Discussion :

[Hepil]

bonjour

J'ai un routeur R1 bien fonctionnel avec les règles NAT opérationnelles aussi, qui interface un réseau local RESOLD avec l'extérieur

J'insère à présent un second réseau local RESVPN entre RESOLD et le routeur
J'ajoute un routeur logiciel entre RESOLD et RESVPN (via un serveur sous WS 2008R2)

Questions :

Qu'en est-il des règles NAT dans le routeur R1 ?
Que dois-je faire pour que les PC de RESOLD bénéficient à nouveau des accès de l'extérieur ?

[ram-0000]

Un petit schéma pour être sûr de bien comprendre ?

[Miistik]

Bonjour,

Les hôtes du réseau RESOLD ne devraient pas avoir de souci pour aller sur Internet car le NAT sur R1 est présent.

Maintenant, il faudrait que la passerelle de RESVPN soit une interface de R1 (soit la même que RESOLD via des sous-interfaces et donc des VLAN sur un switch avant R1 ; soit une autre qui route vers l'extérieur avec du NAT)

[Hepil]

Bonjour,

..., il faudrait que la passerelle de RESVPN soit une interface de R1 (soit la même que RESOLD via des sous-interfaces et donc des VLAN sur un switch avant R1 ; soit une autre qui route vers l'extérieur avec du NAT)

Bonjour et merci de ta réponse

La passerelle est le routeur lui-même non ?
en plus je n'ai qu'un seul routeur, une BOX, qui fait routeur (vers l'extérieur) et NAT jusqu'alors

Que veut dire "RESVPN soit une interface de R1" ?
Je ne comprends pas les mots interface et sous-interface ?
Je ne connais pas le VLAN mais dois-je m'informer de suite ?

[Hepil]

Un petit schéma pour être sûr de bien comprendre ?

oui, je vais en pondre un avec les IP aussi, mais ce soir ou demain ...

[Miistik]

Bonjour et merci de ta réponse

La passerelle est le routeur lui-même non ?
en plus je n'ai qu'un seul routeur, une BOX, qui fait routeur (vers l'extérieur) et NAT jusqu'alors

Que veut dire "RESVPN soit une interface de R1" ?
Je ne comprends pas les mots interface et sous-interface ?
Je ne connais pas le VLAN mais dois-je m'informer de suite ?

Ah okay, tu aurais dû spécifier avant que ton routeur R1 est en fait une BOX de particulier.
Pour moi, c'était un routeur administrable d'entreprise.

Pour moi, la solution serait de dire à ton routeur logiciel de NATé les hôtes RESOLD avec des adresses IP du réseau RESVPN.
La passerelle serait donc l'adresse IP locale de ta BOX (dans le réseau RESVPN) et tu NATes le réseau RESVPN avec l'adresse IP publique de la BOX.

[Hepil]

voici un schéma quelque peu détaillé mais sûrement utile

routeur NAT Floyan.pdf

euhhh .... c'est lisible le contenu du fichier ?

Web et Web 2 sont des serveurs web accessible de l'extérieur, via le routeur R1

PS : le fichier pdf est mis à jour plus bas ...

[ciscowarrior]

salut,
1) tes deux réseaux sont adressés en DHCP ? Si oui R2 a le scope pour RESOLD
et R1( ta box) le scope pour RESVPN ?
Si R1 s'occupe des 2 scopes alors il te faut mettre en place un agent Relay DHCP sur R2 et configurer une route pour RESOLD sur R1 qui pointe vers R2.

2) il n'est pas sûr que R1 accepte de natter RESOLD car il n'est plus directement connecté ce qui veut dire que tu vas devoir natter sur R2 pour RESOLD mais dans ce cas tu risques d'avoir des problèmes avec la solution 1 et donc il faudra séparer les scopes et je n'ai jamais fait de NAT sur un serveur Windows donc il faudra attendre une réponse de quelqu'un qui l'a déjà fait si c'est possible. Dans ce cas pas besoin de route vers RESOLD sur R1.
3) pour l'accès à WEB2 depuis Internet il te faudra changer le port forwarding ainsi que la règle de firewall sur R1 puisque Web2 n'existait pas avant et tu dois enlever les règles que tu avais pour Web1.
Tu dois faire du static PAT sur R2 pour Web1 et du port forward vers R2 + regle firewall + règles firewall sur R2.

Alain

[Hepil]

Alain
Merci de ta réponse fort riche...
et qui complète très bien la réponse des autres intervenants bien sûr

salut,
1) tes deux réseaux sont adressés en DHCP ? Si oui R2 a le scope pour RESOLD
et R1( ta box) le scope pour RESVPN ?
Si R1 s'occupe des 2 scopes alors il te faut mettre en place un agent Relay DHCP sur R2 et configurer une route pour RESOLD sur R1 qui pointe vers R2.

J'ai omis effectivement de préciser que j'ai un serveur DHCP sur RESOLD et que le but n'est pas d'en avoir d'autres mais de tenter d'utiliser les relais DHCP si possible. Pourtant dans la box (donc R1) il y aussi un DHCP (inactivé pour l'instant) qui pourrait servir pour RESVPN, car R1 est aussi un point wifi actuellement utilisé dans RESOLD et dont les adresses sont issus du DHCP de RESOLD.
du coup, il est peut-être plus simple de réactiver ce DHCP dans R1 pour les adresses du wifi et de RESVPN ... Qu'en pensez-vous ?

Les serveurs web1 et web2 ont bien sûr une IP fixe dans leur réseau respectif

...
3) pour l'accès à WEB2 depuis Internet il te faudra changer le port forwarding ainsi que la règle de firewall sur R1 puisque Web2 n'existait pas avant et tu dois enlever les règles que tu avais pour Web1.

Sans souci ...

Tu dois faire du static PAT sur R2 pour Web1 et du port forward vers R2 + regle firewall + règles firewall sur R2.
Alain

là ... il me manque des chapitres ... vive le RER B pour lire des doc !

PS : j'utilise une BOX parce que cela me suffisait et me suffira peut-être encore quelque semaines ... si vous pensez avoir une solution plus ... pro, ou même la seule solution, en me proposant d'acquérir un routeur séparé, je peux y songer rapidement.
Le souci n'est pas tant économique mais plutôt technique effectivement

[Hepil]

voici la mise à jour du projet avec les DHCP notamment ...

[Hepil]

salut,
...
2) il n'est pas sûr que R1 accepte de natter RESOLD car il n'est plus directement connecté ...
Alain

Oui je comprends et en plus cela impliquerait que des règles NAT peuvent être écrites pour plusieurs réseaux locaux ... en partant d'un même routeur/NAT

Est-ce effectivement possible ?

[ciscowarrior]

Sur la plupart des modem/routeurs non ce n'est pas possible mais sur un routeur pro type Cisco il n'y a aucun problème.
Je pense que la solution la meilleure serait de ne pas utiliser le serveur Windows pour router mais de le remplacer par un routeur avec switch intégré( par exemple un Cisco série 800), de rajouter un switch L2 éventuellement et de bridger la box et laisser le routeur pro faire le routage + PPPoE.
Tu créerais un vlan par réseau ton routeur s'occuperait du routage inter vlan si nécessaire, du relay DHCP et pourrais même faire le VPN.

Alain

[Miistik]

Effectivement, sur un routeur pro, c'est possible.

Et c'est relativement simple à configurer.
De plus, nous pourrions t'aider.

Aussi, ce type d'équipement pourrait te servir pour plusieurs autres évolutions de ton réseau.

[Hepil]

salut,
...
2) il n'est pas sûr que R1 accepte de natter RESOLD car il n'est plus directement connecté ce qui veut dire que tu vas devoir natter sur R2 pour RESOLD ... Dans ce cas pas besoin de route vers RESOLD sur R1.
Alain

Oui, donc, Dans R2 je natte pour RESOLD
Ce qui veut dire que les paquets vont passer par R1 en routage sans nattage pour RESOLD. Ce sera juste un routeur de plus pour aller sur internet ...

Pour RESVPN, le routage sera fait par R1
et le nattage sera fait par R1 aussi

La passerelle de RESOLD est R2 (pour tous les PC)
La passerelle de RESVPN est R1

J'utilise si possible mon DHCP existant dans RESOLD pour RESOLD et RESVPN et aussi pour le VPN d'ailleurs (qui va être dans le serveur windows 2008 R2 avec le routeur R2 aussi)

J'utilise le DHCP de la box (R1) pour le réseau wifi (sauf si j'arrive à passer/configurer deux relais DHCP (dans R1 et sur R2) ... ouaahh le rève )

Tout cela sur le même domaine bien sûr ... enfin si je peux conserver aussi ce paramètre

[ciscowarrior]

J'utilise si possible mon DHCP existant dans RESOLD pour RESOLD et RESVPN et aussi pour le VPN d'ailleurs (qui va être dans le serveur windows 2008 R2 avec le routeur R2 aussi)

Tu risques d'avoir des problèmes car tu vas natter sur R2 et si tu veux que RESVPN obtienne ses beaux DHCP d'une machine dans RESOLD alors tu vas devoir mettre en place un relais DHCP sur R2 et je ne suis pas sur que cela fonctionne correctement avec le NAT.

Alain

[ciscowarrior]

je viens de tester sur un routeur Cisco comme relais DHCP avec le NAT et cela fonctionne sans problème, maintenant il faut voir l'implémentation sur Windows.

Alain

[Hepil]

je viens de tester sur un routeur Cisco comme relais DHCP avec le NAT et cela fonctionne sans problème, maintenant il faut voir l'implémentation sur Windows.

Alain

tu es juste ... génial

[Hepil]

Je vais regarder ce weekend la config du NAT dans R2 et des agents relais DHCP dans R2 et dans R1(la box)
puis tester les accès distants ...
puis vous informer des résultats ...

L'idée restera quand même sur un process en 2 étapes :
1 - conserver le matériel existant en utilisant le maximum de ses possibilités
2 - basculer sur des solutions plus pro en fonction des besoins liés à l'accroissement de l'activité sur RESVPN (web2) et son site d'eCommerce, pour
octobre

je mets aussi à jour mon document schématisant le réseau dans la foulée
@+

[Hepil]

Bonjour
Plutôt que de tout changer, passerelles, routeur NAT... je me demande si je ne pourrais pas conserver mon réseau RESOLD tel quel, sans aucune modification. Je permute juste les deux réseaux sur mon schéma
En rajoutant mon serveur R2, avec ses deux cartes réseau qui pointent que RESOLD et RESVPN.

Voir le document joint pour le nouveau shéma

J'ai configuré le routeur dans R2, qui fera ainsi la passerelle entre RESOLD et RESVPN. tout le monde voit déjà tout le monde
L'agent DHCP dans R2 est configuré...(le serveur DHCP est dans RESOLD). A tester quand j'aurai un hôte dans RESVPN ... justement via le VPN !!

Car je veux à présent configurer mon VPN dans R2, pour le serveur web qui sera dans RESVPN, càd web2

Est-ce que le VPN sera ainsi accessible via le routeur R1 ?