Forum Linux.général Résolu - Partage de 2 connexions Internet entre plusieurs LAN

Posté par  . Licence CC By‑SA.
Étiquettes :
1
19
mai
2014

Bonjour,

Je me permets de vous solliciter car je bloque sur de la configuration réseau.

Je dispose de deux accès Internet raccordé sur deux interfaces réseaux d'un serveur qui va servir de routeur :

  • eth0 = accès Internet n°1
  • eth2 = accès Internet n°2

Je souhaite scinder mon réseau en plusieurs réseaux locaux sur différents adressages.
Je vais donc avoir, à terme :

  • eth1 = réseau local n°1
  • eth3:0 : réseau local n°2
  • eth3:1 : réseau local n°3

Le problème est d'arriver à ce fonctionnement :

  • si accès Internet 1 ok et accès Internet 2 ok :

    • réseau local 1 communique par accès Internet 1
    • réseaux locaux 2 et 3 communiquent par accès Internet 2
  • si accès Internet 1 ko et accès Internet 2 ok :

    • réseau local 1 communique par accès Internet 2
    • réseaux locaux 2 et 3 n'ont plus accès à Internet

Ma question est donc super générale : comment faire pour router certains réseaux locaux vers une sortie ethernet particulière et les autres réseaux locaux vers l'autre ?
Est-ce qu'il suffit de jouer avec la table de routage ? Avec iptables ?

Je vous remercie d'avance :-)

  • # un peu de tag et de queue

    Posté par  . Évalué à 2.

    tes reseaux "locaux" auront toujours la machine centrale comme passerelle par defaut,
    c'est donc sur elle qu'il faudra faire tous les reglages,

    et il doit falloir appliquer des "queues" et tagger ce qui vient de local1, local2, local3,
    puis appliquer une route sur ces "queues"

    • [^] # Re: un peu de tag et de queue

      Posté par  . Évalué à 2.

      Bonjour,

      Je te remercie pour la réponse :-)
      J'ai monté une infrastructure hier en VM's qui ressemble à ceci :
      - CL-01 => 192.168.10.5 - GW = 192.168.10.1
      - CL-02 => 192.168.20.5 - GW = 192.168.20.1
      - GW-01 => 192.168.10.1 / 192.168.20.1 / 192.168.100.1 / 192.168.200.1. Les réseaux 10 et 20 sont les IP du LAN. Les réseaux 100 et 200 la communication avec les modems.
      - MODEM-01 => 192.168.100.1 / 192.168.250.1
      - MODEM-02 => 192.168.200.1
      - WEB-01 => 192.168.250.1

      J'ai d'abord essayé ce genre de solution mais dès que je supprime la route par défaut 0.0.0.0 ça ne fonctionne plus. Donc je me demande s'il me manque pas quelque chose pour que les tables T1 et T2 prennent le relai ??

      J'ai ensuite essayé cette solution mais elle me parait super lourde pour ce que je veux faire non ?

      En reprenant l'explication de mes VM's ci-dessus :
      - CL-01 et CL-02 sont des "clients" (des postes du LAN quoi)
      - GW-01 le routeur
      - MODEM-01 / MODEM-02 des "simulations" de modem
      - WEB-01 la cible

      Je veux donc que CL-01 passe GW-01 et soit routé sur MODEM-01 et que CL-02 passe GW-02 et soit routé vers MODEM-02. Dans les deux cas, je dois atteindre WEB-01.

      C'est plus ou moins fonctionnel avec le script du forum Fedora mais je le sens super complexe à maintenir : je dois rajouter une partie pare-feu + blocage des postes non autorisés. Tu en pense quoi ?

      • [^] # Re: un peu de tag et de queue

        Posté par  . Évalué à 2.

        les regles de parefeu vont dependre des tes besoins :
        - empecher les utilisateurs de LAN1 d'aller sur LAN2
        - l'inverse
        - empecher les utilsiateurs de LAN1/LAN2 d'aller sur certains sites internet

        dans tous les cas il en faudra pour faire du SNAT ou du MASQUERADE en sortie vers les connexions internet
        et pour bloquer les trafics entrant non sollicités.

  • # victoire !

    Posté par  . Évalué à 1.

    Finalement j'ai réussi à faire ce que je voulais en me basant sur le script de cette page.

    J'ai repris les travaux de gyokuran et j'ai amélioré quelques détails par rapport à mes besoins :

    • suppression de l'argument 'off' : dans ma futur topologie réseau, si je désactive le routeur, Internet ne fonctionne plus donc j'ai supprimé ce bout de code car il m'est inutile.
    • amélioration du script pour répartir la charge selon le réseau LAN source et non selon une IP paire ou impaire
    • correction au niveau des routes pour qu'il y ait isolation entre mes LAN's
    • rajout d'ouverture d'accès sur liste blanche

    Je l'ai testé sur une infra à 6 VM :

    • 2 clients sur 2 réseaux différents
    • 1 passerelle (qui a un pied dans chaque réseau des clients)
    • 2 VM's qui servent de 'modems'
    • 1 VM cible

    Ça a l'air de fonctionner donc si quelqu'un est intéressé par le script je pourrais toujours le poster quelque part :-)

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.