Elargir son réseau

Pause Café
#1

Salut,

Une question me taraude…

Actuellement je suis sur un réseau de type 192.168.0.0/255.255.255.0 > 192.168.0.0 - 192.168.0.255 (254 adresses);
Si j’avais l’idée d’élargir ce réseau par exemple de passer sur du 192.168.0.0/255.255.252.0 > 192.168.0.0 - 192.168.3.255 (1022 adresses) :

Il faudrait changer les IP/Netmask de toutes les machines en même temps ?
Quelles conséquences sur les services ? Une IP 192.168.0.1 pourrait communiquer avec une IP 192.168.3.254 ?

Le plus simple est de configurer chaque machine pour se configurer par dhcp, de changer la configuration du serveur dhcp et de relancer tous les services réseau ?

C’est faisable aussi facilement que ça ?

#2

Tu aurais ptet mieux fait de publier ce fil sur SD car Pascal ne passe que rarement sur PC et c’est The spécialiste.

#3

Oui, j’y ai pensé, mais comme ce n’est pas propre à Debian j’ai mis dans PC.
Si tu veux déplacer, j’accepte avec plaisir.
Merci.

#4

Sisi, je passe. Et je ne suis pas The specialiste, je connais juste quelques trucs. Heureusement, ce sujet relève des notions de réseau IP les plus basiques et ne demande aucune spécialité.

Si tu agrandis le sous-réseau IP, il faut effectivement reconfigurer toutes les machines. Deux raisons :

  • l’adresse de broadcast dirigé change ;
  • une machine laissée avec l’ancien masque ne pourra pas communiquer avec une machine dont l’adresse est hors du sous-réseau initial.

Psst : 192.168.0.0 - 192.168.0.255, c’est 256 adresses, pas 254. Tu voulais peut-être dire 254 adresses d’hôtes ?

#5

[quote=“PascalHambourg”]Sisi, je passe. Et je ne suis pas The specialiste, je connais juste quelques trucs. Heureusement, ce sujet relève des notions de réseau IP les plus basiques et ne demande aucune spécialité.

Si tu agrandis le sous-réseau IP, il faut effectivement reconfigurer toutes les machines. Deux raisons :

  • l’adresse de broadcast dirigé change ;
  • une machine laissée avec l’ancien masque ne pourra pas communiquer avec une machine dont l’adresse est hors du sous-réseau initial.

Psst : 192.168.0.0 - 192.168.0.255, c’est 256 adresses, pas 254. Tu voulais peut-être dire 254 adresses d’hôtes ?[/quote]

Cool, merci de la confirmation.
Oui je voulais dire 254 adresses disponibles.

Donc tu confirme qu’avec le bon masque, des ip telles que 192.168.0.1 et 192.168.3.254 communiquent sans problèmes ?
Au niveau des services (tel que Bind, apache, etc…) rien à faire de particulier si j’ai bien compris…
Je pense qu’au niveau du parre-feu/gateway il n’y a pas grand chose à faire non plus ?

Je précise quand même la raison de ma question.
Je souhaite élargir le réseau - non pas par manque d’adresse tu t’en doute - mais pour mieux “ranger” mon réseau. A force d’ajouter des machines ça fini par être un peu le bronx, et je n’aime pas ça… Au niveau de squidGuard j’espère un peu plus de facilité: classer par groupes d’acl - 192.1698.0.0 - 192.168.1.0 - 192.168.2.0 - 192.168.3.0 - etc… plutôt que par “range” parceque ça commence à être un peu le bazar…

C’est aussi par jeu… On s’amuse avec ce qu’on peux… Et comme il n’y a pas de limite, pourquoi ne pas en profiter :ugeek:

#6

Je n’ai pas dit ça. Il doit rester quelques vieux équipements ou OS dont la pile IP ne gère pas correctement les préfixes de réseaux classless ou les masques qui ne sont pas sur des octets entiers. Je me rappelle d’un poste sous Windows 98 qui m’avait fait des trucs un peu bizarres de ce côté.

Pour les règles iptables, il faut évidemment modifier celles qui contiendraient le sous-réseau.

#7

Je n’ai pas dit ça. Il doit rester quelques vieux équipements ou OS dont la pile IP ne gère pas correctement les préfixes de réseaux classless ou les masques qui ne sont pas sur des octets entiers. Je me rappelle d’un poste sous Windows 98 qui m’avait fait des trucs un peu bizarres de ce côté.

Pour les règles iptables, il faut évidemment modifier celles qui contiendraient le sous-réseau.[/quote]

Effectivement je n’avais pas pensé à ce genre de soucis.
Mon réseau est hétéroclite, comme beaucoup.

  • XP
  • Linux (noyaux récents > 2.6.32)
  • BLR Cisco… (cisco aironet 1300)
  • 1 pfSense Beta 2.0
  • Quelques routeurs (genre lynksys, mais utilisés “passivements” en mode hub)

A priori ça devrait passer… C’est un peu plus compliqué que je ne le pensais en fait cette histoire.
Il suffirait d’un seul matériel pour que je sois emmerdé…

Je vais prendre mon temps pour vérifier tout ça.

Pour iptables, je devrais m’en sortir.

Merci.

#8

Re,

J’ai fait quelques essais avec des VM (accès par pont) et avec des système Linux c’est du beurre… Tout le monde voit tout le monde (le noyau le moins à jour est un 2.6.26, donc je n’aurais pas de soucis de ce côté là).
Avec XP et 7 ça coince un peu plus, mais ça à l’air de fonctionner (les machines mettent du temps à découvrir le réseau, et il faut insister…).

La machine hôte avec un netdiscover voit tout le monde, sans pouvoir communiquer; Evidemment elle n’est pas dans le même réseau…

Reste les Cisco…

#9

Bien,
Dernier point avant la bascule pour ceux qui sont intéressés.

J’ai testé avec une pfSense dans une VM avec ceci : 192.168.0.1/21
Et ça roule… Tout est très simple, même pas besoin de redémarrer. Les ip sont bien distribuées, entre 192.168.0.0 et 192.168.7.255.
Le pare-feu ne moufte pas, il est configuré sur les interfaces et non les adresses.
Les NAT fonctionnent.

Ce qui est troublant c’est que j’ai toujours accès au Webgui alors que j’y accède d’une machine qui est toujours en 192.168.0.0/24… Alors que je pensais devoir changer de réseau :017
Il doit y avoir une espèce de latence, ou ce sont les régles “established” qui prennent le pas ?

Les clients se voient et communiquent, les services sont opérationnels.
Du gateau… :smiley:

Bascule dans la semaine (il faut que je fasse l’inventaire - il y a pas loin d’une cinquantaine d’équipements qui se connectent…).
Merci PascalHambourg.

#10

Juste une question pratique, pour ma culture perso.
est il raisonnable d’avoir plus de 200 machines dans le même réseau ? Est ce que ça reste gérable ?
Et en cas de panne du routeur principal, toutes les machines se retrouvent isolées ?
Je confond peut étre l’adressage avec le réseau physique …

#11

C’est possible si l’adresse du Webgui est en 192.168.0.x.

#12

[quote=“piratebab”]Juste une question pratique, pour ma culture perso.
est il raisonnable d’avoir plus de 200 machines dans le même réseau ? Est ce que ça reste gérable ?
Et en cas de panne du routeur principal, toutes les machines se retrouvent isolées ?
Je confond peut étre l’adressage avec le réseau physique …[/quote]
Je ne comprends pas la question. Par définition même une machine au sein d’un réseau n’a pas besoin de routeur (en général) pour voir les autres machines du même réseau (ça se discute, on peut faire des configurations particulières).

Par ailleurs, il y a souvent un seul routeur ouvrant sur l’extérieur qui gère plusieurs réseaux en même temps…

#13

[quote=“fran.b”][quote=“piratebab”]Juste une question pratique, pour ma culture perso.
est il raisonnable d’avoir plus de 200 machines dans le même réseau ? Est ce que ça reste gérable ?
Et en cas de panne du routeur principal, toutes les machines se retrouvent isolées ?
Je confond peut étre l’adressage avec le réseau physique …[/quote]
Je ne comprends pas la question. Par définition même une machine au sein d’un réseau n’a pas besoin de routeur (en général) pour voir les autres machines du même réseau (ça se discute, on peut faire des configurations particulières).

Par ailleurs, il y a souvent un seul routeur ouvrant sur l’extérieur qui gère plusieurs réseaux en même temps…[/quote]

J’avoue ne pas avoir compris non plus.
La seule chose qui puisse faire s’écrouler le réseau, ce serait l’arrêt du dhcp. Pour ma part, j’ai monté un deuxième dhcp. J’ai impérativement besoin que certaines machines continuent de communiquer entre elles, au minimum un dhcp doit donc être impérativement opérationnel. Et je n’ai plus envie de configurer statiquement machine par machine… :mrgreen:

Mais je suis peut-être à côté de la question…

#14

Il veut peut être dire : “isolé d’internet, ou des réseaux périphériques auquelles elles sont potentiellement accès via le routeur en question”

#15

C’est ça. Si les machines sont réparties en sous réseau pour une simplicité de gestion, il me semble que physiquement, elles doivent être isolées du sous réseau d’à coté. Et qu’un routeur fait le lien entre les 2 (ou plus) sous réseau. Dans ma compréhension, un seul sous réseau est relié à internet. Les machines éloignées géographiquement doivent passer le routeur qui relie les sous réseau, puis le routeur vers internet.
Si le premier meurt, le sous réseau éloigné se retrouve isolé (d’internet , et du sous réseau voisin).
est ce que c’est plus clair ?

#16

Non.

Ce qui répond à la suite de ta question je pense ^^
C’est le DHCP qui attribut les adresses, le routeur n’a rien à voir la dedans, il n’est même pas indispensable, un switch suffit pour relier les machines entre elles puisque le modem adsl fait office de routeur s’il faut pour routeur le trafic entre internet et le réseau interne.

@lol

Une cinquantaine de machine…
J’aurais laissé tel quel avec le même masque mais avec un adressage plus ordonné genre les poste en dhcp auto de x.x.x.2 à x.x.x.30, les serveurs de x.x.x.30 à x.x.x.49 le dhcp en x.x.x.50, le secondaire en x.x.x.51 les switch aprés 100 etc…

Avec un outil de monitoring (donc accessible depuis n’importe quelle machine) tu retrouves tout trés vite.

#17

[quote=“Blacksad”]…

@lol

Une cinquantaine de machine…
J’aurais laissé tel quel avec le même masque mais avec un adressage plus ordonné genre les poste en dhcp auto de x.x.x.2 à x.x.x.30, les serveurs de x.x.x.30 à x.x.x.49 le dhcp en x.x.x.50, le secondaire en x.x.x.51 les switch aprés 100 etc…

Avec un outil de monitoring (donc accessible depuis n’importe quelle machine) tu retrouves tout trés vite.[/quote]

Bien sur.
C’était déjà organisé plus ou moins de cette façon. Mais quand tu défini une plage de 10 et qu’un onzième raplique et n’entre plus dans les cases… C’est chiant (je pense aux acl squidGuard par exemple) il faut redéfinir une acl rien que pour lui. J’ai gagné en simplicité et en marge de manoeuvre. C’est pas grand chose, mais ça me fait plaisir… :wink:
Comme je le disais plus bas:[quote=“lol”]C’est aussi par jeu… On s’amuse avec ce qu’on peux… Et comme il n’y a pas de limite, pourquoi ne pas en profiter :ugeek:[/quote]
Je suis content d’avoir expérimenté et testé. J’ai un peu avancé dans ma compréhension du réseau.
Et j’ai enfin un réseau 100% dhcp, c’est pour moi une étape.

A bientôt pour l’IPV6 ? :mrgreen: :mrgreen: :mrgreen: