[RÉSOLU] Besoins de précisions sur le routage

droopy191 · Le 06/06/2019, à 19:57

mike_r_qc a écrit :

Bonjour Droopy191,
J'ai une question qui me tourne dans la tête dernièrement. Plusieurs documents parlent que le pont est utilisé soit pour lier deux réseaux séparés physiquement ou deux types de réseaux soit Cablé, Wifi ou Virtuel.

Un peu de lecture
un pont réseau est équivalent à un cable qui connecte 2 réseaux.
La machine qui réalise ce pont est transparente.
Les 2 cotés du réseaux doivent parler le meme language: aujourd'hui classiquement, ethernet ( au sens protocole, pas le cable ) + TCP/IP
Donc par conséquent, le meme réseau ip. Dans votre cas 192.168.0.0/24 pour tout le monde.

Dans votre cas, c'est comme si vous enleviez votre serveur passerelle et le remplaciez par un cable. Pensez rallonge ethernet ou switch.

exemple classique à la maison: réseau cablé et wifi sont bridgés.
en plus complexe: un vpn avec un réseau local ( la machine cliente du vpn est vu comme faisant partie du réseau local )
en plus complexe: des réseaux virtuels ( virtualbox avec une machine virtualisé en mode pont/bridge )

mike_r_qc a écrit :

Mais est-ce que le type d'intégration pourrait être considéré dans l'utilisation du pont: lien entre un port PCI avec carte intégrée ou USB comme types de réseaux différents mais basés sur la connexion physique du matériel sur la machine?

oui, on parle de 2 cartes ethernet.
au support driver complet de la carte ethernet en usb pret.

Cette question fait référence à la machine de type datacenter que je possède: carte réseau intégré (2 pattes) et un controleur d'administration à distance du BIOS dont une patte branchée sur un port PCI dans la machine. Un pont relie entre ces matériels et je me retrouve avec 4 adresses IP + MAC sur cette machine soient 2 IP pour ma carte réseau intégré et 2 pour le contrôleur du BIOS.

Vous voulez dire un KVM ip ou idrac ?
Je ne sais pas si c'est faisable. La carte idrac est elle vue par l'os ?
Quel interet de perdre cette fonction ? et je ne vois pas de cas d'usage évident de ponter 4 réseaux ethernet physique ( = faire un switch ).

Dernière modification par droopy191 (Le 06/06/2019, à 20:01)

mike_r_qc · Le 08/06/2019, à 17:44

Bonjour Droopy191,
La machine en question est un IBM System X3850 M2, dont je me suis battu avec elle pendant 2 ans pour lui installer un OS Linux (Ubuntu). Maintenant, elle fonctionne avec Centos 7 (les seuls OS compatibles avec la machine étaient soient Windows Server ou RedHat Enterprise Linux, Centos qui est dérivé de RHEL) en tant qu'Hôte Virtuel (KVM). Au niveau du réseau, il y a une carte réseau Gigabyte à 2 pattes qui est intégrée à la carte mère, une carte d'administration à distance (ASM) ayant une patte réseau et une prise VGA pour l'écran. Cette carte branchée en PCI, contrôle l'administration de la machine (composantes tels CPU, ventilos (6), la carte RAID etc. en plus la puce BIOS (BCM). L'ASM et le BCM sont pontés entre eux pour le monitoring à distance, ayant les mêmes adresses MAC sauf le dernier bit et ils ont une IP distinctes. La carte réseau 2x Gigabyte a également deux adresses MAC et IP distinctes; ce qui fait que la machine a 4 adresses MAC et IP. La machine a donc un "pont" entre le module administratif et le réseau, d'une certaine facon. En configurant la machine pour etre un hôte virtuel, il est ponté avec le réseau virtuel à développer. Mais la description que j'ai fait plus haut est la configuration des composantes physiques. (Note: il y a une configuration du BIOS où une entrée indique une configuration qu'il y a un pont entre 2 ports PCI : "PCI-to-PCI Bridge"; que j'aie laissé telle quelle.

Donc, je pourrai donc dire que dans le cas de la machine Ares, en mettant un pont entre ses 2 cartes réseaux (interne+PCI), je dois désactiver DHCP, à moins que je puisse l'utiliser pour servir un pool IP du réseau 192.168.1.0... Et si je dois avoir un réseau distinct comme je souhaite faire, je devrais mettre la machine en DMZ mais, les réseaux ne se verront pas plus que présentement avec beaucoup de configurations au niveau du Firewall / IPTable. Juste le fait d'installer un nouveau routeur, il communique sans problème avec le réseau principal. Il manque surement quelque chose dans Ares, un programme...

J'aimerais savoir qu'elle est la différence entre EBTable et IPTable? Je vois souvent dans d'autres forums qu'on parle de EBTable.

Merci... en attendant, je vais faire une expérimentation à savoir pourquoi en connectant un nouveau routeur, il est rapidement reconnu tandis que ma configuration machine en routeur c'est la "Bataille des 100 ans" pour être capable de communiquer avec le réseau principal.

droopy191 · Le 09/06/2019, à 08:05

mike_r_qc a écrit :

J'aimerais savoir qu'elle est la différence entre EBTable et IPTable? Je vois souvent dans d'autres forums qu'on parle de EBTable.

ebtable travail au niveau de la couche liaison: les trames ethernet ( adresses AMC)
iptable travail au niveau ip

mike_r_qc a écrit :

Merci... en attendant, je vais faire une expérimentation à savoir pourquoi en connectant un nouveau routeur, il est rapidement reconnu tandis que ma configuration machine en routeur c'est la "Bataille des 100 ans" pour être capable de communiquer avec le réseau principal.

C'est souvent la meme chose, une base linux.
Mais le routeur domestique est deja paramétré pour faire le travail :-)

mike_r_qc · Le 09/06/2019, à 16:18

Bonjour Droopy191,

Donc, je n'aurai pas à m'amuser avec EBTables, non? Car en faisant la recherche à ce sujet, une configuration de la table Filtrage, si on met l'argument DROP, la machine fera du routage; avec l'argument ACCEPT, elle fera du pontage (bridge). J'ai ajouté une autre carte réseau Gigabyte (en PCI), qui était installé une vieille machine ayant un Pentium 4, sur Ares qui devient alors l'interface "enp10s10" et j'ai désactivé "enp0s25" (intégrée). Je la réactiverai si une des cartes PCI meurt subitement, lol. En procédant ainsi, si on avait dit que le type de carte (PCI, USB, Interne) entre dans la condition à même titre que type de réseau différent (cable, sans-fil, bluetooth). Je devrais par ailleurs songer à lire sur les couches OSI .

En ce qui concerne DHCP, je n'ai pas eu de réponse si je devais le garder actif comme serveur de pool IP dans le réseau 192.168.1.0; pour utiliser les adresses IP restantes de 100 à 253 pour créer un pool desservi par mon serveur, si cela est possible.

Pendant ma recherche sur EBTAbles, j'ai vu un autre sujet qui, pour Ares due à sa position dans l'ensemble du réseau, serait dans une situation "Man-in-the-Middle". J'ai déjà rencontré ce terme lorsqu'on parle de cyberattaques dans les livres, mais la discussion parlait d'utiliser cette position pour sa machine qui, comme Ares, se trouve entre deux réseaux mais risqué si les attaques provient d'un côté ou de l'autre de la machine...

J'aimerais clarifier sur la configuration d'un serveur DHCP, au sujet d'assignation des cartes réseaux: Dans les exemples graphiques, en considérant que les cartes réseaux sont aliasées en "ethX", les gens utilisent souvent dans un exemple de IPTables même DHCP que "eth0" est le port LAN et "eth1" le port WAN (selon la logique, eth0 serait la carte interne).Est-ce que cela a une importance que le port LAN soit absolument sur l'interface "eth0" ou cela n'a pas d'importance que ce soit sur eth0 ou eth1 ?

À bientôt

droopy191 · Le 09/06/2019, à 19:03

mike_r_qc a écrit :

Bonjour Droopy191,
Donc, je n'aurai pas à m'amuser avec EBTables, non? Car en faisant la recherche à ce sujet, une configuration de la table Filtrage, si on met l'argument DROP, la machine fera du routage; avec l'argument ACCEPT, elle fera du pontage (bridge). J'ai ajouté une autre carte réseau Gigabyte (en PCI), qui était installé une vieille machine ayant un Pentium 4, sur Ares qui devient alors l'interface "enp10s10" et j'ai désactivé "enp0s25" (intégrée). Je la réactiverai si une des cartes PCI meurt subitement, lol. En procédant ainsi, si on avait dit que le type de carte (PCI, USB, Interne) entre dans la condition à même titre que type de réseau différent (cable, sans-fil, bluetooth). Je devrais par ailleurs songer à lire sur les couches OSI .

Comme vous voulez, votre carte intégrée avec 2 ports aurait aussi fait l'affaire ama.

mike_r_qc a écrit :

En ce qui concerne DHCP, je n'ai pas eu de réponse si je devais le garder actif comme serveur de pool IP dans le réseau 192.168.1.0; pour utiliser les adresses IP restantes de 100 à 253 pour créer un pool desservi par mon serveur, si cela est possible.

Pont réseau = machine transparente = un switch.
conclusion, = un seul réseau local de chaque coté de Ares = on ne peut pas avoir 2 serveurs dhcp sur un seul réseau
il faut donc désactiver le dhcp sur ares ou sur la passerelle/routeur

mike_r_qc a écrit :

Pendant ma recherche sur EBTAbles, j'ai vu un autre sujet qui, pour Ares due à sa position dans l'ensemble du réseau, serait dans une situation "Man-in-the-Middle". J'ai déjà rencontré ce terme lorsqu'on parle de cyberattaques dans les livres, mais la discussion parlait d'utiliser cette position pour sa machine qui, comme Ares, se trouve entre deux réseaux mais risqué si les attaques provient d'un côté ou de l'autre de la machine...

Oui, d'une certaine facon. En effet, ares verra passer toutes les communications entre les 2 cotés et pourrait les écouter.

mike_r_qc a écrit :

J'aimerais clarifier sur la configuration d'un serveur DHCP, au sujet d'assignation des cartes réseaux: Dans les exemples graphiques, en considérant que les cartes réseaux sont aliasées en "ethX", les gens utilisent souvent dans un exemple de IPTables même DHCP que "eth0" est le port LAN et "eth1" le port WAN (selon la logique, eth0 serait la carte interne).Est-ce que cela a une importance que le port LAN soit absolument sur l'interface "eth0" ou cela n'a pas d'importance que ce soit sur eth0 ou eth1 ?

Non aucune importance.
Mais si vous etes tjs sur un bridge, cela n'a pas vraiment de sens coté wan/lan. les 2 cotés sont des ports lan equivalent.
iptables n'a non plus grand interet dans ce cas.

Si je peux me permettre, oubliez ebtable. C'est un usage avancé reservé a des cas particuliers. A mon sens, hors de propos au vu de votre projet.
Et je me repete, http://irp.nain-t.net/doku.php/080routa … asserelles
Tout les concepts sont expliqués et implémentés par des exercices: vous comprendrez bcp mieux.

mike_r_qc · Le 10/06/2019, à 20:21

Bonjour Droopy191,
Merci pour le lien que vous m'avez fourni, je le regarderai dès que j'en aurai l'occasion.

J'ai refait mon diagramme de mon réseau sur le tableau blanc pour trouver une façon de faire passer les données de l'intérieur vers l'extérieur et vice-versa. J'ai mis les 3 options de communication au tableau et étudier de près les pour et les contre: la redirection de ports, le pont réseau et la zone démilitarisée. En notant les points que vous m'avez transmis depuis le début de la discussion, j'ai possiblement tombé sur un point important en inscrivant une note pour le pont réseau, soit : un pont permet de faire le lien entre les petits réseaux pour n'en faire qu'un seul, comme s'il s'agissait d'un concentrateur. De ce fait, la grosseur du réseau dépend de la classe de sous-réseau qu'on utilise. Ce qui m'amène sur une piste suivante:

Le routeur principal a un réseau 192.168.1.0 et un masque de 255.255.255.0; je voulais établir un réseau distinct (192.168.2.0) pour mon projet afin de ne pas surcharger le réseau principal en utilisant un serveur DHCP pour contrôler mon réseau de projet. Stupide qu'il puisse paraitre, je crois savoir où est le problème: le masque de sous-réseau du routeur principal. J'ai peut-être mis le doigt sur le bobo (ou pas), mais les 2 réseaux ont le 3e bits différent (adresses mises en gras). J'ai remarqué ce détail que je n'avais pas fait attention. Et je réfléchis en plus comment un réseau virtuel est capable de communiquer avec le réseau physique, il y a un pont virtuel "virbr0" entre la carte virtuel et la carte physique, mais l'adresse IP virtuelle est différente que l'adresse physique par exemple : 192.168.0.x > virbr0 > 192.168.122.x . Le 3e bits dans l'exemple est différente aussi. Dans la table de routage de mon portable , rien n'indique une passerelle entre la carte physique et virtuelle. J'ai l'appli "Machine" pour les machines virtuelles, ce qui m'a permis d'affirmer les inscriptions de cette table.

Ce qui m'amène présentement à de sérieuses interrogations sur ce sujet:
-Modifier le masque de sous-réseau du routeur principal (255.255.255.0 > 255.255.0.0) afin de permettre l'utilisation du serveur DHCP sur Ares;
- un pont virtuel "virbr0" relie un réseau virtuel à la carte réseau physique avec un IP de 192.168.122.0 et un masque 255.255.255.0, le pont "br0" sur Ares devrait avoir une IP 192.168.2.0 et un masque 255.255.255.0 sans avoir recours à DHCP;
- mettre Ares en DMZ.

Avec ces interrogations, mettre la machine en DMZ pour faire plus simple, mais beaucoup de travail au niveau de la sécurité... Avec le point du pont virtuel ayant une adresse différente que celle de la carte physique , on peut faire celà que le pont ait une IP différente pour communiquer avec le réseau principal???

Merci, désolé d'avoir autant d'interrogations...

droopy191 · Le 11/06/2019, à 14:51

Salut,

Désolé, mais la je ne vous suis plus dans votre cheminement / raisonnement.

La question de départ était comment faire communiquer 2 réseaux 192.168.1.0 et 192.168.2.0. Nous avons déterminé que ce n'était pas possible à cause de votre modem routeur qui ne gère pas les routes statiques.
2 ème approche, vu que l'on ne peut pas utiliser Ares comme routeur, le faire fonctionner comme un simple pont réseau. Donc, ne plus avoir qu'un seul réseau ip et un seul serveur dhcp.

Voila ou j'en suis dans la compréhension de votre problème.
Expliquez ce que vous faire ?

Je tente quand meme de répondre à vos questions

Ce qui m'amène présentement à de sérieuses interrogations sur ce sujet:
-Modifier le masque de sous-réseau du routeur principal (255.255.255.0 > 255.255.0.0) afin de permettre l'utilisation du serveur DHCP sur Ares;

Je ne vois pas pas le raport.
Ares en mode pont implique un seul serveur dhcp ( le modem routeur, ou Ares mais pas les 2 )

- un pont virtuel "virbr0" relie un réseau virtuel à la carte réseau physique avec un IP de 192.168.122.0 et un masque 255.255.255.0, le pont "br0" sur Ares devrait avoir une IP 192.168.2.0 et un masque 255.255.255.0 sans avoir recours à DHCP;

Qu'est ce que cette interface virtuelle virb0 vient faire ici ?

- mettre Ares en DMZ.

Si vous voulez, mais pour faire quoi ?

Dernière modification par droopy191 (Le 11/06/2019, à 14:54)

mike_r_qc · Le 15/06/2019, à 18:46

Bonjour Droopy191,
le dernier message est plutôt une analyse, et surtout un constat sur certaines configurations qui probablement, auraient pu influencer sur le blocage de communication entre le sous-réseau local vers le réseau principal menant vers l'extérieur.

Quand j'ai abordé la question de "virbr0/br0" (les ponts réseaux), c'était un constat en rapport à l'interface "virbr0" dont celle-ci a une adresse IP différente de l'adresse physique et que, si "virbr0" a une IP de 192.168.122.0, je pourrais donner une IP à "br0" de 192.168.2.0. La question ici était de savoir si c'était possible d'attribuer une IP différente à un pont réseau sans avoir recours à DHCP.

La présence de "virbr0" est due à l'application "Machines" (application pour créer des machines virtuelles et connexion à distance en VNC), installée sur mon portable et que je me suis servi de sa configuration réseau à titre d'exemple.

Pour le point du masque de sous-réseau, ce n'était qu'une supposition mais j'avoue qu'avec un routeur matériel, la communication entre les routeurs se faisaient facilement et le masque de sous-réseau a resté tel quel d'un coté comme de l'autre, soit 225.255.255.0 .

Le DMZ est envisagé pour le projet (phase 2) dès le départ pour les sites web que je souhaite héberger, mais comme je suis stationné sur la configuration réseau, le DMZ ne sera fait que lorsque les sites web seront prêts pour le monde extérieur.

Pour terminer, c'est un peu pour cette raison que j'avais mis le serveur DHCP aux oubliettes à cause de sa complexité de configuration. Je suis revenu à la "charge" sur le projet en expérimentant quelques trucs (essais-erreurs). Je tiens à m'excuser pour mes questions ou observations qui ne semblent pas claires, je ne fais que décrire aux meilleurs de mes connaissances en réseautique (communication Québécois et Français mdr). Mais j'ai l'intention d'utiliser un pont réseau au moins pour les mises à jours sur les machines derrière Arès et surveiller le traffic réseau entre temps pour éviter des surchages.

bonne journée
PS: Due à mon nouveau poste, la disponibilité est compliquée car j'ai des quarts de 12h en plus que je ne peux pas faire, selon les procédures de mon poste, des tâches informatiques pour des usages personnelles.

Dernière modification par mike_r_qc (Le 15/06/2019, à 18:51)

droopy191 · Le 17/06/2019, à 19:28

mike_r_qc a écrit :

Quand j'ai abordé la question de "virbr0/br0" (les ponts réseaux), c'était un constat en rapport à l'interface "virbr0" dont celle-ci a une adresse IP différente de l'adresse physique et que, si "virbr0" a une IP de 192.168.122.0, je pourrais donner une IP à "br0" de 192.168.2.0. La question ici était de savoir si c'était possible d'attribuer une IP différente à un pont réseau sans avoir recours à DHCP.

Bonjour Mike_r_qc,

Je crois que vous ratez un point ici.
Un pont réseau est transparent, c'est comme si on remplaçait par un fil pour connecter les 2 cotés.
Les cartes/interfaces qui participent au pont sont configurées en mode "promiscuous" , cf PROMISC dans la sortie ci-dessous.
Elles ne font qu'écouter et transmettre, et n'ont plus d'adresse ip.
Autre facon de voir, le pont réseau par défaut n'a pas d'adresse ip. Souvent on affecte une adresse ip à l'interface de bridge pour que la machine qui héberge le pont puisse etre joignable par le réseau.

Enfin, les 2 lan de chaque coté du serveur et l'interface de bridge ont une adresse dans le meme réseau ( ici par exemple dans 192.168.1.0/24 )
L'adresse du bridge peut etre fixe ou attribuée par dhcp.

Un exemple ci-dessous, notez:
une carte ethernet enp3s0
une interface virtuelle venant d'openvpn tap0, cela pourrait etre une autre interface physique ethernet.
le bridge lui meme br0
notez le mode PROMISC pour les 2 cartes pontées enp3s0 et tap0, et l'absence d'adresse ip
le bridge br0 a récupéré la MAC de l'interface physique, et je lui ai attribué une ip 192.168.10.10 pour pouvoir me connecter à la machine hébergeant le pont pour pouvoir m'y connecter en ssh.

# sudo ip addr
2: enp3s0: <BROADCAST,MULTICAST,PROMISC,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast master br0 state UP group default qlen 10           00
    link/ether 00:23:87:d4:87:ef brd ff:ff:ff:ff:ff:ff
3: tap0: <BROADCAST,MULTICAST,PROMISC,UP,LOWER_UP> mtu 1500 qdisc noop master br0 state UP group default qlen 100
    link/ether 16:09:fa:4b:1d:c0 brd ff:ff:ff:ff:ff:ff
4: br0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
    link/ether 00:23:87:d4:87:ef brd ff:ff:ff:ff:ff:ff
    inet 192.168.10.10/24 brd 192.168.10.255 scope global br0
       valid_lft forever preferred_lft forever

Pour faciliter la lecture, j'ai supprimé lo et les parties ipv6.

En espérant que cela vous aide à comprendre le concept.

Dernière modification par droopy191 (Le 17/06/2019, à 19:29)

mike_r_qc · Le 14/07/2019, à 21:08

Bonjour Droopy191,
J'en profite du temps de pause que j'aie à mon horaire de travail pour vous faire la petite mise à jour concernant mon projet:
J'ai fait un pont vers la carte LAN, soit enp10s12. J'ai fait d'autres recherches concernant les ponts réseaux pour être certain d'avoir pris la bonne voie dans cette configuration.

Comme j'ai lu votre dernier message à l'instant, j'ai fait plutôt le contraire en ce qui concerne la configuration de br0, il y a à peine deux jours: br0 utilise le MAC de enp10s12, qui est le LAN vers le projet; et attribué une adresse IP de 192.168.10.1 . Je me retrouve avec le même scénario qu'avec l'interface virbr0 de l'application "Machines" (réseau virtuel) en prenant le soin de l'inscrire dans la table de routage. J'ai sûrement fait une configuration inutile concernant "enp10s12" en lui donnant une IP de 192.168.10.254; et ajouté un deuxième nom sur la table d'Hôtes d'Ares :
-127.0.0.1 localhost
- 192.168.1.XX Ares
- 192.168.10.254 ares.mondomaine.tld Ares

J'ai pingué de la carte "WAN" d'ares vers br0, je recois un retour de réponse. Vers la machine "Cerberus" (serveur destiné à LDAP), elle n'est pas joignable ni le ping de Cerberus vers Ares coté WAN; je n'ai pas souvenir d'avoir fait le ping de Cerberus vers br0...

De plus, j'ai tenté de configurer IPTables pour faire passer les paquets par le pont entre les réseaux, mais je n'ai pas été plus loin que les règles d'ouverture des ports SSH et WWW, ainsi que le protocole ICMP. J'ai essayé de mieux visualiser les règles INPUT, OUTPUT et FORWARD de NetFilter sur la manière que les paquets transitent.

Comme je disais plus tôt, ces configurations ont été faites avant de lire votre réponse, donc je n'ai pas trop bidouillé la machine. Pour valider mes démarches:
- br0: avec ou sans IP (avec = 192.168.1.X) ?
- br0 à partir de enp10s10 (wan) ou enp10s12 (lan) ?
- fichiers Hosts: IP de br0, 2e hostname avec IP du second réseau ou, aucun des deux ?
- Que considère-t-on comme une passerelle: un pont ou un serveur (proxy, dhcp) ?
- recours à une carte virtuelle "enp10s12 : 1 " entre le pont et la carte physique? et;
- Pare-feu, la règle appropriée pour un pont réseau?

Merci
PS: je me sens comme un élève qui pose des questions à son professeur si je fais bien les exercices.

droopy191 · Le 16/07/2019, à 09:56

Salut mike_r_qc,

J'ai un peu oublié l'historique de notre discussion

- br0: avec ou sans IP (avec = 192.168.1.X) ?

avec, sinon votre serveur ne sera pas accessible pour faire l'administraiton
Rappel, les 2 cotés du serveur seront dans le meme réseau !

- br0 à partir de enp10s10 (wan) ou enp10s12 (lan) ?

L'idée d'un bridge est de relier 2 interfaces, donc les 2.
la mac du bridge prendra l'une ou l'autre, cela n'a pas d'inportance.

- fichiers Hosts: IP de br0, 2e hostname avec IP du second réseau ou, aucun des deux ?

pas sur de comprendre.
il n'y aura plus qu'un réseau

- Que considère-t-on comme une passerelle: un pont ou un serveur (proxy, dhcp) ?

la aussi, pas sur de comprendre.
le pont est transparent, il ne peut pas jouer le role de passerelle.

- recours à une carte virtuelle "enp10s12 : 1 " entre le pont et la carte physique? et;

Heu, pour quoi faire une carte virtuelle

- Pare-feu, la règle appropriée pour un pont réseau?

on peut pas,
il n'y a qu'un réseau, donc pas d'iptables.
On peut éventuellement travailler avec ebtables.

De mémoire, le pont réseau était juste une idée temporaire pour résoudre la config non terminée de Ares.
Ici, j'ai l'impression que vous etes à nouveau dans votre projet initial avec 2 sous-réseaux et ares en paserelle. Un pont n'est pas une solution pour ce cas ( c'est l'opposé,).
un pont = un switch

Cdlt

mike_r_qc · Le 23/07/2019, à 04:04

Bonjour Droopy191,
vous avez raison sur un point: le pont était une solution temporaire afin de faire la mise à jour des autres machines...Désolé, le travail me prend la tête quelque fois, assis devant un écran d'ordinateur pendant un quart de 12 heures à regarder les caméras et faire nos rapports. Merci de me faire rappeler que le pont avait pour but de mettre les machines à jour faute de passerelle pour le sous-réseau...

mike_r_qc · Le 04/09/2019, à 23:28

Bonjour, voici une mise à jour concernant mon projet après un mois d'absence.
J'ai configuré un pont entre enp10s12 et enp10s10, ayant une IP du coté réseau résidentiel, soit 192.168.1.X .
J'ai activé le mode Promisc sur les cartes réseaux de la machine, avec peine et misère mais j'ai réussi. J'ai dû réinstaller le Système d'Exploitation (impression d'avoir trop de choses installées sur la machine en plus de l'interface graphique Gnome; réinstallation pour maximiser la durée d'autonomie de l'UPS).

Après la configuration d'un pont et de placer les cartes en mode Promisc, j'ai toujours du mal à avoir accès à la machine "Cerberus" en SSH à partir du réseau principal, et vice versa. Voici un petit rappel de la configuration physique du projet:
- Enp10s12 est le Wan sur ARES, enp10s10 est le Lan;
- Enp10s10 est relié au concentrateur DGS-1100-08P (D-Link) au port #1 [non-Uplink];
- le concentrateur a un IP du réseau principal pour administration;
- Le test ping depuis mon portable vers "br0" d'ARES est positif;
- Le test ping depuis le portable vers le IP du concentrateur est également positif;
- Le test ping, connexion SSH vers et depuis la machine "Cerberus" retourne un message d'hôte non-joignable. Mais l'aspect positif est que les paquets sont passés au-delà d'ARES, ce qui n'était pas le cas depuis la dernière réponse. Ce qui veut dire que les paquets ne vont pas plus loin que le concentrateur.

Le cul-de-sac est probablement causé soit par la configuration du pare-feu, une route manquante ou encore, la configuration du concentrateur. De plus, la configuration du pont était une solution temporaire pour mettre les machines du sous-réseau à jour; mais j'ai l'intention de pousser mon entêtement sur DHCP pour l'aiguillage du réseau de projet.

J'ai 2 questions dont un concernant l'impasse au niveau du concentrateur et l'autre, DHCP + bridge:
1- Sans compter le pare-feu, y a-t-il une configuration sur le concentrateur (gérable) qui pourrait bloquer le passage des paquets, comme le "Uplink" par exemple ?
2- Peut-on utiliser un pont et DHCP ensemble (br0 pour la couche matérielle et DHCP du côté LAN-projet) ?

Merci

mike_r_qc · Le 15/12/2019, à 21:54

Bonjour, cela fait un bail que je ne suis pas revenu pour teminer (enfin) cette discussion. Depuis mon absence due à mon emploi du temps, j'ai poursuivi ma résolution de problème lié à la communication entre mon réseau local et l'extérieur. Le problème est enfin résolu avec plusieurs recherches que j'ai fait depuis 2 mois.

Au niveau du pare-feu, je me suis tourné vers Shorewall pour sa "facilité" de configuration en ligne de commande. Je l'affectionne beaucoup vis à vis de IPTables et de FirewallD (équivalent à AppArmor). Il y a quelques jours, j'ai réussi à établir la communication du réseau local vers l'extérieur; la machine ARES servant de passerelle et serveur DHCP pour mon projet.

Avec la documentation de Shorewall et plusieurs jours de remue-méninges, la réponse à ma difficulté était ma table de routage. Selon la documentation portant sur une configuration physique à 2 cartes ethernet, la passerelle ne doit avoir qu'une seule route par défaut et les machines derrière la passerelle devrait avoir l'adresse IP de la carte "LAN" de cette dernière comme route par défaut. En procédant ainsi, la machine tournant sous Windows 10 s'est mise à se connecter à Internet par câble tandis qu'elle y accédait en réseau sans fil.

Pour faire une courte description, la machine Windows est connectée en wifi sur le réseau principal de mon domicile pour avoir accès à internet et, se trouver derrière ma "passerelle". Donc, aucune connexion vers l'extérieur par le câble. La connexion est passée du sans fil à filaire après avoir modifié la table de routage...ça marche.

Maintenant, je peux passer à autre chose comme configurer adéquatement le pare-feu et, planifier la construction de mes sites web.

Un grand merci pour l'aide que vous m'avez apporté depuis près de 3 ans, mais je vais quand même resté actif dans la communauté.

Prochaines étapes: serveurs web , mail et bases de données, projet de cluster UPS et...ma Forteresse virtuelle. Résolu

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#26 Le 06/06/2019, à 19:57

Re : [RÉSOLU] Besoins de précisions sur le routage

#27 Le 08/06/2019, à 17:44

Re : [RÉSOLU] Besoins de précisions sur le routage

#28 Le 09/06/2019, à 08:05

Re : [RÉSOLU] Besoins de précisions sur le routage

#29 Le 09/06/2019, à 16:18

Re : [RÉSOLU] Besoins de précisions sur le routage

#30 Le 09/06/2019, à 19:03

Re : [RÉSOLU] Besoins de précisions sur le routage

#31 Le 10/06/2019, à 20:21

Re : [RÉSOLU] Besoins de précisions sur le routage

#32 Le 11/06/2019, à 14:51

Re : [RÉSOLU] Besoins de précisions sur le routage

#33 Le 15/06/2019, à 18:46

Re : [RÉSOLU] Besoins de précisions sur le routage

#34 Le 17/06/2019, à 19:28

Re : [RÉSOLU] Besoins de précisions sur le routage

#35 Le 14/07/2019, à 21:08

Re : [RÉSOLU] Besoins de précisions sur le routage

#36 Le 16/07/2019, à 09:56

Re : [RÉSOLU] Besoins de précisions sur le routage

#37 Le 23/07/2019, à 04:04

Re : [RÉSOLU] Besoins de précisions sur le routage

#38 Le 04/09/2019, à 23:28

Re : [RÉSOLU] Besoins de précisions sur le routage

#39 Le 15/12/2019, à 21:54

Re : [RÉSOLU] Besoins de précisions sur le routage

Pied de page des forums