Installation d'un serveur SME de test en serveur et passerelle sur un réseau de production

Problématique

Quand on veut faire des essais un peu poussés sur SME, on a tendance à éviter d'utiliser le serveur SME de production. Comme SME n'est pas très gourmand, il est (assez) facile de dénicher une machine dont plus personne ne veut pour en faire un serveur de test tout à fait honorable.
Dans ce cas, en général, on monte ce serveur en mode 'server only', et il devient un client du LAN comme un autre.

Cependant, certains tests ne sont pas faciles (voire impossible) à réaliser en mode 'server only'. Et il n'est pas toujours évident de monter un réseau de test à part.

Je vais donc vous montrer comment (via une petite astuce TCP/IP) monter un serveur SME de test en mode 'Server and Gateway' directement sur votre réseau de prod et sans perturbations.
Note : il faudra que votre serveur de test possède deux interfaces réseau, comme un 'vrai' serveur SME de prod.

Le concept

Voyons la disposition habituelle d'un petit réseau SME :

Il y a d'un coté Internet, avec la patte publique de SME, et de l'autre coté un réseau privé, choisi arbitrairement par SME à l'installation. Ce réseau commence toujours par 192.168. qui correspond à un des réseaux de type IPs privées. (Pour de plus amples informations sur les adresses IP privées, vous pouvez consulter le RFC 1918 en français).

D'après ce que j'ai pu constater, voici quelques points qui semblent 'standards' lors d'une installation de SME :

• SME choisit un réseau privé parmi les 256 possibles au hasard. Dans la suite de ce document, nous dirons que le n° de réseau est 192.168.X. .
• La passerelle SME prend généralement la première adresse IP, soit 192.168.X.1
• Le service DHCP distribue les adresses à partir de l'adresse 192.168.X.65

Maintenant, avec ces caractéristiques, comment 'glisser' un serveur SME de test sur ce réseau ?

L'astuce consiste à jouer avec les subnet masks IP. Nous allons connecter le serveur de test avec ses deux interfaces (internes et externes) sur le hub ou switch du réseau de production. C'est la configuration IP du serveur de test qui fera la différence.

Voyons le schéma de la réalisation :

En jouant sur les Subnet Masks nous allons faire croire au serveur de test qu'il existe deux réseaux distincts :

• Les adresses entre 192.168.X.1 et 192.168.X.62 seront pour le serveur de test un réseau 'public'.
• Les adresses entre 192.168.X.65 et 192.168.X.126 seront pour le serveur de test le réseau 'privé'.

Ainsi, pour le serveur de test, le serveur SME de production sera une machine publique, alors que les équipements du réseau ayant obtenu une adresse IP via le serveur DHCP du SME de production seront vus comme des postes du réseau privé. Ceci permet de tester un bon nombre de configurations.

Attention, il existe une contrainte forte : si dans votre réseau se trouvent des machines avec une adresse IP supérieure à 192.168.X.126 ces machines ne pourront pas communiquer avec le serveur de test !

Configuration du serveur de test

Avant de pouvoir configurer le serveur de test, il convient de contrôler un certain nombre de points sur le serveur de production : Je vous mentionne ici les paramètres de mon serveur de production, en ayant remplacé mon n° de sous réseau par X. Si vos paramètres sont différents et si vous ne maîtrisez pas l'impact de la différence, renseignez vous avant de tout péter !

-# /sbin/e-smith/db configuration show dhcpd
dhcpd=service
    end=192.168.X.122
    start=192.168.X.65
    status=enabled
-# /sbin/e-smith/db configuration show LocalIP
LocalIP=192.168.X.1
-# /sbin/e-smith/db configuration show LocalNetmask
LocalNetmask=255.255.255.0

l'adresse IP du serveur SME est 192.168.X.1, le netmask est 255.255.255.0 (ce qui permet les adresses 192.168.X.1 jusqu'à 192.168.X.254), le DHCP distribue des adresses comprises entre 192.168.X.65 et 192.168.X.122

Il faut bien entendu également connaître la valeur X de votre réseau !!!

Connectez vous sur la console du serveur de test par le compte admin (c'est déjà fait si vous avez fait le choix 'auto-login' à l'installation de votre serveur.

• Prendre le choix 2. Configurez ce serveur
• répondre Oui à la question Voulez-vous continuer?
• Comme nom de domaine je mets habituellement le même que mon domaine de production.
• Comme nom de système, mettez un nom unique sur votre réseau.
• Choisissez une de vos interfaces réseau pour être l'interface interne.
• Comme adresse IP, mettez 192.168.X.126. Attention : cette adresse doit être inutilisée dans votre réseau !
• Comme Masque de sous réseau local mettez 255.255.255.192. C'est ce subnet mask qui va nous permettre de créer deux réseaux virtuels (uniquement pour cette machine) sur un réseau réel.
• Comme Mode Opération prenez le choix 1. Serveur et passerelle
• Comme Mode d'accès externe prenez le choix 1. Serveur et passerelle - ligne dédiée
• Choisissez une carte réseau pour être l'interface externe.
• Comme Configuration interface externe prenez le choix 4. Utilisez adresse IP statique
• Comme adresse IP statique, saisissez 192.168.X.2. Attention : cette adresse doit être inutilisée dans votre réseau !
• Comme Masque de sous réseau local mettez 255.255.255.192. C'est ce subnet mask qui va nous permettre de créer deux réseaux virtuels (uniquement pour cette machine) sur un réseau réel.
• Comme adresse IP de la passerelle mettez l'adresse IP interne de votre serveur SME. (Chez moi l'adresse apparaît toute seule.
• Très important ! A la configuration du serveur DHCP choisissez éteint Ne fournit pas de service DHCP au réseau local
• Vous pouvez mettre les valeurs de votre choix pour les options suivantes.

Apres prise en compte des modifications, vous pouvez effectivement connecter votre SME de test sur le réseau. La machine est accessible.

Pour plus de confort, il est recommandé de créer deux entrées (de type 'local') dans le DNS de votre serveur de production (en supposant que votre serveur de test s'appelle smetest) :

Utilisation au quotidien

Votre serveur SME est maintenant accessible depuis le réseau, mais comment ?
Vos PCs peuvent l'atteindre (uniquement) via son interface réseau interne, donc via le nom smetest dans le DNS. Votre serveur SME de prod ne peut atteindre le serveur de test que via l'interface réseau externe. Il est donc soumis à toutes les restrictions du FireWall. C'est généralement pratique pour tester, et parfois un peu casse pieds ;-) Cependant, ce n'est pas la peine depuis le serveur SME de prod d'essayer d'atteindre l'interface interne du SME de test. Techniquement, il y arrivera, mais le serveur SME de test sera incapable de lui répondre (conflit de netmask).

Vos P.C. voient le serveur de test comme un serveur SME en mode 'server only'

S'il est nécessaire, pour un de vos tests qu'un P.C. 'passe' vraiment au travers du serveur SME de test, c'est possible, il faut faire une configuration IP manuelle du P.C. :

• Adresse IP : la même que celle donnée par le DHCP
• Netmask : 255.255.255.192
• Gateway : 192.168.X.126
• DNS : 192.168.X.126

De même, si vous souhaitez qu'un P.C de votre réseau soit vu par le serveur SME comme un P.C. externe, c'est possible, il faut encore faire une configuration IP manuelle du P.C. :

• Adresse IP : Une adresse libre entre 192.168.X.3 et 192.168.X.62
• Netmask : 255.255.255.192
• Gateway : 192.168.X.1
• DNS : 192.168.X.1

Ceci donne un bon nombre de possibilité pour être au plus près d'une installation réelle.

Conclusion

Cette architecture n'est pas parfaite, mais je m'en sers depuis plusieurs mois déjà, et je trouve le montage satisfaisant.

Ainsi configurés, mes P.C. ont un accès direct (et fiable !) à Internet via mon SME de prod, et peuvent aussi accéder de manière directe au serveur SME de test.

Cependant, il existe peut-être des améliorations à apporter. N'hésitez pas à ma faire parts de vos idées et retours d'expériences.

Change Log

copyleft Schirrms Studio 2002-2004

L'ensemble du site web www.schirrms.net est sous licence GFPL