La Fibre
Datacenter et équipements réseaux => Équipements réseaux => 
Matériel informatique (réseaux domestiques) => Discussion démarrée par: basilix le 12 novembre 2023 à 18:54:00
-
Bonsoir !
J'aurais aimé créer une DMZ menant sur le Net. Je ne comprend pas très bien les choses (voir l'image en pièce-jointe).
- Les paquets IP sont-ils filtrés, par le pare-feu, avant ou après la traduction d'adresse avec IPv4 (NAT) ?
- En faisant abstraction du double NAT, est-it possible de créer une DMZ comme sur l'image avec une Livebox 5 ?
Dans l'idéal, je souhaiterais à terme remplacer la Livebox 5. Je dispose d'un routeur Banana Pi BPI R3, du GPON ONT de fs.com et un commutateur Netgear GS108Tv3. J'ai lu qu'on pouvait brancher la Box avec le téléphone raccordé, derrière son routeur.
Je suis dans le flou. Il faut que je progresse en réseautique (auto-apprentissage). Je pose ces questions au cas ou si cela pourrait faire avancer les choses !
Cdlt, basilix.
-
Bonsoir, à quoi correspond le NAT ipv4 de la livebox sur ton schéma ? Ce ne sont pas les mêmes box en charge de délivrer l'ipv6 et l'ipv4 ?
-
Bienvenue sur le forum.
Si tu n'as pas de ressources partagées sur ton LAN, je ne pense pas qu'une DMZ soit pertinent.
Si tu souhaites tout de même le faire, tu peux mettre ton réseau local derrière un double NAT : si ton serveur est attaqué et que l'attaquant à la main dessus, il ne pourra pas avoir des privilèges sur ton LAN.
-
Bonsoir @tutosfaciles48 !
Le NAT est intégré à la Livebox 5. Toutefois, les Livebox n'ont que ce concept limité d'hôte exposé. Je l'ai fait apparaître sur le schéma pour illustrer le lien avec la « DMZ de Orange » qui ne me convient pas.
Bonsoir @vivien !
C'est pour de l'auto-hébergement. Si je comprend bien, le pare-feu routeur / DMZ ne serait pas vraiment pertinent. Mais je ne sais pas si cela aurait été possible ?
Édition : Le pare-feu aurait pu me sembler effectif mais pas sous la forme à laquelle je pensais. Sur le schéma, en passant par directement par la flèche bleue et non pas, par la flèche orange puis noire.
-
Si tu auto-héberge avec un serveur qui écoute le port 80 et le port 443, tu as juste à ouvrir ces deux ports vers ton serveur.
Rien d'autre.
L'option "DMZ" de la box, qui n'est au passage pas une vraie DMZ, va ouvrir tous les flux (pas que 80 /443) vers le PC, je déconseille : ouvre uniquement les ports nécessaires.
Après, si c'est plus simple (notamment pour l'IPv6) je comprends, c'est pas toujours simple de faire de l'auto-hébergement en IPv6 (en plus d'IPv4 qui ne pose pas de difficulté)
-
Bonjour !
@vivien: Dans la table NAT interne de la Livebox, l'hôte exposé conserverait-il les mêmes ports TCP / UDP après la traduction d'adresse IPv4 ?
Cette fonctionnalité ouvrirait-elle aussi tous les ports TCP / UDP standards dans le pare-feu en IPv4 ?
Cela pourrait expliquer pourquoi Orange recommande de désactiver le pare-feu (niveau faible) lorsqu'on active la « DMZ » de la Livebox.
Je souhaiterais configurer le réseau local entièrement en IPv6. Je pose ces questions pour mieux comprendre comment ça marche.
-
Dans la table NAT interne de la Livebox, l'hôte exposé conserverait-il les mêmes ports TCP / UDP après la traduction d'adresse IPv4 ?
Oui
Cette fonctionnalité ouvrirait-elle aussi tous les ports TCP / UDP standards dans le pare-feu en IPv4 ?
En théorie oui, mais il me semble que le firewall continue d'en bloquer certains
Cela pourrait expliquer pourquoi Orange recommande de désactiver le pare-feu (niveau faible) lorsqu'on active la « DMZ » de la Livebox.
Tout à fait
Je souhaiterais configurer le réseau local entièrement en IPv6. Je pose ces questions pour mieux comprendre comment ça marche.
Ça va être compliqué, le mieux dans ton cas serait de faire du Dual Stack, donc IPv4 et IPv6, la livebox ne sachant pas faire de traduction 6 to 4 ou 4 to 6.
-
Si tu auto-héberge avec un serveur qui écoute le port 80 et le port 443, tu as juste à ouvrir ces deux ports vers ton serveur.
Re : Dans cette configuration, en gardant le routeur, est-ce qu'un serveur compromis pourrait servir à capter les flux téléphoniques ?
-
Non, la partie téléphonie reste dans la box et n'est pas exposée sur le LAN, peu importe les ports redirigés
-
Je pense que tu devrais plutôt indiquer ce que tu veux faire réellement et pas juste dire je veux une DMZ. Car il y a vraiment peu de cas ou c'est recommandé une DMZ !
Si c'est juste remplacer la LB5, va voir dans la section
-
Merci Hugues !
@PDuke: J'ai trouvé ce concept dans un livre de Tanembaum & al. Cela a sûrement de l'intérêt.
Les réponses aux questions que j'ai posé m'aide tout de même à y voir plus clair.
J'essaye de comparer différentes architectures réseaux pour contrôler ce qui s'y passe par rapport à l'Internet.
-
Oui, cette configuration est intéressante si tu as des choses exposées dans ton lan qui doivent être protégés (ex: NAS).
Si tu as juste tes PC, ils savent se défendre, l'intérêt est limité.
-
@vivien: J'ai quelques idées mais il faut que je revois certaines notions. Tant mieux si cela pourrait fonctionner !
Je crois que je ne trouverais pas suffisamment d'infos sur l'IPv6 dans mon livre « Computer Networks »,
de Tanenbaum & al., 6e édition. Comme un pro, j'aimerais monitorer le réseau local domestique.
-
Bonjour !
Je n'arrive pas à comprendre un principe.
Comment les paquets IP en SNAT avec deux routeurs en cascade traversent-ils le pare-feu final ?
Le NAT du premier routeur modifie le port source TCP / UDP dans le paquet IP. Le filtrage du premier pare-feu se réaliserait avant la phase de traduction.
Je ne saisis pas comment le pare-feu du second routeur filtre les paquets IP sortant ?
Mon livre sur les réseaux informatiques n'est pas assez détaillé sur la partie NAT. La RFC 3022 soumet qu'on ne place pas jamais deux dispositifs NAT l'un à la suite de l'autre.
-
Un peu de lecture pour démystifier et apporter quelques pistes à votre projet -> https://www.it-connect.fr/informatique-cest-quoi-une-dmz/
-
Bonjour @xp25 !
Merci pour le lien. Quelque chose m'échappe parce que c'est abstrait (entre autres choses).
Mais ma question précédente ne pose pas sur une architecture DMZ. Des recherches sur le Web
me font penser que je dois connaître les pare-feux en terme de connaissance et prolonger ma lecture.
Je ne faisais pas de distinction conceptuelle entre les ports des hôtes (client ou serveur), jusqu'à ce que lise sur le forum
que les ports clients étaient associés dynamiquement [1].
Je suppose de façon incertaine que les liens entre les règles NAT et du pare-feu apparaissent parfois indissociables.
Cela m'apparaît en survolant la lecture de la documentation en ligne des pare-feux professionnels tels Sophos ou PfSense [2, 3].
Sources
- Forum -- Plage de ports dynamique du protocole TCP (https://lafibre.info/tcpip/local_port_range/)
- Sophos Firewall (sophos.com) -- NAT rules (https://doc.sophos.com/nsg/sophos-firewall/19.0/Help/en-us/webhelp/onlinehelp/AdministratorHelp/RulesAndPolicies/NATRules/index.html)
- IT-Connect (it-connect.fr) -- pfSense 2.4.3 : IP-Failover sur un ESXi chez OVH (https://www.it-connect.fr/pfsense-2-4-3-ip-failover-sur-un-esxi-chez-ovh/#V_pfSense_Regle_de_NAT)
-
Je suppose de façon incertaine que les liens entre les règles NAT et du pare-feu apparaissent parfois indissociables.
deux choses :
1. dans les réseaux informatiques, les notions NAT/PAT sont très souvent confondues, notamment dans les interfaces des routeurs SOHO.
càd que tu verras NAT pour faire de la redirection de port ; en soit, par abus de langage : la redirection de port est bien PAT (port address translation, par opposition au NAT (pour Network), qui est le simple role de routage d'un routeur : traduire les adresses sur deux réseaux distincts)
2. la redirection de ports (PAT) et leur ouverture dans le pare-feu vont évidemment de pair : aucun intéret à rediriger des ports s'ils sont fermés ; certains équipements ouvrent donc automatiquement (ou le ferment) selon la redirection de port active ou non ; à contrario, sous openwrt je me souviens qu'il est (je sais pas si ca a changé) nécessaire d'ouvrir les ports en plus de rediriger celui/ceux concernés. La simple redirection dans la conf pare feu ne suffisait pas.
-
Bonjour @trekker92 !
Il me semble que le PAT est un type de NAT. Dans la RFC 3022 (https://datatracker.ietf.org/doc/html/rfc3022) (2001), c'est nommé NAPT et c'est considéré comme du NAT traditionnel.
La redirection de ports (PAT) et leur ouverture dans le pare-feu vont évidemment de pair : aucun intéret à rediriger des ports s'ils sont fermés ;
certains équipements ouvrent donc automatiquement (ou le ferment) selon la redirection de port active ou non [...]
Vu ainsi ! Mais comment les paquets IP sortants sont-ils filtrés par le pare-feu de la box lorsque le réseau local est géré par un autre routeur (avec NAT) ?
Une plage de port est automatiquement ouverte dans le pare-feu de la box pour les paquets IP sortants du réseau local de la box ?
-
Vu ainsi ! Mais comment les paquets IP sortants sont-ils filtrés par le pare-feu de la box lorsque le réseau local est géré par un autre routeur (avec NAT) ?
Je crois que vous vous faites beaucoup de noeud au cerveau... En cas de double NAT, le routeur derrière la box n'est qu'un client du LAN de la box comme les autres... On pourrait empiler un nombre infini de niveaux de translation d'adresse (et de port si nécessaire) sans que ça ne soit un problème (en tout cas pour le traffic initié de l'intérieur et à destination de l'extérieur).
Après le NAT du routeur, l'adresse source d'un paquet est l'adresse du port WAN du routeur, et deviendra l'adresse du port WAN de la box après le NAT de la box. Evidemment, tout ceci ne fonctionnerait pas sans maintient d'un état dans les 2 équipements (une table des connexions nattées en cours) pour changer l'adresse de destination des paquets qui reviennent...
-
Bonjour zoc !
Je fais en l'état de mes connaissances avec une compréhension limitée. Les abstractions font que cela n'est pas
forcément aussi clair. Il faut pouvoir faire des rapprochements et reconnaître les omissions. Je n'ai pas la science
infuse ! D'autant plus que je ne suis pas une lumière et que concevoir des choses, ce n'est pas donné à tout le monde.
C'est passer quelque peu à côté de mon problème, de juger que je me fais beaucoup de nœuds au cerveau.
Quoi qu'il en soit je pense que j'y arriverais. Vu ce que vous dîtes, j'en retire la conviction que le principe de fonctionnement
de ce que je ne saisis pas (que j'essaye d'entrevoir) n'est pas critique ou est sûrement bien défini, d'autre part.
-
Bonjour !
Je pense que j'ai une réponse partielle à ma question.
Niveau de sécurité : Moyen (recommandé)
- Le pare-feu filtre toutes les connexions entrantes. Les connexions sortantes sont autorisées à l'exception des services Netbios.
Dans la configuration pare-feu standard, on n'a pas à se préoccuper des paquets sortants.
Niveau de sécurité : Élevé
- Le pare-feu filtre toutes les connexions entrantes. Les connexions sortantes ne sont autorisées que pour les applications standards sur Internet (web, mails, news, ...).
Ce niveau restreint le service TV d’Orange aux chaînes TV. La Télévision à la demande et la VOD ne sont pas accessibles. Pour les clients Pros, le VPN site-à-site ne fonctionnera pas.
Certaines applications de jeux ou de peer-to-peer, qui reposent sur des connexions entrantes, risquent de ne plus fonctionner correctement.
Reste à savoir comment les paquets IP sortants des applications standards sur Internet traversent le pare-feu.
-
Reste à savoir comment les paquets IP sortants des applications standards sur Internet traversent le pare-feu.
Le pare-feu bloque tout simplement tous les paquets sauf ceux destinés à un ensemble de ports bien connus (http, https, smtp, etc...). Le terme "application" est un peu galvaudé ici, la box ne fait pas de DPI et n'est en pratique pas capable de faire la distinction entre 2 applications différentes qui utiliseraient le même port destination (genre https, qui reste le plus commun).
-
Bonjour !
Ma question est très basique. Des gens se demandent comment former un réseau intranet avec une Livebox et un routeur.
Apparemment, c'est pour isoler quelques objets connectés (caméras, etc.) des autres stations (ordinateurs, etc.) du réseau.
Parmi les solutions avancées, certains affirment qu'il faut faire du routage statique entre différents appareils.
Pour créer deux sous-réseaux privés (adresses privées IPv4) dans le réseau local, combien de routeurs faut-il disposer ?
Hélas, j'ai mélangé plusieurs notions ! Les sous-réseaux, dans le contexte du sous-réseautage, c'est des réseaux se
partageant une plage d'adressage IP (un préfixe) attribuée par une autorité régionale dépendant de l'ICANN. Ce sont
des adresses IP publiques.
-
Bah ... un seul ! Je dirais ... :D
Un sous-réseau n'a pas besoin en tant que tel d'avoir un routeur, mais le routeur vous permettra d'interconnecter les sous-réseaux.
-
Bonsoir !
@Kana-chan: Comment est-ce possible ?
Les stations se trouveraient tous dans le même réseau commuté, non ?
Édition : Il faudrait que je revois la commutation de la couche liaison (commutateur). Ainsi que la notion d'interface réseau.
Force est de constater que je ne maîtrise pas encore.
[TUTO] INTERCONNEXION DE DEUX LANs VIA UN ROUTEUR CISCO PARTIE-1 (https://www.youtube.com/watch?v=-T-5fZXN1Z0)
-
Je disais juste que le routeur vous permet d'interconnecter les sous-réseaux entre eux, pour faire une sorte de passerelle de l'un vers l'autre.
Aussi, un switch peux accueillir plusieurs sous-réseaux sur ses interfaces, et avec un seul switch manageable vous pouvez même définir sur quelle prise avoir tel ou tel sous-réseau.
Donc avec un seul routeur, vous pouvez dire que tel ou tel sous-réseaux sont en visibilité l'un avec l'autre ou pas.
Je ne dis rien de plus que cela.
Je ne vois pas de correspondance entre le nombre de sous-réseaux et le nombre de routeurs, il y a même des routeurs qui incorporent un switch, donc dans ce cas, un seul équipement est nécessaire.
-
@Kana-chan: Il me semble que c'est beaucoup plus complexe que cela. C'est un peu trop raccourci pour moi.
Mais c'est pas grave car cela me donne l'occasion de reprendre les choses pour mieux comprendre.
Dans mon livre, j'ai lu qu'une interface réseau était composée du CPU principal (processus liaison et réseau) et d'une carte réseau
(processus physique et liaison implémenté par de l'électronique dédié)... (modèle OSI).
-
Là je dirais que vous rentrez trop profondément dans les méandres de ce qui va vous servir pour faire ce dont vous avez envie.
Mais se renseigner est une bonne chose, c'est vrai !
-
J'ai toujours dis la chose suivante : pour apprendre faut pratiquer, lire la littérature technique en posant des questions sur des forums sans se sortir les doigts pour expérimenter dans la vraie vie, c'est comme si on avait perdu son temps !
C'est pas en lisant Cuisine Actuelle aux toilettes qu'on devient un chef renommé !
-
@xp25: La littérature technique m'apporte beaucoup d'éclairage. Les questions que je pose sur le forum, c'est une approche simplifiée : je ne compte pas
vraiment là-dessus. Du coup, je ne perds pas mon temps ! Par contre, j'en conviens, c'est chronophage et éreintant.
-
Je disais juste que le routeur vous permet d'interconnecter les sous-réseaux entre eux, pour faire une sorte de passerelle de l'un vers l'autre.
Aussi, un switch peux accueillir plusieurs sous-réseaux sur ses interfaces, et avec un seul switch manageable vous pouvez même définir sur quelle prise avoir tel ou tel sous-réseau.
Donc avec un seul routeur, vous pouvez dire que tel ou tel sous-réseaux sont en visibilité l'un avec l'autre ou pas.
Je ne dis rien de plus que cela.
Je ne vois pas de correspondance entre le nombre de sous-réseaux et le nombre de routeurs, il y a même des routeurs qui incorporent un switch, donc dans ce cas, un seul équipement est nécessaire.
@Kana-chan: Après réflexion, je remets en doute votre affirmation.
Each machine on an Ethernet and each interface on the router has a unique Ethernet address, labeled E1 through E6, and a unique IP address on the CS or EE network.
Dans le livre [1], dans la partie « ARP — The Address Resolution Protocol », sur le schéma, on voit deux réseaux Ethernet reliés au routeur. Chaque interface réseau du routeur dispose de sa propre adresse Ethernet.
Mon routeur d'usager n'a que deux adresses GMAC (Gigabit Ethernet) pour le filaire [2]. Ce qui me paraît incompréhensible c'est que le port WAN eth0 et les ports LAN partagent le même GMAC.
Sources :
- [1] Computer Networking, Tanembaum & al., 6th edition.
- [2] Banana Pi R3: Network Connections (https://wiki.fw-web.de/doku.php?id=en:bpi-r3:start#network_connections)
- [3] How many networks can a router have? (https://www.quora.com/How-many-networks-can-a-router-have)
-
@Kana-chan: Après réflexion, je remets en doute votre affirmation.
[...]
indice : vlan
-
@jeannot: hmm ! Cela à l'air complexe : va me falloir du temps pour étudier cela.
-
Non mais je connais le Tanembaum, je l'ai (chez mes parents).
Par contre, ce que je dis ne vient pas contre ce que dit le Tanembaum en fait.
Chaque port d'un routeur possède une adresse MAC oui, c'est souvent le cas.
Je vous parlais des équipements branchés, et d'adressage IP.
-
@Kana-chan: Très bon livre ! En lisant votre propos, j'en étais venu à une conclusion totalement différente.
D'ailleurs, plusieurs ports de mon routeur se partagent la même adresse Ethernet.
Chaque port du routeur possède une adresse MAC oui, c'est souvent le cas.
Mais honnêtement, je ne n'ai pas encore compris cela : avoir une adresse Ethernet par interface réseau sur un
routeur. J'ai du mal avec ce qui est abstrait et logique. Pourtant, cela semble simple. Les trames qui arrivent au
routeur doivent savoir sur quelle interface repartir : plusieurs réseaux, donc plusieurs interfaces. Et on joint tout
bout à bout (de routeur en routeur, ou de routeur en station...) !
-
Je viens de vérifier dans le livre...
Also note that a bridge with k ports will have k instances of MAC and physical layers.
Sur mon commutateur Netgear, chaque port a une adresse Ethernet différente. Les ports du BPI R3 ont la même adresse Ethernet.
-
Bonjour à tous !
Les inscriptions au MOOC « Objectif IPv6 (https://www.fun-mooc.fr/fr/cours/objectif-ipv6/) » de France Université Numérique (fun-mooc.fr) sont encore ouvertes au public !
Chouette ! En plus, on y aborde un logiciel libre de simulation réseau : GNS3.
-
L'unicité des adresses mac n'est critique que sur un lien physique (L2). Avoir la même adresse mac pour des liens physiques (ou virtuels dans le cas des VLAN) différents n'est clairement pas un problème, puisqu'on passe par un routage IP (L3) dans ce cas là. D'ailleurs par défaut sous Linux tous les VLAN portés par une interface physique ont la même adresse mac que l'interface.
-
+1.
Certains routeurs grand public ont même MAC sur les interface WAN et LAN. Cela m'avait étonné sur le coup (et un peu embrouillé), mais après réflexion, c'est logique comme expliqué par zoc.
-
@zoc: Pour autant, le routage IP n'enlève jamais le relais de trames par commutation Ethernet.
-
Quand un routeur (L3) route un paquet, il ne se préoccupe que de 2 choses : L'adresse IP de destination et la table de routage IP, ce qui lui permet principalement de:
- Déterminer l'interface de sortie
- Déterminer l'adresse IP du "next-hop" qui peut être directement la destination ou un autre routeur intermédiaire
C'est seulement après ça que l'adresse mac entre en jeu: Le routeur utilise sa table ARP pour déterminer l'adresse Ethernet du noeud correspondant à l'adresse IP déterminée lors de l'étape 2 ci-dessus.
-
@zoc: Je ne sais pas. Cela semble être en contradiction avec ce que j'ai lu dans mon livre (jusqu'à présent).
Extract from the chapter The Network Layer — section ARP: The Address Resolution Protocol — p. 472
Now let us look at Fig. 5–62 again, only this time assume that host 1 wants to send a packet to host 4 (192.168.63.8) on the EE network. Host 1 will see that
the destination IP address is not on the CS network. It knows to send all such off-network traffic to the router, which is also known as the default gateway.
By convention, the default gateway is the lowest address on the network (198.32.65.1). To send a frame to the router, host 1 must still know the Ethernet address
of the router interface on the CS network. It discovers this by sending an ARP broadcast for 198.32.65.1, from which it learns E3. It then sends the frame.
The same lookup mechanisms are used to send a packet from one router to the next over a sequence of routers in an Internet path.
When the Ethernet NIC of the router gets this frame, it gives the packet to the IP software. It knows from the network masks that the packet should be sent onto the EE
network where it will reach host 4. If the router does not know the Ethernet address for host 4, then it will use ARP again to find out. The table in Fig. 5–62 lists the
source and destination Ethernet and IP addresses that are present in the frames as observed on the CS and EE networks. Please observe that the Ethernet addresses
change with the frame on each network while the IP addresses remain constant (because they indicate the endpoints across all of the interconnected networks).
| Frame | Source IP | Source Eth. | Destination IP | Destination Eth. |
| Host 1 to 2, on CS net | IP1 | E1 | IP2 | E2 |
| Host 1 to 4, on CS net | IP1 | E1 | IP4 | E3 |
| Host 1 to 4, on EE net | IP1 | E4 | IP4 | E6 |
Il n'est aucunement fait référence à l'adresse IP du "next-hop". Puisque en principe (y compris dans un routeur) cela fonctionne avec l'adresse MAC (Ethernet).
-
https://fr.m.wikipedia.org/wiki/Address_Resolution_Protocol
Confirme ce que dit Zoc :
Fonctionnement
Un ordinateur connecté à un réseau informatique souhaite émettre une trame Ethernet à destination d’un autre ordinateur dont il connaît l’adresse IP et placé dans le même sous-réseau. Dans ce cas, cet ordinateur va placer son émission en attente et effectuer une requête ARP en broadcast de niveau 2. Cette requête est de type « quelle est l’adresse MAC correspondant à l’adresse IP adresseIP ? Répondez à monAdresseIP ».
Puisqu’il s’agit d’un broadcast, tous les ordinateurs du segment vont recevoir la requête. En observant son contenu, ils pourront déterminer quelle est l’adresse IP sur laquelle porte la recherche. La machine qui possède cette adresse IP sera la seule à répondre en envoyant à la machine émettrice une réponse ARP du type « je suis adresseIP, mon adresse MAC est adresseMAC ». Pour émettre cette réponse au bon ordinateur, il crée une entrée dans son cache ARP à partir des données contenues dans la requête ARP qu’il vient de recevoir.
La machine à l’origine de la requête ARP reçoit la réponse, met à jour son cache ARP et peut donc envoyer à l’ordinateur concerné le message qu’elle avait mis en attente.
Il suffit donc d’un broadcast et d’un unicast pour créer une entrée dans le cache ARP de deux ordinateurs.
Oh comme c'est bizarre, c'est exactement ça ::)
Personnellement je laisserai tomber ce pavé de 900 pages en Anglais imbuvable et je ferais directement les recherches sur le net en Français.
D'ailleurs, il est en intégralité sur handoutset.com lors d'une simple recherche Google (computer networks 6th edition) ;D
Je le met en PJ pour la postérité :P
ARP Page 496 du PDF, citation de Basilix en fin page 498
-
Ce livre est excellent, je le recommande (mais ce n'est peut-être pas fait pour tout le monde) ! Il existe aussi une traduction française.
Le PDF du livre diffusé ouvertement en ligne, est-ce bien légal ? Copyright ?
@xp25: Je ne suis pas d'accord, c'est une façon inversée de voir les choses qui est vraiment illogique.
Conceptuellement le routage IP est hiérarchique et logique : connexions inter-réseaux avec tous les nœuds. Ce que je dis apparaît assez clairement
dans l'algorithme du protocole de routage à état de lien.
5.2.5. Link State Routing
- Discover its neighbors and learn their network addresses.
- Set the distance or cost metric to each of its neighbors.
- Construct a packet telling all it has just learned.
- Send this packet to and receive packets from all other routers.
- Compute the shortest path to every other router.
To send a frame to the router, host 1 must still know the Ethernet address of the router interface on the CS network. It discovers this by sending an ARP broadcast for 198.32.65.1, from which it learns E3. It then sends the frame.
The same lookup mechanisms are used to send a packet from one router to the next over a sequence of routers in an Internet path.
Dans l'extrait que j'ai cité précédemment, l'hôte 1 connaît l'adresse IP du routeur car, par concept, ils sont dans le même réseau.
-
Le noyau Linux semble pouvoir rediriger le trafic en contrôlant à sa manière les ports du commutateur (DSA (https://www.kernel.org/doc/html/latest/networking/dsa/dsa.html)).
For each front-panel port, DSA creates specialized network devices which are used as controlling and data-flowing endpoints for use by the Linux networking stack.
Il est fait mention d'une « interface de gestion » (management interface). Mais c'est plutôt abstrait. ???
Au moins, cela n'a pas intégralement remis en question ce que je pensais savoir. ::)
Il s'avère également que je n'avais pas compris la notion de « prochain saut » (next hop). J'avais également incorrectement assimilé le champ destination de la trame provenant du routeur
à l'interface du nœud connecté au lien de sortie (c'est le champ source).
-
Bonjour !
La Livebox pour un usage domestique ne permet pas d'ajouter des routes statiques. Cela aurait permis de segmenter son réseau local en plusieurs réseaux.
Peut-on créer des sous-réseaux grâce à un second routeur ?
-
Rappel : Une livebox pro le permet, pourquoi ne pas se tourner vers cette solution plutôt ?
https://assistancepro.orange.fr/internet_livebox/utiliser/parametrages_avances_vpn_adresse_ip/livebox_5_6_pro/livebox___ou__en_configuration_pro__ajouter_une_regle_de_routage-438518
Une box grand public n'a qu'un seul but, donner internet à maxi 10-15 machines (WiFi/Ethernet), pas de gérer un parc de 100 avec 10 imprimantes sur un réseau, 40 serveurs sur 8 autres et 50 users répartis sur 6 réseaux en fonction de leurs droits d'accès.
Peut-on créer des sous-réseaux grâce à un second routeur ?
C'est une vraie question ?
-
Bonjour,
Oui, tu peux facilement avoir dans ta représentation :
Routeur 1 = Livebox
Routeur 2 = un autre routeur (ASUS, Mikrotik, Cisco, ...)
Et faire ce que tu as fait dans GNS3 !
D'ailleurs, si tu utilises GNS3, mets un petit nuage connecter sur un port déclaré en WAN de ton routeur 1, et mets des virtuals PC (VPC1, VPC2, ...) sur tes switchs.
Dans la console des VPCs, tape :
dhcpEt tu verras s'ils se connectent bien en DHCP sur le routeur 2 (dans lequel tu as bien un serveur DHCP de déclarer sur le bridge LAN).
Et tu peux tester les communications avec unn ping dans ces mêmes consoles.
-
@Kana-chan : J'aurais voulu tester avec GNS3. Mais je ne sais pas encore reproduire le fonctionnement du réseau. Il faudrait également que je puisse
configurer les équipements (routeur et commutateur). J'ai quelques notions acquises en parcourant la documentation de GNS3. Merci beaucoup pour
votre réponse !
@xp25 : C'est une vraie question. Je me suis aperçu que l'on pouvait faire facilement fausse route en recevant de mauvaises indications, pour diverses
raisons.
On pourrait potentiellement substituer le second routeur par un commutateur administrable. Ce serait une solution potentiellement valable, à voire. Je pense
notamment à mon commutateur Netgear GST108v3. En tout cas, je n'avais rien trouvé à ce propos dans les documentation en ligne de Orange, Netgear,
OpenWrt, ou sur des forums. On recommande soit d'ajouter des routes statiques à la passerelle internet ou de placer un second routeur en DMZ.
Je pensais que mon commutateur Netgear GS108Tv3 avait un serveur DHCP intégré. C'est mystérieux ! :(
J'ai l'impression que c'est difficile de faire bouger les lignes.
-
Peut-on créer des sous-réseaux grâce à un second routeur ?
Oui, à condition de:
- Ne pas utiliser le même /24 des 2 cotés du routeur (donc hors de question d'avoir des adresses en 192.168.1.X coté de son LAN si la livebox est configurée pour attribuer une IP dans 192.168.1.0/24
- Faire du double SNAT (SNAT de la box + SNAT du routeur), puisque sinon on se retrouve avec la même problématique de routes statiques non supportée par la box.[/b]
-
Je pensais que mon commutateur Netgear GS108Tv3 avait un serveur DHCP intégré. C'est mystérieux ! :(
Le GS108Tv3 est un switch L2 sans fonctions de routage (L3). A ce titre avoir dessus un serveur DHCP n'a pas de sens puisque c'est un service L3 (IP)...
-
Bonjour @zoc !
Le commutateur Netgear GS108Tv3 supporte également le routage (routage statique).
Je pensais que les paquets pouvaient être acheminés sans routage de la Livebox par commutation Ethernet. Mais j'ai du mal à comprendre la documentation
du Netgear GS108Tv3. Je ne parviens pas à définir des VLAN avec des interfaces de routage (*message d'erreur).
* IP Address/Netmask entered conflicts with the configured IP Address/Netmask of the service port or a router interface.
-
Si tu veux faire du routage entre VLAN, c'est possible, mais le plan d'adressage doit être cohérent : pas d'IP identiques!
-
192.168.1.0/26
192.168.1.64/26
192.168.1.128/26
192.168.1.192/26
La Livebox se trouve dans le réseau 192.168.1.0/24.
-
D'où les recouvrements d'adresses.
192.168.1.0/24 va de 192.168.1.1 à 192.168.1.254
192.168.1.0/26 va de 192.168.1.1 à 192.168.1.62
-
donc ceux qui sont après le routeur 2 peuvent être en 192.168.2.x, ou autre chose que 192.168.1
soit le routeur 2 ne permettra pas cette conf, soit ça ne va pas fonctionner.
-
Ça peut faire un bon entrainement de partitionner le /24 en 4 fois /26.
Je ne sais pas si la livebox permet de définir son sous réseau LAN en 192.168.1.0/26 et avoir les trois autres ranges pour les 3 autres routeurs.
-
Merci pour vos réponses.
Je ne suis pas certain que le recouvrement d'adresses soit le problème. Sinon, conceptuellement, on ne pourrait pas faire d'agrégation de préfixes.
On précise dans la documentation du Netgear GS108Tv3 que le routage inter-VLAN est effectué via des interfaces virtuelles du commutateur (Switch Virtual Interface).
En fait, je ne suis même pas sûr que l'on obtienne des adresses IP ayant un préfixe différent pour les stations situées dans différents VLAN. Il se pourrait que les préfixes
définis dans le commutateur ne soit utilisés en interne qu'afin de pouvoir router entre les VLAN.
C'est une remarque dans la documentation en ligne de Netgear (https://kb.netgear.com/fr/30818/Comment-configurer-le-routage-des-VLAN-sur-un-NETGEAR-switch-manageable-avec-un-acc%C3%A8s-Internet-partag%C3%A9?language=fr) qui me fait penser cela.
Remarque : il n'est pas nécessaire de créer une route statique pour le VLAN 10 car la passerelle internet dans cet exemple est connectée directement au VLAN 10 sur le switch.
Il me semble que définir le préfixe de la Livebox en /26 ferait apparaître mon problème. La Livebox ne connaîtrait pas les autres routes pour atteindre les VLAN.
Il faudrait que je teste cela.
-
Le commutateur Netgear GS108Tv3 supporte également le routage (routage statique).
Effectivement, j'en étais resté au v2 qui ne fait pas de routage inter VLAN. Mais du coup l'absence de serveur (ou à minima de relais) DHCP complique l'assignation d'adresses pour les postes client... Autant faire faire le routage inter vlan à un routeur en amont.
-
Bonsoir !
Je pense que je vais mettre fin à ce fil de discussion. Cela m'a aidé à y voir plus clair mais je ne suis pas sûr que ce soit utile pour les autres.
J'ai fait le tour de la question. J'ai la flemme d'approfondir le sujet sur la segmentation du réseau avec une Livebox résidentielle en IPv4. En
principe, cela ne devrait pas fonctionner car les routeurs ne relaient pas les trames en diffusion générale (Ethernet broadcast).
Les choses me rendent tout de même stupéfait : je débute en même temps que progresse l'intégration de l'IPv6 dans les foyers. C'est assez incroyable.
Assister au déploiement d'un protocole réseau (ou plutôt, miser dessus) pas vraiment nouveau (une autre version de IP) mais pourtant fondamental au niveau informatique.
-
Merci pour vos réponses.
Je ne suis pas certain que le recouvrement d'adresses soit le problème. Sinon, conceptuellement, on ne pourrait pas faire d'agrégation de préfixes.
On précise dans la documentation du Netgear GS108Tv3 que le routage inter-VLAN est effectué via des interfaces virtuelles du commutateur (Switch Virtual Interface).
En fait, je ne suis même pas sûr que l'on obtienne des adresses IP ayant un préfixe différent pour les stations situées dans différents VLAN. Il se pourrait que les préfixes
définis dans le commutateur ne soit utilisés en interne qu'afin de pouvoir router entre les VLAN.
C'est une remarque dans la documentation en ligne de Netgear (https://kb.netgear.com/fr/30818/Comment-configurer-le-routage-des-VLAN-sur-un-NETGEAR-switch-manageable-avec-un-acc%C3%A8s-Internet-partag%C3%A9?language=fr) qui me fait penser cela.
Il me semble que définir le préfixe de la Livebox en /26 ferait apparaître mon problème. La Livebox ne connaîtrait pas les autres routes pour atteindre les VLAN.
Il faudrait que je teste cela.
Je ne suis pas certain d'avoir compris ce que tu imagines.
Du routage inter-VLAN, c'est du routage classique. Le concept de VLAN est totalement indépendant du concept de routage.
En simplifié, les VLAN, c'est juste comme si tu avais des réseaux Ethernet (Layer 2) physiquement séparés.
Donc pour faire des VLAN, il faut un serveur DHCP pour chaque VLAN, du routage entre les VLAN, etc...
Le recouvrement/chevauchement de plages d'adresse IPv4 est un problème. Faire des chevauchement de plages d'adresses IP, même si c'est parfois possible, c'est une source d'emmerdes inextricables, de bugs introuvables. A proscrire absolument.
A ma connaissance, les box-routeur récentes des 4 FAI permettent de déclarer un masque de sous réseau différent du classique /24 (255.255.255.0) côté LAN.
Mais seules quelques box-routeurs permettent de déclarer des routes statiques. La Freebox, c'est sur, les autres je ne sais pas.
Quel paragraphe de l'article sur les VLAN routés Netgear te fait dire ce que tu imagines sur les "préfixes"?
Attention, pour le routage inter-VLAN (Layer 3) sur un hardware low-cost, c'est parfois limité en débit, beaucoup plus limité que juste le switching Layer2; bien lire la doc constructeur si tu vises des débits de l'ordre de 1Gb/s.
Leon.
-
Naïvement, je me suis dit qu'on pouvait faire abstraction du routage sur la Livebox et le commutateur.
4. Configure Routing
Routing concepts
The switch supports IP routing. When a packet enters the switch, the switch checks the destination MAC address to determine if it matches any of the configured routing interfaces.
If it does, the switch searches the host table for a matching destination IP address. If a matching entry is found, the packet is routed to the host.
If no matching entry is found, the switch performs a longest prefix match on the destination IP address. If a matching entry is found, the packet is routed to the next hop.
If no matching entry is found, the packet is routed to the next hop that is specified in the default route. If no default route exists, the packet is are dropped.
The routing table can include static entries that you added manually. The host table can include static entries that were manually added and entries that were dynamically added through ARP.
Honnêtement, c'est assez complexe. Je pourrais faire des tests pour vérifier. Mais il me semble nettement plus aisé pour moi de poursuivre sur un autre axe de recherche.
C'est pour cette raison que je préfère mettre fin au fil de discussion.
Référence
- Manuel du Netgear GS108Tv3 (https://www.downloads.netgear.com/files/GDC/GS108Tv3/GS108Tv3_GS110TPv3_GS110TPP_UM_EN.pdf)
-
Le recouvrement/chevauchement de plages d'adresse IPv4 est un problème. Faire des chevauchement de plages d'adresses IP, même si c'est parfois possible, c'est une source d'emmerdes inextricables, de bugs introuvables. A proscrire absolument.
Parfois possible?
Pour ma culture, je suis intéressé.
Naïvement, je me suis dit qu'on pouvait faire abstraction du routage sur la Livebox et le commutateur.
J'ai vraiment du mal à vous suivre.
Vous citez une doc qui décrit du routage et vous faites abstraction du routage?
Comment un routeur va choisir la bonne route si ses propres adresses d'interface se chevauchent?
Petit bonheur la chance?
-
L'idée originale était que la Livebox remplisse sa table ARP. J'espérais que cela aurait rendu transparent la fonction de routage du commutateur.
Sauf que, dans ce cas de figure, cela rendrait potentiellemenent les interfaces de routage du commutateur inopérantes. Puisque la Livebox serait
incapable de renvoyer les trames sur les interfaces de routage du commutateur. Soit on perd l'adresse MAC de destination (fonction relai Ethernet
du commutateur) ou alors la fonction routage du commutateur. Même si on parvenait à remplir correctement la table ARP de la Livebox, les paquets
émis par la Livebox ne seraient pas acheminés par le commutateur en mode routeur.
-
Je comprends mieux ce que vous espériez.
-
Parfois possible?
Pour ma culture, je suis intéressé.
J'ai vraiment du mal à vous suivre.
en gros, ne pas utiliser les IP à l'impro ou sans précautions à minima
ex: des lycéens qui se mettent en ip fixe sur une lan party, et qui utilisent sans le savoir la meme ip que la secrétaire de direction
ex: un petit opérateur télécom qui sur son réseau case ses serveurs sur des ip privées, d'un réseau connecté à internet (en gros tu vois du 192.168 et 172.16 dans un tracert fait de chez toi, vers le serveur mail)
ex: une grosse entreprise francaise qui avait fait le choix inverse : prendre des ip "à l'arrache", en l'occurence des IP normalement publiques, et de les assigner à un sous réseau privé spécifique ; réaction de l'ingé réseau : "bon courage pour joindre yahoo [détenteur des IP concernées sur internet]"