# [routeur]impossible d'acceder au net à partir du lan(resolu)

## nico_calais

J'ai un sparc ultra V sous gentoo et je veux en faire un routeur/parefeu. Ce dernier se connecte correctement sur internet mais ma machine dans le lan n'arrive pas à se connecter au net via le routeur.

Je n'arrive pas à savoir quel est le problème. 

la machine du lan a comme addresse IP 17.8.74.81/29

le routeur a comme addresse IP 17.8.74.84/29

La connexion entre le routeur et la machine du lan est correcte puisque je peux me connecter au routeur en ssh.

le parefeu du routeur accepte tout pour le moment.

J'ai bien parametré la route par défaut avec la machine du lan 

```

routes_eth0=("default via 17.8.74.84")

```

voici la configuration du noyau au niveau réseau :

```
CONFIG_NET=y

[...]

#

# Networking options

#

CONFIG_PACKET=y

# CONFIG_PACKET_MMAP is not set

CONFIG_UNIX=y

CONFIG_XFRM=y

# CONFIG_XFRM_USER is not set

# CONFIG_XFRM_SUB_POLICY is not set

# CONFIG_XFRM_MIGRATE is not set

# CONFIG_XFRM_STATISTICS is not set

# CONFIG_NET_KEY is not set

CONFIG_INET=y

# CONFIG_IP_MULTICAST is not set

CONFIG_IP_ADVANCED_ROUTER=y

CONFIG_ASK_IP_FIB_HASH=y

# CONFIG_IP_FIB_TRIE is not set

CONFIG_IP_FIB_HASH=y

# CONFIG_IP_MULTIPLE_TABLES is not set

# CONFIG_IP_ROUTE_MULTIPATH is not set

# CONFIG_IP_ROUTE_VERBOSE is not set

# CONFIG_IP_PNP is not set

# CONFIG_NET_IPIP is not set

# CONFIG_NET_IPGRE is not set

# CONFIG_ARPD is not set

# CONFIG_SYN_COOKIES is not set

# CONFIG_INET_AH is not set

# CONFIG_INET_ESP is not set

# CONFIG_INET_IPCOMP is not set

# CONFIG_INET_XFRM_TUNNEL is not set

# CONFIG_INET_TUNNEL is not set

CONFIG_INET_XFRM_MODE_TRANSPORT=y

CONFIG_INET_XFRM_MODE_TUNNEL=y

# CONFIG_INET_XFRM_MODE_BEET is not set

# CONFIG_INET_LRO is not set

CONFIG_INET_DIAG=y

CONFIG_INET_TCP_DIAG=y

# CONFIG_TCP_CONG_ADVANCED is not set

CONFIG_TCP_CONG_CUBIC=y

CONFIG_DEFAULT_TCP_CONG="cubic"

# CONFIG_TCP_MD5SIG is not set

# CONFIG_IP_VS is not set

# CONFIG_IPV6 is not set

# CONFIG_NETWORK_SECMARK is not set

CONFIG_NETFILTER=y

CONFIG_NETFILTER_DEBUG=y

CONFIG_NETFILTER_ADVANCED=y

#

# Core Netfilter Configuration#

CONFIG_NETFILTER_NETLINK=y

CONFIG_NETFILTER_NETLINK_QUEUE=y

CONFIG_NETFILTER_NETLINK_LOG=y

CONFIG_NF_CONNTRACK=y

CONFIG_NF_CT_ACCT=y

CONFIG_NF_CONNTRACK_MARK=y

CONFIG_NF_CONNTRACK_EVENTS=y

CONFIG_NF_CT_PROTO_DCCP=y

CONFIG_NF_CT_PROTO_GRE=y

CONFIG_NF_CT_PROTO_SCTP=y

CONFIG_NF_CT_PROTO_UDPLITE=y

CONFIG_NF_CONNTRACK_AMANDA=y

CONFIG_NF_CONNTRACK_FTP=y

CONFIG_NF_CONNTRACK_H323=y

CONFIG_NF_CONNTRACK_IRC=y

CONFIG_NF_CONNTRACK_NETBIOS_NS=y

CONFIG_NF_CONNTRACK_PPTP=y

CONFIG_NF_CONNTRACK_SANE=y

CONFIG_NF_CONNTRACK_SIP=y

CONFIG_NF_CONNTRACK_TFTP=y

CONFIG_NF_CT_NETLINK=y

CONFIG_NETFILTER_XTABLES=y

CONFIG_NETFILTER_XT_TARGET_CLASSIFY=y

CONFIG_NETFILTER_XT_TARGET_CONNMARK=y

CONFIG_NETFILTER_XT_TARGET_DSCP=y

CONFIG_NETFILTER_XT_TARGET_MARK=y

CONFIG_NETFILTER_XT_TARGET_NFQUEUE=y

CONFIG_NETFILTER_XT_TARGET_NFLOG=y

CONFIG_NETFILTER_XT_TARGET_NOTRACK=y

CONFIG_NETFILTER_XT_TARGET_RATEEST=y

CONFIG_NETFILTER_XT_TARGET_TRACE=y

CONFIG_NETFILTER_XT_TARGET_TCPMSS=y

CONFIG_NETFILTER_XT_TARGET_TCPOPTSTRIP=y

CONFIG_NETFILTER_XT_MATCH_COMMENT=y

CONFIG_NETFILTER_XT_MATCH_CONNBYTES=y

CONFIG_NETFILTER_XT_MATCH_CONNLIMIT=y

CONFIG_NETFILTER_XT_MATCH_CONNMARK=y

CONFIG_NETFILTER_XT_MATCH_CONNTRACK=y

CONFIG_NETFILTER_XT_MATCH_DCCP=y

CONFIG_NETFILTER_XT_MATCH_DSCP=y

CONFIG_NETFILTER_XT_MATCH_ESP=y

CONFIG_NETFILTER_XT_MATCH_HELPER=yCONFIG_NETFILTER_XT_MATCH_QUOTA=y

CONFIG_NETFILTER_XT_MATCH_RATEEST=y

CONFIG_NETFILTER_XT_MATCH_REALM=y

CONFIG_NETFILTER_XT_MATCH_SCTP=y

CONFIG_NETFILTER_XT_MATCH_STATE=y

CONFIG_NETFILTER_XT_MATCH_STATISTIC=y

CONFIG_NETFILTER_XT_MATCH_STRING=y

CONFIG_NETFILTER_XT_MATCH_TCPMSS=y

CONFIG_NETFILTER_XT_MATCH_TIME=y

CONFIG_NETFILTER_XT_MATCH_U32=y

CONFIG_NETFILTER_XT_MATCH_HASHLIMIT=y

#

# IP: Netfilter Configuration

#

CONFIG_NF_CONNTRACK_IPV4=y

CONFIG_NF_CONNTRACK_PROC_COMPAT=y

CONFIG_IP_NF_QUEUE=y

CONFIG_IP_NF_IPTABLES=y

CONFIG_IP_NF_MATCH_RECENT=y

CONFIG_IP_NF_MATCH_ECN=y

CONFIG_IP_NF_MATCH_AH=y

CONFIG_IP_NF_MATCH_TTL=y

CONFIG_IP_NF_MATCH_ADDRTYPE=y

CONFIG_IP_NF_FILTER=y

CONFIG_IP_NF_TARGET_REJECT=y

CONFIG_IP_NF_TARGET_LOG=y

CONFIG_IP_NF_TARGET_ULOG=y

CONFIG_NF_NAT=y

CONFIG_NF_NAT_NEEDED=y

CONFIG_IP_NF_TARGET_MASQUERADE=y

CONFIG_IP_NF_TARGET_REDIRECT=y

CONFIG_IP_NF_TARGET_NETMAP=y

CONFIG_NF_NAT_SNMP_BASIC=y

CONFIG_NF_NAT_PROTO_DCCP=y

CONFIG_NF_NAT_PROTO_GRE=y

CONFIG_NF_NAT_PROTO_UDPLITE=y

CONFIG_NF_NAT_PROTO_SCTP=y

CONFIG_NF_NAT_FTP=y

CONFIG_NF_NAT_IRC=y

CONFIG_NF_NAT_TFTP=y

CONFIG_NF_NAT_AMANDA=y

CONFIG_NF_NAT_PPTP=y

CONFIG_NF_NAT_H323=y

CONFIG_NF_NAT_SIP=y

CONFIG_IP_NF_MANGLE=y

CONFIG_IP_NF_TARGET_ECN=y

CONFIG_IP_NF_TARGET_TTL=y

CONFIG_IP_NF_TARGET_CLUSTERIP=y

CONFIG_IP_NF_RAW=y

CONFIG_IP_NF_ARPTABLES=yCONFIG_IP_NF_ARP_MANGLE=y

# CONFIG_IP_DCCP is not set

# CONFIG_IP_SCTP is not set

# CONFIG_TIPC is not set

# CONFIG_ATM is not set

# CONFIG_BRIDGE is not set

# CONFIG_VLAN_8021Q is not set

# CONFIG_DECNET is not set

# CONFIG_LLC2 is not set

# CONFIG_IPX is not set

# CONFIG_ATALK is not set

# CONFIG_X25 is not set

# CONFIG_LAPB is not set

# CONFIG_ECONET is not set

# CONFIG_WAN_ROUTER is not set

# CONFIG_NET_SCHED is not set

CONFIG_NET_CLS_ROUTE=y

#

# Network testing

#

# CONFIG_NET_PKTGEN is not set

# CONFIG_HAMRADIO is not set

# CONFIG_CAN is not set

# CONFIG_IRDA is not set

# CONFIG_BT is not set

# CONFIG_AF_RXRPC is not set

#

# Wireless

#

# CONFIG_CFG80211 is not set

# CONFIG_WIRELESS_EXT is not set

# CONFIG_MAC80211 is not set

# CONFIG_IEEE80211 is not set

# CONFIG_RFKILL is not set

# CONFIG_NET_9P is not set

CONFIG_IP_NF_ARPFILTER=y

CONFIG_NETFILTER_XT_MATCH_IPRANGE=y

CONFIG_NETFILTER_XT_MATCH_LENGTH=y

CONFIG_NETFILTER_XT_MATCH_LIMIT=y

CONFIG_NETFILTER_XT_MATCH_MAC=y

CONFIG_NETFILTER_XT_MATCH_MARK=y

CONFIG_NETFILTER_XT_MATCH_OWNER=y

CONFIG_NETFILTER_XT_MATCH_POLICY=y

CONFIG_NETFILTER_XT_MATCH_MULTIPORT=y

CONFIG_NETFILTER_XT_MATCH_PKTTYPE=y

[...]

CONFIG_NETDEVICES=y

# CONFIG_DUMMY is not set

# CONFIG_BONDING is not set

# CONFIG_MACVLAN is not set

# CONFIG_EQUALIZER is not set

CONFIG_TUN=y

# CONFIG_VETH is not set

# CONFIG_ARCNET is not set

# CONFIG_PHYLIB is not set

CONFIG_NET_ETHERNET=y

CONFIG_MII=y

# CONFIG_SUNLANCE is not set

CONFIG_HAPPYMEAL=y

# CONFIG_SUNBMAC is not set

# CONFIG_SUNQE is not set

# CONFIG_SUNGEM is not set

# CONFIG_CASSINI is not set

CONFIG_NET_VENDOR_3COM=y

CONFIG_VORTEX=y

# CONFIG_TYPHOON is not set

# CONFIG_NET_TULIP is not set

# CONFIG_HP100 is not set

# CONFIG_IBM_NEW_EMAC_ZMII is not set

# CONFIG_IBM_NEW_EMAC_RGMII is not set

# CONFIG_IBM_NEW_EMAC_TAH is not set

# CONFIG_IBM_NEW_EMAC_EMAC4 is not set

CONFIG_NET_PCI=y

# CONFIG_PCNET32 is not set

# CONFIG_AMD8111_ETH is not set

# CONFIG_ADAPTEC_STARFIRE is not set

# CONFIG_B44 is not set

# CONFIG_FORCEDETH is not set

# CONFIG_EEPRO100 is not set

# CONFIG_E100 is not set

# CONFIG_FEALNX is not set

# CONFIG_NATSEMI is not set

# CONFIG_NE2K_PCI is not set

# CONFIG_8139CP is not set

CONFIG_8139TOO=y

CONFIG_8139TOO_PIO=y

# CONFIG_8139TOO_TUNE_TWISTER is not set

# CONFIG_8139TOO_8129 is not set

# CONFIG_8139_OLD_RX_RESET is not set

# CONFIG_R6040 is not set

# CONFIG_SIS900 is not set

# CONFIG_EPIC100 is not set

# CONFIG_SUNDANCE is not set

# CONFIG_TLAN is not set

# CONFIG_VIA_RHINE is not set

# CONFIG_SC92031 is not set

# CONFIG_NETDEV_1000 is not set

# CONFIG_NETDEV_10000 is not set

# CONFIG_TR is not set

#

# Wireless LAN

#

# CONFIG_WLAN_PRE80211 is not set

# CONFIG_WLAN_80211 is not set

# CONFIG_IWLWIFI_LEDS is not set

# CONFIG_WAN is not set

# CONFIG_FDDI is not set

# CONFIG_HIPPI is not set

CONFIG_PPP=y

# CONFIG_PPP_MULTILINK is not set

# CONFIG_PPP_FILTER is not set

CONFIG_PPP_ASYNC=y

# CONFIG_PPP_SYNC_TTY is not set

# CONFIG_PPP_DEFLATE is not set

# CONFIG_PPP_BSDCOMP is not set

# CONFIG_PPP_MPPE is not set

CONFIG_PPPOE=y

# CONFIG_PPPOL2TP is not set

# CONFIG_SLIP is not set

CONFIG_SLHC=y

# CONFIG_NET_FC is not set

# CONFIG_NETCONSOLE is not set

# CONFIG_NETPOLL is not set

# CONFIG_NET_POLL_CONTROLLER is not set

# CONFIG_ISDN is not set

# CONFIG_PHONE is not set

[...]

```

je sèche. La route du lan vers le routeur est correcte. La conf du noyau du routeur est pour moi correcte. le parefeu laisse tout passer... Bref, si quelqu'un a une idée, je suis preneur.

----------

## man in the hill

Salut

Faut dire au noyau de laisser passer les paquets du lan ...

```

vim  /etc/sysctl.conf

net.ipv4.ip_forward = 1

```

----------

## guilc

Heu, juste une question en passant : c'est quoi ce plan d'adressage à la noix ?  :Razz: 

C'est nouveau d'utiliser des adresses IP publiques (routées sur internet tout bien comme il faut) pour adresser un réseau local ?

A moins que ce soit des adresses qui te sont réellement déléguées par leur propriétaire (Apple en l'occurrence, du coup, j'ai franchement comme un doute)...

C'est pas que ça ne marchera pas, mais bon... On a vu plus clean.

----------

## nico_calais

 *Quote:*   

> Faut dire au noyau de laisser passer les paquets du lan ...
> 
> Code:
> 
> vim  /etc/sysctl.conf
> ...

 

Je l'ai déjà defini. De plus, j'utilise shorewall et je l'ai aussi precisé dans sa conf.

J'ai fait un tcpdump de mon interface ppp0 et je vois bien les paquets de ma machine du lan avec comme destinataire des machines sur internet mais il n'y a aucun retour.

A guilc, j'utilise cet addressage depuis plus d'un an sans soucis particulier. C'est mon addressage lan et ça ne derange personne à part peut être un jour si mon wifi est pris d'assaut par quelqu'un :p

J'ai oublié de dire que ma machine du lan fait routeur/parefeu actuellement. Donc à chaque test, je rajoute la route par défaut et j'arrête le parefeu.

----------

## guilc

 *nico_calais wrote:*   

> A guilc, j'utilise cet addressage depuis plus d'un an sans soucis particulier. C'est mon addressage lan et ça ne derange personne à part peut être un jour si mon wifi est pris d'assaut par quelqu'un :p

 

Mais pourquoi s'embêter utiliser des adresses publiques ? et pourquoi un /29 ?

Si l'IANA a déclaré des plages d'adressage privé en classe A, B ou C selon les besoins, c'est pas pour rien hein  :Wink: 

Enfin je dis ça, je dis rien...

D'autant plus que par exemple, si apple met un jour des machines derrière ces IPs là, tu ne pourras même pas y accéder...

----------

## nico_calais

 *guilc wrote:*   

>  *nico_calais wrote:*   A guilc, j'utilise cet addressage depuis plus d'un an sans soucis particulier. C'est mon addressage lan et ça ne derange personne à part peut être un jour si mon wifi est pris d'assaut par quelqu'un :p 
> 
> Mais pourquoi s'embêter utiliser des adresses publiques ? et pourquoi un /29 ?
> 
> Si l'IANA a déclaré des plages d'adressage privé en classe A, B ou C selon les besoins, c'est pas pour rien hein 
> ...

 

Si je met en /29, c'est pour limiter le nombre de machines qui peuvent se connecter sur mon lan (6 machines) parce que j'ai pas besoin de plus.

Et même si un jour apple utilise une de ces addresses pour un de ses sites, heu perso, je le verrai même pas le pb..Qu'est ce que j'irai foutre chez apple déjà ? ^^

----------

## guilc

 *nico_calais wrote:*   

> J'ai fait un tcpdump de mon interface ppp0 et je vois bien les paquets de ma machine du lan avec comme destinataire des machines sur internet mais il n'y a aucun retour.

 

Et l'IP source, c'est quoi ?

C'est bien l'IP de ton ppp0 ? le masquerading/NAT est correctement fait ?

----------

## nico_calais

Le masq ! J'avais oublié de le configurer sous shorewall !

ça fonctionne maintenant. merci guilc

----------

