Bonsoir,
J'ai sur mon lan, un Mac Pro avec une license serveur qui sert de gateway.
Cette machine sert également de firewall, serveur DNS, DHCP, NTP,...
Sous Snow Leopard Server, il était possible de spécifier les ranges ip que l'on souhaitais utiliser pour le nat, dhcp et le dns.
Malheureusement, depuis la sortie de Lion ceci ne semble plus être vrai.
Durant la mise a jour, l'import des settings a lamentablement échoué et j'ai été mur pour une réinstallation ainsi que reconfigurer mes services.
La machine est configurée comme suit :
en0 : WAN/DMZ - 172.16.83.1/29
en1 : LAN - 172.16.84.30/24
tap0 : VPN - 172.18.1.20/24
Ormis le fait que je ne pouvais utiliser l'assistant gateway, je n'ai jamais eu de soucis avec Snow Leopard.
Depuis Lion, a chaque fois que je souhaite activer le NAT, le partage de connexion via le panneau de préférence système, ou simplement le forwarding ip, Lion déconne complètement.
1) Dans la panneau de préférence, tout est OK. Les bonnes ips sont sur les bonnes interfaces
2) Selon ifconfig, l'ip de en1 est devenue 192.168.2.1/24
3) Je n'ai plus aucune ip dans la range 172.16.84.0/27 ni aucune connectivité
4) La machine fait serveur DHCP pour la range 192.168.2.0/24
Au niveau dhcp, c'est encore plus drôle.
Lion n'en a juste rien a ciré des réglables que je lui fourni.
Quand il ne les réécrit pas tout seul sans aucune raison apparente, il ne les prend tout simplement pas en compte.
Je n'ai aucune range 192.168.2.0 définie dans la config DHCP, j'ai pris soin de bien supprimer toutes les références a ces ranges... en vain.
Le firewall ? Idem. après avoir passé 3 fois a configurer mes règles, mes subnets et tout le tralala, j'en ai eu marre, j'ai tout simplement abandonner l'idée de faire marcher ce firewall comme je le veux. Mettre un Juniper en front de la machine était plus rapide, plus facile et surtout moins pénible a configurer.
Donc, est-ce que quelqu'un ici a une idée de comment je peux définir mes paramètres IP, DHCP, Firewall, DNS afin que mac os les utilise et surtout ne les change pas.
J'ai eu beau regarder dans /etc/nat/*, /etc/rc.*, /etc/network*,... rien de vraiment bien utile.
Et meme en faisant des grep -r sur Library/ ou etc/ je ne trouve nul fichier de config contenant "192.168.2".....
Franchement, sur ce coup la, Apple.... Je suis furax.
Faire un truc tout public ? Fantastique.
Mais pas en interdisant a ceux qui le souhaite d'affiner un rien leur réglage.
---------- Nouveau message ajouté à 01h18 ---------- Le message précédent a été envoyé Hier à 23h25 ----------
En désactivant le NAT, DHCP et DNS, j'arrive a garder mes ips sur les bonnes interfaces.
Concretement, plus aucune trace de 192.168.2.x/24 :
La range en 192.168.7.1 est celle crée par VMware Fusion, et n'est donc pas digne d'intérêt dans ce problème-ci.
J'ai donc reconfiguré mon serveur DNS et relancé le service.
Chose étrange, le serveur DNS listé est l'ip publique de l'interface publique.
Au final, ça me chiffonne d'un point de vue design, mais ce n'est pas ceci qui va empêcher le dns de marcher si il accepte mes queries.
Côté firewall, on se facilite la vie. Allow all depuis l'interface privée.
En pratique, les records correspondant aux hotes externe, répondent.
Ceux correspondant a l'interface interne pas. :mouais:
Passons au DHCP. Config bousillée une fois de plus par le NAT, donc refaite from scratch.
Range ip définies correctement, domaine, routes, dns,...
J'active le service uniquement pour la range interne.
Que ce soit le macbook via l'ethernet, ou les iBrols en wifi via TimeCapsule (bridged mode), no DHCP at all !
Log ? Vides. tcpdump sur l'interface ? aucun traffic ni en broadcast, ni sur les ports 67 et 68 durant des demandes de leases... :mouais:
Encore une fois, le firewall étant en allow all pour cette interface, le problème ne vient pas de la.
Par contre, truc frustrant, si je configure tout via le Gateway Setup Assistant, en 3 minutes, 2 click et 1 cafe, tout marche. DHCP/DNS/NAT avec une range en 192.168.2.0/x....
Et Non. Je ne changerai pas mes ranges pour les beaux yeux d'Apple.
A ma connaissance, la RFC1918 précise ceci :
Donc je veux mes ranges.
Une idée ?
---------- Nouveau message ajouté à 01h59 ---------- Le message précédent a été envoyé à 01h18 ----------
Problème résolu.
Chez Juniper, on ne marque pas "Pro", "Server" ou quoi que ce soit.
Mais ça marche.
Franchement, chez Apple ils se foutent de la tête des gens, c'est pas possible autrement.
Sous prétexte de faciliter la vie d'end-users qui de toute façon se foutent royalement de savoir comment TCP/IP marche, on emmerde tout le monde.
J'ai passé 1 journée entière a me battre avec leur super GUI/CLI sans aucun résultat alors qu'ici en 3 commandes bien placées tout le réseau est de nouveau up.
Toutefois, je suis toujours preneur d'une explication si explication il y a.
Pcq la.... Ca me dépasse.
J'ai sur mon lan, un Mac Pro avec une license serveur qui sert de gateway.
Cette machine sert également de firewall, serveur DNS, DHCP, NTP,...
Sous Snow Leopard Server, il était possible de spécifier les ranges ip que l'on souhaitais utiliser pour le nat, dhcp et le dns.
Malheureusement, depuis la sortie de Lion ceci ne semble plus être vrai.
Durant la mise a jour, l'import des settings a lamentablement échoué et j'ai été mur pour une réinstallation ainsi que reconfigurer mes services.
La machine est configurée comme suit :
en0 : WAN/DMZ - 172.16.83.1/29
en1 : LAN - 172.16.84.30/24
tap0 : VPN - 172.18.1.20/24
Ormis le fait que je ne pouvais utiliser l'assistant gateway, je n'ai jamais eu de soucis avec Snow Leopard.
Depuis Lion, a chaque fois que je souhaite activer le NAT, le partage de connexion via le panneau de préférence système, ou simplement le forwarding ip, Lion déconne complètement.
1) Dans la panneau de préférence, tout est OK. Les bonnes ips sont sur les bonnes interfaces
2) Selon ifconfig, l'ip de en1 est devenue 192.168.2.1/24
3) Je n'ai plus aucune ip dans la range 172.16.84.0/27 ni aucune connectivité
4) La machine fait serveur DHCP pour la range 192.168.2.0/24
Au niveau dhcp, c'est encore plus drôle.
Lion n'en a juste rien a ciré des réglables que je lui fourni.
Quand il ne les réécrit pas tout seul sans aucune raison apparente, il ne les prend tout simplement pas en compte.
Je n'ai aucune range 192.168.2.0 définie dans la config DHCP, j'ai pris soin de bien supprimer toutes les références a ces ranges... en vain.
Le firewall ? Idem. après avoir passé 3 fois a configurer mes règles, mes subnets et tout le tralala, j'en ai eu marre, j'ai tout simplement abandonner l'idée de faire marcher ce firewall comme je le veux. Mettre un Juniper en front de la machine était plus rapide, plus facile et surtout moins pénible a configurer.
Donc, est-ce que quelqu'un ici a une idée de comment je peux définir mes paramètres IP, DHCP, Firewall, DNS afin que mac os les utilise et surtout ne les change pas.
J'ai eu beau regarder dans /etc/nat/*, /etc/rc.*, /etc/network*,... rien de vraiment bien utile.
Et meme en faisant des grep -r sur Library/ ou etc/ je ne trouve nul fichier de config contenant "192.168.2".....
Franchement, sur ce coup la, Apple.... Je suis furax.
Faire un truc tout public ? Fantastique.
Mais pas en interdisant a ceux qui le souhaite d'affiner un rien leur réglage.
---------- Nouveau message ajouté à 01h18 ---------- Le message précédent a été envoyé Hier à 23h25 ----------
En désactivant le NAT, DHCP et DNS, j'arrive a garder mes ips sur les bonnes interfaces.
Concretement, plus aucune trace de 192.168.2.x/24 :
Bloc de code:
sh-3.2# ifconfig |grep -v "inet6"|grep "inet"
inet 127.0.0.1 netmask 0xff000000
inet 172.16.83.1 netmask 0xfffffff8 broadcast 172.16.83.7
inet 172.16.84.30 netmask 0xffffffe0 broadcast 172.16.84.31
inet 172.16.48.1 netmask 0xffffff00 broadcast 172.16.48.255
inet 192.168.7.1 netmask 0xffffff00 broadcast 192.168.7.255
sh-3.2#La range en 192.168.7.1 est celle crée par VMware Fusion, et n'est donc pas digne d'intérêt dans ce problème-ci.
J'ai donc reconfiguré mon serveur DNS et relancé le service.
Chose étrange, le serveur DNS listé est l'ip publique de l'interface publique.
Au final, ça me chiffonne d'un point de vue design, mais ce n'est pas ceci qui va empêcher le dns de marcher si il accepte mes queries.
Côté firewall, on se facilite la vie. Allow all depuis l'interface privée.
Bloc de code:
;; QUESTION SECTION:
;valistar.org. IN NS
;; ANSWER SECTION:
valistar.org. 10800 IN NS hanaya.valistar.org.
;; ADDITIONAL SECTION:
hanaya.valistar.org. 10800 IN A 172.16.83.1En pratique, les records correspondant aux hotes externe, répondent.
Ceux correspondant a l'interface interne pas. :mouais:
Passons au DHCP. Config bousillée une fois de plus par le NAT, donc refaite from scratch.
Range ip définies correctement, domaine, routes, dns,...
J'active le service uniquement pour la range interne.
Que ce soit le macbook via l'ethernet, ou les iBrols en wifi via TimeCapsule (bridged mode), no DHCP at all !
Log ? Vides. tcpdump sur l'interface ? aucun traffic ni en broadcast, ni sur les ports 67 et 68 durant des demandes de leases... :mouais:
Encore une fois, le firewall étant en allow all pour cette interface, le problème ne vient pas de la.
Par contre, truc frustrant, si je configure tout via le Gateway Setup Assistant, en 3 minutes, 2 click et 1 cafe, tout marche. DHCP/DNS/NAT avec une range en 192.168.2.0/x....
Et Non. Je ne changerai pas mes ranges pour les beaux yeux d'Apple.
A ma connaissance, la RFC1918 précise ceci :
Bloc de code:
3. Private Address Space
The Internet Assigned Numbers Authority (IANA) has reserved the
following three blocks of the IP address space for private internets:
10.0.0.0 - 10.255.255.255 (10/8 prefix)
172.16.0.0 - 172.31.255.255 (172.16/12 prefix)
192.168.0.0 - 192.168.255.255 (192.168/16 prefix)Donc je veux mes ranges.
Une idée ?
---------- Nouveau message ajouté à 01h59 ---------- Le message précédent a été envoyé à 01h18 ----------
Problème résolu.
Bloc de code:
root@Daenerys# show interfaces vlan
unit 0 {
proxy-arp;
family inet {
address 172.16.84.30/27;
}
}
[edit]
root@Daenerys# show security nat
source {
rule-set Lan-to-Internet {
from zone Lan;
to zone Internet;
rule source-nat-rule {
match {
source-address 0.0.0.0/0;
}
then {
source-nat {
interface;
}
}
}
}
}Chez Juniper, on ne marque pas "Pro", "Server" ou quoi que ce soit.
Mais ça marche.
Franchement, chez Apple ils se foutent de la tête des gens, c'est pas possible autrement.
Sous prétexte de faciliter la vie d'end-users qui de toute façon se foutent royalement de savoir comment TCP/IP marche, on emmerde tout le monde.
J'ai passé 1 journée entière a me battre avec leur super GUI/CLI sans aucun résultat alors qu'ici en 3 commandes bien placées tout le réseau est de nouveau up.
Toutefois, je suis toujours preneur d'une explication si explication il y a.
Pcq la.... Ca me dépasse.
