Nattage Interface Eth1 Vers Eth0 Sur Ds713+

[All4linux]

Bonjour,

J'ai un synology DS713+, j'ai deux interfaces réseau (eth0 et eth1)

- eth1 synology (192.168.2.1) connecté à un xtreamer (192.168.2.2) --> 1Gbits
- eth0 synology (192.168.1.17) connecté à une livebox (192.168.1.1) --> 100 Mbits

Je souhaiterai que mon Xtreamer puisse avoir accès à internet.

J'ai déjà effectuer des actions sur le firewall :

J'ai activé les modules iptables_nat et nf_nat pour pouvoir activer les fonctionnalité de nattage du firewall et j'ai ajouté les commandes suivantes dans mon /etc/rc.local :


echo 1 > /proc/sys/net/ipv4/ip_forward

for i in x_tables.ko ip_tables.ko iptable_filter.ko nf_conntrack.ko
nf_defrag_ipv4.ko nf_conntrack_ipv4.ko nf_nat.ko
iptable_nat.ko ipt_REDIRECT.ko xt_multiport.ko xt_tcpudp.ko
xt_state.ko ipt_MASQUERADE.ko
do
/sbin/insmod /lib/modules/$i
done

/sbin/iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
/sbin/iptables -A FORWARD -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
/sbin/iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT

Quand je fais Iptables -L -n -t nat
J'ai les lignes suivantes :

Synology_DS713> iptables -L -n -t nat
Chain PREROUTING (policy ACCEPT)
target prot opt source destination

Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
MASQUERADE all -- 0.0.0.0/0 0.0.0.0/0


Quand je fais un ping -I eth1 www.google.fr sous ssh, j'ai bien la résolution de nom mais pas de réponse au ping

Synology_DS713> ping -I eth1 www.google.com
PING www.google.com (173.194.66.106): 56 data bytes

Pour information je transmets le résultat de la commande route -e

Synology_DS713> route -e
Kernel IP routing table
Destination Gateway Genmask Flags MSS Window irtt Iface
default livebox.home 0.0.0.0 UG 0 0 0 eth0
192.168.1.0 * 255.255.255.0 U 0 0 0 eth0
192.168.2.0 * 255.255.255.0 U 0 0 0 eth1

J'ai ouvert le firewall sur eth0 et eth1 sans résultat.

Votre aide serait grandement apprécié !

Merci

[sonson]

Et ta livebox, elle sait qu'il y a un sous-reseau 192.168.2.x ? Y as tu ajouté une route statique ?

[Sp@r0]

cela n'as d'utilité que si tu veux que les équipements du réseaux de la livebox puisse voir le Xstreamer

[sonson]

Pas seulement.

quand un appareil de 192.168.2.x envoie une trame à la livebox qui le renvoie vers internet ca sort bien.

Mais au retour de la reponse depuis internet, la livebox doit savoir qu'elle a un sous reseau en interne en 192.168.2.x pour la transmettre au routeur (interne, en 192.168.1.x) qui fait le routage entre le sous reseau 192.168.2.x et 192.168.1.x

Principe du routage :

Trajet : Intérieur -------------------------------------------------------------> Exterieur

Chemin : Client ----------->Routeur1-------------> routeur2------------->Google.fr

Adresse IP : .2.2 -----------.2.1+++.1.17----------.1.1--------IP externe1----IP externe2

- Les "passerelles par defaut" permettent la sortie. Le client envoie au Routeur1 qui envoie au Routeur2 qui envoie à google.fr

- Au retour, google repond à l'adresse IP externe1 du Routeur2 qui sait qu'il est connecté au sous-réseau 192.168.1.x. Dans la réponse, google indique que c'est destiné à 192.168.2.2.

- Si Routeur2 n'a pas de route statique vers le sous-réseau 192.168.2.x, il laisse tomber la trame. Comme pour les autres sous-réseaux...

- La route statique de Routeur2 doit dire que si la destination est le sous-reseau 192.168.2.x, il faut envoyer la trame à 192.168.1.17 (Routeur1) qui lui connait le sous-reseau 192.168.2.x

Modifié le 29 juin 2013 par sonson

[PiwiLAbruti]

Un bridge entre eth0 et eth1 serait plus approprié que du NAT.

Il y aurait alors un seul segment réseau (192.168.1/24), ce qui serait beaucoup plus simple.

[Sp@r0]

Pas seulement.

quand un appareil de 192.168.2.x envoie une trame à la livebox qui le renvoie vers internet ca sort bien.

Mais au retour de la reponse depuis internet, la livebox doit savoir qu'elle a un sous reseau en interne en 192.168.2.x pour la transmettre au routeur (interne, en 192.168.1.x) qui fait le routage entre le sous reseau 192.168.2.x et 192.168.1.x

Principe du routage :

Trajet : Intérieur -------------------------------------------------------------> Exterieur

Chemin : Client ----------->Routeur1-------------> routeur2------------->Google.fr

Adresse IP : .2.2 -----------.2.1+++.1.17----------.1.1--------IP externe1----IP externe2

- Les "passerelles par defaut" permettent la sortie. Le client envoie au Routeur1 qui envoie au Routeur2 qui envoie à google.fr

- Au retour, google repond à l'adresse IP externe1 du Routeur2 qui sait qu'il est connecté au sous-réseau 192.168.1.x. Dans la réponse, google indique que c'est destiné à 192.168.2.2.

- Si Routeur2 n'a pas de route statique vers le sous-réseau 192.168.2.x, il laisse tomber la trame. Comme pour les autres sous-réseaux...

- La route statique de Routeur2 doit dire que si la destination est le sous-reseau 192.168.2.x, il faut envoyer la trame à 192.168.1.17 (Routeur1) qui lui connait le sous-reseau 192.168.2.x

Merci pour cette belle explication .... malheureusement je suis aux regrets de t'annoncer que ton raisonnement est faux

Tu confonds le routage et le NAT (Network Adress Translation) en l'occurrence c'est du NAT qu'il cherche à faire (c'est aussi également ce qu'il faut faire sauf si l'on fait des sous réseaux terme dont je t'invite a réviser la définition)

L'option MASQUERADE déclaré dans iptable permet d'activer le NAT en gros tu confies ta requête au routeur et il pose la question au réseau suivant à ta place en son nom (c'est pour cela que c'est bien ton ip public qui apparait quand tu vas sur un site internet qui te l'affiche) Vu du réseau 192.168.1.0/24 toutes connexions établit à partir du 192.168.2.0/24 apparaisse comme étant issue du 192.168.1.17 du coup pas besoin ni route ni même de passerelle pour répondre ...

De même normalement l'accès à internet devrait fonctionner car le trajet est bien celui que tu as indiqué sauf qu'a chaque fois ton paquet est "naté" par le routeur :

192.168.2.123 => 192.168.2.1 qui NAT la requête en 192.168.1.17 => 192.168.1.1 qui NAT en l'ip public de l'ADSL

C'est tout l'intérêt du NAT sinon il faudrait que tout les adresses de réseaux locaux soit différentes pour pouvoir faire du routage dynamique (chose possible avec l'IP V6 qui permet d'abandonné cette fastidieuse étape de NAT) attention toute de même à la sécurité en IPV6 les équipements sont tous directement accessible par internet !!!!! (pratique mais risqué si mal configurer dans le firewall)

Donc je te confirmes que la seul et unique utilité de la route static dans la box c'est de rendre accessible le réseaux 192.168.2.0/24 depuis le 192.168.1.0/24 (au passage tu notera qu'il a interdit ce cas dans le firewall du NAS) en tous cas si cela ne fonctionne pas je dirais que c'est du :

- problème dans la compilation de l'iptables du NAS qui n'inclue pas les module de noyaux nécessaire

- erreur de paramétrage

Je crois avoir lu que certaines personnes ont réussit à le faire mais c'est pas forcément évident car un certains nombres de paramètres ce font écraser par le DSM. Personnellement j'aurais investi dans un switch gigabit posé à coté du ANS pour régler le soucis et j'aurais garder un seul réseau logique (bien que j'en ai 2 chez moi car je voulais avoir plus de liberté de paramétrage de mon routeur du coup DD-WRT rules !!!!)

[sonson]

Merci aussi pour tes précisions.

Je n'avais pas fait attention au fait qu'il a activé le nattage... je raisonnais en routage pur...

Bravo !

[All4linux]

Bonjour à tous,

Ma livebox n'a pas la possibilité de rajouter une route.

J'ai donc fini par acheter un switch Netgear manageable.

Je remercie les contributeurs.

Bonne journée !

[Sp@r0]

Si dans configuration => livebox => paramètre avancée => routage

[All4linux]

Salut Sp@r0,

je n'ai pas routage dans ma configuration avancée sur mon modèle de livebox 2 ZTE.

Bonne journée.