Mise en place d'un routeur NAT

Introduction
Préparatifs
Installation de Winroute
Configuration des machines clientes
Particularités de configuration

1. Introduction

Voici donc la partie pratique pour connecter tout un réseau local à Internet en utilisant un système de routage NAT.

Je vous conseille très vivement de lire la partie théorique sur le partage d'une connexion Internet si vous ne savez pas très bien ce qu'est un routeur NAT.

Sachez tout d'abord que vous pouvez acquérir un routeur NAT hardware pour un prix relativement modique. Pour la suite de ce chapitre, c'est d'un routeur NAT logiciel dont je vais parler : il s'agit de Winroute, disponible sur le site http://www.tinysoftware.com/.

Comme je le disais pour Wingate (serveur proxy), je n'ai nullement envie de faire de la réclame pour le produit Winroute; j'utilise uniquement ce programme à titre d'exemple. La page http://www.winfiles.com/apps/nt/servers-proxy.html valable pour les solutions proxy permet aussi de trouver des routeurs NAT (même si ces solutions sont moins nombreuses). Pour ne pas faire de jaloux, allez voir aussi le produit de Vicomsoft qui doit être tout à fait équivalent (et est disponible pour Macintosh). Je continue avec Winroute parce que c'est le premier programme que j'ai découvert et parce que je le trouve facile à mettre en place.

Notez tout de suite que Winroute tourne aussi bien sur Windows 9x que sous Windows NT. Sous ce dernier, Winroute fonctionne comme un service (et non un programme), tout comme le fait Wingate. Bien évidemment, je vous recommande toujours d'utiliser NT sur le gateway pour des raisons de stabilité. Cela dit, je n'ai pas encore testé Winroute sur Windows 9x; j'attends donc que quelqu'un m'infirme ou me confirme sa stabilité sous ce système.
Retenez encore qu'il vaut mieux ne pas faire cohabiter Wingate et Winroute; choisissez l'un ou l'autre, Winroute ayant la fâcheuse tendance de crasher Wingate (du moins chez moi).

2. Préparatifs

Avant d'installer Winroute, je suppose que vous êtes en ordre avec les points suivants :

Vous avez configuré correctement votre LAN sous TCP/IP, avec des adresses IP de type 192.168.0.1, 192.168.0.2, etc... (masque de sous-réseau : 255.255.255.0)
Une de vos machine peut se connecter à Internet :

soit par modem (dial-up); dans ce cas, vous voyez le protocole TCP/IP dédoublé pour chacune des interfaces dans la partie "Réseau" du panneau de configuration :

TCP/IP -> Carte NE2000
TCP/IP -> Carte d'accès distant

soit par le téléréseau si votre ISP est un câble-opérateur; dans ce cas, vous aurez bien installé deux cartes réseaux, l'une travaillant sur le réseau interne (IP = 192.168.0.x, masque de sous-réseau = 255.255.255.0), l'autre travaillant sur Internet (IP et masque donnés par votre ISP). Là aussi, le protocole TCP/IP est logiquement dédoublé pour chacune des interfaces :

TCP/IP -> Carte NE2000
TCP/IP -> Carte NE2000

Quelques remarques s'imposent à ce niveau :

Pour des raisons de commodités, attribuez l'IP 192.168.0.1 à l'ordinateur qui servira de gateway.
Si vous possédez un câble-opérateur, vous aurez indiqué dans les propriétés de la carte réseau connectée à Internet les adresses IP des serveurs DNS :

Serveurs DNS de votre ISP

Vous constaterez que ces données sur le DNS sont reprises sur la carte tournant sur le réseau interne (192.168.0.1) : en effet, Windows n'attribue pas spécifiquement des valeurs DNS à une interface particulière.

Pour une connexion par modem, les serveurs DNS de votre ISP sont configurés dans votre connexion dial-up (dossier 'Accès réseau à distance').
Expérience faite, Windows 95 supporte parfaitement l'installation de deux cartes réseaux (si vous avez un câble-opérateur et que vous voulez faire tourner Wingate sous Windows 95). Cependant, il se peut, si les cartes réseaux sont configurées en mode PnP, que Windows ne détecte les bons paramètres (I/O et IRQ) que pour une seule des deux cartes. Le mieux à faire dans ce cas est de configurer les deux cartes en mode 'jumperless' (grâce à l'utilitaire DOS livré avec vos cartes) et leur attribuer à chacune un port I/O et un IRQ de votre choix, que vous "forcerez" ensuite dans Windows 95.

3. Installation de Winroute

Vous pouvez maintenant installer Winroute sur votre gateway. Il n'y a pratiquement rien à y configurer.

NB : les explications et illustrations qui suivent concernent l'utilisation de Winroute sur un ordinateur connecté à Internet par une carte réseau (câble). Si vous faites cette installation avec un modem, la mise en place est légèrement plus compliquée (configuration RAS), mais ne change pas dans le fond.

Enclenchez simplement le routage NAT sur l'interface Internet de la façon suivante : dans Winroute, allez sur Settings->Interface Table...->'Votre interface Internet (carte réseau ou ligne modem), et activez le routage NAT :

Mise en route du routage NAT

Activez le service DNS. Winroute fournit en effet le service de serveur DNS nécessaire aux applications du LAN pour "retrouver leur chemin" sur Internet. Ce service s'active par : Settings->DNS Server. Vous y introduisez les valeurs DNS de votre provider.

Configuration du service DNS

C'est tout !

Si vous êtes un peu parano, vous pouvez donner des règles plus strictes sur le routage des paquets IP. Référez-vous pour cela au manuel on-line (très clair) de Winroute, chapitre "Packet filtering".
Notez aussi que vous pouvez faire en sorte que Winroute ne fasse pas de NAT pour certains ordinateurs. Cela peut être utile si une partie de votre LAN possède des adresses IP règlementaires sur Internet. Dans ce cas, Winroute peut agir comme un routeur simple (sans translation d'adresses). Je ne parle pas ici de ces réglages très particuliers, mais le manuel on-line est très clair sur ces points.

NB : Point curieux que je me dois de vous signaler. Si vous êtes câblé sur Internet, et que vous utilisez un modem HF connecté à votre carte réseau, il se peut que vous deviez faire un reset sur ce dernier après avoir installé Winroute pour le "recalibrer" sur les nouveaux réglages de la carte Ethernet (Winroute travaillant "très proche" de la carte Ethernet).

4. Configuration des machines clientes

Contrairement aux réglages parfois subtils qu'il fallait faire pour chaque application des ordinateurs du LAN si vous utilisiez Wingate, il n'y a presque rien à faire si vous utilisez Winroute. Il vous faut simplement spécifier au système le serveur DNS et la passerelle.

Dnas les propriétés du protocole TCP/IP (Panneau de configuration->Réseau->Protocole TCP/IP), sélectionnez l'onglet 'Configuration DNS' et ajouter l'adresse IP (LAN) de l'ordinateur qui fait tourner Winroute.

Paramètres du DNS

Dans l'onglet 'Passerelle', ajouter l'adresse IP (LAN) de l'ordinateur qui fait tourner Winroute.

Paramètres de la Passerelle

C'est tout ! Rebootez la machine; vous êtes sur Internet !

5. Particularités de configuration

Si vous voulez faire tourner un serveur (http, ftp, ...) sur une des machines de votre LAN et que vous voulez que ce dernier soit accessible depuis Internet, vous devez spécifier à Winroute un "mapping TCP" sur le port concerné vers l'IP de la machine du LAN.

Exemple : vous voulez faire tourner un serveur web en port 80 sur la machine 192.168.0.4 de votre LAN.

Dans Winroute, choisissez Settings->Advanced->Port Mapping->Add, et rajouter un mapping TCP sur le port 80 :

Mapping TCP pour serveur web

Notez que les deux ports (sur le routeur et sur l'ordinateur du LAN) n'ont pas besoin d'être identiques. Vous pourriez très bien faire tourner sur l'ordinateur 192.168.0.4 un serveur web sur le port 8080 (accessible sur ce port dans l'intranet), mais accessible sur le port usuel 80 depuis Internet, et inversément.

les logiciels susceptibles d'être "appelés" depuis Internet doivent être configurés en conséquence. Le cas le plus connu est ICQ.
Si vous voulez pouvoir être contacté par ICQ, vous devez procéder de la manière suivante :

Sur Winroute, établissez un mapping TCP (voir ci-dessus) sur un intervalle ("port range") de 5000 à 5011 vers l'ordinateur du LAN voulant utiliser ICQ

Mapping TCP pour ICQ

Pour chaque ordinateur du LAN voulant bénéficier d'ICQ, vous devez créer un intervalle similaire (par exemple, 5012-5023, 5024-5035, etc.)

Sur le client ICQ de la machine du LAN, allez dans Preferences, onglet connexion, puis choisissez :

Internet Connection Type->I am behind a firewall or proxy.

Puis dans les "Firewall settings", choisissez 'I don't use a SOCKS Proxy server on my firewall or I am using another Proxy server', puis 'Use the following TCP listen ports for incoming events', et introduisez l'intervalle adéquat (par ex. 5000 to 5011) :

Configuration d'ICQ

Voilà, je m'arrête ici. Si vous avez des questions plus spécifiques, n'hésitez pas à me les poser.

(C) 02/02/2008 - Dernière modification : 02/02/2008 - F4CVM / Pascal