[Routage] Comment activer mes regles de route statique et configurer le tout derriere deux routeurs

[Nemesis666]

Bonjour a tous,

Je vais m'efforcer d'ecrire sans accent, car visiblement ce forum a une dent contre notre chere accentuation (j'ignore si une MAJ est en court, en tout cas des que quelqu'un met un accent, son post est tronque...)

Bref, voila mon soucis : je suis heberge dans une structure ou je n'ai absolument pas la main, on a le droit d'avoir une IP par chambre qu'on loue, d'autres sont dans mon cas et utilisent des routeurs plus classique, genre D-Link et compagnie. Et je ne sais pas pourquoi, chez moi, ça merde.
Alors vous pensez bien qu'avec mon DS415+ paye 600 boulz, je suis plutot enerve de ne pas avoir le droit de profiter du net...

https://www.dropbox.com/s/xueqm587z6218db/Capture%20d%27%C3%A9cran%202015-11-28%2000.11.00.png?dl=0

Comme vous pouvez constater sur ce packet tracer, moi je suis tout a droite derrière mon Syno en mode "routeur de fortune" (NeM-NAS), mon IP est 192.168.38.2/24, la pate de mon routeur de ce coté du reseau est 192.168.38.1/24 (represente par F0/0 sur le PT, "LAN" dans la langue Synology), au milieu, c'est le reseau a qui je loue mon ip : 192.168.6.38 (et je ne peux pas en louer deux, c'est une par client ; represente par F1/0, ou "LAN 2" dans la langue Synology), a l'extreme gauche, le routeur qui nous permet d'aller sur internet, 192.168.6.101.

https://www.dropbox.com/s/swi7220sxz9hmef/Capture%20d%27%C3%A9cran%202015-11-28%2000.00.46.png?dl=0

Comme vous pouvez le constate sur cette image, mon Syno ping tout, internet, les deux réseaux, mais des que moi je veut sortir, boom, il me dit fuck.

J'ai bien cree les routes statique, mais il les met en desactive... Et aucun putain de bouton pour les activer, evidement, ca serait trop facile.

Et evidement, pas moyen de demander quoi que se soir a qui que se soit, tout est automatise de leurs cote...

Modifié le 27 novembre 2015 par Nemesis666

[PiwiLAbruti]

Ces règles de routage statique ne résoudront pas ton problème. Il te faut définir le NAS comme passerelle NAT avec iptables.

[gaetan.cambier]

echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

ps : vérifier que c'est la bonne interface (j'ai mal de tete la) et penser en théorie à securiser la table forward un minimum ;)

[Fenrir]

En complément des 2 précédentes qui réponses (qui sont justes), fais attention à appliquer la règle sur la bonne interface du syno (ce n'est pas forcement eth0, je pense que dans ton cas c'est eth1)

 

[Nemesis666]

Ha oui donc il faut forcément (je remet des accents, ça a l'air de refonctionner) passer par le terminal et entrer dans le code donc, je pensais qu'il y avait une interface directement pour cela =/ .

Je vais tenter cela en tout cas.

EDIT : Alors, je sais pas ce que j'ai foutu, j'ai tout flingué, du coup j'ai fais un reset reseau du Syno via le petit bouton à l'arrière, et du coup maintenant "LAN" s'appel "LAN 1" (il a changé de nom, comme ça, boom), et maintenant je n'arrive pu à faire communiquer le Syno avec mon réseau interne (le coté droit du schéma).
Bon, j'ai du oublier un truc quelque part, m'enfin c'est rageant tout cela, j'aurais vraiment préféré une interface graphique bon dieu.

EDIT2 : Damn, nan en fait c'est bon ça ping à l'intérieur... J'avais oublié le pare-feu >.> ahem.

Bon, maintenant, quand j'entre la commande, cela me répond :
 

Citation

iptables v1.4.21: can't initialize iptables table `nat': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.

 

Modifié le 29 novembre 2015 par Nemesis666

[gaetan.cambier]

Une interface graphique est toujours limité. Il est impossible de mettre en graphiques les millier de possibilité que l'on a via la ligne de commande.

En plus c'est souvent bien plus rapide

[Nemesis666]

"Everythings is possible" disent-ils dans la pub :D !

Petite question : j'ai deux connexions réseau, du Wifi chez WiFirst, et une ligne loué chez le fameux prestataire, j'aimerais bien dire à ma commande ping, sur mon hôte local, de passer par telle ou telle interface (là il passe par le WiFi, forcément, ça répond), sans avoir à déconnecter tout les quatre matins.

Une idée sur ce point ?

[Nemesis666]

Donc, d'après mes recherches, ce message d'erreur semble lié à l'absence d'un "module" à "iptables", pour rajouter ce module, il faut rajouter un package "OpenVPN", pour ce faire, j'ai rajouté le package "VPN Server", activé le service OpenVPN un peu comme je pouvais, et... Et bien... :

https://www.dropbox.com/s/wqi5akl85cj2ddx/Capture%20d%27%C3%A9cran%202015-11-29%2018.57.58.png?dl=0

https://www.dropbox.com/s/a3y50cx07oqxt0p/Capture%20d%27%C3%A9cran%202015-11-29%2018.58.08.png?dl=0

Bon, après m'avoir lu tout au long de ce topic, vous avez probablement remarqué que je suis du genre à cliquer partout, à tout cocher/décocher et à essayer toutes les options possible quelque soit l'ordre ou la logique, le tout en priant à chaque modification, c'est une méthodologie discutable mais quand on y connaît rien, hein...

Evidement, ça ne marche pas, faut peut-être que je m'y connecte à ce fameux VPN vous allez me dire... M'enfin... Bon... C'était pas prévu au programme ça.

EDIT : Okay, donc en fait c'était pas OpenVPN mais PPTP qu'il fallait utiliser, puis créer une connexion Windows.

Donc ça, sa marche sur un équipement sur le quel j'ai la main, par contre sur un Smartphone, configurer un VPN à chaque fois, ça va être galère, surtout que là avec ce PC j'avais déjà des rêgles de QoS configuré localement (Connectify pour ceux qui connaissent) qui du coup ne fonctionnent plus, ça ne m'arrange pas, il faudrait que ça marche "tout seul", si vous voyez ce que je veux dire, sans que j'ai à m'amuser avec des VPN de ceci cela bidule chose.

EDIT2 : Jme suis dit "j'vais créer une interface réseau qui va directement relié LAN 1 et LAN 2 via un VPN directement dans la boîboîte"... Bon, ça a du boucler quelque part ou je sais pas quoi, j'ai du reset encore une fois, ça a tout cassé... Peut-être que j'avais configuré mon VPN avec un chiffrement et que j'ai tenté de créer une interface sans Chiffrement ? C'est possible que ça soit la cause du bordel ? Là j'hésite à retrippoter ça, pcq jcommence à en avoir mare de tout reconfigurer tout les quatre matins xD .......

https://www.dropbox.com/s/erixh5pv2pqtmcg/Capture%20d%27%C3%A9cran%202015-11-29%2019.33.51.png?dl=0

https://www.dropbox.com/s/el56cex77g9npm8/Capture%20d%27%C3%A9cran%202015-11-29%2019.37.04.png?dl=0

Modifié le 29 novembre 2015 par Nemesis666

[Fenrir]

Ce que tu dois faire :

1. remets tout en état comme dans ton premier post (le syno doit avoir accès à internet, tu peux vérifier en actualisant la liste des paquets par exemple)
2. connecte toi ssh sur le syno et entre la commande suivante : ip route
   • tu devrais avoir une ligne commençant par "default"
   • note le nom de l'interface au bout de la ligne (ethX)
3. entre les commandes suivantes :
   • echo 1 > /proc/sys/net/ipv4/ip_forward
   • iptables -t nat -A POSTROUTING -o ethX -j MASQUERADE
4. configure ton pc pour que sa passerelle par défaut soit l'adresse du syno sur l'autre carte (celle qui est de ton coté)
5. depuis ton pc, essaye d'accéder au net

 

[gaetan.cambier]

Et éviter de faire tout et n'importe quoi sans réfléchir, il y a de la logique dans l'informatique et quand on lit un tutoriel sur le net, il faut pas l'appliquer bêtement, faut le comprendre pour pouvoir modifier ce que faut dedans pour l'adapter à sa situation personnelle.

[Nemesis666]

En effet, tout semble fonctionner à merveille on dirait bien !

EDIT : oui alors, à noter qu'il ne faut pas que je coupe le VPN PPTP sinon ça déconne...
Ca a carrément renommé mon interface en "br0" ("Hey bro !"), ça m'a dégagé mes données "par défaut", j'ai reboot, c'est repassé à "eth1", j'ai re-reboot, c'est repassé à "eth0"...
Alors, déjà j'ignorais qu'une interface pouvais changer de nom comme ça, à la volée, m'enfin bon, ça a l'air de marcher là.

EDIT2 : Je viens de reperdre la connexion encore une fois, c'est à n'y rien comprendre... Je garde la co 5 minutes et puis pouf... Je reboot encore...

Modifié le 30 novembre 2015 par Nemesis666

[gaetan.cambier]

Il y a 2 heures , Nemesis666 a déclaré:

Je garde la co 5 minutes et puis pouf... Je reboot encore...

Une habiture d'utilisateur windows je présume ?

[Nemesis666]

Oui, en effet xD ...
Bon, jme suis recollé derrière le VPN en attendant.

[Fenrir]

à un moment où ça marche, sans le vpn, connecte toi en ssh sur le syno et entre les 2 commandes suivantes :

ip a
ip r

puis quand ça ne marche plus, avant de rebooter, refais les 2 commandes

et enfin, post le résultat ici

[gaetan.cambier]

je ne comprend en rien le pourquoi de ce vpn pour une simple probleme de routage

sans compter le type de vpn choisit (pptp le pire)

et encore moins les options configurée, (quoi que à choisir entre un cryptage qui est cassé et aucun cryptage dans un sens pourquoi pas ...)

[Nemesis666]

Comme je le disais, le VPN apporte une pile "NAT" à "IP TABLES", sans VPN, pas de pile NAT, pas de routage. Je ne sais pas comment ni pourquoi, j'ai trouvé ça sur le net, et ça a semblé fonctionner pendant un temps.

Voici le résultat des commandes, cela dit je l'ai fait pendant que le VPN était activé (pas moyen de reproduire le schéma dans le quel le VPN est désactivé et le routage effectif) :

IP A :

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: sit0: <NOARP> mtu 1480 qdisc noop state DOWN
    link/sit 0.0.0.0 brd 0.0.0.0
3: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP qlen 1000
    link/ether 00:11:32:41:b8:1f brd ff:ff:ff:ff:ff:ff
    inet 192.168.6.38/24 brd 192.168.6.255 scope global eth0
       valid_lft forever preferred_lft forever
4: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP qlen 1000
    link/ether 00:11:32:41:b8:20 brd ff:ff:ff:ff:ff:ff
    inet 192.168.38.1/24 brd 192.168.38.255 scope global eth1
       valid_lft forever preferred_lft forever
6: ppp200: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1400 qdisc pfifo_fast state UNKNOWN qlen 3
    link/ppp
    inet 10.0.0.0 peer 10.0.0.1/32 scope global ppp200
       valid_lft forever preferred_lft forever
    inet6 fe80::211:32ff:fe41:b81f/10 scope link
       valid_lft forever preferred_lft forever
 

IP R :

default via 192.168.6.101 dev eth0
10.0.0.1 dev ppp200  proto kernel  scope link  src 10.0.0.0
192.168.6.0/24 dev eth0  scope link  src 192.168.6.38
192.168.38.0/24 dev eth1  scope link  src 192.168.38.1
 

Modifié le 1 décembre 2015 par Nemesis666

[Fenrir]

donc on a :

• eth0 : branché coté internet
• adresse : 192.168.6.38
• masque : 255.255.255.0
• passerelle par défaut : 192.168.6.101

Dans cette configuration, le nas a t'il accès à Internet (j’avais déjà posé la question précédemment, sans réponse)

Si tu configure ton pc avec ces infos et que tu le branche en direct (sans passer par le nas), ça marche ?

[Nemesis666]

Oui / Oui (sous réserve que je change l'adresse MAC de ma carte réseau à cause du filtrage).

Je viens de voir cela :

 

Citation

sh -c 'echo 1 > /proc/sys/net/ipv4/ip_forward'

Si vous ne rendez pas cette règle persistante, au prochain redémarrage du serveur, plus personne ne pourra se connecter. Pour éviter de tout recommencer au prochain redémarrage, ouvrez le fichier /etc/sysctl.conf :

nano /etc/sysctl.conf

 

# Uncomment the next line to enable packet forwarding for IPv4
net.ipv4.ip_forward=1

En remplaçant nano par vi j'ai un truc mais j'arrive pas à modifier, et de toute manière y'a juste un bidule kernel panic, il faudrait que je rajoute la ligne manuellement, ce qui me semble étrange.

Toujours pas d'astuce pour adresser un ping sur une interface en particulier ?

Modifié le 2 décembre 2015 par Nemesis666

[Fenrir]

ping, comme la quasi totalité des logiciels, passe par la table de routage pour déterminer l'interface

pour sysctl, fais juste ça :

 echo "net.ipv4.ip_forward=1" >> /etc/sysctl.conf

sinon avec vi :

• i => pour passer en mode insertion
• o => pour créer une nouvelle ligne et passer en mode insertion
• la touche échappe (ESC/Ech) suivi de la touche ":" pour entrer une commande
  • :w => enregistre
  • :q => quitte
  • :wq => enregistre et quitte
  • :x => enregistre et quitte
  • :q! => quitte sans enregistrer

[Nemesis666]

La donné s'est en effet rajouté en ligne 2, bon, ça, c'est fait.

Maintenant, il faut que je trouve pourquoi ça coince quand je coupe le VPN, ce n'est visiblement pas normal d'en avoir besoin (malgré que j'ai trouvé cette solution sur le net, ce qui signifie que d'autres avant moi avaient également ce problème).

[gaetan.cambier]

Il y a 6 heures , Fenrir a déclaré:

pour sysctl, fais juste ça :

 echo "net.ipv4.ip_forward=1" >> /etc/sysctl.conf

le problème de cette solution est qu'elle pourrait etre ecrasée par une mise à jour

la meilleur methode pour que cela soit permanent est d'activer le routage via un script stocker dans le dossier /usr/local/etc/rc.d/

[Nemesis666]

Je note cela dans un coin.

[Nemesis666]

Bon, j'ai inscrit la ligne.

Mon problème n'est toujours pas réglé, je switch entre le WiFi et le VPN, je vous avoue que ça m'éreinte le moral et que j'en ai plus que mare, et que du coup j'ai laissé ça en stand by en "faisant avec", avec tout ce que ça comporte de coupure administrative (par adresse MAC ; jme souviens plus si j'vous ai raconté le calvaire dans le quel je me trouve, cette espèce de structure incapable de mettre en place de la putain de QoS et qui préfère couper la connexion des gens quand ça dépasse le quota de débit...).

'fin bref, le ras le bol.

Tout ça pour en revenir à mon problème où il va falloir sérieusement se pencher, on va résumer tout cela :

 

Actuellement, il y a un VPN qui sert à "router" d'une interface réseau à l'autre, les 2 lignes de commandes de routage ont été rentrée et même inscrite dans un fichier de conf de démarrage, mais pour une raison qu'on ignore, de base ça ne route pas sans VPN, car ce dernier semble apporte une couche protocolaire, le NAT, qui ne fonctionne pas toute seule comme une grande.
On peut essayer de se demander "Pourquoi ?" pour tenter de répondre à "Comment résoudre le problème", ou chercher à combler le problème par un biais (mettre ce putain de NAT par défaut quelque part pour éviter qu'il m'emmerde avec le VPN), ou une troisième solution peut-être ?

Modifié le 15 décembre 2015 par Nemesis666

[Einsteinium]

Et bien tu cherche compliqué tout simplement... Soit tu achète un routeur pour faire la passerelle (ce que font les autres si j'ai bien compris ton topo initiale), soit tu utilise le nas comme passerelle, tu lui claque le serveur dhcp et voilà.... C'est l'histoire de 5 minutes pour un newbies comme configuration ;-)

[gaetan.cambier]

Un vpn utilise pour faire du routage, on va la noté celle la mdr