créer un sous réseau déporté

Bonjour,
je voudrais créer une extension de mon LAN dans mon garage, reliée en wifi au reste du LAN.
Coté matériel, j’ai une pandaboard qui est reliée en wifi an LAN, et à laquelle je vais connecter un switch sur le port ethernet. Les machines du sous réseau seront en ip fixe.
Je ne sais pas trop par quel bout prendre la problème.
J’ai pensé utiliser iptable et ip_forward.

est ce la solution optimale ?

Le sous réseau ainsi créé aura une plage d’adresse différente du reste du LAN, et ça ne me satisfais pas trop. Je ne vois pas bien comment gérer tout les échanges et les accès aux machines d’un réseau à l’autre.
Aujourd’hui c’est mon routeur netgear qui gère le LAN, je ne voudrais pas trop solliciter la pandaboard pour gérer le sous réseau.

Tu as deux possibilités, selon les capacités de ta pandaboard.

• Routage : deux sous-réseaux IP distincts et la pandaboard fait office de routeur IP entre les deux avec ip_forward=1. Pas besoin d’iptables sauf si tu veux faire du filtrage entre les deux sous-réseaux. Il faudra ajouter une route statique sur la passerelle par défaut (le routeur Netgear) pour déclarer le nouveau sous-réseau et sa passerelle (la pandaboard). Le broadcast ne passera pas d’un réseau à l’autre.

• Pontage : tu fais un pont (bridge) entre les interfaces wifi et ethernet de la pandaboard. Cela réalise une extension du sous-réseau existant, pas besoin de routage ni d’activer de routes et le broadcast fonctionnera sur tout le réseau. Cependant tous les adaptateurs wifi ne fonctionnent pas en pont, car il faut une fonctionnalité particulière qui permet d’envoyer des trames avec une autre adresse MAC que la sienne pour pouvoir retransmettre les trames des autres machines.

Merci pascal, le pontage semble plus approprié à mon besoin. Je regarde les possibilité du wifi de la pandaboard (driver wl12xx - mac80201)
A première vu, il a l’air très complet et permet de faire pas mal de choses.

omappedia.org/wiki/MAC802.11_bas … 3.4-rc7.29

Je profite du dimanche pourri pour faire des rechrches.
Concernant le driver wif, je comprends mieux le problème:

[quote]You can bridge Ethernet to wireless if you are in AP mode.

The wifi protocol does not support multiple MAC addresses on a single node in any of the “client” type modes. Bridging preserves the source MACs of packets going between interfaces, so bridging Ethernet to wifi means you are transmitting packets with many source MACs (and will need to be able to receive packets to many destination MACs. This doesn’t work in client modes.

Search for “wds”. This is the magic you need if you want to bridge ethernet LAN -> wifi -> ethernet LAN. You can think of it as a point to point tunnel that supports bridging over wifi between two APs.[/quote]

Donc le driver doit supporter le mode AP, ça semble étre le cas, puisqu’on peux utiliser softAP pour en faire un AP.

WDS est bien la fonctionnalité nécessaire dont je parlais, mais j’ignore tout de son fonctionnement et de sa mise en oeuvre.

Autre possibilité : un tunnel ethernet de type openvpn en mode tap entre la pandaboard et une machine du LAN.

Le sou-LAN doit étre accéssible de toute machine du LAN, et réciproquement.

Concernant le mode AP, je regarde ce que ça donne au niveau sécurité. Il ne faudrait pas que ce soit un point d’entrée possible dans le LAN.

Le tunnel ethernet peut être ponté avec l’interface ethernet physique de chaque côté.
Le mode AP constitue un point d’entrée possible dans le LAN au même titre que le point d’accès principal.

Pour le mode AP, je ne sais pas trop si c’est un problème. Passer le driver en mode master ne veut pas dire que cela ouvre l’accès au LAN. Si il n’y a rien derrière pour autoriser la connexion d’un intrus.
Dans les exemples de bridge que je trouve, il faut indiquer l’essid et donner la clef du réseau.

Après une pose, je reprends mes essais.
Après avoir tenté un

iwconfig wlan0 mode master. Je me suis fait jeter.
et mes recherches m’ont fait découvrir que la gestion du wifi à bien changé ces derniers temps:

Il me reste à trouver comment passer en mode master sans utiliser softapd (je ne veux pas que des clients se connectent à mon réseau !)

Après une pose, je reprends mes essais.
Après avoir tenté un

iwconfig wlan0 mode master. Je me suis fait jeter.
et mes recherches m’ont fait découvrir que la gestion du wifi à bien changé ces derniers temps:

une nouvelle interface est en tain de se mettre en place: linuxwireless.org/en/developers/ … n/cfg80211

Il me reste à trouver comment passer en mode master sans utiliser hostapd (je ne veux pas que des clients se connectent à mon réseau !)

Je ne trouve rien d’autre que hostapd pour passer en mode master (marteau --> mouche). quelqu’un connaîtrait il un autre outil en user space pour basculer le driver en mode master (ou AP) ?

N’ayant rien trouver d’autre que hostapd pour passer le wifi en mode master, et ne voulant pas prendre le risque de transformer la pandaboard en point d’accès, je passe au plan B, un sous réseau avec plan d’adressage différent, et routage par la pandaboard.
Il faut que je trouve comment gérer ça au niveau du routeur (une machine de ce réseau sera à terme accessible depuis 'internet).

Voir ma première réponse concernant le routage et la route statique.
Si le routeur principal est trop pourri et ne permet pas de créer une route statique ni une redirection de port vers une adresse du sous-réseau déporté, alors il faudra hélas faire une deuxième couche de NAT sur la pandaboard avec iptables, SNAT vers l’extérieur et DNAT pour la redirection de port vers l’intérieur.

Merci Pascal pour tes conseils.
Le routeur n’a pas l’air trop pourri, j’ai la possibilité d’ajouter une route statique

[quote]Pour configurer un Itinéraire Statique:

Cliquez sur le bouton Ajouter.
Tapez un nom pour cet itinéraire statique dans la case Nom de la route située en dessous du tableau.
(Ce n'est que pour des besoins d'identification.)
Sélectionnée Privée si vous voulez limiter l'accès au LAN seulement.
Sélectionner Active pour que cette route devienne active.
Tapez l'Adresse IP de Destination de la destination finale.
Tapez le Masque sous-réseau IP de cette destination.
Si c'est pour un seul hôte, tapez 255.255.255.255.
Tapez l'Adresse IP de passerelle, qui doit représenter un routeur implanté sur le même segment.
Comme valeur Métrique, tapez un nombre compris entre 1 et 15.
Ceci représente le nombre de routeurs traversés sur votre réseau pour atteindre le réseau indiqué par la route statique. Normalement, c'est un réglage sur 2 ou 3 qui fonctionne le mieux, mais s'il s'agit d'une connexion directe, réglez sur 2.
Cliquez sur Appliquer pour que la route statique soit intégrée au tableau. [/quote]

Je regarde ça ce soir, mais j’ai déja une question:
sur le sous réseau, tout les PC aurons une adresse statique, avec la pandoboard comme gateway.
Est ce suffisant pour gérer ce réseau ?

Il faudra aussi leur indiquer une ou deux adresses de serveur DNS.
Une fois la route statique en place, si le routeur n’est pas trop limité il devrait permettre aux machines de ce sous-réseau de communiquer avec internet. Sinon il faudra que la pandaboard fasse du NAT source, au moins pour les destinations extérieures.
Y a-t-il autre chose ?

Merci Pascal,
ce sera tout pour le moment
Je vais expérimenter un peu

Bon, je cale
la config est la suivante:

• LAN 192.168.0.0
• sous réseau 192.168.1.0

La pandaboard est en wifi sur le LAN (192.168.0.7), et en ethernet sur le sous réseau (192.168.1.1)
sur le sous réseau j’ai une machine dont l’ip est supposée être préconfigurée à 192.168.1.250 (pas pu le vérifier)
Sur la pandaboard j’ai activé l’ip-forward,

[quote]echo 1 > /proc/sys/net/ipv4/ip_forward
[/quote]

Pour le test, je me connecte en ssh depuis le LAN sur la pandaboard afin de tester l’acces au sous réseau
le ping fonctionne vers 192.168.1.250

le fichier interface:

auto eth0 allow-hotplug eth0 #iface eth0 inet dhcp iface eth0 inet static address 192.168.1.1 netmask 255.255.255.0 gateway 192.168.0.1
pour gateway, je me demande si c’est bon, mais ça à l’air de fonctionner

[quote=“piratebab”]- LAN 192.168.0.0

• sous réseau 192.168.1.0[/quote]
  Depuis l’abandon des classes et l’adoption de CIDR (au bas mot il y a plus de 15 ans) on est tenu d’indiquer le masque ou la longueur du préfixe pour spécifier un réseau.

Non. Pas sur la bonne interface.

1. Une seule passerelle par défaut, quel que soit le nombre d’interfaces.
2. La passerelle doit être déclarée sur l’interface par laquelle elle est accessible.
3. La passerelle doit être directement connectée à l’interface concernée.
   Ce n’est manifestement pas le cas de 192.168.0.1 vis à vis d’eth0.

J’ai toujours un peude mal avec les masques et la longeur du prefixe (je ne configure pas un réseau tous les jours, ni même tous les semestres).
Pour le gatheway de eth0, je vois bien le probléme tel que tu le détaille, mais je ne vois pas comment le résoudre.
Le réseau 19.168.1.O/? est minimaliste. Uniquement 2 machines (en plus de la pandaboard) en ip fixe. Pas de DHCP ou de serveur DNS.
C’est pour cela que je renvoie vers le routeur du LAN (192.168.0.1) pour gateway et DNS. Ce n’est effectivement pas propre car ils ne sont pas dans le même réseau (je ne comprends d’ailleurs pas bien comment ça peux marcher, la pandaboard route pourtant correctement).

Que recommandes tu pour le gateway ?

nota: depuis une machine du Lan (192.168.0.2) j’arrive bien à accéder au serveur web de la machine 192.168.1.250 (et celle ci accède bien à internet pour mise à l’heure).

La plupart du temps c’est 255.255.255.0 soit /24 (le nombre de bits à 1 dans le masque, 255 valant 8 bits à 1).

Et je ne vois pas où est ton problème. Il suffit de déclarer la passerelle dans la configuration de l’interface à laquelle elle est connectée, c’est-à-dire l’interface wifi dans le cas de la pandaboard. Si elle est en DHCP, alors il n’y a rien à faire, c’est automatique.
Les machines du sous-réseau doivent définir comme passerelle l’adresse de la pandaboard de leur côté, 192.168.1.1. La passerelle du LAN, 192.168.0.1, ne leur est pas accessible directement.

Si tu as des doutes tu peux fournir les sorties de ip addr et ip route sur la pandaboard et une machine du sous-réseau, et je te dirai si c’est bon.

C’est plus clair.
L’interface wlan0 est en ip statique, avec comme passerelle et DNS le routeur du LAB.
Je teste ce soir de mettre la pandabord comme gateway dans les machines de sous réseau.
Je ne savais pas que la pandaboard routerai automatiquement vers la passerelle du LAN, simplement en activant ip_forward.