Fonction Routeur

[remix]

Bonjour,

Pour faire suite à mon je souhaiterais utiliser mon Syno comme routeur.

Les utilisateurs locaux seront donc sur un sous réseau connecté à l'interface ETH2, et l'interface ETH1 sera connectée, elle, au réseau qui nous fournit internet (probablement routeur/modem, je n'ai pas plus d'info, on ne me fournit qu'une prise RJ)

J'ai potassé ce post, qui semble un bon point d'entrée en matière. On me dit également de mettre en place un proxy server.

Quel est le lien entre la table de routage et le serveur proxy? Me faut-il faire les 2? A quoi sert le serveur proxy? Comment se configure-t-il?

Merci!

[domlas]

Avant de parler proxy il faudrait en premier connaitre ce que te fournit exactement la boite mère au travers de son "arrivée RJ45". Il est plus que probable qu'ils aient mis déjà eux mêmes un proxy afin de ne te laisser qu'un accés réduit à internet, en verrouillant certains ports pour interdire les P2P par exemple ou pénétrer leur propre réseau.

Une prise de contact avec leur administrateur de réseau informatique me semble indispensable pour bien définir ce que tu peux attendre actuellement de cette connexion et quelles seraient les droits qui pourraient t'être ouvert en cas de besoin.

Pour cela il te faut définir précisément les besoins que tu désires sur Internet. Juste pour gérer des mails ? Même pour cette fonction semblant "anodine" il se peut très bien que la boite mère applique des conditions particulières. Il se peut très bien aussi que certains services ou zônes géographiques soient limités voit verrouillés. Que les débiuts soient bridés...

Donc commencer par établir un "cahier des charges" très précis de tes besoins sur internet, courriels etc.

C'est seulement une fois ce cahier des charges totalement complété d'abord avec tes désirs et ensuite avec les réponses de la boite mère qui tu pourras configurer ton routeur et si besoin un proxy.

Il te restera le problème de la wifi. Ta wifi actuelle tourne sur la plage IP du routeur de la boite mere. Tant que tu n'utises pas ton réseau privé, pas de problème à part probablement des limitations d'accès et les risques de gros ralentissements de débits par saturation du wifi.

Par contre en créant ton propre réseau privé même s' il n'est que filaire ta plage IP sera différente de celle de la boite mère. Et là tes ordis auront du mal à utiliser les 2. Soit ils se connectent à l'allumage à l'un des réseaux soit à l'autre mais jamais aux 2.

Si tu veux garder la wifi il te faudrait créer ta wifi propre soit avec un routeur/wifi, soit en connctant une base wifi deerrière le routeur du syno. De crér ta propre wifi te permettrait de ne pas brancher tes ordis mobiles en filaire rout en ayant accès à Internet et à ton syno.

[gaetan.cambier]

le serveur proxy te permettra d'accelerer les acces au web en faisant de la mise en cache, et pourquoi pas du filtrage si tu veux (deja filtrer les pub, c'est du bonheur je trouve personellement )

toute facon, avant tout, faut que le routage simple fonctionne, donc que tes utilisateur ait acces au net direct, après tu peux mettre en plus le proxy en plus si tu veux

[remix]

OK, c'est bien ce qu'il me semblait (pour le routage vs proxy)

Si le NAS devient routeur, alors les utilisateurs passeront 100% par le réseau du NAS (plus de wifi, ou alors un nouveau wifi dans le sous réseau du nas).

J'attends depuis 2 semaines de rencontrer un admin réseau...

Merci pour ces retours et reprise du post lorsque j'aurai de la matière

Modifié le 1 avril 2015 par remix

[domlas]

En attendant ke pense qu'avec leur connexion tu dois avoir au minimum accès à l'internet courant, portails des grands sites, navigation, courriels. Au moins comme ce qu'ils permettent en wifi.

On ne t'a pas donné de documents, contrats d'utilisation, notices à ton entrée dans les lieux ?

[remix]

Non j'ai rien, ils hébergent des starts up et ne fournissent qu'un wifi. Mais pour l'instant, je n'utilise pas encore le cable RJ car je n'ai pas de diffusion de la passerelle via DHCP. A la place, j'ai collé un Point d'accès connecté au wifi également.

Ceci va me permettre de tester des premières configurations de routage du NAS.

[gaetan.cambier]

Pense aussi a mettre le bon server DNS dans le DHCP ( celui de la boite qui te donne le net) ou installé un serveur DNS mais c'est optionnel

[remix]

Donc en attendant les infos de l'admin, j'ai fait quelques manip de routeage:

J'ai donc un réseau local filaire (192.168.1.x) connecté au NAS sur ETH2 (IP fixe 192.168.1.1 et serveur DHCP) et connecté à un post client (sous windows et qui prend bien une IP fournie par le DHCP du NAS)

Sur ETH1 du NAS, un point d'accès Wifi et le NAS voit correctement internet par ce bief!

Je souhaite donc utiliser mon post client pour accéder à internet en utilisant le NAS comme routeur.

J'ai saisi en ssh les lignes suivantes:

echo "1" > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j MASQUERADE

Malheureusement, pas d'accès à internet depuis mon post client, uniquement accès au NAS.

J'ai donc tenté ça:

>tracert www.google.com  
Impossible de résoudre le nom du système cible www.google.fr

>tracert 8.8.8.8
Détermination de l'itinéraire [...] 
1   <1 ms   <1ms   <1ms   NOMDUNAS [192.168.1.1]
2   3ms      3ms      3ms    90.83.abc.def
[...]
11   16ms   15ms   17ms   8.8.8.8
Itinéraire déterminé.

J'ai donc un soucis de DNS right?

(Note: le tracert a mis pas loin de 2min pour se terminer. Est-ce normal que ce soit si long?)

Modifié le 1 avril 2015 par remix

[gaetan.cambier]

Le tracert 8.8.8.8 est arrivé a destination ? (Vois pas tout le tracert de mon GSM ou tu l'a pas poster entièrement)

Si oui, juste problème de DNS, si non, problème de routage

[remix]

Oui il est arrivé à destination (j'ai volontairement masqué une partie, ayant un doute sur la confidentialité d'une telle information)

Qu'est-ce qui pourrait coincer côté DNS?

ETH1 choppe son DNS du réseau Wifi via DHCP

ETH2, j'ai rentré le DNS d'OVH en dur (pour ETH2 et dans le DCHP serveur)

[gaetan.cambier]

donc en fait, le routage fonctionne

donc soit tu met le meme dns ce celui dournis par la boite qui te fournis internet, soit un autre (8.8.8.8 ou autre)

et après, ca passera normalement

[remix]

Bon voila, le soucis de DNS est résolu (merci google,et son 8.8.8..

Et maintenant? J'ai installé le packet proxy server, mais je n'ose pas trop tester n'importe quoi dessus...

Un conseil? un tuto? un cours en ligne?

Merci!

Modifié le 3 avril 2015 par remix

[gaetan.cambier]

Des tuto sur squid, il y en a des milliers

Faut surtout savoir ce que tu veux faire de ton proxy, on peut faire des tas de choses utile pour utilisation privée ou professionnel

Modifié le 3 avril 2015 par Gaetan Cambier

[remix]

Je ne sais pas encore exactement ce que je veux faire avec. Dans un premier temps, disons que je souhaite utiliser le cache. On verra ensuite pour faire du filtrage...

Du coup, que dois-je saisir dans proxy server? L'interface semble minimaliste, il n'y a rien à configurer? Un installe le paquet et ca roule?

[remix]

Bonjour,

Je n'arrive plus à pinguer le nas sur le réseau local. Est-ce que ca pourrait être lié à la config de routage nat?

(Tout le reste ping bien, postes locaux, internet,...)

[domlas]

Le syno n'a pas d'IP fixe ? Il est resté en DHCP auto ?

Fais lui faire un redémarrage (arrêt par appui maintenu du poussoir M/A puis remise en marche).

[remix]

non il est bien en IP fixe (192.168.1.1) et pas de changement après redémarrage...

Est-ce qu'il n'y aurait pas une option pour désactiver les réponses au ping et que j'aurais manipulée par mégarde?

[domlas]

192.168.1.1 ???

Tu es bien certain ? En principe c'est l'adresse du routeur de la box...

Il est préférable de toujours laisser le syno en automatique.

Si on veut qu'il est toujours la même IP il faut :

soit lui donner une IP fixe assez "haute" genre 192.168.1.100 par exemple (à condition qu'on ait moins de 100 appareils branchés sur le réseau)

soit (et de loin la meilleure solution) laisser le syno en DHCP auto et lui faire une "réservation d'adresse" dans le routeur.

[remix]

Pour rappel, j'ai 2 interfaces:

- Un sur le réseau local (192.168.1.x) dont le nas (192.168.1.1) est le dhcp server et également la passerelle de sortie, puisqu'il est configuré en routeur (voir ci-dessus).

- La 2eme est connectée à un accès internet fournit par une entreprise tierce dont je ne connais pas la configuration. sur cette interface, le NAS a bien une IP dynamique fournie par la société tierce...

Donc mes postes clients passent par la fonction routeur du nas pour accéder à internet.

Et donc depuis un poste client, je peux pinguer un autre poste dans le sous réseau, je peux pinguer google, mais je ne ping pas le nas (192.168.1.1)...

[Fenrir]

Et donc depuis un poste client, je peux pinguer un autre poste dans le sous réseau, je peux pinguer google, mais je ne ping pas le nas (192.168.1.1)...

pare feu du nas ...

[remix]

pare feu du nas ...

Quel port est attaqué par un ping?

[gaetan.cambier]

bon, ca se verifie très vite en ssh ca :

iptables -nL

et poste le resultat, on saura vite

[remix]

iptables -nL

[gaetan.cambier]

a part le dos protect, qui limite le nombre de ping à 1/sec (si +, il ne repond plus), il y a rien d'autres

désactive cette protection dans :

panneau de config --> securité --> protection

et decoche la protection dos pour tester

[Moise44]

Quel port est attaqué par un ping?

Attention le ping utilise un autre protocole que TCP : il utilise le protocole ICMP, et donc le port n'est pas déterminé. En revanche, ICMP permet différentes possibilités. Voir la fiche RFC correspondante :

http://www.commentcamarche.net/contents/521-le-protocole-icmp