Cet article est un petit mémo sur comment créer simplement un petit routeur sous Debian, qui sera configuré pour interconnecter deux réseaux avec du NAT(Network Address Translation).
Configurer un simple petit routeur sous Debian Jessie
Dans la cas pratique de cet article, le but est d’interconnecter deux réseaux assez rapidement et simplement via du NAT. Les nœuds derrière le NAT, leur seul besoin est de pouvoir accéder vers l’autre réseau (internet ou intranet) et sont paramétrés en IP statique. Les serveurs Proxy et DNS sont sur le réseau derrière le routeur. La passerelle qui permet d’interconnecter physiquement les deux réseaux est un routeur configurer dans le mode bridge. Le serveur NAT doit posséder deux interfaces réseaux.
Les paramétrages réseaux :
- IP privée routeur/passerelle : 10.10.8.1/21
- IP Proxy et DNS : 10.10.8.20/21
- Ip serveur Debian : eth0 10.10.8.21/21 et eth1 192.168.0.254/24
- IP passerelle NAT : 192.168.0.254/24
- Réseau IP client : 192.168.0.0/24
Schéma de principe :
Configuration du serveur Debian en routeur NAT
La base de mon serveur routeur est une Debian Jessie. Toutes les commandes décrites dans le tutoriel sont exécutées en tant que root.
- Activer le routage des paquets IP :
nano /etc/sysctl.conf
Dé-commenter la ligne 28 :
# Uncomment the next line to enable packet forwarding for IPv4 net.ipv4.ip_forward=1
Prise en compte de la configuration :
sysctl -p
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables-save > /etc/iptables_rules.save
nano /etc/network/interfaces
auto eth0 iface eth0 inet static address 10.10.8.21 netmask 255.255.248.0 gateway 10.10.8.1 ##Ip privée du routeur physique post-up iptables-restore < /etc/iptables_rules.save## c'est ici qui est restauré la règle d'Iptables pour le NAT auto eth1 iface eth1 inet static address 192.168.0.254 netmask 255.255.255.0
systemctl restart networking
Configuration des postes client
exemple de configuration d’un PC sous debian :
Vérification des routes et la table ARP sur le serveur NAT
Sur le serveur NAT, avec l’aide de la commande ip vérifier :
- les routes :
ip route
default via 10.10.8.1 dev eth0 10.10.8.0/21 dev eth0 proto kernel scope link src 10.10.8.21 192.168.0.0/24 dev eth1 proto kernel scope link src 192.168.0.254
ip neigh
10.10.8.1 dev eth0 lladdr b8:af:67:07:b5:01 STALE 192.168.0.20 dev eth1 lladdr aa:ec:d1:fa:9c:ae STALE 10.10.8.20 dev eth0 lladdr 62:74:2b:b1:58:40 STALE
Vérification des routes et la table ARP sur un client du réseau derrière le NAT
salut. merci pour ce tuto clair et precis. suis tout a fait d’accord sur le punk and rock nroll. meme ecole.. cependant j’ai un probleme a te soumettre…
voici mes sortie de terminal:
root@anima:/home/al# ip route
default via 192.168.1.254 dev eth0
192.168.1.0/24 dev eth0 proto kernel scope link src 192.168.1.46
192.168.10.0/24 dev firewire0 proto kernel scope link src 192.168.10.10
root@anima:/home/al# ip neigh
192.168.1.254 dev eth0 lladdr 00:1b:bf:1c:bb:ea REACHABLE
192.168.10.9 dev firewire0 lladdr 00:1e:c2:ff:fe:f7:8a:96:0b:02:00:01:00:00:00:00 REACHABLE
192.168.1.19 dev eth0 lladdr 00:1e:c2:0f:78:a5 REACHABLE
je n’ai qu’une ethernet sur mon serveur, par contre fw est configure et je peux ssh entre le Imac et le debian.
l’idee serait de relayer le traffic internnet via le fw0 vers le mac. rester derriere le debian en routeur et firewall, n’utiliser le bbox bouygues seulement en passerelle. et pouvoir disposer de mon ethernet Imac pour d’autres choses voire m’en passer. suis a un stade de la config debian ou il me faut faire un choix..on ne peut bridger eth0 et fw0 brctl veut rien savoir… toutes mes configs sont statiques et dhcp ne me parait pas une bonne solution. en te remerciant par avance
C’était bien ipv4 mais maintenant comment on fait pour ipv6
Est ce que l’on peut garder de l’ipv4 ? Règles de Nat obsolètes avec ipv6 ?
SUper merci, cela m’a gagné du temps. ça marche aussi sur debian bulleyes, j’ai juste adapté avec les noms enp0s25 etc… et /sbin/iptables /sbin n’étant pas dans le chemin par défaut