Routage avancé
Bonjour,
J'ai actuellement deux serveurs avec deux ip différentes. ces deux serveurs sont connectés en VPN. Comment puis-je faire pour foward tous le traffic d'un serveur à l'autre, mais que le deuxième serveur renvoi les réponse au premier.
Je m'explique :
Exemple :
- Nous avons le serveur 1 avec une IP 10.10.1.2
- Le serveur 2 avec une ip 20.20.1.2
- l'adresse ip lié au vpn sur la machine 1 en 30.30.1.2
Je voudrais que le client n'est que l'adresse 10.10.1.2, qu'il puisse se connecté dessus, et que selon l'application sur laquelle il se connecte, la requête (sur le port 80 apache par exemple) soit transféré au serveur 2, qu'il la traite et renvoi la réponse au client sur le serveur 1.
J'espère que c'est assez claire :), voici pour résumer
Client -> serveur 1 -> serveur 2 ; serveur 2 -> serveur 1->Client
Je suis sous Debian 7 actuellement.
En tout cas, merci de votre aide !
J'ai actuellement deux serveurs avec deux ip différentes. ces deux serveurs sont connectés en VPN. Comment puis-je faire pour foward tous le traffic d'un serveur à l'autre, mais que le deuxième serveur renvoi les réponse au premier.
Je m'explique :
Exemple :
- Nous avons le serveur 1 avec une IP 10.10.1.2
- Le serveur 2 avec une ip 20.20.1.2
- l'adresse ip lié au vpn sur la machine 1 en 30.30.1.2
Je voudrais que le client n'est que l'adresse 10.10.1.2, qu'il puisse se connecté dessus, et que selon l'application sur laquelle il se connecte, la requête (sur le port 80 apache par exemple) soit transféré au serveur 2, qu'il la traite et renvoi la réponse au client sur le serveur 1.
J'espère que c'est assez claire :), voici pour résumer
Client -> serveur 1 -> serveur 2 ; serveur 2 -> serveur 1->Client
Je suis sous Debian 7 actuellement.
En tout cas, merci de votre aide !
A voir également:
- Routage avancé
- Démarrage avancé windows 10 - Guide
- Les configurations ipv4 utilisateur peuvent ne pas fonctionner correctement en raison de l'architecture de routage ipv6 wan actuelle. - Forum Réseau
- Votre horloge est en avance - Forum Windows 10
- Configuration de ipv6 - Forum Réseau
- Votre horloge est en avance android - Forum Samsung
3 réponses
Merci de soigner l'orthographe.
Au pire tu peux utiliser iptables pour dérouter le trafic initié par serveur1 à destination de client vers serveur2.
J'imagine qu'ensuite serveur2 va vouloir formuler une réponse. Reste à savoir s'il va vouloir la renvoyer par défaut à serveur1. Dans ce cas sur le même principe tu peux dérouter ce trafic grâce à iptables.
Maintenant pour être honnête ça me paraît assez "tordu" comme besoin, car tu veux résoudre un problème manifestement applicatif à l'aide des outils proposés par le routage. Il paraîtrait plus logique d'adapter ces logiciels (donc cette couche applicative) pour faire directement ce qu'il faut, non ?
Peut-être que si tu nous disais un peu plus précisément ce que tu veux faire, ce serait plus clair. Car honnêtement ça ressemble fort à une tentative de man in the middle entre client et server1, et tu comprendras que ça soit à la frontière du "hors charte".
Bonne chance
Au pire tu peux utiliser iptables pour dérouter le trafic initié par serveur1 à destination de client vers serveur2.
J'imagine qu'ensuite serveur2 va vouloir formuler une réponse. Reste à savoir s'il va vouloir la renvoyer par défaut à serveur1. Dans ce cas sur le même principe tu peux dérouter ce trafic grâce à iptables.
Maintenant pour être honnête ça me paraît assez "tordu" comme besoin, car tu veux résoudre un problème manifestement applicatif à l'aide des outils proposés par le routage. Il paraîtrait plus logique d'adapter ces logiciels (donc cette couche applicative) pour faire directement ce qu'il faut, non ?
Peut-être que si tu nous disais un peu plus précisément ce que tu veux faire, ce serait plus clair. Car honnêtement ça ressemble fort à une tentative de man in the middle entre client et server1, et tu comprendras que ça soit à la frontière du "hors charte".
Bonne chance
Ce n'est pas du tout pour un Man in the middle.
Ok mais tu concéderas que ça pourrait y ressembler. Bref.
C'est quand fait je veux un serveur avec ip privée que je ne veux pas divulguer, avec un serveur de front publique qui reroute le trafic. J'arrive ! A le router vers le serveur privé, mais il ne reviens pas vers le serveur publique, et je ne sais pas comment faire...
Pas compris. Ni ce que tu veux faire, ni ce que tu expliques.
- Si l'IP est privée comment quelqu'un d'extérieur à ton réseau local pourrait s'y connecter ?
- Ce qu'on fait en pratique pour administrer un serveur sensible c'est avoir une interface publique et une interface (éventuellement virtuelle) avec une IP (pourquoi pas locale) qui est la seule à écouter le trafic sensible (mettons ssh).
Par exemple imaginons un serveur web dans une entreprise :
- le trafic "public" (http, apache...) écoute sur eth0 à qui on a attribué une IP publique
- le trafic "sensible" (ssh, ...) écoute sur eth0:1 à qui on a attribué une autre IP (éventuellement privé si on envisage d'administrer ce serveur depuis une machine appartenant au même réseau local).
On définit ensuite les règles iptables appropriées, surtout pour eth0:1 pour qui on ne va autoriser que le trafic ssh provenant de certaines adresses sources. En admettant que ce serveur ne puisse être administré que de l'intérieur de l'entreprise, on peut carrément utiliser pour eth0:1 une IP locale car les machines internes à l'entreprise pourront la router, mais pas celles qui lui sont extérieures.
Du coup tu noteras qu'on fait tout avec un seul serveur, éventuellement muni d'une seule interface réseau.
Je ne sais pas si ça répond à ta question.
Bonne chance
Ok mais tu concéderas que ça pourrait y ressembler. Bref.
C'est quand fait je veux un serveur avec ip privée que je ne veux pas divulguer, avec un serveur de front publique qui reroute le trafic. J'arrive ! A le router vers le serveur privé, mais il ne reviens pas vers le serveur publique, et je ne sais pas comment faire...
Pas compris. Ni ce que tu veux faire, ni ce que tu expliques.
- Si l'IP est privée comment quelqu'un d'extérieur à ton réseau local pourrait s'y connecter ?
- Ce qu'on fait en pratique pour administrer un serveur sensible c'est avoir une interface publique et une interface (éventuellement virtuelle) avec une IP (pourquoi pas locale) qui est la seule à écouter le trafic sensible (mettons ssh).
Par exemple imaginons un serveur web dans une entreprise :
- le trafic "public" (http, apache...) écoute sur eth0 à qui on a attribué une IP publique
- le trafic "sensible" (ssh, ...) écoute sur eth0:1 à qui on a attribué une autre IP (éventuellement privé si on envisage d'administrer ce serveur depuis une machine appartenant au même réseau local).
On définit ensuite les règles iptables appropriées, surtout pour eth0:1 pour qui on ne va autoriser que le trafic ssh provenant de certaines adresses sources. En admettant que ce serveur ne puisse être administré que de l'intérieur de l'entreprise, on peut carrément utiliser pour eth0:1 une IP locale car les machines internes à l'entreprise pourront la router, mais pas celles qui lui sont extérieures.
Du coup tu noteras qu'on fait tout avec un seul serveur, éventuellement muni d'une seule interface réseau.
Je ne sais pas si ça répond à ta question.
Bonne chance
Je suis désolé pour l'orthographe, je suis pas français. Ce n'est pas du tout pour un Man in the middle, c'est quand faite je veux un serveur avec ip privée que je ne veux pas divulguer, avec un serveur de front publique qui reroute le trafic. J'arrive ! A le router vers le serveur privé, mais il ne reviens pas vers le serveur publique, et je ne sais pas comment faire...