[gull] IP routing

Daniel Cordey dc at mjt.ch
Fri Jun 25 15:20:02 CEST 2004 

Update definitif au sujet de l'etrange comportement d'un router avec 4 cartes 
reseaux :

En fait, tout fonctionne et la configuration que je vous avais donnee est bien 
la bonne. De meme, les variantes des tables de routage sont aussi valables. 
Mais pour resumer, la plus simpel est la bonne. Soit :

- Mettez vos cartes dans l'ordinateur
- Configurez les avec ce que vous voulez (ifconfig, YaST, etc.)
- Activex le ip_forward avec : 

	echo 1 >/proc/sys/net/ipv4/ip_forward

Et c'est tout !!!

Mais alors pourquoi tout ce chambard ? Ah, la, la... C'est assez tordu....

C'est un probleme de materiel et de topologie. Initialement, j'avais deux 
reseaux et je veux deplacer un site de production en conservant le backup a 
l'endroit initial. Pour des raisons que je ne detaillerai pas, j'ai besoin 
d'ajouter un nouveau reseau et je dois assurer la transtion d'un des reseau 
existant vers un nouveau. D'ou mon besoin de 4 reseaux et d'un router 
temporaire pour assurer l'a transparence d'acces.

Or, pour relier les deux sites geographiques, "j'etends" chacun de mes reseau 
sur les deux sites. Pour ce faire, je fais du VLAN au travers d'une fibre en 
utilisant deux switchs HP ProCurve 2600.

Je mets donc en oeuvre mes deux switch, verifie le link fibre, et configure 
mon VLAN... Mais la, sur trois reseaux routes, un ne fonctionne pas... je 
savais qu'il s'agissait d'un probleme de configuration a l'interieur du 
switch, mais je ne voyais pas... j'ai trouve tout-a-l'heure... et au meme 
moment, mon routage Linux s'est mis a fonctionner !?!?!

Nous avons 9 switchs en activites dans nos bureaux. Dans tous mes tests de 
routage, les paquets passaient forcement par l'un de mes deux switchs avec le 
defaut de configuration. Le hasard a fait que je n'ai essaye d'acceder que 
des systemes qui "transitaient" par l'un des switch (Je n'ai jamais pense a 
ce probleme et n'ai pas pense a utiliser autre chose). Ce defaut de 
configuration "mangeait" mes paquets "routes" et je ne pouvais plus les voir. 
Meme losrque j'ai essaye de mettre un systeme en espion sur l'un des reseau 
pour faire un tcpdump... je l'ai mis du "mauvais" cote... bonne lecon !!!

Je restais persuader que je faisais quelque chose de faux, mais je n'arrivais 
pas a voir quoi... comme quoi, Linux fonctionnait tres bien et toutes les 
docs etaient justes. Les solutions a base d'iptables auraient donnes le meme 
resultat. Il est a note qu'une tel solution ne se justifie que si l'on desire 
faire du routage de maniere plsu intelligente que ce qui est possible avec un 
bete "forwardin". ENtre autre, principalement si l'oin desire fairre du 
controle de bande passante et/ou du filtrage intelligent.

En tous cas merci a ceux qui m'ont donne des idees et notamment fait connaitre 
'shorewall' qui me semble etre un parfait compromis entre simplicite de 
configuration et fonctionalite.

Daniel

More information about the gull mailing list