partage de connexion

PARTAGE DE CONNEXION
I
LA MISSION
Administrateur réseau dans une petite entreprise, vous devez, suite à la mise en place d’une ligne
ADSL, offrir l’accès à l’internet à tous les utilisateurs de votre réseau.
En administrateur prévoyant, vous savez que dans un second temps, vous devrez ouvrir une DMZ,
pour publier sur internet le catalogue produit, que le service développement a déjà réalisé. Vous avez
donc acheté une adresse IP fixe. De plus, soucieux de ne pas décourager les internautes par des temps
de réponse prohibitifs, vous voudriez dès à présent économiser la bande passante vers l’internet.
Après quelques recherches sur internet, vous comprenez que pour partager une ligne ADSL, vous
pouvez soit utiliser un routeur disposant, compte tenu du plan d’adressage de votre réseau et de l’achat
d’une seule IP fixe, d’une fonction NAT (network address translation), soit recourir au service d’une
passerelle de niveau applicatif, un proxy.
Soucieux de bien faire votre travail, vous décidez de tester différentes configurations réseaux. À partir
de votre réseau réel, vous avez élaboré deux maquettes de tests. Votre travail consiste maintenant à
tester ces deux configurations.
Au final, vous devrez pouvoir élaborer une solution pour répondre à la problématique de votre
entreprise et la défendre auprès de vos supérieurs.
II
MATÉRIELS ET LOGICIELS NÉCESSAIRES
Un micro-ordinateur Windows réel, un serveur Win2003 en virtuel. Le logiciel WinrouteLite (à
prendre sur le serveur dans PartageIG2. Les logiciels clients suivants : Firefox ou Internet Explorer,
Thunderbird ou Outlook. Une connexion Internet. Les adresses IP des DNS de notre fournisseur
d’accès à internet. Une boîte aux lettres chez le FAI FREE pour chaque groupe d ‘élèves
([email protected] ……. [email protected] mot de passe carcouet).
III PLATEFORME DE TESTS N°1 :
1
Marie-pascale Delamare
III.1
CONNEXION DU SERVEUR 2003 À L’INTERNET
Lancez votre machine virtuelle Win2003 avec deux cartes réseau. N’oubliez pas de changer le nom
de cette machine. Désactivez le routage si celui est resté actif depuis notre dernier TP.
Vérifiez que votre machine virtuelle sort effectivement sur internet.
III.2
MISE EN PLACE DU ROUTEUR NAT WINROUTE
Voici donc la partie pratique pour connecter tout un réseau local à Internet en utilisant un routeur Nat
(dans notre cas Winroute). L'installation de ce logiciel est faite sur l’ordinateur virtuel Win2003.
III.3
PRÉPARATIFS
Avant d'installer Winroute, je suppose que vous êtes en ordre sur le paramétrage de votre réseau, et
que votre client XP ne peut donc pas sortir sur internet.
III.4
INSTALLATION DE WINROUTE LITE
L'installation de Winroute Lite ne pose pas de problème particulier.
III.5
PARAMÉTRAGE DE WINROUTE LITE
Vous devez préciser quel est le moyen utilisé
pour accéder à l’Internet
Nous n’utiliserons ni le serveur DHCP, ni le
mappage de port (nécessaire seulement si l’on
possède un serveur WEB accessible depuis
l’Internet), ni les options de sécurité. Par contre, à
vous de paramétrer correctement votre proxy DNS.
Paramétrage du proxy DNS
______________________________________________
Enfin vous activez les différents journaux du logiciel.
2
Marie-pascale Delamare
III.6
PARAMÉTRAGE DES CLIENTS
Winroute est un routeur vous devez donc savoir paramétrer votre client, sinon consultez l’aide du
logiciel Winroute. Vérifiez que votre client parvient à sortir sur l’Internet (www, FTP et courrier).
Pour tester www interrogez une page quelconque. Pour tester ftp, vous pouvez interroger le site
ftp.3com.com via votre navigateur préféré, en utilisateur anonyme. Pour tester le courrier, utilisez une
des boîtes aux lettres fournies en tête de ce TP et un logiciel client. N’oubliez pas cependant que notre
fournisseur d’accès est wanadoo.
Cela fonctionne-t-il ? _____________ _________________________________________________________
Pouvez-vous limiter les services offerts _________________________________________________
Pouvez-vous limiter les droits par utilisateurs _____________________________________________
Pouvez-vous filtrer les adresses URL ____________________________________________________
III.7
ÉTUDE DES FICHIERS JOURNAUX
Observez les journaux de Winroute. Quels protocoles voyez-vous passer dans le fichier log ? _______
__________________________________________________________________________________
A quel niveau intervient chacun de ces protocoles ? ________________________________________
Observons l’extrait suivant d’un fichier log :
On suppose dans ces exemples que le client a pour adresse 192.168.0.2, que le routeur NAT ou
passerelle de ce client, dispose de l’adresse 192.168.0.1 sur le lan et 192.168.1.2 vers internet. Ce
routeur NAT utilise lui-même les services d’un routeur d’adresse 192.168.1.1 pour atteindre
internet.
Le client d’adresse 192.168.0.2 envoie une requête DNS à sa passerelle (192.168.0.1).
[16/Jan/2003 16:51:22] UDP: packet 351, from D-Link DFE-530TX PCI Fast Ethernet Adapter, length 79,
192.168.0.2:1032 -> 192.168.0.1:53
Le routeur NAT (192.168.0.1 et 192.168.1.2) envoie une requête ARP pour résoudre l’adresse
MAC de sa passerelle (192.168.1.1)
[16/Jan/2003 16:51:22] ARP: packet 352, to Accton EN1207D/EN2242A Series NDIS 5.0 driver, length 42,
request, sender: 192.168.1.2 target: 192.168.1.1
[16/Jan/2003 16:51:22] ARP: packet 353, from Accton EN1207D/EN2242A Series NDIS 5.0 driver, length 42,
request, sender: 192.168.1.2 target: 192.168.1.1
[16/Jan/2003 16:51:22] ARP: packet 354, from Accton EN1207D/EN2242A Series NDIS 5.0 driver, length 60,
reply, sender: 192.168.1.1 target: 192.168.1.2
L’adresse MAC de la passerelle résolue, le routeur NAT prépare le paquet à envoyer sur
l’Internet en changeant l’adresse de l’émetteur et le port du client.
[16/Jan/2003 16:51:22] DNS: query 192.168.1.2:45007 -> 193.252.19.3:53 for www.jazzrecords.com
[16/Jan/2003 16:51:22] UDP: packet 355, to Accton EN1207D/EN2242A Series NDIS 5.0 driver, length 79,
192.168.1.2:45007 -> 193.252.19.3:53
Le serveur DNS répond au routeur NAT.
[16/Jan/2003 16:51:22] UDP: packet 356, from Accton EN1207D/EN2242A Series NDIS 5.0 driver, length 197,
193.252.19.3:53 -> 192.168.1.2:45007
3
Marie-pascale Delamare
Le routeur NAT redirige le paquet vers son client en inscrivant la bonne adresse de destinataire
et le bon numéro de port.
[16/Jan/2003 16:51:22] UDP: packet 357, to D-Link DFE-530TX PCI Fast Ethernet Adapter, length 197,
192.168.0.1:53 -> 192.168.0.2:1032
Observons un nouvel extrait du fichier log :
Le client d’adresse 192.168.0.2 fait une requête http sur l’adresse 212.227.103.24. Les premiers
échanges consistent à établir une connexion.
[16/Jan/2003 16:51:22] TCP: packet 358, from D-Link DFE-530TX PCI Fast Ethernet Adapter, length 62,
192.168.0.2:1033 -> 212.227.103.24:80, flags: SYN , seq:1639595 ack:0
Le routeur NAT reprend cette requête à son compte et essaye d’établir une connexion avec le
serveur WEB visé.
[16/Jan/2003 16:51:22] TCP: packet 359, to Accton EN1207D/EN2242A Series NDIS 5.0 driver, length 62,
192.168.1.2:45008 -> 212.227.103.24:80, flags: SYN , seq:1639595 ack:0
Le serveur WEB répond à la demande de connexion vers le routeur NAT.
[16/Jan/2003 16:51:22] TCP: packet 360, from Accton EN1207D/EN2242A Series NDIS 5.0 driver, length 60,
212.227.103.24:80 -> 192.168.1.2:45008, flags: SYN ACK , seq:1416805286 ack:1639596
Le routeur NAT modifie le paquet pour le rediriger vers son client.
[16/Jan/2003 16:51:22] TCP: packet 364, to D-Link DFE-530TX PCI Fast Ethernet Adapter, length 60,
212.227.103.24:80 -> 192.168.0.2:1033, flags: SYN ACK , seq:1416805286 ack:1639596
Le client par l’intermédiaire du routeur NAT répond pour confirmer cette connexion.
[16/Jan/2003 16:51:22] TCP: packet 365, from D-Link DFE-530TX PCI Fast Ethernet Adapter, length 60,
192.168.0.2:1033 -> 212.227.103.24:80, flags: ACK , seq:1639596 ack:1416805287
[16/Jan/2003 16:51:22] TCP: packet 366, to Accton EN1207D/EN2242A Series NDIS 5.0 driver, length 60,
192.168.1.2:45008 -> 212.227.103.24:80, flags: ACK , seq:1639596 ack:1416805287
La connexion est établie et les échanges peuvent commencer. Le client transmet sa demande via
le NAT.
[16/Jan/2003 16:51:22] tmp: 192.168.0.2 -> www.jazzrecords.com GET /tutu/ HTTP/1.1
[16/Jan/2003 16:51:22] TCP: packet 367, from D-Link DFE-530TX PCI Fast Ethernet Adapter, length 478,
192.168.0.2:1033 -> 212.227.103.24:80, flags: ACK , seq:1639596 ack:1416805287
[16/Jan/2003 16:51:22] TCP: packet 368, to Accton EN1207D/EN2242A Series NDIS 5.0 driver, length 478,
192.168.1.2:45008 -> 212.227.103.24:80, flags: ACK , seq:1639596 ack:1416805287
..
Le serveur WEB via le routeur NAT transmet sa réponse, qui peut être répartie dans plusieurs
paquets.
[16/Jan/2003 16:51:22] TCP: packet 369, from Accton EN1207D/EN2242A Series NDIS 5.0 driver, length 60,
212.227.103.24:80 -> 192.168.1.2:45008, flags: ACK , seq:1416805287 ack:1640020
[16/Jan/2003 16:51:22] TCP: packet 370, to D-Link DFE-530TX PCI Fast Ethernet Adapter, length 60,
212.227.103.24:80 -> 192.168.0.2:1033, flags: ACK , seq:1416805287 ack:1640020
[16/Jan/2003 16:51:23] TCP: packet 371, from Accton EN1207D/EN2242A Series NDIS 5.0 driver, length 1454,
212.227.103.24:80 -> 192.168.1.2:45008, flags: ACK , seq:1416805287 ack:1640020
[16/Jan/2003 16:51:23] TCP: packet 372, to D-Link DFE-530TX PCI Fast Ethernet Adapter, length 1454,
212.227.103.24:80 -> 192.168.0.2:1033, flags: ACK , seq:1416805287 ack:1640020
4
Marie-pascale Delamare
[16/Jan/2003 16:51:23] TCP: packet 373, from Accton EN1207D/EN2242A Series NDIS 5.0 driver, length 1454,
212.227.103.24:80 -> 192.168.1.2:45008, flags: ACK , seq:1416806687 ack:1640020
[16/Jan/2003 16:51:23] TCP: packet 374, to D-Link DFE-530TX PCI Fast Ethernet Adapter, length 1454,
212.227.103.24:80 -> 192.168.0.2:1033, flags: ACK , seq:1416806687 ack:1640020
Il nous manque ici la fermeture de la connexion.
III.8
POUR ALLER PLUS LOIN
Vous pouvez réaliser exactement la même chose en utilisant les fonctions standards d’un serveur
Windows 2003. Il vous suffit d’activer le routage et de paramétrer correctement le routeur obtenu en
activant la fonction NAT sur la carte externe.
5
Marie-pascale Delamare