Forum Linux.debian/ubuntu deux réseau (privé&publique) sur une carte

Posté par .
Tags : aucun
1
19
nov.
2009
Bonjour messieurs,

J'ai un petit serveur à la maison avec deux cartes réseaux. Eth0 avec une ip publique et eth1 avec une (voir plusieurs) ip privée.

Comme la page de config de la freebox, v5 ne permet pas profiter du wifi dans ce type de configuration malheureusement.

Comme j'ai plus de place pour mettre ma carte wifi, je me suis dit que je devais enlever ma deuxième carte réseau et que j'allais configurer les deux ip et donc les deux réseaux sur une seule prise : eth0

Qu'en pensez-vous, s'il vous plaît, cela pose-t-il vraiment des soucis de sécurité ?
Faut il passer le tout en VLAN ou en marquage de paquet (frame tagging), avec un bon commutateur (http://www.materiel.net/ctl/Switchs/43472-SLM2005.html par exemple) ou utiliser du VPN ?

Si vous avez des infos, des explications, des tutos pour bien opérer cela je vous en remercie par avance
  • # alias de carte reseau

    Posté par . Évalué à 4.

    hormis le fait que tes deux reseaux ne seront plus physiquement separés, je ne vois pas ou serait le probleme

    dans ton /etc/network/interfaces
    tu gardes par exemple eth0

    puis tu lui met un post-up ifconfig eth0:0 ton_ip netmask ton_mask

    et ca va te creer une carte eth0:0 qui pourra remplacer la carte eth1 :D

    sinon, plutot que d'acheter une carte wifi à mettre dans le routeur
    tu peux acheter un point d'acces, qui va transformer un port RJ45 en wifi

    tu branches le point d'acces à une prise RJ45 dans un bureau
    et tu ne touches pas à ta passerelle
    • [^] # Re: alias de carte reseau

      Posté par (page perso) . Évalué à 3.

      C'est juste a un point prêt, l'utilisation des eth0:0 est deprecated,
      l'usage recommendé est "ip addr add dev eth0"
      • [^] # Re: alias de carte reseau

        Posté par . Évalué à 2.

        c'est peut-etre deprecated mais ca permet de voir l'interface via ifconfig
        et probablement que iptables ne voit pas non plus cette interface (ce qui peut etre problematique quand tu veux filtrer sur un device plutot que un "reseau"

        sinon la syntaxe exacte c'est, par exemple :
        sudo ip -f inet addr add 172.16.14.2/24 dev eth0
    • [^] # Re: alias de carte reseau

      Posté par . Évalué à 1.

      merci pour vos réponses

      hormis le fait que tes deux reseaux ne seront plus physiquement
      separés, je ne vois pas ou serait le probleme


      Il est sûrement possible de renifler les trames du réseau internes en écoutant sur cette prise, il suffirait de modifier le masque je suppose ?

      C'est pour cela que je parlais d'une nécessité de VPN, frame tagging, VLAN

      En fait j'ai déjà une carte wifi pci, donc ... exit les limitations de la freebox en wifi
  • # Freebox le peut!

    Posté par (page perso) . Évalué à 2.

    Pourquoi tu dis que tu ne peux pas? Il suffit de mettre ton serveur en DMZ, et ça marche!

    ⚓ À g'Auch TOUTE! http://afdgauch.online.fr

    • [^] # Re: Freebox le peut!

      Posté par . Évalué à 1.

      Merci pour la réponse,
      J'ai déjà essayé sans succès cette configuration.
      Je me suis pê planté, ainsi je vais résumer :

      Mon serveur debian : 192.168.1.1
      (dhcp filaire sur 192.168.1.150 à 192.168.1.200)

      sur http://adsl.free.fr/admin/fbxcfg/fbxcfg.pl?tpl=router
      j'ai activé le service de routage :
      IP freebox 192.168.1.2
      DHCP activé de 192.168.1.201 à 192.168.250
      IP DMZ (mon serveur debian) 192.168.1.1
      IP freeplayer (je sais pas m'en servir) 192.168.1.3

      Ensuite sur http://adsl.free.fr/admin/fbxcfg/fbxcfg.pl?tpl=wifi
      j'ai activé le réseau wifi personnel

      Donc le soucis avec cela c'est que le serveur debian n'est plus atteignable par l'ip publique fournis par free, car elle est prise par la freebox.

      Qu'en pensez vous ?
      • [^] # Re: Freebox le peut!

        Posté par (page perso) . Évalué à 1.

        C'est pas 192.168.0.254 l'ip de la box ?

        Système - Réseau - Sécurité Open Source

      • [^] # Re: Freebox le peut!

        Posté par . Évalué à 3.

        quand tu actives le dhcp/routage avec option DMZ

        tout le trafic entrant via ton adresse IP publique arrivera sur le serveur DMZ (ssh, ftp, web ou tout autre service que tu aura installé dessus)

        les clients internes doivent utiliser l'adresse interne du serveur 192.168.1.1 dans ton cas

        probleme, ce serveur ne fait pas passerelle car le dhcp de la freebox se declare comme etant la passerelle par defaut.

        mais ca te permet d'avoir un reseau filaire et un reseau wifi privé qui accede à internet
        et un reseau "publique" (DMZ) qui te permet de mettre certains services à disposition des gens exterieurs à ton reseau privé

        à defaut de la DMZ, tu peux utiliser la redirection de port en selectionnant uniquement les ports qui t'interessent et en les renvoyant vers le(s) serveur(s) qui hebergent les services.
        • [^] # Re: Freebox le peut!

          Posté par . Évalué à 1.

          cela réduit donc mon serveur n'avoir qu'une seule carte réseau et avec une seule IP interne.
          Car lorsque je garde ma config et que j'active les options routage et wifi:

          eth0 ippublique
          eth1 ip interne 192.168.1.1

          mon serveur n'a plus accès à internet (normal l'ip publique est prise par la freebox)

          Mais alors le soucis est que le routage est donc limité à l'interface de free.
          J'aimais bien l'idée d'avoir un serveur avec une ip publique, avec le routage, le pare-feu à gérer

          D'ailleurs dans votre configuration en wifi, je n'ai pas accès au serveur 192.168.1.1

          Où alors j'ai loupé un truc, désolé
          • [^] # Re: Freebox le peut!

            Posté par (page perso) . Évalué à 3.

            Oui tu as loupé un truc : il te faut 2 réseaux logiques différents dès lors que tu routes...

            ⚓ À g'Auch TOUTE! http://afdgauch.online.fr

          • [^] # Re: Freebox le peut!

            Posté par . Évalué à 3.

            Car lorsque je garde ma config et que j'active les options routage et wifi:

            eth0 ippublique
            eth1 ip interne 192.168.1.1

            mon serveur n'a plus accès à internet (normal l'ip publique est prise par la freebox)


            j'ai du mal à te suivre quand tu dis ca.

            rassures moi, tu ne met pas tes deux cartes reseaux sur le swith de la freebox ?

            si oui, et que tu met le mode routeur, aucune des deux cartes ne devraient avoir l'ip externe

            si oui et que tu n'actives pas le mode routeur, une des interfaces va avoir l'ip publique
            la deuxieme interface ne recevra aucune IP sauf celle que tu configures sur le serveur

            de memoire tu ne peux pas avoir le Wifi si tu n'actives pas le mode routeur
            • [^] # Re: Freebox le peut!

              Posté par . Évalué à 1.

              Bonsoir,

              À nouveau merci à vous tous, pour vos réponses et vos implications.

              Je vais tenter d'être plus précis :

              +Côté serveur :

              *monserveur eth0 88.191.250.104 ===cable====] freebox (192.168.1.2)
              GW free 88.191.250.254

              *monserveur eth1 192.168.1.1 ===cable====] switch (non managé)
              GW aucune
              up iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

              +Deux modes d'accès :

              *pcclient filaire 192.168.1.151===cable==] switch ===cable====] monserveur
              par DHCP filairedemonserveur
              GW 192.168.1.1 (monserveur)

              ou

              *pcclient wifi 192.168.1.202 ===wifi====] freebox
              par DHCP defreebox
              GW 192.168.1.2 (freebox)

              +Pour résumer :

              En mode filaire et sans routage+dmz, je peux sortir avec mon pc client.

              Quand j'active le mode routage et que je met le monserveur en DMZ, alors en mode filaire, j'ai bien une ip de monserveur mais je ne peux pas sortir et même pas pinguer la freebox 192.168.1.2. D'un autre côté dans cette configuration, le wifi fonctionne (j'ai une ip et je peux sortir), mais je ne peux pas alors connecter monserveur 192.168.1.1 et encore moins le connecter via son ip publique 88.191.250.104

              Voila au cas où vous avez encore du courage ;)
              merci d'avance
              • [^] # A la louche

                Posté par (page perso) . Évalué à 1.

                Je dirais pour etre bref que tu essayes d'accèder à une machine ( un reseau ) qui ne se trouve pas sur le bon segment...

                exemple: la freebox qui est en 192.168.1.2 ( cote "public" ) de ton routeur/nat alors
                que les machines clientes sont sur la patte interne donc ça clache...
                C'est du routage basique.

                Système - Réseau - Sécurité Open Source

              • [^] # Re: Freebox le peut!

                Posté par . Évalué à 2.

                pour completer ce que dit nono14
                +Côté serveur :

                *monserveur eth0 88.191.250.104 ===cable====] freebox (192.168.1.2)
                GW free 88.191.250.254

                *monserveur eth1 192.168.1.1 ===cable====] switch (non managé)
                GW aucune



                ta freebox en 192.168.1.2 coté WAN, ca peut pas communiquer avec 192.168.1.1 coté LAN
                et c'est normal car il te faut
                1 reseau va sur une et une seule interface

                hors tu as mis deux reseau 192.168.1.0/24 sur deux cartes (eth0 et eth1)
  • # Possible mais crade

    Posté par (page perso) . Évalué à 3.

    Cela signifie que tu auras en gros ce schéma là :

    freebox ----- switch ------ serveur
                               |
                    postes clients

    Donc sur ton switch tu vas avoir le dhcp de la freebox qui va être envoyé à l'ensemble de ton réseau filaire. De ce fait tu ne pourras pas avoir de serveur dhcp sur ton serveur au risque de faire des conflit. Si quelqu'un branche sa machine en dhcp sur le switch il risque de piquer l'adresse ip du serveur et de faire écrouler ton réseau.

    Bref soit tu prend un serveur avec plus de port PCI, soit tu prend une carte wifi USB : ça sera plus propre.

    ps : Au pire si tu ne trouve pas ton bonheur en USB il existe des cartes réseau avec deux ou quatre sorti RJ45 et autant de carte réseau exploitable.
    • [^] # Re: Possible mais crade

      Posté par (page perso) . Évalué à 2.

      Bonjour,

      je ne vois pas pourquoi il ne fixerait pas l'adresse IP de son serveur.
      Le DHCP est pour une tranche des adresses IP disponibles.

      J'ai ça chez moi, ça ne pose aucun problème, de plus, j'ai mis dans la config de la freebox les adresses mac de certains postes pour fixer leurs adresses IP via le DHCP.

      Il est arrivé que la dernière fois, mon frère a apporté son ordinateur, et il avait fixé la même adresse IP que l'un de mes postes. Les deux postes en questions ayant la même adresse IP accédaient à Internet alternativement... très curieux :)

      En résumé:
      * Freebox avec DHCP, distribuant les IP sur une plage réduite,
      * Freebox avec le wifi,
      * Redirection de ports spécifique sur la freebox vers les postes concernés (comme ça les autres ports sont fermés, c'est pas plus mal)
      * Les postes "concernés" ont une adresse IP fixe.

      L'avantage, c'est qu'il peut garder ses deux cartes réseaux standards.

      A bientôt
      Grégoire
      • [^] # Re: Possible mais crade

        Posté par (page perso) . Évalué à 2.

        Je parlais de freebox sans le nat activé ;)
      • [^] # Re: Possible mais crade

        Posté par (page perso) . Évalué à 1.

        Ce comportement ( équipement ayant la même ip ) est souhaitable quand on veut empecher des machines de "prendre une ip".
        Il suffit de mettre toutes les adresses de la plage en "ip alias" sur le serveur interne en ip fixe.
        ( hors plage ip du dhcp, routeur de la box, ... )

        Il est possible d'avoir 2 serveurs dhcp à condition de servir des plages qui ne se recouvrent pas, et servir le même reseau...

        Système - Réseau - Sécurité Open Source

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.