Bonjour
 
Je m'arrache le peu de cheveux qu'il me reste, avec le problème suivant :
 
Dans un même local, j'ai 2 réseaux (machines, serveurs, modem/routeur), différents, qui à l'origine ne devaient pas devoir "discuter" ensemble.
Or, je dois aujourd'hui trouver une solution pour permettre à des machines d'un réseau de se connecter en rdp sur des machines de l'autre, et vice/versa (quasiment).
 
J'ai donc ajouté 2 routeurs, je les ai testé indépendamment sur mon site géographique (je suis "loin" du site où ces routeurs doivent être installés), tout paraissait opérationnel niveau routage.
 
Sur site, les routeurs ont été posés, et ca ne fonctionne que dans un sens. (La machine en 10.170... arrive à pinguer une machine en 192.168...)
Dans l'autre sens, non : une machine en 192.168... ne pingue pas de machine en 10.170.
 
Une seule règle de routage est entrée dans les routeurs : sur le routeur 192.168.0.254, passer par 192.168.0.253 pour joindre 10.170.0.0/24
Un tracert 10.170.0.2 depuis 192.168.0.2 indique
192.168.0.254
192.168.0.253
puis plus rien.
 
 
Je me dis que j'ai du rater un truc dans ma conf, je vous joins un schéma  
 

 
Des idées ?
 
merci d'avance

Pourquoi avoir ajouté 2 routeurs et pas simplement 1 seul ?

Peut-etre pour une raison complètement absurde :  
Le problème ne se posait que dans un sens dans un premier temps, le routeur était prêt.
On m'a demandé l'autre sens, j'ai "dupliqué" le procédé.
 
Je peux contacter une ip privée cotée "LAN" en arrivant du coté "internet" ? J'étais convaincu que non. De plus, j'ai besoin d'accéder à des répertoires partagés sur le serveur qui est du coté "10.170" depuis le coté "192.168".
J'ai testé cette possibilité avec un routeur configuré comme R2 sur mon site, j'y parviens. j'ai pas pensé à tester "à l'envers".
 
D'après toi j'enlève R2, je modifie ma route sur R4 pour lui indiquer qu'il faut passer par R1, et j'ai résolu mon problème ?

je suis étonné que ca marche dans un sens et pas dans l'autre. Limite ca marcherais dans aucun sens ca serait plus logique

Oui tu n'as pas besoin de deux routeurs, un seul suffit.

Par ailleurs, le fait qu'il y ait un port LAN et un port WAN (+ le fait que la communication ne fonctionne qu'à moitié dans un sens) me fait penser que ce sont des routeurs qui doivent par défaut faire du NAT. Il faut désactiver le NAT, ce n'est vraiment pas approprié pour la situation.

 
Ok, je vais regarder ça dès demain. Le NAT, la fonction que je laisse toujours activée... Je viens peut-être de comprendre grâce à toi les conséquences de l'activation ou non de cette fonction dans ce genre de situation.

Suis comme un gland, la fonction NAT ne se désactive pas sur mon routeur, je l'ai dans l'OS.

Comment on sait si on peut désactiver le NAT sur un routeur qu'on veut acheter ?
 
Par exemple celui là ?
http://www.misco.fr/produits/links [...] 72212.aspx

prends un vrai routeur au lieu d'un truc prévu pour faire de l'adsl.

sinon peut-être qu'avec openwrt on peut le faire.

Salut.
 
Ton schéma est un peu .... Difficile à lire.
 
donc tu as 2 réseaux :
10.170.0.0/24
192.168.0.0/24
 
Il te faut un autre réseau au milieux ... Ben oui ! Avec un routeur pas besoin, mais avec 2 il te faut un réseau de routage entre (pour choisir un adressage regardes bien la RFC 1918 sur les classes ip).
 
Le nat n'a pas besoin d'être désactivé. En gros, voici une aide de schéma :
 
10.170.0.0/24--ROUTEUR1--10.10.0.0/24--ROUTEUR2--192.168.0.0/24
 
Ip routeur 1 :
IP LAN 10.170.0.253
IP INTERNET 10.10.0.253
 
IP routeur 2:
IP LAN 192.168.0.254
IP INTERNET 10.10.0.254
 
Routage routeur 1
pour joindre 192.168.0.0/24 passer par 10.10.1.254 (ip internet second routeur)
 
Routage sur le routeur 2
pour joindre 10.170.0.0/24 passer par 10.10.1.253 (ip internet routeur 1)
 
!!!!!!!!!!! ATTENTION !!!!!!!!!!  
Pour que le nat ne te pose aucun soucis, veille à brancher les deux roueur par la prise INTERNET !!!!!!!!
 
Et désactive tous firewall.

 
Ben justement, autant ne mettre qu'un routeur plutôt que tout compliquer pour rien.

Tu prèches un converti
 
J'irais même jusqu'à dire .... Autant changer les ip pour les mettres toutes dans le même réseau
 
MAIS ! Je pense que nous n'avons pas toutes les données du problème Il y a parfois des contraintes budgétaire, environnementale ...

Ah ca si seulement je pouvais    
 

Puta*n ca me plait (disons que ca serait le moins contraignant là à la vue de mes impératifs).
Je n'ai aucunement l'intention de remettre tes compétences en question, mais comme je fais faire des manips à distance, c'est relou et ca prends un temps fou, alors je préfère demander l'avis du topic :
Vous voyez un problème à cette solution ? (à part c'est pas beau et ca serait mieux avec un seul routeur) ?

Tu rajoutes 2 niveaux de NAT donc niveau perfs ça va pas être terrible surtout avec des routeurs SOHO... et très accessoirement, comme chaque partie du réseau est derrière un NAT, aucune des deux parties ne peut ouvrir de session vers un poste de l'autre partie, sauf si tu as défini des règles de forwarding... mais au mieux chaque réseau ne pourra communiquer qu'avec une seule machine de l'autre réseau, défini statiquement.
En gros tu as deux réseaux qui ne peuvent pas communiquer entre eux.

Oups, boulette
Ok, j'oublie l'idée alors.
 

Tu me met un énorme doute sur le NAT entrant ...
 
Mais comme il ne communique pas sur un réseau ouvert ... Pour moi normalement celà passe Le formarding dont tu parles (le PAT (par port) ou NAT (par adresse)) n'est utile que dans le cas d'un adresse ip publique pour adresser plusieurs serveurs privés (par services en gros) mais là ... En entré de routeur partie WAN, tu auras bien l'adresse du routeur émetteur (NAT sortant originel) et l'adresse ip privé (192.168.0.X) en destination ... Donc pas besoin de NAT ou PAT entrant ? Il faut simplement désactiver le firewall ou faire un PASS_ALL
 
Ca va me torturer ça  !!!!!! Je me renseigne mais ma logique me semble ... Logique

Pour le routeur, ce qui est sur le port WAN c'est du réseau public, et ce qui est sur le LAN c'est du réseau privé. Après que ce soit connecté à internet ou pas, il n'en sait rien.

Tout à fait d'accord, c'est pourquoi je dis qu'il ne faut pas mettre de NAT/PAT.

Eh non, en destination tu auras l'adresse du port WAN du routeur relié au réseau de destination. Si tu mets directement l'adresse du second réseau en destination, le premier routeur va envoyer ça au second, et le second va dropper le paquet vu qu'il ne lui est pas destiné.

Ce qu'il faut bien comprendre c'est qu'étant posé le schéma suivant, A et B étant les réseau des machines, C le réseau d'interco, et R1 et R2 les fameux routeurs NAT :

A--R1--C--R2--B

alors depuis A on ne voit pas de réseau C mais seulement une passerelle (R1) qui mène vers le réseau C, le réseau B tout entier étant NATé derrière l'adresse de R2 dans le réseau C, et vice-versa dans l'autre sens.

Hummmm oui le routeur ne se figure pas de ce qu'il y a sur ces ports en terme de wan/lan Mais prends un autre éxemple
 
Imagines ! Tu bosses pour une boites TRES TRES riche (et bête), chacune de tes machine est adressé en ip publique dans ce cas de figure le nat entrant (comme le sortant) tu t'en fou complètement c'est un peu le même principe ici les adresses même si elles sont de catégorie C, peuvent être directement routée de puis l'autre routeur, puisqu'il n'y a pas de réseau publique
 

Oui biensure mais dans son cas il ne peut pas le désactiver Donc le nat en sortie il n'a pas le choix Je disais juste que ce n'étais pas indispensable de le désactiver. Par contre y a pas besoin (et même vaut mieux pas) faire de nat entrant.
 

Houlalala ... Je fais ça tout les jours et ce n'est pas ce que je lis dans mes trames
 
je vulgarise :
La machine A veut parler à la machine B ... Elle constate que B n'est pas dans son réseau, elle transmet à R1 pour routage.
R1 recoit l'info que A veut parler à B ! Comme le nat est activé, il note l'information et retransmet le message en son nom vers R2. A ce stade nous avons dans le message (grosso merdo toujours) R1(A) veut parler a B Via R2.
R2 recoit ce paquet. Il connait B et lui retransmet.
 
B reçoit "R1 veut parler a B". Il organise sa réponse donc vers R1. Qui n'est pas dans son LAN et transmet à R2.
R2 recoit "B veut REPONDRE à R1". Le routeur reprend, encapsule et envoie : "R2(B) veut parler à R1"
R1 recoit l'info, fait la correspondance, et transmet à A.
 
Bon j'ai 2 routeurs sous la main vais finir par tester Mais je ne vois pas du tout en quoi tout ceci serait différent de la mise en relation de 2 sites via internet ! Internet étant simplement ici remplassé par un réseau de routage C , que l'on pourrait même comparé (hoo je sais c'et moche) à un réseau privée opérateur (equant ou autre mpls). Non pour moi c'est sûr que celà marche.
 
Apres là où je ne peux qu'approuver missardonik c'est sur les performances, la gestion au quotidien (2 quipements qui peuvent tomber en panne). Mais ça marche pour sûr ! Vite !!! un avis externe où je meurs

 
Il n'y aurait vraisemblablement pas de NAT et ça s'arrêterait là.
 
(et accessoirement, les adresses IP ne sont pas à vendre, donc être très riche n'aide pas pour en avoir).
 
 

 
Ok, ça marchera peut-être. Je pense qu'il y a quand même des chances que ça bloque, cf ce que je disais avant. Enfin au pire faut essayer, mais quand on voit ce que ça coûterait d'acheter un petit routeur pour faire les choses comme il faut c'est quand même dommage.

???? C'est qui ton FAI ???? Les miennes me coûtent chères !!! (En france comme je l'étais avant chez SFR, et maintenant en Belgique avec BELGACOM ... Mon pack IP n'est vraiment pas gratuit ! )
 
Oui il n'y aurait pas de NAT (mais même si il y en avait ca ne dérangerait pas), c'était juste pour dire que tu n'avais pas besoin de NAT entrant (ou forwarding) Comme toutes les adresses seraient joignables depuis l'extérieur.
 
Bien d'accord avec toi sur le fait de devoir prendre un routeur pour faire celà ... Malheureusement cette personne a peut être des problèmatiques autres

Combien ?

Parce qu'à la source ça coûte 50€ HT par an la ressource, par exemple un bloc d'IP quelque soit sa taille. Bien sûr il faut justifier l'utilisation. Si le FAI facture cher tu as peut-être intérêt à passer LIR...

Et pour en revenir au problème de base, je me demande ce qu'il va se passer quand R2 va transmettre la réponse de B à R1 à destination de A... car R1 attend une réponse de B, alors qu'il va récupérer une réponse avec R2 en source et R1 en destination, il ne saura pas à qui transmettre.

Le débat est passionnant.
 
Juste pour info, j'ai laissé un seul routeur NAT (pas de possibilité rapide de fournir un routeur sur lequel je puisse enlever le NAT).
J'ai accéléré la migration que je devais faire, j'ai trouvé une solution pour que les postes du lan 192.x qui devaient avoir besoin de communiquer avec le lan 10.170.x n'en ai plus besoin.
Ils vont être basculés en 10.170.x, et pourront accéder à ce qui leur fallait sur 192.168.x
 

Le beau document où il te faut dire ce que tu vas en faire ... Dessiner un beau schéma !!!! Hummmm je viens de le remplir pour une migration de ligne
 
been 50€ par ressources ca ferais chere j'ai plus ou moins 1000 postes adressés

Et ben tant mieux ! Mais moi je suis tout éxcité vais essayer de reproduire le schéma

J'attends avec impatience le retour d'info à ce sujet

 
ben non, une ressource c'est par exemple un bloc d'ip quelque soit la taille. Donc pour un /22 soit 1000 machines environ, c'est 50 euros.

   
50€ la /22 ?
J'achète  

mais faut justifier l'utilisation

pasque

Bon celà dis ... tu peux dire tout et n'importe quoi ils ne vérifient pas

oui enfin jouer avec ça c'est prendre le risque de se faire retirer ses adresses IP, donc c'est pas forcément une bonne idée.

oui oui puis adresser un Lan en ip publique ...
 
Toujours pas eu le temps de tester une configue comme celle décrite

 
En v6 c'est encore moins cher  

 
Ben ça ça n'a rien de choquant, c'est juste la pénurie qui fait qu'on ne peut pas... d'ailleurs en IPv6 c'est comme ça que ça se passe (enfin on peut faire autrement si on y tient, mais je suis pas sûr de l'intérêt).
Après bien sûr faut faire le filtrage qui va bien en entrée.

A la rigueure (et encore) adresser les serveurs ... Et comme je le dis et encore ca sert juste juste à compliquer des migration (le nat c'est bien pratique pour ça aussi). mais le pc de la secrétaire.