[Résolu] Création d'un réseau de VPS avec une passerelle internet

Je souhaite créé un réseau avec plusieurs VPS dont un seul aura un accès public.

Mon VPS passerelle est sur un réseau local et a un accès internet avec une passerelle auquel je n’ai pas accès.
Les autres VPS ont juste un accès réseau local (mais pas internet) avec chacun une passerelle potentiellement différente de celle de la machine qui doit me servir de passerelle. Tous les VPS peuvent communiquer entre eux même si ils sont sur des réseaux locaux différents.

Test 1 : modification du routage pour que les flux passe par ma passerelle et accède à internet avec masquerade.
KO : Je n’ai pas abouti à un résultat pour le routage.

Test 2 : utilisation de nginx sur ma passerelle pour avoir un site web accessible et avoir accès au dépots Debian via les fonction de proxy.
OK : Ca marche pour l’accès aux dépots de l’intérieur et pour l’accès au site web apache de l’extérieur.

Test 3 : Mise en place d’un VPN entre les VPS locaux et mon VPS passerelle.
OK : Les machines se ping via le VPN mais il me reste du boulot de routage, rien d’insurmontable à priori.

Qu’elle est le meilleur moyen entre ceux que j’ai testé (à priori, le premier est impossible) ?
Existe il une autre solution auquel je n’ai pas pensé ?

Le VPS passerelle proposera un accès extérieur pour les mails (exim4) et pour les sites web (ngnix ou nat).

Cela manque cruellement d’information précise sur le contexte.

Utilises-tu du Cloud ou bien des machines virtuelles sur des hyperviseurs ?
Un ou plusieurs hyperviseurs ?
Chez toi ou chez un ou plusieurs hébergeurs ?

Accessoirement quel est/sont la ou les technios de virtualisation utilisée(s) ?

Je ne connais pas la techno de virtualisation utilisé. J’ai juste pris 2 VPS à 2,99 € (dont 1 sans IP public) chez https://www.scaleway.com pour tester si je pouvais faire quelque chose de plus souple que mon sur mon dédié sous xen.
Chaque VPS n’a qu’une interface eth0 avec une adresse privé sur un réseau 10.X.Y.0. Scaleway gère le routage de l’adresse public éventuelle avec la machine avec du nat et permet à 2 machines de dialoguer via leur adresse privé.

Peux-tu décrire concrètement ce que tu avais fait ?

Une machine A ne peut utiliser une machine B comme passerelle (ou plus exactement routeur), c’est-à-dire lui envoyer des paquets destinés à une autre adresse C, que s’il existe une liaison directe entre elles, soit de type point à point (tunnel, VPN, PPP…), soit de type multipoint à couche MAC (ethernet, wifi…). Il faut bien un moyen de spécifier qu’on veut envoyer à B un paquet destiné à une machine C, ce qui ne peut être fait que si tout ce qu’on envoie sur la liaison arrive à B (point à point), soit si le format de trame contient l’adresse MAC de B (multipoint à couche MAC).

Si les machines sont séparés par des routeurs, un tunnel avec encapsulation IPIP simple (cf. man ip-tunnel) ou un VPN est nécessaire.

Merci.
J’avais essayer de définir ma machine “router” comme gateway et d’indiquer qu’il fallait passer par la gateway initiale pour l’atteindre. Ce qui coupait toutes communications.

Pour le moment, je vais creuser la solution de type proxy avec ngnix sur mon “router”. J’ai la possibilité de limiter le trafic en entrée des machines derrière mon router suivant une liste d’adresse IP pour la sécurité (blocage géré par l’hébergeur).

Je passerai à ip-tunnel ou à un vpn si je bloque sur des flux particuliers c’est à dire http et https.

Il n’est pas possible de faire cela. Le routage au-delà du premier routeur n’est pas contrôlable.

Merci pour les explications théoriques.
Il me reste à creuser l’utilisation d’un VPN bridgé (merci pour les explications trouvées sur un autre topic) et l’utilisation de proxy(http[s])/relay(smtp)/rebond(ssh).

Je reviendrai poser des questions en cas de blocage.

Un VPN ponté est peut-être un peu “riche” pour cet usage. Comme je l’ai écrit, un simple tunnel point à point d’encapsulation IPIP suffirait, à moins que tu aies besoin d’authentification/chiffrement entre les VPS.

Ca simplifie ma compréhension du réseau. Je suis toujours perturbé par le fait d’avoir plusieurs adresse pour mon routeur en fonction du destinataire.

J’ai l’impression qu’une fois tout paramétrer, il est plus simple de brancher une nouvelle machine dans le réseau. C’est certainement à cause de ma méconnaissance de l’administration des machines.

Le chiffrement est une question que je me pose. je suis sur un réseau local non sure par le fait que je ne connais pas mes voisins et qu’en plus il est probable que certain soit piraté. Les hébergeurs low-cost ont souvent des clients pas très expérimentés et peu rigoureux. Si ne voulais pirater une machine, je commencerai par tester celle d’OVH ou de Online. Je ne me considère pas comme très compétent, mais je vois beaucoup d’horreur sur les forums à commencer par des gens qui ont des problèmes sur des machines jamais mises à jours depuis leur installation.