je ne suis pas très a jour au niveau des vpn qui sont apparu depuis qu'on parle d'hadopi
En gros c'est un réseau vpn par lequel tout sort ?
(une redirection de la paserelle par défaut à travers le vpn ?)
Et donc tu veux t'assurer qu'aucune connection ne sera établie depuis l'extérieur du tunnel vers l'intérieur du réseau ?
Non c'est pas du Vpn, c'est du hotspot chillispot radius (tun0) je suis opérateur Wisp-Csp, donc il faut que je sois a meme de remonter jusqu'un client douteux et par la meme lui empecher (sereinement) d'acceder au réseau local sousjascent.
Jusqu'a présent je le bloquais au niveau local mais pas par iptable, et je me contentais de logguer les accès internet pour permettre a mes clients(ceux qui ont le hotspot) d'etre en phase avec la loi...Mais la loi change et on ne sais pas bien ou ca va menner.
Moi ce qui m'inquiete le plus dans l'histoire c'est la débauche de moyen qu'on risque d'avoir a mettre en place, et qui forcément se répercutera sur le montant des abonnements.
Mais bon, c'est encore autre chose.
et puis je tourne mon buisness CSP vers l'étranger ou les regles ne sont pas les memes et restent assez classique et facilement supportable.
faire du hotspot en france, ca va devenir chaud...je serrais pas surpris de voir se fermer les hotspots gratuits si la loi est appliqué a la lettre. Faudra bien que quelqu'un en supporte le cout...et ce sera pas les opérateurs et encore moins les petites asso qui mettent en place des réseau de désenclavement.
bof le sujet initial est résolut de toute facon ^^
je viens de configurer dnsmasq
enfin...
j'ai juste mis WORKGROUP dans la page setup
depuis je peux ping le nom de mon routeur (chose que je ne pouvais pas)
j'ai ajouté cette dnsmasq option
dhcp-option=43,01:04:00:00:00:02
que j'ai trouvé dans le wiki c'est cool ca, ca permet de désactiver netbiosover tcpip sur les clients dhcp!
en lancant wireshark j'ai l'impression que mon windows est beaucoup moin bavard
j'ai fait la meme chose coté Paris, par contre toujours impossible de ping le nom du routeur de paris depuis marseille.
j'imagine qu'il faut qu'ils échangent ou synchronisent leur tables dns pour ca.
iptables -t nat -A POSTROUTING -o br0 -j MASQUERADE
nat :
Cette table est consultée lorsqu'on rencontre un paquet qui crée une nouvelle connexion. La table est composée de trois chaînes prédéfinies : PREROUTING (pour modifier les paquets dès qu'ils entrent), OUTPUT (pour modifier les paquets générés localement, avant le routage) et POSTROUTING (pour modifier les paquets lorsqu'ils sont sur le point de sortir).
donc Nat oui... pour ce qui sort sur br0.
mais en fait je ne sait pas comment se comportent les trames qui circulent sur le bridge. je pense qu'il n'y touche pas. (ce serai ridicule que le mécanisme de nat se déclanche également lorsque deux pc sur le meme réseau discutent par le biais du dd-wrt)
il faudrai que je capture des trames en local pour m'en assurer à 100% mais j'ai peur de me faire mal au crane
et je suppose également que ce serai la chaîne OUTPUT qui s'occupe de faire de telles choses.
donc oui mon routeur paris effectue du nat entre br0 et tun0 dans le sens: tun0 vers br0 = nat
j'ai également fait ca sur mon routeur SUD pour que les pc de paris accedent à la livebox sud.
ta manip fonctionne nickel!
address=/DD-WRT-SUD/192.168.4.2
c'est juste que maintenant je voudrai faire ca dynamiquement!
J'ai oublié de le dire
Bein tu lis pu dans mes pensées ?
EDIT: ah bein non ca marche pas depuis les pc
Ca marche uniquement quand le dd-wrt-sud ping le dd-wrt-nord.
les pc qui sont connectés sur dd-wrt-sud ne font pas la relation entre le nom dd-wrt-nord et son ip.
ta manip fonctionne nickel!
address=/DD-WRT-SUD/192.168.4.2
c'est juste que maintenant je voudrai faire ca dynamiquement!
J'ai oublié de le dire
Bein tu lis pu dans mes pensées ?
Non j'ai pas ce don! ;)
ben t'as plus qu'a te lancer dans le scripting.
une piste :
récupéré la liste des clients actif sur le routeur dd-wrt distant....Manque de chance c'est pas la gateway....encore une limitatiom de l'emploi de la livebox.
autrement c'est pas trop compliqué:
Un wget pour récupéré le fichier
une boucle dans laquel tu extrais les dns et les Ip et que tu stoques en form dans un fichier tampon.
une fois sorti de la boucle tu cat le fichier tampon dans la variable nvram qui va bien et tu sauve la nvram.
nan mais en fait avoir fait ca:
address=/DD-WRT-NORD/192.168.2.2
m'as juste permis de resoudre le nom depuis le routeur SUD.
mais les machines connectées au routeur SUD ne résolvent pas le nom :(
sinon le script me fait pas trop peur il faudrai juste trouver l'emplacement ou dnsmasq stoque les ip/noms. J'ai fouillé mais je trouve pas de fichier qui le contiendrai. Mais au pire jirai sur le site officiel pour avoir l'info.
Mais faut que je trouve ou ajouter ces infos pour que mes pc resolvent le nom également ...
bon... je retire ce que j'ai dit et je reconfirme que ta commande fonctionne cependant il faut préciser une petite chose.
en ajoutant dans les dnsmasq option l'info suivante
address=/machine_name/ip_address
il faut que le "machine_name" soit dans le meme domaine qu'une machine qui demanderai la résolution...
Exemple:
address=/dd-wrt-nord/192.168.2.2
Dans ce cas précis, le routeur pourra pinguer le nom dd-wrt-nord
Cependant les machines connectées au routeur eux ne pingueront pas dd-wrt-nord !!!
par contre en faisant ceci:
address=/dd-wrt-nord.workgroup/192.168.2.2
une machine du domaine workgroup connecté au routeur pourra pinguer le nom dd-wrt-nord.
Et quand je ping dd-wrt-nord je vois en effet qu'il rajoute un suffixe dns...
Je sais pas pourquoi ils nous ont compliqué la tache avec cette notion de workgroup.
Ou c'est un manque de connaissance sur la notion de domaine qui est la cause de mes embrouille
Donc dnsmasq résouds les noms pour lesquels il à attribué des ip (dans dnsmasq.leases) et renvoie les demande de résolution sur 192.168.4.1 (ma livebox).
C'est actuellement pareil sur mon routeur de Paris.
La question qui reste c'est est il possible d'intégrer une entrée manuellement...
Surtout que lednsmasq.leases ne sert pas juste à la résolution des noms mais également à la durée du bail dhcp...
86400 étant le nombre de secondes en 24heures.
donc si je lui ajoute des entrées manuellement il risque de pas trop comprendre pourquoi ...
Le mieux serait que mon dnsmasq SUD non seulement à la livebox de résoudre des noms, mais aussi qu'il demande à paris de les résoudre...