Migration -- 5.1 : Connexion FAI

J'ai laissé passer quelque temps depuis mes précédentes opérations de migration, relatées dans d'autres billets, pour m'assurer que mon infrastructure interne fonctionne bien. Il me paraît un peu stupide d'empiler les sources possibles de dysfonctionnements : la recherche des origines des problèmes en devient grandement complexifiée. Aujourd'hui, tout est stable, mon routeur de cœur de réseau ne laisse passer que les flux nécessaires entre mes sous-réseaux, bref ça roule.

Il me reste donc, ultime étape avant de décommissionner l'actuel routeur, de migrer mes deux connexions ADSL vers le nouveau routeur (dont une connexion Free que je veux passer en bridge, ça sera pour le billet suivant).

Migrer un modem d'un routeur à un autre, ce n'est pas très compliqué. Il faut et il suffit de bien configurer le démon PPP sur le nouveau routeur, pour qu'il récupère son adresse IP auprès du FAI via le modem. Rien de sorcier, surtout que je disposais déjà de la configuration idoine sur le futur ex-routeur.

Ça, ce fut rapide, la ligne monte bien, l'adresse IP est bien affectée à l'interface appropriée du nouveau routeur, tout baigne.

L'étape suivante, logique, est de déplacer mon sous-réseau de « services accessibles depuis Internet »[1] de l'ancien routeur vers un VLan spécifique, en connexion sur le commutateur. Donc, bien sûr, de configurer le commutateur pour qu'il reconnaisse ce nouveau réseau virtuel. Et là, les enfants, permettez-moi un conseil d'ancien combattant : la doc, bordel, la doc !

Parce que reconfigurer un commutateur (« LE » commutateur, devrai-je dire) quand on en a oublié l'adresse IP, que ce n'est pas l'IP par défaut, qu'on ne l'a pas enregistrée dans ses zones DNS internes, et qui ne dispose pas d'un port série pour une connexion directe, c'est... compliqué. L'examen de mes zones DNS internes m'a permis de déterminer les sous-réseaux probables pour cet équipement, et nmap a fait le reste. Mais, je le répète, la doc crénom de nom, tenez la doc à jour ! Même si vous êtes tout seul à gérer votre biniou.

Restait à redéfinir les filtres réseau, parce qu'évidemment je ne veux pas que n'importe quoi entre, sorte ou transite sur mon réseau. Je maîtrise pas trop mal iptables, depuis le temps, même si je découvre régulièrement des possibilités très intéressantes[2]

Donc, j'ai tout qui finit par causer ensemble comme il faut, entre les sous-réseaux internes, avec des VLans un peu partout.

Sauf qu'avec l'extérieur, nada. Pas de navigation Web[3], pas de courrier électronique[4], aucune résolution DNS[5]. Je vois bien les paquets entrer, par exemple vers mon serveur de messagerie entrante, qui renvoie le SYN/ACK attendu par l'émetteur... et renvoie le SYN/ACK attendu... ad nauseam. En résumé, mes serveurs ne causent pas avec l'extérieur bien qu'ils reçoivent les paquets. J'ai un problème de flux montant.

Les problèmes de flux sortants, c'est délicat à corriger : l'incident, quel qu'il soit, se déroule en dehors de votre champ d'action. Traceroute et consorts peuvent aider à identifier « où » les paquets se perdent, mais ce n'est pas toujours le cas. En ce qui me concernait, les paquet se perdaient juste après mon routeur, sur le premièr routeur du FAI.

Hmmm... bizarre de bizarre.

Ce n'est qu'après une bonne heure de recherches, d'examens et comparaisons de configurations (tout ça *sans* Internet, à l'ancienne) que j'ai réalisé mon oubli.

Le (nouveau) routeur de sortie n'était pas tout à fait dans la même configuration que le précédent. Il manquait les règles de translation d'adresses. Sans le SNat, évidemment, mes paquets sortaient vers le FAI en portant des adresse RFC1918, non routables, et finissaient directement à la poubelle.

Encore une fois les loulous : la doc, toujours !

Notes

[1] Vulgairement appelé DMZ entrante.

[2] Et qui ne sont pas nouvelles, juste que je ne m'y étais pas intéressé auparavant, sédimentation mentale, toussa.

[3] Le ouèbe est cassé !

[4] Le maiyleu est cassé !

[5] Nan, c'est tout Internet qui est cassé.