Bonjour
 
POur un besoin un peu specifique, je cherche a monter un serveur linux qui fera passerelle entre un reseau wan et un reseau lan.
le mini pc utilisé possède 2 cartes réseau
1 carte coté WAN en ip fixe, lié a une box classique, ou réseau disposant d'un acces internet
1 carte coté Lan, avec un serveur DCHP.
J'ai intaller Webmin pour administrer le serveur, car je suis le seul manipulant linux, mes collègues par trop, webmin pourra leur facilité la gestion courante.
j'ai installé bind et configurer un transfert DNS simple
coté DHCP, j'ai mis l'adresse du routeur et DNS l'ip de la carte LAN
 
ce qui donne en conf. (pour le moment je fait des test via notre réseau entreprise qui dispose d'un acces internet)
ens1 #WAN
ip en 10.0.0.x /22
avec passerelle et DNS OK
 
enp3s0 #LAN
ip en 168.192.0.1/22
 
DHCP : liste blanche, seul les PC référencé auront une IP
routeur/DNS : 168.192.0.1
 
Ubuntu serveur installé OK, les 2 cartes sont bien configuré, le serveur dhcp aussi et fait son boulot.
par contre j'ai un soucis avec le routage.
 
le routeur peut bien aller sur internet, pas de soucis (ping et surf)
 
au niveau iptables, j'ai bien une regle masquerade avec en source la plage LAN et sortie la carte wan
 
coté client, j'ai bien une IP prévue par le dhcp avec passerelle et dns correpondant.
par contre, bien que je puisse pinguer des ip externe (google.com, free.fr, etc) le surf via navigateur ne fonctionne pas du tout.
 
j'ai bien le ip_forward activé
mon iptables NAT :  

 
Auriez vous une idée ?

Bonjour,
 
Ce sous-réseau appartient actuellement à Amazon et ne doit pas être utilisé. Tu as très probablement confondu avec 192.168.0.0/22 .
 
A part le problème ci-dessus, il faudrait vérifier si la passerelle elle-même arriver à naviguer sur le web, via un utilitaire en ligne de commande tel que wget ou curl .
 
En effet, il est très fréquent que sur un réseau d'entreprise un pare-feu impose à un PC de passer par un proxy pour avoir accès au web. Personnellement, je trouve que toutes les entreprises autres que les PME devraient faire ainsi.

c'est un réseau privé non ouvert, donc peut importe au final
le but est d'eviter un malin qui saurait qu'il faut se mettre en 192.168 justement.
 
et comme indiqué dans mon premier message, la passerelle accede au net sans soucis
 
 
le proxy interviendra surrement plus tard, mais je vais faire etape par etape deja

Je me trompe ou iptables est censé disparaître et il faut passer par nftables maintenant?

+1 pour mettre un coup de wget/curl et Wireshark. Faudrait savoir si les postes derrière le PC peuvent faire les résolutions DNS déjà.

PS: Security through obscurity ça n'a jamais fonctionné (longtemps)...

T'as bien dit aux navigateurs comment accéder à internet?

??? euh c'est a dire ?
le navigateur prend la conf du PC en principe non ? j'ai jamais eut souvenir de devoir parametrer un navigateur pour lui dire comment acceder au net.
 
pour le moment le serveur/routeur fait pas de proxy

Pour Firefox on peut lui dire de prendre la config du PC ou alors mettre une config dédiée. Faudrait vérifier que c'est bien sur le premier réglage.

j'ai testé avec edge et chrome, pour les 2 idem, temps de réponse trop long
alors que le ping passe impec

Effectivement, il faudra envisager de basculer vers nftables par la suite.
 
Sur le routeur, pourrait-on avoir les retours des commandes ?

Et enfin, sur un des PC, est-il possible de tenter de charger une page web légère telle que https://icanhazip.com/ ou sa version http ? Pour vérifier qu'il n'y ait pas de problème de MTU/MSS

Resultat des commandes :  

 
navigation vers icanhazip KO via chrome ou edge, mais le ping est bien resolu et réponse OK.

Bigre, tout cela est bien mystérieux !
 
Il serait pratique d'avoir le retour de :

Un ordi sous Windows ne permet pas de faire un traceroute en utilisant le protocole TCP. Il faut éventuellement installer winmtr ou peut-être tracetcp .
 
Bref, un traceroute en TCP aurait une chance de pouvoir nous dire à partir de quel routeur les paquets pour la connexion web sont perdus.

Ok, je vient de comprendre pourquoi.
c'est une erreur de notre coté.
 
actuellement je fait des test sur notre réseau entreprise, avec la carte wan en ip fixe sur notre réseau, qui dispose d'un acces internet.
notre passerelle est un firewall qui fait du proxy http(s) natif en transparent (pas de proxy a spécifier coté navigateur) pour les requetes http(s)
 
sauf que pour une raison étrange, le routeur fait du https en port 443 (normal) mais l'entete devait etre incorrect car le firewall refusait le traffic, pour lui c'etait du 443 sans http(s)
avec une regle specifique pour lui (le temps du test) plus de soucis, les PC derrière le routeur peuvent bien sortir en navigation.
 
Plus qu'a tester in situ, en esperant que les Box nous fassent pas la meme blague ^^

Les PCs derrière ton routeur, ils arrivaient à consulter une page web en étant connectés directement sur le réseau amont ?
 
Si oui, le problème est autre.
Si non, c'est que tu n'avais pas fait suffisamment de tests.  
 
Les "box" (c'est à dire les routeurs) d'accès à Internet grand-public qui ne font pas de mauvaise blague ?      

nos Pc a nous directement derrière le firewall n'ont pas de soucis.
le routeur fonctionnait, mais pas ceux derrière le routeur
a croire que la requete d'un pc derrière le routeur, etait modifié pour la transferer sur le port 443 mais sans l'entete web http, d'ou blocage par le firewall.
 
Box qui fait des mauvaise blagues : on a le cas de livebox qui, avec des regles firewall identique, fonctionnent sur une ecole, mais sur une autre, meme regles, meme utilisation, ca passe pas, sans raison.
on en a une en ce moment dont le serveur DHCP refuse de fournir des adresses aux clients, alors qu'aucun modif n'a été faite dessus depuis 2 ans, juste du jour au lendemain, elle veut plus.
Ce genre de blague