Trucs & Astuces du docteur : LAN, Pare-feu

Question :

Nous avons récemment installé
un pont LAN sans fil 802.11b pour
supporter nos utilisateurs de portables
nomades. Mais dès que
nous connectons ce machin-là  à 
notre LAN Ethernet, personne
dans notre réseau de 50 utilisateurs
ne peut plus se connecter à 
Internet ! A quoi sert un standard
comme 802.11b s’il est incompatible
avec les standards LAN ?

Réponse :

Les utilisateurs apprécient généralement
les standards, mais les fournisseurs
les considèrent comme un mal
nécessaire, parce qu’ils rendent le produit
de chacun d’eux plus semblable et
donc plus interchangeable. C’est pourquoi
ils s’évertuent souvent à  ajouter
des fonctions intelligentes à  leurs produits
basés sur des standards, afin de
les rendre… non standard. Vous
constatez simplement les effets de la
« fonctionnite » des produits : l’accumulation
d’améliorations sur un produit
au départ simple et utile, jusqu’au
point où il devient une véritable usine
à  gaz. Parfois, le docteur se laisse embarquer
par des fournisseurs qui euxmêmes
se sont laissés embarquer.
En tout cas, le problème des ponts
sans fil 802.11b est que les fournisseurs
ont essayé de distinguer leurs produits
en en faisant autre chose qu’
un simple pontage sans fil. Le standard
802.11b supporte NAT (Network
Address Translation) du côté sans fil
d’un pont sans fil pour que les utilisateurs
finaux n’ait pas chacun besoin
d’une adresse IP publique unique.
Dans votre cas, il est probable que le
fournisseur essaie également de fournir
NAT pour le côté Ethernet du pont,
une fonction normalement déléguée
au pare-feu du LAN. Dans un tel
schéma, le pont sans fil se comporte
comme une passerelle vers votre routeur
Internet pour le compte des utilisateurs
Ethernet. Il fait cela en utilisant
Proxy ARP, une fonction Ethernet rarement
utilisée, qui permet à  une unité
de s’arroger le rôle de passerelle pour
toute adresse IP non locale.

Supposons, par exemple, que
notre routeur Internet ait une adresse
publique de 10.0.0.1 et que le pont
sans fil soit établi avec un réseau privé
NAT par défaut de 192.168.0.0.
N’importe quel utilisateur du réseau
192.168.0.0 essayant de communiquer
avec le routeur Internet (qui n’est pas
sur le réseau 192.168.0.0) sera redirigé
vers le pont sans fil, via Proxy ARP.
En supposant que vous n’exécutez
pas déjà  NAT sur votre LAN Ethernet,
le comportement Proxy ARP du pont
sans fil 802.11b standard, maintenant
non standard, n’est pas un problème.
Vous pouvez utiliser la fonction ou
l’ignorer superbement. En revanche, si
vous utilisez déjà  NAT sur votre LAN
Ethernet, l’ARP Proxy du pont sans fil
oblige tous les utilisateurs actuels à 
emprunter le pont sans fil comme leur
passerelle Internet, créant un conflit
avec votre passerelle Internet réelle,
qui est probablement un dispositif
pare-feu.

Pour en sortir, il faut désactiver
NAT sur le côté Ethernet du pont sans
fil. Malheureusement, tous les ponts
sans fil avec la « fonction » NAT
Ethernet ne permettent pas de la
désactiver. Dans ce cas, le docteur
vous recommande de laisser tomber le
fournisseur, en adoptant une marque
différente de pont sans fil.