Forum général.général Réseau linux enchevêtrés

Posté par .
Tags : aucun
-1
28
juil.
2011

Bonsoir suite à mon message pas très clair:
http://linuxfr.org/forums/g%C3%A9n%C3%A9ralg%C3%A9n%C3%A9ral/posts/route-sans-recours-%C3%A0-iptables

Je me permet de reposter ma demande d'aide au sujet d'interconnexion réseau et de serveurs linux.

Soit la topologie suivante:

http://pastebin.com/6FdEfq4D

3 linux et 3 routeurs, je dois pouvoir pinguer et même établir un lien ftp entre linux 1 et linux 3.
J'ai ajouté la route 10.55.7.0 255.255.0 sur eth1 sur le serveur 2 ce qui me permet de pinguer linux 1 depuis linux 2 par l'interface eth1.
Les soucis surviennent au niveau de la connexion entre linux 2 et 3:
linux 2 a la passerelle par défaut 192.168.10.254 (un zyxel zywall5) connecté en vpn a un autre zywall5 en 192.200.9.254.
le ping entre linux 2 (eth0 192.168.10.50) et linux 3 (eth0 192.200.9.100) fonctionne très bien à travers le VPN montré entre R2 et R3.

Il m'est imposé d'attribuer l'ip 10.60.196.3 au linux 3 et il m'est imposé qu'à partir du sous-réseau 10.55.7.0 (donc le linux 1) je puisse pinguer le linux 3 par le cheminement sus-mentionné.

Le linux 3 ne possède qu'une seule interface réseau et est configuré en 192.200.9.100, j'ai donc effectué un mappage de l'adresse IP de L3 dans le VPN (R2-R3)de sorte que linux 2 puisse se connecter à linux en 3 en utilisant l'adresse "virtuelle": 10.60.196.3.
Je dois maintenant donner l'accès à Linux 1 à cette adresse virtuelle, tout en passant par l'interface eth1 (10.60.196.4 adresse imposé aussi)

Je sais que c'est une config alambiquée et je suis davantage administrateur système que réseau, je vous serais reconnaissant de me donner un coup de main.

D'avance merci

  • # c'est mieux avec le shema mais...

    Posté par . Évalué à 2.

    mais je ne comprend toujours pas ce que tu veux faire.

    10.60.196.X se trouve sur linux2.eth1
    c'est donc par la que tout doit passer/se faire.

    car sinon le trafic ne pourra jamais aller ailleurs. (sauf à utiliser un masque de sous reseau restreint)

    AMHA c'est linux2 qui doit faire le NAT de ce qui arrive linux3 via eth0 et le transformer en IP 10.60.186.3 sur eth1 car lui seul voit les deux reseaux.

    • [^] # Re: c'est mieux avec le shema mais...

      Posté par . Évalué à 0.

      donc avec iptables faire du DNAT sur eth0 avec l'option -A PREROUTING de iptables afin que tout le traffic arrivant entre linux 3 et linux 2 soit remapper en 10.60.196.3 ? cela permettrait à ds machines placés sur le subnet 10.60.196.0 et connecté à eth1 de linux 2 de se connecter à linux 3 en utilisant l'IP mappé 10.60.196.3 ?
      J'aurais besoin d'une validaton de ce système.
      Merci pour ta réponse

      envoyé depuis mon clavier bépo

      • [^] # Re: c'est mieux avec le shema mais...

        Posté par . Évalué à 1.

        plutot un SNAT qui changerait ce qui vient de eth0 avec l'IP de linux3
        qui serait changer en IP 10.60.196.3

        reste surtout à savoir ou et comment tu fais tes VPNs

        car finalement, si linux2 est le serveur VPN
        alors il faut juste dire au vpn de fournir les IPs 10.60.196.X avec comme routeur lui meme
        et activer l'option qui permet à deux clients VPNs de se parler.

        ensuite linux1 et linux3 sont de simples clients VPNs

        • [^] # Re: c'est mieux avec le shema mais...

          Posté par . Évalué à 1.

          merci neoX, je viens de maquetter ta solution en VM et en utilisant des tunnels VPN over SSH ça à l'air de fonctionner :-)
          je me permettrai de revenir vers toi vu que tu m'as bien aidé
          merci à toi et à la communauté

          envoyé depuis mon clavier bépo

  • # Schéma incomplet

    Posté par . Évalué à 1.

    Le schéma est incomplet, tu ne précise pas les passerelles par défaut et on ne sais pas sur quel matériel tu a la main. Et il serait super chouette de nommer les réseaux et les interfaces...

    Les soucis surviennent au niveau de la connexion entre linux 2 et 3: [...] le ping entre linux 2 et linux 3 fonctionne très bien
    La je n'ai pas compris quel était le problème

    192.200.9.0/24 : y'a pas une erreur d'adresse la?

    linux 3 : route vers 10.55.7.0/24 via R3
    routeur 3 : route vers 10.55.7.0/24 via R2
    routeur 2 : route vers 10.55.7.0/24 via L2, nat coté L2 qui traduit 10.60.196.3 en 192.200.9.100 et vice versa
    linux 2 : route vers 10.55.7.0/24 via R1, route vers 10.60.196.3 via R2
    routeur 1 : route vers 10.55.7.0/24 via Multiples Routeurs (tu les contrôle, ceux la?), route vers 10.60.196.3 via L2
    linux 1 & lan : route vers 10.60.196.3 via R1

    • [^] # Re: Schéma incomplet

      Posté par . Évalué à 1.

      192.200.9.0/24 : y'a pas une erreur d'adresse la?
      non les VPN Ipsec doivent être monté enntre deux subnets différents pour que ça marche

      J'ai mentionné les interfaces mais et je dois configurer les routes, sur L2 la route par défaut est 192.168.10.254 sur L3 192.200.9.254, je n'ai pas accès au routeur R1 (prestataire tiers) et aux multiples routeurs entre L1 et L2 ...

      Je republierai un sch"ma plus complet avec les contributions faites par neoX, le schéma est incomplet car en plus figure 2 VPN supplémentaires qui unissent Deux serveurs Linux supplémentaires (en 192.168.40.50 et 192.168.20.100) sur le lien physique eth0 de linux 2

      merci de t'intérsser au cas

      envoyé depuis mon clavier bépo

      • [^] # Re: Schéma incomplet

        Posté par . Évalué à 2.

        192.200.9.0/24 : y'a pas une erreur d'adresse la?
        non les VPN Ipsec doivent être monté enntre deux subnets différents pour que ça marche

        Ca je m'en doute, mais étant donné que tu bosse avec des ip privées, je ne vois pas ce qu'un sous réseau non privé vient se faire router ici. 192.168.209.0/24 plutot?
        Et étant donné que tu bosse avec des ip privées et que tu dois traverser des routeurs que tu ne contrôle pas, la solution dde NeoX du L1, L2 et L3 dans le même VPN va s'imposer... A moins que tu ne mette du NAT autour de tout ce que tu ne contrôle pas.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.