 1
ip dhcp-relay min-sec 0 mode bootp_dhcp
no ip dhcp-relay broadcast
ip dhcp-relay
exit
interface vlan 10
ip address 172.16.214.252 255.255.255.0 10
ip dhcp-relay min-sec 0 mode bootp_dhcp
no ip dhcp-relay broadcast
ip dhcp-relay
exit
interface vlan 20
ip address 192.168.0.5 255.255.255.0 20
ip dhcp-relay min-sec 0 mode bootp_dhcp
no ip dhcp-relay broadcast
ip dhcp-relay
exit
interface vlan 30
ip address 10.75.2.5 255.255.255.0 30
ip dhcp-relay min-sec 0 mode bootp_dhcp
no ip dhcp-relay broadcast
ip dhcp-relay
exit
interface vlan 100
ip address 10.75.3.5 255.255.255.0 100
ip dhcp-relay min-sec 0 mode bootp_dhcp
no ip dhcp-relay broadcast
ip dhcp-relay
exit
ip arp timeout 360
ip dhcp-relay
ip blocking-mode none



Je ne vois pas de routes, là dedans...

--
XAv
In your pomp and all your glory you're a poorer man than me,
as you lick the boots of death born out of fear.
(Jethro Tull)
Avatar
Pascal Hambourg
Xavier a écrit :

Bon, c'est clair et net :

# nmap -S 172.16.214.251 -e vlan1 -PN -sT 10.75.2.0/24

ne me "montre" que deux équipents : le routeur lui-même, et l'interface
correspondante du switch L3 sur lequel je suis connecté.



Euh, c'est pas clair pour moi mais il est tard, je viens de rentrer et
je vais te faire confiance.

C'est donc bien un problème de route retour. D'ailleurs, si je vois les
autres switches du backbone, ce n'est pas un artefact : ceux-là ont une
route retour vers le switch nodal.

J'ai juste un problème d'oeuf et de poule : les machines du sous réseau
10.75.2.0/24 ont leur propre passerelle internet. Si je change ça, il va
falloir faire du source routing pour les renvoyer vers cette passerelle,
et je ne suis pas sûr d'y arriver.



Il n'est pas nécessaire de changer leur passerelle par défaut. Par
contre dans ce cas il faut que le routeur qui leur sert de passerelle
par défaut ait des routes vers les autres sous-réseaux via ta
passerelle. Ce n'est pas optimal, certes, même si le routeur devrait
envoyer des ICMP Redirect pour signaler qu'il y a une route plus directe
via ta passerelle.
Avatar
Pascal Hambourg
Xavier a écrit :

Bon, j'ai pris les grands moyens, et installé vnc sur la passerelle.
Pris la main sur une des machines, et changé sa route par défaut vers
10.75.2.251, c'est à dire l'adresse de la passerelle sur l'interface
vlan3.

Automagiquement, la machine apparaît sur le moniteur SNMP de mon poste.
Je croyais avoir gagné, mais malheureusement, plus moyen de la faire
causer avec Internet. Un traceroute s'arrête à 10.75.2.251, et n'atteint
pas 172.16.214.254, le routeur Internet, qui est pourtant la route par
défaut de ma passerelle (cf la config dans le tout premier post de ce
thread).



Rectification : la machine ne reçoit pas de réponse de 172.16.214.254.
Et si c'était encore une question de route de retour : ce routeur
internet a-t-il la route qui va bien vers 10.75.2.0/24 ?
Avatar
xavier
Pascal Hambourg wrote:

Ce n'est pas optimal, certes, même si le routeur devrait
envoyer des ICMP Redirect pour signaler qu'il y a une route plus directe
via ta passerelle.



ICMP, c'est un gros mot chez Orange Business Services, il les bloquent
tous, même echo-reply.

Pour ton autre réponse, merci :
Rectification : la machine ne reçoit pas de réponse de 172.16.214.254.
Et si c'était encore une question de route de retour : ce routeur
internet a-t-il la route qui va bien vers 10.75.2.0/24 ?


Oui, tu as raison. Là c'est un PIX sur lequel j'ai la main. Mais mes
prédécesseurs ont payés une fortune des Nortel L2/L3 avec la prestation
de config qui va avec, c'est ni fait ni à faire, ça me fout en rogne.

C'est pour ça qu'il y a plein de trucs qui ne me semblent pas évidents.
J'ai l'habitude de bosser avec des réseaux *debouts*, pas de ramasser
les morceaux après le passage de branleurs...

--
XAv
In your pomp and all your glory you're a poorer man than me,
as you lick the boots of death born out of fear.
(Jethro Tull)
1 2 3 4