Forum général.général Route sans recours à iptables

Posté par .
-2
19
juil.
2011

Bonsoir
J'ai un serveur linux avec 2 cartes réseau que je dois interconnecter à un réseau tiers.

eth0 inet addr:192.168.10.50 Bcast:192.168.10.255 Mask:255.255.255.0

eth1 inet addr:10.60.196.4 Bcast:10.60.196.128 Mask:255.255.255.128

la table de routage concernant eth0 est la suivante:

192.168.10.50 0.0.0.0 255.255.255.255 UH 0 0 0 eth0

192.168.10.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0

0.0.0.0 192.168.10.254 0.0.0.0 UG 0 0 0 eth0

La passerelle est un routeur qui fait vpn matériel vers 3 sites, les VPN sont natés en one-to-one vers des adresses qui recouvrent le subnet de eth1 pour 3 adresses : 10.60.196.1 10.60.196.2 10.60.196.3

Le ping s'effectue bien vers ces trois adresses depuis eth0 tant que les VPN sont montés.

Le problème s'installe par l'interconnexion que je dois effectuer sur la patte eth1 du serveur avec l'adresse physique 10.60.196.4, seulement à la seconde ou j'active eth1, la table de routage comprend en plus:

10.60.196.0 0.0.0.0 255.255.255.255 UH 0 0 0 eth1

10.60.196.4 0.0.0.0 255.255.255.255 UH 0 0 0 eth1

Le recouvrement en local par la route réseau 10.60.196.0 stoppe toutes communications vers les 3 adresses que j'ai pris soin d'affecter dans mes VPN.
Normal me direz vous la résolution de ces 3 adresses tente de s'effectuer par eth1 sans passer par mon routeur vpn.

Il faut pourtant que le routeur de mon client configuré en 10.60.196.126 et connecté sur eth1 puisse accéder à l'ensemble des IP sus-mentionnées afin de transférer des commandes EDI par ftp.

La suppression de la route:
10.60.196.0 0.0.0.0 255.255.255.255 UH 0 0 0 eth1
au profit d'une route centré sur un 'host' (en l'occurence le routeur du client en 10.60.196.126):
10.60.196.126 0.0.0.0 255.255.255.255 UH 0 0 0 eth1
permet à ma machine linux de pinger l'ensemble des ip intéressantes du réseau,

mais est-ce qu'une connexion initiée par le routeur 10.60.196.126 va pouvoir s'établir à travers la table routage actuelle de mon serveur ?
Quelles sont les moyens pour le savoir ?
Est ce que le recours à iptables est à prévoir pour faire aboutir la solution?

Toutes les réponses sont bienvenues

Merci

  • # j'ai pas du tout comprendre

    Posté par . Évalué à 2.

    mais pourquoi tu as besoin d'avoir une IP 10.60.196.4 pour communiquer avec 10.60.196.1, 10.60.196.2, 10.60.196.3

    alors que ces dernieres sont derrieres un VPN géré par la passerelle 192.168.10.254

    et que donc, toutes requetes qui ne concernent pas 192.168.10.0/24 sera envoyé à la passerelle, qui, elle, fera le routage soit vers internet, soit dans les VPN

    • [^] # Re: j'ai pas du tout comprendre

      Posté par . Évalué à 1.

      salut,
      l'IP 10.60.196.4 est une interface physique qui fait le lien avec le modem 10.60.196.126 et potentiellement n'importe qu'elle machine susceptible d'appartenir à ce subnet (je n'ai aucune idée de ce qui peut se trimballer sur ce subnet)

      Par contre ma passerelle VPN ne sait pas gérer le routage pour la deuxième carte réseau, d'où la nécessité de configurer le linux en routeur pour pouvoir causer avec 10.60.196.0 tout en répondant OK aux IP 10.60.196.1, 10.60.196.2, 10.60.196.3

      Je sais pas si c'est plus clair comme ça

      en tout cas merci de prendre le tps de répondre

      envoyé depuis mon clavier bépo

      • [^] # Re: j'ai pas du tout comprendre

        Posté par . Évalué à 1.

        donc techniquement, c'est 10.60.196.4 qui se connecte en VPN à d'autres sites et qui prend comme IP 10.60.196.1 à 3 pour chacun des vpns ouverts ?

        et tu veux que les machines qui sont dans 192.168.10.0 puissent acceder aux differents sites qui se trouvent derriere les VPN en passant par la machine 192.168.10.X sur laquelle nous sommes ?

        VPN1 \
        VPN2 - (10.60.186.0/27) - machine routeur - (192.168.10.0/24) - machines clientes
        VPN3 /

        • [^] # Re: j'ai pas du tout comprendre

          Posté par . Évalué à 0.

          donc techniquement, c'est 10.60.196.4 qui se connecte en VPN à d'autres sites et qui
          prend comme IP 10.60.196.1 à 3 pour chacun des vpns ouverts ?

          OUI

          et tu veux que les machines qui sont dans 192.168.10.0 puissent acceder aux differents >sites qui se trouvent derriere les VPN en passant par la machine 192.168.10.X sur >laquelle nous sommes ?

          Non pas ces machines là, mais deux autres réseau (en 10.55.7.0 et 10.55.11.0) sont interconnectés à eth1, utilisent la passerelle 10.60.196.126 pour joindre mon linux -routeur, ce dernier doit répercuter les communications sur les VPN et les 3 ips en question en passant obligatoirement par la passerelle VPN 192.168.10.254.

          Merci pour tes précisions

          envoyé depuis mon clavier bépo

          • [^] # Re: j'ai pas du tout comprendre

            Posté par . Évalué à 2.

            Ca fait deux fois que j'écris un message de réponse, mais a chaque fois je l'efface en relisant les autres messages : je capte vraiment rien au problème, ni a l'archi...

            • [^] # Re: j'ai pas du tout comprendre

              Posté par . Évalué à 1.

              Bon j'ai encore tout relu :

              Tu a un interface en 192.168.machin.truc dont la passerelle par défaut connait un réseau en 10.6.bidule.chose.

              Tu a une autre interface en 10.6.bidule.chose qui met en place une route qui prend en charge 10.6.bidule.chose a la place de la passerelle par défaut.

              Tu aimerait bien faire comme si c'était magique ca marche.

              1. Modifier la route mise en place par l'activation de eth1 : ca il semble que tu l'aie bien compris
              2. Par contre ca va bloquer sur ta passerelle par défaut : elle elle n'a aucune idée que 10.6.bidule.4 est joignable par 192.168.machin.50, il lui faudrait demander son chemin.
              • [^] # Re: j'ai pas du tout comprendre

                Posté par . Évalué à 1.

                Ben j'ai encore relu et je me dis que j'ai franchement rien compris a l'archi.

                C'est bien la passerelle par défaut (0.0.0.0) qui fait vpn matériel sur 10.6.x.y ?

                • [^] # Re: j'ai pas du tout comprendre

                  Posté par . Évalué à 2.

                  Je crois que l'idéal ca serai d'avoir un joli dessin (et oui on peu faire ca maintenant) ou au pire un schema en ascii. avec des nom pour les machines (routeur A,B,C réseaux X,Y ...)
                  Ca aiderai vraiment bien parce moi non plus j'ai rien compris...

              • [^] # Re: j'ai pas du tout comprendre

                Posté par . Évalué à -1.

                je confirme cette réponse :
                - supprimer l'entrée ajoutée automatiquement concernant eth1.

                • il faut rajouter une route de retour dans ta passerelle vpn : sur 192.168.10.254, il faut indiquer que l'accès à 10.60.196.126 (et éventuellement 10.55.xx.0) se fait via 192.168.10.50.

                je ne pense pas qu'il y ait quoi que ce soit d'autre à rajouter sur le serveur linux pour que ça marche.

                en résumé :
                - site distant 1,2,3 :
                192.168.10.254 = passerelle pour 10.55.7.0, 10.55.11.0, 10.60.196.4, 10.60.196.126, 192.168.10.0
                - passerelle vpn :
                192.168.10.50 = passerelle pour 10.55.7.0, 10.55.11.0, 10.60.196.4, 10.60.196.126
                - serveur linux :
                192.168.10.254/eth1 = passerelle pour 10.60.196.1, 10.60.196.2, 10.60.196.3
                10.60.196.126/eth0 = passerelle pour 10.55.7.0, 10.55.11.0
                - 10.60.196.126 :
                ? = passerelle vers 10.55.7.0, 10.55.11.0
                10.60.196.4 = passerelle vers 10.60.196.1, 10.60.196.2, 10.60.196.3, 192.168.10.0

                ?

          • [^] # Re: j'ai pas du tout comprendre

            Posté par . Évalué à 1.

            donc ta route par defaut doit etre 192.168.10.254
            et tu dois avoir des routes specifiques autour.

            ca se regle à coup de route add... et route delete...

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.