> Tech > Connecter votre petit réseau à  l’Internet

Connecter votre petit réseau à  l’Internet

Tech - Par iTPro.fr - Publié le 24 juin 2010
email

par Mark Minasi
Un des principaux problèmes que rencontrent les administrateurs de réseaux est la connexion des LAN à  l'Internet. Ce mois-ci, nous allons donc voir quelles sont les dernières méthodes pour cela et nous comparerons certaines des nouvelles possibilités de routage qu'offrent, aux petits groupes, les fonctions ICS (Internet Sharing Connexion) et NAT (Network Address Translation) de Windows 2000.

Si votre environnement informatique est de type SOHO (Small Office/Home Office),
et que vous désirez connecter votre réseau à  l’Internet, vous devrez d’abord franchir
deux difficultés : établir une connexion persistante et affecter des adresses
multiples. Le besoin d’une connexion persistante est lié au fait que l’on ne peut
pas héberger un serveur DNS, Web, de messagerie ou autre, sans que le serveur
soit connecté 7 jours sur 7, 24 heures sur 24. (Les utilisateurs connectés via
une connexion commutée ne sont pas concernés, à  moins d’essayer de créer une sorte
de système d’appel automatique qui essaie de vous garder connecté à  votre ISP.)

Pour cet article, nous partirons du principe que vous connectez à  l’Internet un
serveur Windows 2000, que nous appellerons Serv2000, via une connexion ADSL ou
par un modem câble bidirectionnel, et que vous utilisiez une autre carte Ethernet
pour connecter Serv2000 au réseau interne. Ne vous occupez-pas de créer les adresses
IP sur la carte réseau attachée au réseau interne ou à  tout ordinateur du réseau
interne.

Pour communiquer avec l’Internet, Serv2000 a besoin d’une adresse IP routable
de la part de votre opérateur ADSL ou de câble. Certains fournisseurs affectent
des adresses IP statiques aux cartes Ethernet ; d’autres utilisent DHCP pour affecter
l’adresse. Quelque soit la méthode, vous n’obtenez généralement qu’une seule adresse
par le fournisseur. Alors comment partager cette connexion Internet à  grande vitesse
avec les autres machines de votre LAN ? On ne peut pas simplement fabriquer des
adresses IP à  affecter à  vos autres systèmes ; même si vous pourriez convaincre
Serv2000 de router le trafic Internet depuis vos machines internes, d’autres routeurs
Internet sentiraient immédiatement la provenance douteuse des paquets IP de votre
réseau interne et jetteraient ces paquets dans une grande poubelle.

Windows 2000 offre deux options pour le partage des connexions Internet : ICS
et NAT. Voyons d’abord le partage de connexion Internet avec Internet Connexion
Sharing (ICS). Cliquez à  droite sur Mes emplacements réseau et choisissez Propriétés.
Vous verrez probablement au moins deux objets qui représentent vos cartes réseau.
(Sur mon système, ces objets s’appellent Connexion locale et Connexion locale
2.) Cliquez à  droite sur l’objet représentant la carte réseau attachée à  l’Internet
et choisissez Propriétés.
Dans la boîte de dialogue des propriétés, allez à  l’onglet Partage, sélectionnez
la case à  cocher Permettre le partage de connexion Internet pour cette connexion,
cliquez sur OK et cliquez sur Oui dans la boîte de dialogue résultante.

Après un bref délai, ICS commence à  fonctionner. La carte réseau attachée au réseau
privé a désormais l’adresse IP statique 192.168.0.1. Serv2000 exploite désormais
un simple serveur DHCP qui affecte des adresses IP dans la tranche 192.168.0.0
à  192.168.0.255. Paramétrez les systèmes de votre réseau pour qu’ils interrogent
DHCP pour obtenir leurs adresses IP, ensuite redémarrez les machines : les systèmes
recevront des adresses dans le réseau 192.168.0.0 et utiliseront le système 192.168.0.1
comme passerelle par défaut. Un ping de n’importe quelle machine du réseau interne
confirmera que le réseau a une connectivité à  l’Internet.

Windows 2000 offre deux options pour le partage des connexions Internet
: ICS et NAT

Cependant, ICS a plusieurs limites.
Tout d’abord, in n’est pas possible de configurer quelque option que ce soit sur
le serveur DHCP d’ICS.
Deuxième limite, même si toutes vos machines peuvent accéder à  l’Internet, les
systèmes de l’Internet ne peuvent pas, eux, accéder à  vos machines. Si l’on émettait,
depuis un système sur l’Internet, un ping vers votre système se trouvant (par
exemple) à  l’adresse 192.168.0.100, on n’obtiendrait pas de réponse de votre système.

Cette seconde limite est sûrement intéressante d’un point de vue sécurité – de
nombreux administrateurs ne le verront pas du tout comme un inconvénient. Mais
supposez que vous utilisiez un serveur Web interne pour héberger un site génial
que vous souhaitez mettre à  la disposition du public. Supposons également que
vous utilisiez une autre machine comme serveur de messagerie (ce qui n’apporterait
pas grand chose à  moins qu’il ne puisse envoyer et recevoir des messages). On
pourrait bien sur installer le serveur Web et le serveur de messagerie sur Serv2000,
mais il n’est peut-être pas souhaitable d’utiliser un seul serveur comme routeur,
serveur Web et serveur de messagerie. Pour faire fonctionner ce type d’environnements,
il vous faudra abandonner ICS au profit de NAT qui supporte les connexions entrantes.

La traduction des adresses réseau NAT est un peu plus complexe à  installer que
ICS. Commençons par utiliser NAT simplement pour dupliquer les fonctions de partage
d’accès Internet. La première chose à  faire est de désactiver ICS sur Serv2000.
Ensuite, affectez l’adresse 192.168.0.1 à  la carte réseau attachée au réseau interne.

Ensuite, il faut activer RRAS. Dans Outils d’administration, ouvrez le composant
logiciel enfichable Routage et accès à  distance de la Microsoft Management Console
(MMC). Vous verrez un icône représentant votre système connecté à  Internet (par
exemple Serv2000) dans le panneau de gauche de la fenêtre de la MMC. (Il vous
faudra peut-être sélectionner Ajouter un serveur depuis le menu contextuel pour
que cette option soit disponible.) Cliquez à  droite sur l’icône et choisissez
Configurer et Permettre le routage et l’accès à  distance pour lancer un de ces
assistants qui pullulent dans Windows 2000. Cliquez sur Suivant pour aller au
premier écran, sélectionnez Serveur configuré manuellement, cliquez sur Suivant,
puis cliquez sur Terminer. Cliquez sur Oui pour confirmer que vous désirez activer
le service.

Par défaut, RRAS active de nombreuses options dont vous n’aurez probablement pas
besoin, notamment RAS. Désactivons toutes ces choses inutiles. Dans le composant
logiciel enfichable Routage et accès à  distance de la MMC, cliquez à  droite sur
l’icône représentant Serv2000 et sélectionnez Propriétés. Sélectionnez le bouton
de routage du réseau local seul sous la case à  cocher Routeur, désactivez la case
à  cocher Serveur d’accès distant et cliquez ensuite sur OK. Cliquez sur Oui pour
confirmer que vous souhaitez redémarrer RRAS.

Ensuite, dites à  RRAS que vous voulez créer un routeur NAT. Dans le panneau de
gauche du composant logiciel enfichable Routage et accès à  distance de la MMC,
ouvrez l’objet du serveur. Vous verrez un objet de routage IP ; ouvrez-le, cliquez
sur général et choisissez Nouveau protocole de routage. Vous verrez plusieurs
options ; choisissez Traduction des adresses réseau et cliquez sur OK. En retournant
dans le composant logiciel enfichable, vous constaterez que le panneau de gauche
comprend désormais, sous Routage IP, un objet labellisé Traduction des adresses
réseau. On peut désormais dire à  NAT de se comporter comme serveur DHCP, à  l’instar
de ICS. Cliquez à  droite sur l’objet NAT, choisissez Propriétés et allez à  l’onglet
d’affectation d’adresses.
Les options de cet onglet permettent de définir les tranches d’adresses que votre
routeur NAT affectera aux machines de votre réseau interne. Sélectionnez la case
à  cocher Affecter automatiquement une adresse IP en utilisant DHCP et choisissez
les tranches d’adresses que vous voulez donner. Alles à  l’onglet Résolution de
noms, cochez la case à  cocher Clients utilisant DNS et cliquez sur OK. Cette approche
permet à  votre routeur NAT de se comporter comme une sorte de proxy DNS. Les machines
du réseau privé utilisent le routeur NAT pour résoudre les adresses DNS. Le routeur
NAT va ensuite sur son serveur DNS local pour résoudre ces adresses et passe l’adresse
IP aux machines du réseau interne.

Par défaut, RRAS active de nombreuses options dont vous n’aurez probablement
pas besoin, notamment RAS

Mais n’essayez pas encore de router depuis votre réseau interne. Il vous reste
une étape : vous devez dire à  NAR quelle carte réseau est attachée au réseau interne
et laquelle est connectée à  l’Internet. Cliquez à  droite sur l’objet NAT et choisissez
Nouvelle interface ; vous obtiendrez une boîte de dialogue qui liste vos deux
cartes réseau. Sélectionnez celle qui est connectée à  l’Internet, puis sélectionnez
le bouton radio Interface publique connectée à  Internet, qui indique à  NAT que
la carte réseau est celle ayant l’adresse routable.
Choisissez également d’activez la case à  cocher Traduire les en-têtes TCP/UDP
(recommandé) et cliquez sur OK. (La traduction des en-têtes est la seule méthode
permettant à  NAT de servir plusieurs systèmes simultanément avec une adresse TCP/IP.)
Vous avez indiqué à  NAT où trouver l’Internet ; il est maintenant temps de lui
indiquer avec quel segment partager cette connexion Internet. Une fois encore,
cliquez à  droite sur l’objet NAT et choisissez Nouvelle Interface. Sélectionnez
la carte réseau connectée au réseau non routable et, cette fois, sélectionnez
le bouton radio Interface privée connectée au réseau interne. Cliquez sur OK.

Réinitialisez les systèmes de votre réseau interne et ils verront votre ordinateur
connecté à  Internet comme un serveur DHCP donnant des adresses IP dans le sous-réseau
192.168.0.0. Félicitations : vus avez utilisé NAT pour dupliquer les fonctions
de partage d’accès Internet. Dans un prochain article, nous verrons comment allez
plus loin avec NAT et l’utiliser pour permettre les connexions IP entrantes aussi
bien que sortantes.

Téléchargez cette ressource

Guide de cybersécurité en milieu sensible

Guide de cybersécurité en milieu sensible

Sur fond de vulnérabilités en tout genre, les établissements hospitaliers, pharmacies, laboratoires et autres structures de soin font face à des vagues incessantes de cyberattaques. L’objectif de ce livre blanc est de permettre aux responsables informatiques ainsi qu’à l’écosystème des sous-traitants et prestataires du secteur médical de se plonger dans un état de l’art de la cybersécurité des établissements de santé. Et de faire face à la menace.

Tech - Par iTPro.fr - Publié le 24 juin 2010