Forum Linux.débutant Debian sur mini serveur qui ne veut pas faire routeur

Posté par  . Licence CC By‑SA.
Étiquettes : aucune
4
15
sept.
2023

Bonjour,

Je ne suis pas complètement sûr que ce soit la bonne partie du forum, les modérateurs pourront déplacer mon message si besoin.

J'ai un mini serveur sur lequel j'ai installé Debian, et je souhaite m'en servir comme routeur, DHCP et DNS pour le cas où je change d'opérateur internet : ainsi j'aurai mon réseau qui reste le même. En effet, j'ai un point d'accès Wifi, bien mieux placé que ma box et qui délivre une meilleure qualité de connexion, ainsi que quelques ports RJ45 disposés ça et là chez moi. Aussi, ça me permettra de faire des choses, du bidouillage, auto héberger un site web, je ne sais pas encore quoi d'autre, mais cela viendra !

Physiquement, voici comment j'ai procédé :

Sur ma box, j'ai branché sur un des ports RJ45 mon mini serveur, auquel j'ai attribué un bail fixe avec l'IP suivante : 192.168.0.29
Sur le deuxième port, j'ai branché un câble RJ45 qui arrive sur un switch : sur le switch, j'ai un RJ45 pour brancher mon PC dessus et faire des tests de connectivité, et sur l'autre j'ai le point d'accès wifi.

Ensuite, pour configurer le serveur comme un routeur, je branche mon client en windows 10 sur un des ports de la box et je me connecte en ssh sur le serveur.
Sans donner toutes commandes exactes, j'ai fait ceci :

enp2s0 : interface connectée à la box, pas de changement.

enp3s0 : interface connectée au réseau interne dont voici la configuration :
#internal network card
auto enp3s0
iface enp3s0 inet static
        address 192.168.0.254
        netmask 255.255.255.0

J'ai modifié le fichier /etc/sysctl.conf : j'ai décommenté la ligne net.ipv4.ip_forward=1 puis rechargé sysctl

J'ai installé et configuré le pare-feu avec nftables, j'ai tenté de rendre la règle persistante avec la commande nft list ruleset >> /etc/nftables.conf, mais j'ai obtenu le message suivant (j'ai tenté la commande en sudo et en root)

# Warning: table ip nat is managed by iptables-nft, do not touch!
# Warning: table ip filter is managed by iptables-nft, do not touch!

Sur le client j'ai modifié les paramètres internet de la carte réseau (centre réseau et partage). J'ai mis en passerelle 192.168.0.254 et 192.168.0.29, pareil pour le DNS.

Quand j'essaie de me connecter en ssh sur le port de sortie du mini serveur, voici le message d'erreur : ssh: connect to host 192.168.0.29 port 22: Connection timed out
Si j'essaie de le pinger (j'ai aussi essayé avec l'IP 192.168.0.254), ça ne fonctionne pas, voici l'affichage :

Envoi d’une requête 'Ping'  192.168.0.29 avec 32 octets de données :
Réponse de 192.168.0.36 : Impossible de joindre l’hôte de destination.
Réponse de 192.168.0.36 : Impossible de joindre l’hôte de destination.
Réponse de 192.168.0.36 : Impossible de joindre l’hôte de destination.
Réponse de 192.168.0.36 : Impossible de joindre l’hôte de destination.

Statistiques Ping pour 192.168.0.29:
    Paquets : envoyés = 4, reçus = 4, perdus = 0 (perte 0%),

Voici le résultat de la commande ip a :

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host noprefixroute
       valid_lft forever preferred_lft forever
2: enp2s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
    link/ether 00:e0:4c:68:01:86 brd ff:ff:ff:ff:ff:ff
    inet 192.168.0.29/24 brd 192.168.0.255 scope global dynamic enp2s0
       valid_lft 27003sec preferred_lft 27003sec
    inet6 2a01:e0a:aad:6980:2e0:4cff:fe68:186/64 scope global dynamic mngtmpaddr
       valid_lft 86254sec preferred_lft 86254sec
    inet6 fe80::2e0:4cff:fe68:186/64 scope link
       valid_lft forever preferred_lft forever
3: enp3s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
    link/ether 00:e0:4c:68:01:87 brd ff:ff:ff:ff:ff:ff
    inet 192.168.0.254/24 brd 192.168.0.255 scope global enp3s0
       valid_lft forever preferred_lft forever
    inet6 fe80::2e0:4cff:fe68:187/64 scope link
       valid_lft forever preferred_lft forever

Avez-vous des idées pour que cela fonctionne ?

  • # Cela ne peut pas fonctionner (correctement) en l'état

    Posté par  (site web personnel) . Évalué à 10.

    Je mets de côté l'éventuelle configuration pare-feu.

    Ta machine a deux interfaces différentes avec le même réseau : 192.168.0.0/24.

    Si un paquet arrive sur une des IP 192.168.0.29 ou 192.168.0.254, la réponse à destination de l'IP 192.168.0.X va être envoyée… via l'une ou l'autre des interfaces (voir la notion de métrique, visible dans la sortie d'ip route).

    Le plus simple est d'utiliser deux réseaux différents. Et seule une des deux IP (celle côté réseau local — enp3s0 — et pas celle du réseau FAI — enp2s0) est à renseigner dans la configuration de tes postes (hors routeur).

    Le premier réflexe quand des paquets n'arrivent pas au bon endroit, c'est utiliser tcpdump ou équivalent. Dans le cas présent, tu devrais voir arriver des paquets sur le routeur, les éventuelles réponses et leur destination.

    Debian Consultant @ DEBAMAX

    • [^] # Re: Cela ne peut pas fonctionner (correctement) en l'état

      Posté par  . Évalué à 1.

      Si je comprends bien, il faut que change l'adresse IP du serveur Debian pour que l'interface enp3s0 soit une adresse IP sur un réseau autre que 192.168.0.0/24.
      Est-ce que 192.168.200.0/24 est un réseau différent de 192.168.0.0/24 ?

      J'ai de grosses lacunes en réseau, je n'ai pas encore beaucoup travaillé cette notion.

      Voici la nouvelle config

      #internal network card
      auto enp3s0
      iface enp3s0 inet static
              address 192.168.200.254
              netmask 255.255.255.0
      

      Sur le poste client, j'ai entré donné l'IP 192.168.200.100/24, passerelle 192.168.200.254, DNS 192.168.200.254.
      Lorsque depuis le client je ping 192.168.200.100 voici le résultat :

      Envoi d’une requête 'Ping'  192.168.200.254 avec 32 octets de données :
      Réponse de 192.168.200.100 : Impossible de joindre l’hôte de destination.
      Délai d’attente de la demande dépassé.
      Délai d’attente de la demande dépassé.
      Réponse de 192.168.200.100 : Impossible de joindre l’hôte de destination.
      
      Statistiques Ping pour 192.168.200.254:
          Paquets : envoyés = 4, reçus = 2, perdus = 2 (perte 50%),
      

      Cela signifierait-il qu'il se passe quelque chose ?
      J'ai donc voulu en savoir plus sur tcpdump, j'ai voulu l'installer, mais sans succès, voici ce que j'obtiens :

      Ign:1 http://deb.debian.org/debian bookworm/main amd64 libpcap0.8 amd64 1.10.3-1
      Ign:2 http://deb.debian.org/debian bookworm/main amd64 tcpdump amd64 4.99.3-1
      Ign:1 http://deb.debian.org/debian bookworm/main amd64 libpcap0.8 amd64 1.10.3-1
      Ign:2 http://deb.debian.org/debian bookworm/main amd64 tcpdump amd64 4.99.3-1
      Ign:1 http://deb.debian.org/debian bookworm/main amd64 libpcap0.8 amd64 1.10.3-1
      Ign:2 http://deb.debian.org/debian bookworm/main amd64 tcpdump amd64 4.99.3-1
      Err:1 http://deb.debian.org/debian bookworm/main amd64 libpcap0.8 amd64 1.10.3-1
        Temporary failure resolving 'deb.debian.org'
      Err:2 http://deb.debian.org/debian bookworm/main amd64 tcpdump amd64 4.99.3-1
        Temporary failure resolving 'deb.debian.org'
      E: Failed to fetch http://deb.debian.org/debian/pool/main/libp/libpcap/libpcap0.8_1.10.3-1_amd64.deb  Temporary failure resolving 'deb.debian.org'
      E: Failed to fetch http://deb.debian.org/debian/pool/main/t/tcpdump/tcpdump_4.99.3-1_amd64.deb  Temporary failure resolving 'deb.debian.org'
      E: Unable to fetch some archives, maybe run apt-get update or try with --fix-missing?
      
      

      J'ai donc essayé la commande apt-get update mais cela renvoie ces lignes :

      Ign:1 http://deb.debian.org/debian bookworm InRelease
      Ign:2 https://download.docker.com/linux/debian bookworm InRelease
      Ign:3 http://deb.debian.org/debian bookworm-updates InRelease
      Ign:4 http://security.debian.org/debian-security bookworm-security InRelease
      Ign:1 http://deb.debian.org/debian bookworm InRelease
      Ign:4 http://security.debian.org/debian-security bookworm-security InRelease
      Ign:2 https://download.docker.com/linux/debian bookworm InRelease
      Ign:3 http://deb.debian.org/debian bookworm-updates InRelease
      Ign:1 http://deb.debian.org/debian bookworm InRelease
      Ign:2 https://download.docker.com/linux/debian bookworm InRelease
      Ign:4 http://security.debian.org/debian-security bookworm-security InRelease
      Ign:3 http://deb.debian.org/debian bookworm-updates InRelease
      Err:1 http://deb.debian.org/debian bookworm InRelease
        Temporary failure resolving 'deb.debian.org'
      Err:4 http://security.debian.org/debian-security bookworm-security InRelease
        Temporary failure resolving 'security.debian.org'
      Err:2 https://download.docker.com/linux/debian bookworm InRelease
        Temporary failure resolving 'download.docker.com'
      Err:3 http://deb.debian.org/debian bookworm-updates InRelease
        Temporary failure resolving 'deb.debian.org'
      Reading package lists... Done
      W: Failed to fetch http://deb.debian.org/debian/dists/bookworm/InRelease  Temporary failure resolving 'deb.debian.org'
      W: Failed to fetch http://security.debian.org/debian-security/dists/bookworm-security/InRelease  Temporary failure resolving 'security.debian.org'
      W: Failed to fetch http://deb.debian.org/debian/dists/bookworm-updates/InRelease  Temporary failure resolving 'deb.debian.org'
      W: Failed to fetch https://download.docker.com/linux/debian/dists/bookworm/InRelease  Temporary failure resolving 'download.docker.com'
      W: Some index files failed to download. They have been ignored, or old ones used instead.
      
      

      Je ne comprends pas pourquoi, cela devrait fonctionner, je suis sûr que lors de l'installation de debian j'avais exécuté apt-get update et cela avait fonctionné.

      J'ai l'impression que j'ai davantage de problèmes que ce que je pensais.

    • [^] # Re: Cela ne peut pas fonctionner (correctement) en l'état

      Posté par  . Évalué à 1.

      Sans que je comprenne pourquoi (j'aurais bien aimé), j'ai pu installer tcpdump

      J'ai donc allumé un deuxième ordinateur pour le brancher sur le switch qui est directement relié au serveur. J'ai donné à ce client l'IP 192.168.200.2, passerelle 192.168.200.254, DNS 192.168.200.254

      Je ne sais pas comment analyser les retours de tcpdump.

      Sur mon premier client, je suis toujours connecté en ssh via le wifi de la box.
      Voici le résultat de la commande tcpdump -i enp3s0 lorsque je branche le client n°2 sans faire de requête ICMP :

      tcpdump: verbose output suppressed, use -v[v]... for full protocol decode
      listening on enp3s0, link-type EN10MB (Ethernet), snapshot length 262144 bytes
      23:53:42.258788 ARP, Request who-has 192.168.200.254 tell 192.168.200.2, length 46
      23:53:42.258838 ARP, Reply 192.168.200.254 is-at 00:e0:4c:68:01:87 (oui Unknown), length 28
      23:53:42.283216 IP6 fe80::fff9:4190:9b48:ee02.dhcpv6-client > ff02::1:2.dhcpv6-server: dhcp6 solicit
      23:53:42.582197 ARP, Request who-has 192.168.200.2 tell 0.0.0.0, length 46
      23:53:42.582231 IP6 :: > ff02::1:ff48:ee02: ICMP6, neighbor solicitation, who has fe80::fff9:4190:9b48:ee02, length 24
      23:53:42.582369 IP6 fe80::fff9:4190:9b48:ee02 > ip6-allrouters: ICMP6, router solicitation, length 8
      23:53:42.582828 IP6 fe80::fff9:4190:9b48:ee02 > ff02::16: HBH ICMP6, multicast listener report v2, 1 group record(s), length 28
      23:53:43.090021 ARP, Request who-has 192.168.200.254 tell 192.168.200.2, length 46
      23:53:43.090024 IP6 fe80::fff9:4190:9b48:ee02 > ff02::16: HBH ICMP6, multicast listener report v2, 1 group record(s), length 28
      23:53:43.090072 ARP, Reply 192.168.200.254 is-at 00:e0:4c:68:01:87 (oui Unknown), length 28
      23:53:43.299263 IP6 fe80::fff9:4190:9b48:ee02.dhcpv6-client > ff02::1:2.dhcpv6-server: dhcp6 solicit
      23:53:43.584051 ARP, Request who-has 192.168.200.2 tell 0.0.0.0, length 46
      23:53:43.584122 IP6 fe80::fff9:4190:9b48:ee02 > ip6-allnodes: ICMP6, neighbor advertisement, tgt is fe80::fff9:4190:9b48:ee02, length 32
      23:53:43.608245 IP6 fe80::fff9:4190:9b48:ee02 > ff02::16: HBH ICMP6, multicast listener report v2, 1 group record(s), length 28
      23:53:43.608587 IP 192.168.200.2.52989 > 192.168.200.254.domain: 16897+ A? time.windows.com. (34)
      23:53:43.608765 IP 192.168.200.254 > 192.168.200.2: ICMP 192.168.200.254 udp port domain unreachable, length 70
      23:53:43.608815 IP 192.168.200.2 > igmp.mcast.net: igmp v3 report, 1 group record(s)
      23:53:43.611054 IP6 fe80::fff9:4190:9b48:ee02 > ff02::16: HBH ICMP6, multicast listener report v2, 1 group record(s), length 28
      23:53:43.611572 IP 192.168.200.2 > igmp.mcast.net: igmp v3 report, 1 group record(s)
      23:53:43.614192 IP 192.168.200.2.mdns > 224.0.0.251.mdns: 0 ANY (QM)? pc-TOSH.local. (31)
      23:53:43.615079 IP6 fe80::fff9:4190:9b48:ee02.mdns > ff02::fb.mdns: 0 ANY (QM)? pc-TOSH.local. (31)
      23:53:43.616418 IP6 fe80::fff9:4190:9b48:ee02.64976 > ff02::1:3.5355: UDP, length 25
      23:53:43.616702 IP 192.168.200.2.64976 > 224.0.0.252.5355: UDP, length 25
      23:53:43.617921 IP6 fe80::fff9:4190:9b48:ee02.mdns > ff02::fb.mdns: 0*- [0q] 2/0/0 AAAA fe80::fff9:4190:9b48:ee02, A 192.168.200.2 (69)
      23:53:43.617924 IP 192.168.200.2.mdns > 224.0.0.251.mdns: 0*- [0q] 2/0/0 AAAA fe80::fff9:4190:9b48:ee02, A 192.168.200.2 (69)
      23:53:43.628343 IP6 fe80::fff9:4190:9b48:ee02 > ff02::16: HBH ICMP6, multicast listener report v2, 1 group record(s), length 28
      23:53:43.628482 IP 192.168.200.2 > igmp.mcast.net: igmp v3 report, 1 group record(s)
      23:53:43.860410 IP 192.168.200.2.64979 > 239.255.255.250.1900: UDP, length 137
      23:53:43.891043 IP6 fe80::fff9:4190:9b48:ee02.64977 > ff02::c.1900: UDP, length 121
      23:53:43.891599 IP 192.168.200.2.64979 > 239.255.255.250.1900: UDP, length 127
      23:53:43.908179 IP 192.168.200.2.49567 > 192.168.200.254.domain: 63050+ A? www.msftncsi.com. (34)
      23:53:43.908339 IP 192.168.200.254 > 192.168.200.2: ICMP 192.168.200.254 udp port domain unreachable, length 70
      23:53:43.922623 IP6 fe80::fff9:4190:9b48:ee02.64977 > ff02::c.1900: UDP, length 121
      23:53:43.922626 IP 192.168.200.2.64979 > 239.255.255.250.1900: UDP, length 127
      23:53:43.953815 IP6 fe80::fff9:4190:9b48:ee02.64977 > ff02::c.1900: UDP, length 121
      23:53:43.954194 IP 192.168.200.2.64979 > 239.255.255.250.1900: UDP, length 127
      23:53:43.978866 IP6 fe80::fff9:4190:9b48:ee02.64977 > ff02::c.1900: UDP, length 121
      23:53:43.979254 IP 192.168.200.2.64979 > 239.255.255.250.1900: UDP, length 127
      23:53:44.009485 IP 192.168.200.2.64979 > 239.255.255.250.1900: UDP, length 137
      23:53:44.040493 IP6 fe80::fff9:4190:9b48:ee02.64977 > ff02::c.1900: UDP, length 121
      23:53:44.040938 IP 192.168.200.2.64979 > 239.255.255.250.1900: UDP, length 127
      23:53:44.086381 IP 192.168.200.2 > igmp.mcast.net: igmp v3 report, 3 group record(s)
      23:53:44.086384 IP6 fe80::fff9:4190:9b48:ee02 > ff02::16: HBH ICMP6, multicast listener report v2, 3 group record(s), length 68
      23:53:44.592207 ARP, Request who-has 192.168.200.2 tell 0.0.0.0, length 46
      23:53:44.608434 IP 192.168.200.2.52989 > 192.168.200.254.domain: 16897+ A? time.windows.com. (34)
      23:53:44.608566 IP 192.168.200.254 > 192.168.200.2: ICMP 192.168.200.254 udp port domain unreachable, length 70
      23:53:44.922897 IP 192.168.200.2.49567 > 192.168.200.254.domain: 63050+ A? www.msftncsi.com. (34)
      23:53:44.923068 IP 192.168.200.254 > 192.168.200.2: ICMP 192.168.200.254 udp port domain unreachable, length 70
      23:53:45.270896 IP 192.168.200.2.64979 > 239.255.255.250.1900: UDP, length 137
      23:53:45.303851 IP6 fe80::fff9:4190:9b48:ee02.dhcpv6-client > ff02::1:2.dhcpv6-server: dhcp6 solicit
      23:53:45.588781 ARP, Request who-has 192.168.200.2 tell 192.168.200.2, length 46
      23:53:45.607220 IP6 fe80::fff9:4190:9b48:ee02 > ff02::16: HBH ICMP6, multicast listener report v2, 1 group record(s), length 28
      23:53:45.607223 IP 192.168.200.2 > igmp.mcast.net: igmp v3 report, 1 group record(s)
      23:53:45.616635 IP6 fe80::fff9:4190:9b48:ee02 > ff02::16: HBH ICMP6, multicast listener report v2, 1 group record(s), length 28
      23:53:45.616638 IP 192.168.200.2 > igmp.mcast.net: igmp v3 report, 1 group record(s)
      23:53:45.618673 IP6 fe80::fff9:4190:9b48:ee02 > ff02::16: HBH ICMP6, multicast listener report v2, 1 group record(s), length 28
      23:53:45.618676 IP 192.168.200.2 > igmp.mcast.net: igmp v3 report, 1 group record(s)
      23:53:45.620769 IP 192.168.200.2.52989 > 192.168.200.254.domain: 16897+ A? time.windows.com. (34)
      23:53:45.620901 IP 192.168.200.254 > 192.168.200.2: ICMP 192.168.200.254 udp port domain unreachable, length 70
      23:53:45.629257 IP6 fe80::fff9:4190:9b48:ee02 > ff02::16: HBH ICMP6, multicast listener report v2, 1 group record(s), length 28
      23:53:45.629260 IP 192.168.200.2 > igmp.mcast.net: igmp v3 report, 1 group record(s)
      23:53:45.629361 IP 192.168.200.2.mdns > 224.0.0.251.mdns: 0 ANY (QM)? pc-TOSH.local. (31)
      23:53:45.630198 IP6 fe80::fff9:4190:9b48:ee02.mdns > ff02::fb.mdns: 0 ANY (QM)? pc-TOSH.local. (31)
      23:53:45.630729 IP6 fe80::fff9:4190:9b48:ee02.60167 > ff02::1:3.5355: UDP, length 25
      23:53:45.630732 IP 192.168.200.2.60167 > 224.0.0.252.5355: UDP, length 25
      23:53:45.635136 IP6 fe80::fff9:4190:9b48:ee02.mdns > ff02::fb.mdns: 0*- [0q] 2/0/0 AAAA fe80::fff9:4190:9b48:ee02, A 192.168.200.2 (69)
      23:53:45.636679 IP 192.168.200.2.mdns > 224.0.0.251.mdns: 0*- [0q] 2/0/0 AAAA fe80::fff9:4190:9b48:ee02, A 192.168.200.2 (69)
      23:53:45.687459 IP 192.168.200.2.netbios-ns > 192.168.200.255.netbios-ns: UDP, length 68
      23:53:45.687461 IP 192.168.200.2.netbios-ns > 192.168.200.255.netbios-ns: UDP, length 68
      23:53:45.687571 IP 192.168.200.2.netbios-ns > 192.168.200.255.netbios-ns: UDP, length 68
      ^C
      70 packets captured
      70 packets received by filter
      0 packets dropped by kernel
      

      Puis la même commande sudo tcpdump -i enp3s0 alors que je tente un ping depuis le client n°2 :

      tcpdump: verbose output suppressed, use -v[v]... for full protocol decode
      listening on enp3s0, link-type EN10MB (Ethernet), snapshot length 262144 bytes
      23:56:04.202757 ARP, Request who-has 192.168.200.254 tell 192.168.200.2, length 46
      23:56:04.202803 ARP, Reply 192.168.200.254 is-at 00:e0:4c:68:01:87 (oui Unknown), length 28
      23:56:04.203206 IP 192.168.200.2.55489 > 192.168.200.254.domain: 53452+ A? time.windows.com. (34)
      23:56:04.203341 IP 192.168.200.254 > 192.168.200.2: ICMP 192.168.200.254 udp port domain unreachable, length 70
      23:56:04.838617 IP 192.168.200.2.51895 > 192.168.200.254.domain: 56436+ A? dns.msftncsi.com. (34)
      23:56:04.838747 IP 192.168.200.254 > 192.168.200.2: ICMP 192.168.200.254 udp port domain unreachable, length 70
      23:56:05.873295 IP 192.168.200.2.62895 > 192.168.200.254.domain: 29477+ A? fs.microsoft.com. (34)
      23:56:05.873452 IP 192.168.200.254 > 192.168.200.2: ICMP 192.168.200.254 udp port domain unreachable, length 70
      23:56:06.889105 IP 192.168.200.2.62895 > 192.168.200.254.domain: 29477+ A? fs.microsoft.com. (34)
      23:56:06.889235 IP 192.168.200.254 > 192.168.200.2: ICMP 192.168.200.254 udp port domain unreachable, length 70
      23:56:07.189260 IP 192.168.200.2 > 192.168.200.254: ICMP echo request, id 1, seq 57, length 40
      23:56:07.189401 IP 192.168.200.254 > 192.168.200.2: ICMP echo reply, id 1, seq 57, length 40
      23:56:07.209635 IP 192.168.200.2.56479 > 192.168.200.254.domain: 32527+ A? api.msn.com. (29)
      23:56:07.209792 IP 192.168.200.254 > 192.168.200.2: ICMP 192.168.200.254 udp port domain unreachable, length 65
      23:56:07.896499 IP 192.168.200.2.62895 > 192.168.200.254.domain: 29477+ A? fs.microsoft.com. (34)
      23:56:07.896628 IP 192.168.200.254 > 192.168.200.2: ICMP 192.168.200.254 udp port domain unreachable, length 70
      23:56:08.213733 IP 192.168.200.2.55489 > 192.168.200.254.domain: 53452+ A? time.windows.com. (34)
      23:56:08.213735 IP 192.168.200.2.49254 > 192.168.200.254.domain: 45421+ A? dns.msftncsi.com. (34)
      23:56:08.213736 IP 192.168.200.2.56479 > 192.168.200.254.domain: 32527+ A? api.msn.com. (29)
      23:56:08.213869 IP 192.168.200.254 > 192.168.200.2: ICMP 192.168.200.254 udp port domain unreachable, length 70
      23:56:08.213903 IP 192.168.200.254 > 192.168.200.2: ICMP 192.168.200.254 udp port domain unreachable, length 70
      23:56:08.213927 IP 192.168.200.254 > 192.168.200.2: ICMP 192.168.200.254 udp port domain unreachable, length 65
      23:56:08.847471 IP 192.168.200.2.51895 > 192.168.200.254.domain: 56436+ A? dns.msftncsi.com. (34)
      23:56:09.214785 IP 192.168.200.2.56479 > 192.168.200.254.domain: 32527+ A? api.msn.com. (29)
      23:56:09.214914 IP 192.168.200.254 > 192.168.200.2: ICMP 192.168.200.254 udp port domain unreachable, length 65
      23:56:09.897255 IP 192.168.200.2.62895 > 192.168.200.254.domain: 29477+ A? fs.microsoft.com. (34)
      23:56:11.227284 IP 192.168.200.2.56479 > 192.168.200.254.domain: 32527+ A? api.msn.com. (29)
      23:56:11.227414 IP 192.168.200.254 > 192.168.200.2: ICMP 192.168.200.254 udp port domain unreachable, length 65
      23:56:12.123130 IP 192.168.200.2 > 192.168.200.254: ICMP echo request, id 1, seq 58, length 40
      23:56:12.123239 IP 192.168.200.254 > 192.168.200.2: ICMP echo reply, id 1, seq 58, length 40
      23:56:12.219738 IP 192.168.200.2.62345 > 192.168.200.254.domain: 18450+ A? dns.msftncsi.com. (34)
      23:56:12.219897 IP 192.168.200.254 > 192.168.200.2: ICMP 192.168.200.254 udp port domain unreachable, length 70
      23:56:12.851133 ARP, Request who-has 192.168.200.254 tell 192.168.200.2, length 46
      23:56:12.851180 ARP, Reply 192.168.200.254 is-at 00:e0:4c:68:01:87 (oui Unknown), length 28
      23:56:12.852018 IP 192.168.200.2.52694 > 192.168.200.254.domain: Flags [S], seq 2603707000, win 64240, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
      23:56:12.852166 IP 192.168.200.254.domain > 192.168.200.2.52694: Flags [R.], seq 0, ack 2603707001, win 0, length 0
      23:56:13.227856 IP 192.168.200.2.62345 > 192.168.200.254.domain: 18450+ A? dns.msftncsi.com. (34)
      23:56:13.227987 IP 192.168.200.254 > 192.168.200.2: ICMP 192.168.200.254 udp port domain unreachable, length 70
      23:56:13.866937 IP 192.168.200.2.52694 > 192.168.200.254.domain: Flags [S], seq 2603707000, win 64240, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
      23:56:13.867085 IP 192.168.200.254.domain > 192.168.200.2.52694: Flags [R.], seq 0, ack 1, win 0, length 0
      23:56:13.899224 IP 192.168.200.2.62895 > 192.168.200.254.domain: 29477+ A? fs.microsoft.com. (34)
      23:56:13.899350 IP 192.168.200.254 > 192.168.200.2: ICMP 192.168.200.254 udp port domain unreachable, length 70
      23:56:14.239583 IP 192.168.200.2.62345 > 192.168.200.254.domain: 18450+ A? dns.msftncsi.com. (34)
      23:56:14.239713 IP 192.168.200.254 > 192.168.200.2: ICMP 192.168.200.254 udp port domain unreachable, length 70
      23:56:15.240325 IP 192.168.200.2.56479 > 192.168.200.254.domain: 32527+ A? api.msn.com. (29)
      23:56:15.240454 IP 192.168.200.254 > 192.168.200.2: ICMP 192.168.200.254 udp port domain unreachable, length 65
      23:56:15.876727 IP 192.168.200.2.52694 > 192.168.200.254.domain: Flags [S], seq 2603707000, win 64240, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
      23:56:15.876876 IP 192.168.200.254.domain > 192.168.200.2.52694: Flags [R.], seq 0, ack 1, win 0, length 0
      23:56:16.245749 IP 192.168.200.2.62345 > 192.168.200.254.domain: 18450+ A? dns.msftncsi.com. (34)
      23:56:16.245883 IP 192.168.200.254 > 192.168.200.2: ICMP 192.168.200.254 udp port domain unreachable, length 70
      ^C
      50 packets captured
      50 packets received by filter
      0 packets dropped by kernel
      

      Cela donne-t-il davantage d'informations ?

  • # Mise en forme

    Posté par  (Mastodon) . Évalué à 8.

    Bonjour et bienvenue sur LinuxFR.org !

    En tant que modérateur je me suis permis un reformatage de ton message ainsi que la suppression du 'ps:' en tête. Pour ton information, quand tu copies-colles ainsi des passage de la console, tu peux utiliser la balise "ne pas formater" :

    ```
    # texte contenant des trucs zarbis
    ```

    Ainsi tu auras le rendu suivant :

    # texte contenant des trucs zarbis
    

    En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

  • # faire un routeur avec une box linux facile et rapide

    Posté par  . Évalué à 3. Dernière modification le 16 septembre 2023 à 11:15.

    tu as presque tout ce qu'il te faut

    1°) avoir 2 reseaux differents :
    - coté box internet (WAN), à laisser en DHCP comme ca tu peux changer de box quand tu veux
    - coté chez toi (LAN), mettre un reseau different

    actuellement les box en france sont en 192.168.0.x/24 ou 192.168.1.x/24 (/24 indique que les 3 premiers chiffres identifient le reseau, /16 les 2 premiers, /8 le premier)

    2°) activé le forward pour que ce qui arrive du LAN soit autorisé à aller sur le WAN, et inversement

    3°) faire une regle sur le routeur pour "MASQuer" le reseau LAN quand il va sur le WAN, sinon ta box ne sait pas à qui repondre

    iptables -t nat -A POSTROUTING -i interfaceLAN -o interfaceWAN -j MASQUERADE

    4°) configurer et activer le serveur DNS du routeur
    sinon toutes tes demandes de resolution echoue et tu ne peux pas faire autre chose que de l'IP (ping 8.8.8.8 plutot que ping google.fr)

    4b°) ou configurer le DHCP du routeur pour donner un DNS public à tes machines LAN

    sinon, utiliser des distributions faite pour çà, meme si c'est pas un linux (opensense, openwrt, zeroshell… )

    • [^] # Re: faire un routeur avec une box linux facile et rapide

      Posté par  . Évalué à 1.

      1°) pour moi c'est bon. Mon réseau Box est 192.168.0.x/24

      2°) le forward est activé, quand je fais cat /proc/sys/net/ipv4/ip_forward j'obtiens 1 en console.

      3°) j'utilise nftables car iptables est déprécié depuis Debian 10. Je pense que c'est bon, voici les commandes que j'ai rentrées :

      nano /etc/sysctl.conf
      

      puis j'ai décommenté la ligne net.ipv4.ip_forward=1

      J'ai rechargé sysctl à l'aide de :

      sudo sysctl -p
      Systemctl start procps
      /etc/init.d/procps restart
      

      Ensuite j'ai configuré le pare-feu afin d’autoriser le transfert des paquets vers la carte WAN en NAT.
      d'abord j'ai installé le paquet nftables
      Puis :

      systemctl enable nftables.service
      nft add table nat
      nft add chain nat postrouting {type nat hook postrouting priority 100 \; }
      nft add rule nat postrouting masquerade
      

      Et lorsque je veux rendre la règle persistante :

      nft list ruleset >> /etc/nftables.conf
      

      J'obtiens :

      # Warning: table ip nat is managed by iptables-nft, do not touch!
      # Warning: table ip filter is managed by iptables-nft, do not touch!
      

      Ce qui ne me semble pas normal.

      4°) Je n'ai pas encore configuré le DNS et le DHCP, je n'en ai pas encore besoin.

      • [^] # Re: faire un routeur avec une box linux facile et rapide

        Posté par  . Évalué à 3.

        meme si iptables est deprecié, il convient de faire fonctionner deja l'existant avant de passer sur de nouveau systeme.

        tu doutes de ta syntaxe nftables, supprimes cette config et fait un iptables basic comme indiqué

        pour sauvegarder
        iptables-save >/etc/iptables.up

        pour restaurer
        iptables-restore </etc/iptables.up

        pas de service à gerer, juste activer le iptables en post-up de ton interface reseau

        4°) à voir, mais sans ces services :
        - le DHCP, sans tu vas devoir mettre tes machines en IP fixes sur le LAN et sur le WIFI,
        avec comme passerelle l'IP LAN de ton routeur linux

        • le DNS, c'est quand meme plus fun d'avoir mamachine1.monchezmoi pour joindre ses machines, mais en effet, tu peux t'en passer, il faut alors regler tes machines LAN/WIFI pour aller chercher un DNS qui existe, IP de la box pour certains operateurs, DNS de l'operateur pour d'autres, voir DNS externes
        • [^] # Re: faire un routeur avec une box linux facile et rapide

          Posté par  . Évalué à 1. Dernière modification le 16 septembre 2023 à 23:14.

          D'accord, essayons ainsi.
          J'ai donc voulu supprimer la config de nftables.
          Est-ce que je peux supprimer l'intégralité du contenu du fichier /etc/nftables.conf ? Voire le fichier directement ?
          En attendant de savoir si cela est possible, j'ai essayé de le aire proprement

          J'ai trouvé ce tuto (https://www.it-connect.fr/chapitres/gestion-des-chaines-dans-nftables/) pour supprimer des configurations, mais par exemple, si je prends cet extrait du début de mon fichier nftables.conf :
          (j'ai installé et supprimé docker, pour voir comment ça fonctionnait [ça fera l'objet d'un autre sujet :)])

          #!/usr/sbin/nft -f
          
          flush ruleset
          
          table inet filter {
                  chain input {
                          type filter hook input priority filter;
                  }
                  chain forward {
                          type filter hook forward priority filter;
                  }
                  chain output {
                          type filter hook output priority filter;
                  }
          }
          table ip nat {
                  chain DOCKER {
                          iifname "docker0" counter packets 0 bytes 0 return
                  }
          
                  chain POSTROUTING {
                          type nat hook postrouting priority srcnat; policy accept;
                          oifname != "docker0" ip saddr 172.17.0.0/16 counter packets 0 bytes 0 masquerade
                  }
          
                  chain PREROUTING {
                          type nat hook prerouting priority dstnat; policy accept;
                          fib daddr type local counter packets 102 bytes 6309 jump DOCKER
                  }
          
                  chain OUTPUT {
                          type nat hook output priority -100; policy accept;
                          ip daddr != 127.0.0.0/8 fib daddr type local counter packets 740 bytes 49580 jump DOCKER        }
          
                  chain postrouting {
                          type nat hook postrouting priority srcnat; policy accept;
                          masquerade
                  }
          

          Et que je veux supprimer la chain DOCKER de la table ip nat je rentre :

          nft delete chain ip nat DOCKER
          

          Et j'obtiens cette réponse :

          Error: Could not process rule: Device or resource busy
          delete chain ip nat DOCKER
                              ^^^^^^
          
          • [^] # Re: faire un routeur avec une box linux facile et rapide

            Posté par  . Évalué à 3.

            D'accord, essayons ainsi.
            J'ai donc voulu supprimer la config de nftables.
            Est-ce que je peux supprimer l'intégralité du contenu du fichier /etc/nftables.conf ? Voire le fichier directement ?

            systemctl stop nftable
            systemctl disable nftable

            avantage, tu ne le desintalles pas, juste tu l'arrete et l'empeche de demarrer au prochain reboot

            te permettant ensuite de jouer simplement avec des outils simples pour demarrer

            tu peux faire facile le MASQUERADE avec iptables
            par defaut iptables laisse tout sortir du parefeu

            comme deja dit, apres ton sysctl pour activer le forward,
            un simple
            iptables -t nat -A POSTROUTING -i enpsduLAN -o enpsduWAN -j MASQUERADE

            une fois que tu as çà,
            si ca ne fonctionne toujours pas, c'est que tu as un probleme ailleurs,
            il te faut alors deja resoudre les autres soucis avant de vouloir faire plus compliqué avec le firewall

            • [^] # Re: faire un routeur avec une box linux facile et rapide

              Posté par  . Évalué à 1.

              Attends, je viens de penser à quelque chose.

              J'ai un premier problème à résoudre : quand je branche mon client sur le port RJ45 enp3s0 de mon serveur (ou sur le switch qui est relié au port, peu importe), et que depuis le client je tente un ping vers 192.168.200.254, ça ne donne rien (cf mon dernier message).
              Je reprécise que sur mon client je mets l'IP 192.168.200.1 avec passerelle et DNS 192.168.200.254

              En quoi toucher à nftables/iptables va améliorer la situation ?

              • [^] # Re: faire un routeur avec une box linux facile et rapide

                Posté par  . Évalué à 3.

                En quoi toucher à nftables/iptables va améliorer la situation ?

                ne rien faire sous nftables et desactiver simplement le service
                iptables n'est pas charger par defaut

                suivant les distribs, y a firewalld (les redhat like), ufw qui gere le parefeu

                tu peux regarder en faisant iptables-save pour savoir si y a des regles autres que "ALLOW" sur les interfaces

                • [^] # Re: faire un routeur avec une box linux facile et rapide

                  Posté par  . Évalué à 1.

                  J'ai désactivé le service nftables.
                  J'ai redémarré le serveur.
                  J'ai installé iptables.

                  J'ai rentré la commande suivante avec ce résultat :

                  brownie@serveur:~$ sudo iptables -t nat -A POSTROUTING -i enp3s0 -o enp2s0 -j MASQUERADE
                  iptables v1.8.9 (nf_tables): Can't use -i with POSTROUTING
                  
                  Try `iptables -h' or 'iptables --help' for more information.
                  

                  J'ai rentré aussi cette commande avec ce résultat (rien) :

                  brownie@serveur:~$ sudo iptables-save
                  brownie@serveur:~$
                  
                  • [^] # Re: faire un routeur avec une box linux facile et rapide

                    Posté par  . Évalué à 3.

                    my bad, en postrouting on ne met pas le -i enp0s3 car il s'en fiche
                    d'ailleurs il te le dit aussi

                    iptables v1.8.9 (nf_tables): Can't use -i with POSTROUTING

                    reessaye la meme sans le -i carteLAN

                    • [^] # Re: faire un routeur avec une box linux facile et rapide

                      Posté par  . Évalué à 1.

                      Alors bonne nouvelle, à présent, lorsque je coupe le réseau wifi (box) et que je me connecte sur le port enp3s0 du serveur, j'arrive à me connecter en ssh !

                      Du coup je suis tout content, mais que puis-je faire maintenant ? J'utilise une méthode dépréciée, il faut que je retourne sur nftables à court terme.

                      Comment dois-je procéder ?

                      • [^] # Re: faire un routeur avec une box linux facile et rapide

                        Posté par  . Évalué à 3. Dernière modification le 20 septembre 2023 à 14:32.

                        ahah, tu as donc deux cartes reseaux wifi et filaire, sur le meme reseau, ca pouvait expliquer pourquoi ca ne repondait pas

                        du coup ton PC coté LAN est maintenant en filaire vers le routeur sur le reseau 192.168.200.x
                        et accedes à internet via ce routeur qui convertit avec le MASQUERADE vers le reseau 192.168.0.x de ta box

                        c'est un bon debut

                        si ca marche, tu connais la base avec iptables.
                        reste à apprendre nftables pour lui faire faire la meme chose
                        => read the manual
                        soit il y a des commandes, soit il y a des fichiers à remplir pour lui dire quelle carte est WAN, laquelle est LAN, et que faire des flux qui passent

                        note que iptables n'est peut-etre pas tant deprecié que cela, puisque la commande citée t'avais sorti un nf_tables dans le message d'erreur

                        si ca se trouve, sur les systemes modernes, tu fais tu iptables par "habitude" mais le systeme le traduit en NFtables.

                        un peu comme ifconfig vs ip…

        • [^] # Re: faire un routeur avec une box linux facile et rapide

          Posté par  (site web personnel) . Évalué à 3.

          Suggérer d'utiliser un système déprécié, sans donner d'indications précises, ça me semble être une mauvaise idée.

          Surtout quand il y a une alternative entre la version historique et la version nft, et que pour effectivement passer de l'une à l'autre il faut redémarrer le système…

          Debian Consultant @ DEBAMAX

  • # nouveaux essais

    Posté par  . Évalué à 1.

    MAJ :

    J'ai modifié la configuration réseau, la voici :

      GNU nano 7.2                             /etc/network/interfaces                                      # This file describes the network interfaces available on your system
    # and how to activate them. For more information, see interfaces(5).
    
    source /etc/network/interfaces.d/*
    
    # The loopback network interface
    auto lo
    iface lo inet loopback
    
    # The primary network interface
    auto enp2s0
    allow-hotplug enp2s0
    iface enp2s0 inet dhcp
    # This is an autoconfigured IPv6 interface
    iface enp2s0 inet6 auto
    
    #internal network card
    auto enp3s0
    allow-hotplug enp3s0
    iface enp3s0 inet static
            address 192.168.200.254
            netmask 255.255.255.0
            dsn-nameservers 192.168.200.254
    

    Je viens de faire un test : Wifi coupé (donc pas le réseau de la box), quand je débranche puis rebranche le câble RJ45 de mon client, et que je lance sur l'invite de commande, voici le résultat :

    C:\Users\browniecool>ping 192.168.200.254
    
    Envoi d’une requête 'Ping'  192.168.200.254 avec 32 octets de données :
    Délai d’attente de la demande dépassé.
    Réponse de 192.168.200.254 : octets=32 temps=1 ms TTL=64
    Délai d’attente de la demande dépassé.
    Délai d’attente de la demande dépassé.
    
    Statistiques Ping pour 192.168.200.254:
        Paquets : envoyés = 4, reçus = 1, perdus = 3 (perte 75%),
    Durée approximative des boucles en millisecondes :
        Minimum = 1ms, Maximum = 1ms, Moyenne = 1ms
    

    Il semble se passer quelque chose de positif ! Sauf que lorsque je retente la commande, je n'ai plus de réponse.
    Je ne pense pas qu'il y ait un problème de câblage, car si je débranche le câble j'ai un message Défaillance générale. ou PING : échec de la transmission. Défaillance générale.

    Avez-vous des idées ?

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.