Problème de route avec IPCOP

[Entoni]

Bonjour tout le monde !

Je viens vers vous car j'ai un problème dont je n'arrive pas à me sortir et qui m'embête beaucoup dans mon job !

Explications:

[PC utilisateur: 192.10.200.1] >>> Réseau Green:192.10.200.0 >>> [IPCOP: 192.10.200.254] >>> [Passerelle SDSL: 192.10.200.248] >>> Réseau IMS >>> [PC applicatif: 192.0.0.1]

Voici donc ce que je veux.
Je veux que le PC Utilisateur présent dans mon entreprise puisse allez se connecter librement et sans problème sur le PC Applicatif en 192.0.0.1 tout en sachant que la passerelle SDSL fait la transition du réseau 192.10.200.0 vers 192.0.0.0 d'elle même, elle est configurée pour ça.

Ce qui marche aujourd'hui:

[PC utilisateur: 192.10.200.1]>>> [Passerelle SDSL: 192.10.200.248] >>> Réseau IMS >>> [PC applicatif: 192.0.0.1]

Si je squizze l'IPCOP aucun soucis, je peux faire ce dont j'ai envie. Sauf que biensûr j'ai quand même besoin de l'IPCOP en passerelle.

Concernant l'IPCOP:

L'IPCOP en place sur le réseau est basé sur la version 1.4.18.
Au niveau des add-ons j'ai simplement Block Out Traffic et OPEN VPN.

Ce que j'ai tenté:

J'ai quand même essayé quelques trucs avant de venir vous voir, comme rajouter une route sur l'IPCOP, ce qui nous donne la table de routage suivante:

10.93.255.2 0.0.0.0 255.255.255.255 UH 0 0 0 tun0
*************** 0.0.0.0 255.255.255.248 U 0 0 0 eth3
192.10.200.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
192.168.210.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
10.93.255.0 10.93.255.2 255.255.255.0 UG 0 0 0 tun0
192.10.100.0 0.0.0.0 255.255.255.0 U 0 0 0 eth2
192.0.0.0 192.10.200.248 255.255.252.0 UG 0 0 0 eth0
0.0.0.0 ******************** 0.0.0.0 UG 0 0 0 eth3

Pour info eth0: Green, eth1:Blue, eth2:Orange, eth3:RED.
Là ou je suis pas rassuré c'est que cette route je l'ajoute en dur sur la machine de l'IPCOP et lorsque je vais voir l'interface graphique j'ai ça...



Donc je me demande bien si c'est pris en compte...

Après ce qui est assez original c'est qu'avec cette route il n'y a pas de soucis je peux bien pinger une adresse dans le réseau 192.0.0.0 depuis le réseau 192.10.200.0 et vice versa MAIS je peux juste pinger la machine. Juste, car le but final est de connecter le PC Utilisateur sur le PC Applicatif en VNC mais avec cette route ça ne fonctionne pas...

Voilà où j'en suis actuellement, je pense pas me tromper en disant que le point problématique est l'IPCOP mais je ne vois pas pourquoi car d'une machine qu'est sur Green vers une autre machine qu'est sur Green...bah il ne devrait pas y'avoir de problème.

Merci d'avance pour votre aide !

[jdh]

Je réécris ce que j'ai compris :

- un réseau local en 192.10.200.x/24
- une sortie vers Internet avec un Ipcop en Red+Green+Blue (Green:192.10.200.254)
- un routeur (192.19.200.248) vers un site en 192.0.0.x/24 (via SDSL)
- un PC en Green 192.10.200.1

Remarques :
- ces adressage internes ne respectent pas la RFC1918 : c'est MAL,
- les masques ne sont pas indiqués (je les ai imaginés) : il FAUT prendre l'habitude de PRECISER ces masques, entre autre si on veut parler de routes !
- il n'est pas précisé que la passerelle par défaut des PC est ipcop,
- si cela concerne 1 PC, il est plus aisé de faire une route à son niveau,
- si cela concerne tous les PC, il faut le faire au niveau ipcop.

192.10.200.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
192.0.0.0 192.10.200.248 255.255.252.0 UG 0 0 0 eth0

La route me semble incorrecte ! Quelle commande avez vous taper ?
La syntaxe (correcte) est (cf man route)
route add 192.0.0.0 netmask 255.255.255.0 gw 192.10.200.248

[ccnet]

ces adressage internes ne respectent pas la RFC1918 : c'est MAL

C'est effectivement une mauvaise pratique. Pourquoi ? Ce sont des adressages publiques. Des organisations sont les propriétaires légitimes de ces réseaux.
Par exemple le réseau 192.19.0.0/16 appartient à Lsi Corporation.
Le réseau 192.10.0.0 appartient à Boston Symbolics Inc.
Je n'ai pas le temps de détailler ici toutes les incidences de cette pratique encore trop souvent rencontrée.

[Entoni]

Merci pour vos réponses !
Concernant jdh:

- ces adressage internes ne respectent pas la RFC1918 : c'est MAL,
Mea Culpa, mais malheureusement je ne suis pas à l'origine du réseau et des adresses utilisées donc je fais avec.

- les masques ne sont pas indiqués (je les ai imaginés) : il FAUT prendre l'habitude de PRECISER ces masques, entre autre si on veut parler de routes !
Mea Culpa Bis ! Tous les masques sont en 255.255.255.0 sauf celui du réseau en 192.0.0.0 qui est en 255.255.252.0

- il n'est pas précisé que la passerelle par défaut des PC est ipcop,
Effectivement, mais comme vous l'avez deviné c'est bien l'IPCOP la passerelle par défaut

Concernant la route que j'ai ajouté j'ai tapé la commande suivante:
# route add -net 192.0.0.0/22 gw 192.10.200.248

Je la supprime de ce pas et réessaye avec votre commande pour voir si cela change quelquechose.

[Entoni]

Après essai de votre commande j'ai le droit à un message d'erreur:

"route : netmask 000003ff doesn't make sense with host route"

En recherchant sur le web j'ai vu que la commande à taper est donc "route add -net 192.0.0.0 netmask 255.255.252.0 gw 192.10.200.248".

Par contre le problème reste entier, je me retrouve avec la table suivante:

10.93.255.2 0.0.0.0 255.255.255.255 UH 0 0 0 tun0
µµµµµµµµµµµ 0.0.0.0 255.255.255.248 U 0 0 0 eth3
192.10.200.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
192.168.210.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
10.93.255.0 10.93.255.2 255.255.255.0 UG 0 0 0 tun0
192.10.100.0 0.0.0.0 255.255.255.0 U 0 0 0 eth2
192.0.0.0 192.10.200.248 255.255.252.0 UG 0 0 0 eth0
0.0.0.0 µµµµµµµµµµµµµµ 0.0.0.0 UG 0 0 0 eth3

Mon ping fonctionne toujours mais impossible de passer par VNC...

[Entoni]

Personne ? :/

[ccnet]

Ce que j'ai utilisé dans le passé, manuellement ou dans /etc/rc.d/rc.local
route add -net 192.168.99.0 netmask 255.255.255.0 gw 192.168.1.241 eth0

[mab]

salut,

dans la rfc précédemment citée, il me semble qu'il est fait mention d'une interdiction aux routeurs de traiter les classes publiques dans un réseau privé, qu'en est-il d'ipcop ?

[tomtom]

Essaye en desactivant BOT, il n'est pas prévu pour un routage "green vers green". Ca peut venir de lui.
Sinon, que dit un wireshark sur le réseau ? En toute logique, il doit y avoir des ICMP redirect pour indiquer la bonne route au PC. A verifier...

t.

[tomtom]

En complément :

viewtopic.php?f=10&t=37115
viewtopic.php?t=26119

Bonne lecture !

t.

[tomtom]

salut,

dans la rfc précédemment citée, il me semble qu'il est fait mention d'une interdiction aux routeurs de traiter les classes publiques dans un réseau privé, qu'en est-il d'ipcop ?

Hello,


Heu, comment un routeur peut-il savoir qu'il est sur un réseau uniquement privé ?
Ca fait longtemps que je n'ai pas lu la 1918 mais ça m'etonnerait.....

A la limite, elle doit recommander aux routeurs sur Internet d'être configurés pour ne pas router les adresses privées en dehors du réseau local.

t.

[mab]

pour ne pas router les adresses privées en dehors du réseau local

oui, tu as raison, c'est ça, dsl pour le dérangement .