Table of Contents
Webmin : configurer un routeur pour un réseau privé
Cette page n'est pas terminée, retours bienvenus, sur irc par exemple !
Ce tutoriel explique la configuration via Webmin d'une distribution linux standard comme routeur pour un réseau privé typique.
Il est tout particulièrement destiné au cas où vous avez un abonnement de particulier chez un FAI français, et souhaitez transformer un serveur en routeur pour votre réseau local.
J'insiste sur la notion de “distribution Linux standard”, dans de nombreux cas il pourrait être préferable d'installer plutôt un routeur avec OpenWRT. Cependant le hardware typique de routeurs OpenWRT et les limitations de cette distribution rendent compliqué de combiner routeur ET serveur.
Bref, dans notre cas (j'utilise une Pine64+ 1GB) on conservera la possibilité d'héberger des services, notamment avec Docker si on le souhaite en plus du routage sur le Linux.
Ce tutoriel ne couvre pas l'installation de Webmin, ni son utilisation poussée. L'installation, assez simple, est en anglais sur son wiki dédié : https://doxfer.webmin.com/Webmin/Installation N'oubliez pas à la fin les règles iptables par défaut.
Mode routeur et masquage d'IP (NAT)
Il faut activer le “forward” dans le noyau. Dans Webmin, accéder à : Networking > Network Configuration puis Routing and Gateways, cochez “Yes” pour “Act as router?”
Ensuite dans Networking > Linux Firewall, affichez la table NAT via le menu en haut de la page, à gauche de “Showing IP tables”, sélectionnez “Network address translation”
Cliquez sur le bouton vert “Add rule” dans la section “Packets after routing (POSTROUTING)”, vous n'aurez pas à ce stade la ligne “Masquerade” comme dans la capture ci-dessus, mais on s'occupe de ça tout de suite !
Les deux paramètres importants sont “Masquerade”, à cocher dans la section “Action to take”. À la ligne “Outgoing interface”, choisir “Equals” à la place de “<ignored>” puis sélectionnez l'interface vers internet.
Cliquez sur “Save rule” en bas de la page, puis de retour à la liste des règles, appliquez la configuration et cochez “Yes” pour l'utilisation au boot.
Source : https://doxfer.webmin.com/Webmin/Linux_Firewall#Setting_up_network_address_translation
LAN
À ce stade il est important de configurer l'interface qui ira vers votre LAN, pour ce faire allez dans Networking > Network configuration puis Network interfaces. Dans la section Active at boot, cliquez sur “Add a new interface”.
Choisissez le nom de votre interface vers votre LAN puis configurez là en IP statique, en prenant soin d'ajouter un netmask correspondant ainsi qu'une adresse de broadcast. La capture d'écran ci-dessus donne un exemple configuration utilisant le sous-réseau 10.11.12.0 et .1 pour votre routeur.
Pour vous faciliter la vie dans votre réseau privé, je recommande ma foi fort bien de configurer un serveur DHCP, dans “Unused modules” vous trouverez DHCP Server, activez/installez le. Sa configuration est détaillé sur le wiki de webmin: https://doxfer.webmin.com/Webmin/DHCP_Server
Forward
Retournez dans Networking > Linux firewall, assurez vous de bien être sur la table “Packet filtering (filter)”.
Cette partie est très importante, elle est ce qui ouvre le réseau dans les deux sens entre votre réseau privé et internet, il va falloir répéter l'opération deux fois, une pour chaque sens. Dans la section “Forwarded packets (FORWARD)” cliquez sur Add rule.
- Dans “Action to take”, sélectionner Accept, “Incoming interface”, “Equals”, l'interface de votre LAN, (eth0 dans mon cas) et “Outgoing interface”, “Equals”, l'interface vers internet. Sélectionnez avec ctrl+clic les trois premières lignes de “connection state”. Votre routeur acceptera depuis votre LAN toutes les connexion vers internet. Dans la section “Forwarded packets (FORWARD)” cliquez sur “Create”.
- Cliquez à nouveau sur Add rule et dans “Action to take”, sélectionner Accept, “Incoming interface”, “Equals”, l'interface vers internet et “Outgoing interface”, “Equals”, l'interface LAN. L'inverse de la ligne précédente ! Cette fois sélectionnez avec ctrl+clic les deux premières lignes de “connection state”, seulement “existing” et “related”. Votre routeur acceptera depuis internet uniqument les connexions déjà établies ou “liées” vers votre LAN. Cliquez sur “Create”.
De retour à la liste des règles, à l'aide des flèches de la colonne “Move”, placez les deux nouvelles règles au dessus de la règle “reject”. L'ordre de nos deux nouvelles règles n'importe pas:
Cliquez sur “Apply configuration”, puis “Yes” à côté du bouton pour activer au démarrage, cliquez sur “Activate at boot”.
Source : http://irp.nain-t.net/doku.php/130netfilter:060_iptables#utilisation_de_conntrack
Tester la configuration
Si vous avez configuré un serveur dhcp sur le routeur, il vous suffit de brancher un ordinateur à l'interface du LAN, il recevra une adresse IP automatiquement.
Testez la connexion à internet avec un petit ping ou votre navigateur internet, alors ça marche ?!