.: Les Serveurs (routeurs) NAT :.

 

  1. Introduction
  2. Théorie
  3. Préparatifs
  4. Installation de Winroute - Serveurs
  5. Configuration des machines clientes - Clients
  6. Particularités de configuration
  7. Sygate

1. Introduction

Voici donc la partie pratique pour connecter tout un réseau local à Internet en utilisant un système de routage NAT.

Sachez tout d'abord que vous pouvez acquérir un routeur NAT hardware pour un prix relativement modique. Pour la suite de ce chapitre, c'est d'un routeur NAT logiciel dont je vais parler : il s'agit de Winroute, disponible sur le site http://www.tinysoftware.com/.

Comme je le disais pour Wingate (serveur proxy), je n'ai nullement envie de faire de la réclame pour le produit Winroute; j'utilise uniquement ce programme à titre d'exemple. La page http://www.winfiles.com/apps/nt/servers-proxy.html valable pour les solutions proxy permet aussi de trouver des routeurs NAT (même si ces solutions sont moins nombreuses). Pour ne pas faire de jaloux, allez voir aussi le produit de Vicomsoft qui doit être tout à fait équivalent (et est disponible pour Macintosh). Je continue avec Winroute parce que c'est le premier programme que j'ai découvert et surtout parcequ'il ressemble les bases du routeur NAT.

Personnelement je prefere largement Sygate puisqu'il suffit de l'installer pour que votre partage de conection marche correctement et ce avec tous les programmes sans configuration de la part de la passerelle.


2. Theorie

Il existe à mon goût une manière plus simple et plus élégante de partager une connexion à Internet que l'utilisation d'un serveur proxy : le routage NAT (Network Address Translation)

Le routeur NAT, tout comme un serveur proxy, est une machine à cheval sur le réseau Internet et sur le réseau local que vous voulez y connecter; il fait office de passerelle (gateway).

Partage d'une connexion à Internet par routeur NAT

Le routeur NAT, comme son nom l'indique, fait réellement du routage de paquets IP, c'est à dire qu'il transmet bien les paquets reçus par un ordinateur du LAN vers Internet (et inversément), contrairement à un serveur proxy qui ouvre une seconde connexion.

L'ingéniosité du routage NAT vient de sa manière de gérer plusieurs ordinateurs locaux d'adresses IP de type 192.168.0.x, de transmettre leurs paquets spécifiques vers Internet, et de leur redistribuer spécifiquement les paquets reçus. L'astuce est la suivante :

Lorsque le routeur NAT reçoit un paquet IP d'un des ordinateurs du LAN, il en modifie :

  1. l'adresse IP de l'expéditeur pour y mettre sa propre adresse (l'IP "légale" de votre connexion
  2. le port de l'application cliente par une valeur particulière
Le routeur NAT logge ensuite ces informations dans une table.

Lorsque le serveur d'Internet répond à la requête et renvoie des paquets IP sur le routeur, ce dernier vérifie dans ses tables qu'il possède bien l'entrée correspondante (par rapport au port de l'application cliente), puis y réécrit les coordonnées (IP + socket) de l'ordinateur du LAN. Le paquet IP peut ainsi rejoindre sa destination dans le LAN.

Exemple : votre ordinateur du LAN d'adresse IP 192.168.0.7 veut accéder à la page web du serveur www.machin.com (d'adresse IP 124.40.67.43) via un routeur NAT travaillant sur l'IP 192.168.0.1 (locale) et l'IP 195.200.2.149 (Internet). Les deux tableaux suivants montrent précisément ce qui se passe.

Etablissement de la connexion

 

Ordinateur Interface Coordonnées du paquet IP

ordinateur

192.168.0.7
destinataire : 124.40.67.43,  80
expéditeur :   192.168.0.7,   7364
LAN  

routeur NAT

192.168.0.1
destinataire : 124.40.67.43,  80
expéditeur :   192.168.0.7,   7364

195.200.2.149
destinataire : 124.40.67.43,  80
expéditeur :   195.200.2.149, 61005
Internet  

www.machin.com

124.40.67.43
destinataire : 124.40.67.43,  80
expéditeur :   195.200.2.149, 61005



Transfert des données

 

Ordinateur Interface Coordonnées du paquet IP

www.machin.com

124.40.67.43
destinataire : 195.200.2.149, 61005
expéditeur :   124.40.67.43,  80
Internet  

routeur NAT

195.200.2.149
destinataire : 195.200.2.149, 61005
expéditeur :   124.40.67.43,  80

192.168.0.1
destinataire : 192.168.0.7,   7364
expéditeur :   124.40.67.43,  80
Internet  

ordinateur

192.168.0.7
destinataire : 192.168.0.7,   7364
expéditeur :   124.40.67.43,  80



Quelques remarques s'imposent :
  1. Les routeurs NAT travaillent souvent sur des ports "élevés". A titre d'exemple, le logiciel Winroute utilise des ports de 61000 à 61600.
  2. On peut se demander pourquoi le routeur NAT modifie le port de l'expéditeur puisqu'il retient de toute façon le port sur lequel l'application cliente a fait sa requête. En fait, cette modification est nécessaire pour éviter des désagréments dans le cas où plusieurs ordinateurs du LAN feraient une requête sur le même port.
  3. L'inconvénient du routeur NAT est d'être très pointilleux sur les connexions entrantes : si le routeur NAT n'a pas dans ses tables une entrée concernant une connexion, il ne laisse rien "entrer". C'est en quelque sorte une mesure de sécurité, et aussi une conséquence de sa façon de fonctionner : si vous voulez faire tourner sur un ordinateur du LAN un serveur (par ex. http ou ftp) qui soit accessible par Internet, il vous faudra configurer le routeur NAT pour accepter et rediriger correctement une connexion entrante.


3. Préparatifs

Avant d'installer Winroute, je suppose que vous êtes en ordre avec les points suivants :

  1. Vous avez configuré correctement votre LAN sous TCP/IP, avec des adresses IP de type 192.168.0.1, 192.168.0.2, etc... (masque de sous-réseau : 255.255.255.0)
  2. Une de vos machine peut se connecter à Internet :

Quelques remarques s'imposent à ce niveau :


4. Installation de Winroute

Vous pouvez maintenant installer Winroute sur votre gateway. Il n'y a pratiquement rien à y configurer.

NB : les explications et illustrations qui suivent concernent l'utilisation de Winroute sur un ordinateur connecté à Internet par une carte réseau (câble). Si vous faites cette installation avec un modem, la mise en place est légèrement plus compliquée (configuration RAS), mais ne change pas dans le fond.

C'est tout !

Si vous êtes un peu parano, vous pouvez donner des règles plus strictes sur le routage des paquets IP. Référez-vous pour cela au manuel on-line (très clair) de Winroute, chapitre "Packet filtering".
Notez aussi que vous pouvez faire en sorte que Winroute ne fasse pas de NAT pour certains ordinateurs. Cela peut être utile si une partie de votre LAN possède des adresses IP règlementaires sur Internet. Dans ce cas, Winroute peut agir comme un routeur simple (sans translation d'adresses). Je ne parle pas ici de ces réglages très particuliers, mais le manuel on-line est très clair sur ces points.

NB : Point curieux que je me dois de vous signaler. Si vous êtes câblé sur Internet, et que vous utilisez un modem HF connecté à votre carte réseau, il se peut que vous deviez faire un reset sur ce dernier après avoir installé Winroute pour le "recalibrer" sur les nouveaux réglages de la carte Ethernet (Winroute travaillant "très proche" de la carte Ethernet).


5. Configuration des machines clientes

Contrairement aux réglages parfois subtils qu'il fallait faire pour chaque application des ordinateurs du LAN si vous utilisiez Wingate, il n'y a presque rien à faire si vous utilisez Winroute. Il vous faut simplement spécifier au système le serveur DNS et la passerelle.

  1. Dnas les propriétés du protocole TCP/IP (Panneau de configuration->Réseau->Protocole TCP/IP), sélectionnez l'onglet 'Configuration DNS' et ajouter l'adresse IP (LAN) de l'ordinateur qui fait tourner Winroute.

    Paramètres du DNS

  2. Dans l'onglet 'Passerelle', ajouter l'adresse IP (LAN) de l'ordinateur qui fait tourner Winroute.

    Paramètres de la Passerelle

C'est tout ! Rebootez la machine; vous êtes sur Internet !


6. Particularités de configuration

 


7. Sygate

Bon finalement je voulais vous parler de Sygate.Sygate est un routeur tout comme winroute masi il a la particularité d'etre beaucoup plus simple a installer et a configurer. En effet une simple installation sur le serveur ( la passerelle) et votre reseaux est conecté( en ayant bien sur fait les changements dans les proprietes Tcp/Ipdu client commepour winroute)

En fait avec Sygate vous etes sur internet comme si vous etiez sur la passerelle c a d que vous n'avez pas de limite et aucune configuration a faire (cf icq)

Bon  voila