Question masque de sous-réseau

litteulcake · 21 Sept 2020

Salut la communauté,

Petite question suite à un petit souci réseau au boulot. Je précise de suite, mes connaissances sur les réseaux ont été acquises un peu sur le tas et pas vraiment formellement.

Pour résumer :
Le adresse IP du réseau ont une certaine structure, qui nous permet rien qu'avec l'IP de savoir à quel type d'équipement on se connecte.
Il y avait 3 sous-réseaux : 192.168.20.xxx ; 192.168.40.xxx ; 192.168.60.xxx. Les masques de sous-réseau étaient configurés en /24.

Le but recherché était de pouvoir communiquer entre les machines des différents sous-réseaux. Bref, on s'est dit au départ qu'on va simplement mettre le masque en /16 (même si après calcul, /18 aurait pu aller). Et ça ne fonctionne qu'à moitié. Genre sur quelques machines, ça va, pas sur d'autre (je précise que le réseau est simple : quelques switches qui connecte le tout ensemble, pas de structure élaborée). Les PC sont sous Windows 10.

Un collègue nous dit qu'on ne peut pas faire ça, que c'est dangereux (?). Bref, il change toutes les IP pour les mettre en 192.168.20.xxx avec un masque en /24 et là, ça marche. Et il dit : "vous voyez, j'ai raison, ça marche maintenant".

Il n'a pas su m'expliquer pourquoi je pouvais pas à part un "c'est pas dans les bonnes pratiques car je n'ai jamais vu etc".

- je ne comprend pas en quoi c'est dangeureux. Perso, je pense que comme on reste dans le non-routable, il y a peu de risque.
- je ne comprend pas pourquoi ça ne marche qu'à moitié (je sais ping une machine mais pas d'autres)
- la solution ne plaît qu'à moitié car du coup, on ne sait pas à partir de l'IP prévoir à quel type de machine on se connecte
- je n'aime pas ne pas recevoir d'explications crédibles.

Devant sa certitude affichée (mais qu'il n'a pas réussi à étayer) et mon humilité concernant les réseaux, je viens vous demander à vous, il y a très très souvent de bonne réponse, pas aussi souvent que des trolls, railleries et autres sarcasme mais bon, ça me fait souvent bien marrer.

EDIT : j'ai peut-être un début d'explication mais le site à l'air douteux. Apparemment, on ne peut pas créer des sous-reseaux autres que du classe C en 192.168.xxx.xxx. Pour un classe B, il faut passer par des adresses 172.xxx.xxx.xxx. Quelqu'un peut confirmer? Pourquoi cette limitation?

hadak99 · 21 Sept 2020

Je ne saurais pas t'être d'une grande aide niveau réseau j'ai moi même quelques notion acquise sur le tas, part contre j'aurais peut être un début d'idée pour différencier le type d'équipement sans pour autant les mettre sur des subnet différente.

Pourquoi ne pas utiliser simplement des Hostname en rapport avec le type de matériel.

Ex: Printer --> PR001
Workstation --> WS001
Laptop --> LT001

etc ..

DeflaMental · 21 Sept 2020

Justement le 192.168.y.x c'est un /16 privé (par ailleurs vous utilisez des .y différents).

Normalement ça devrait fonctionner, mais c'est pas très beau les /16 car le domaine de broadcast est très large et ça peut du coup charger le réseau (j'ai jamais observé ça perso).

Si ça ne marche qu'à moitié, c'est probablement parce que l'une des deux machines à toujours un /24 ?

Sinon des sous réseaux différents, sans séparation par Vlan, ça sert pas à grand chose, un hacker aura vite fait de "s'ouvrir". ¨Moi je t'aurais conseillé de séparer tes réseaux en Vlans et de faire remonter un trunk vers un routeur qui fait alors du routage inter-vlans.

THiBOo · 21 Sept 2020

litteulcake a dit:
Salut la communauté,

Petite question suite à un petit souci réseau au boulot. Je précise de suite, mes connaissances sur les réseaux ont été acquises un peu sur le tas et pas vraiment formellement.

Pour résumer :
Le adresse IP du réseau ont une certaine structure, qui nous permet rien qu'avec l'IP de savoir à quel type d'équipement on se connecte.
Il y avait 3 sous-réseaux : 192.168.20.xxx ; 192.168.40.xxx ; 192.168.60.xxx. Les masques de sous-réseau étaient configurés en /24.

Le but recherché était de pouvoir communiquer entre les machines des différents sous-réseaux. Bref, on s'est dit au départ qu'on va simplement mettre le masque en /16 (même si après calcul, /18 aurait pu aller). Et ça ne fonctionne qu'à moitié. Genre sur quelques machines, ça va, pas sur d'autre (je précise que le réseau est simple : quelques switches qui connecte le tout ensemble, pas de structure élaborée). Les PC sont sous Windows 10.

Un collègue nous dit qu'on ne peut pas faire ça, que c'est dangereux (?). Bref, il change toutes les IP pour les mettre en 192.168.20.xxx avec un masque en /24 et là, ça marche. Et il dit : "vous voyez, j'ai raison, ça marche maintenant".

Il n'a pas su m'expliquer pourquoi je pouvais pas à part un "c'est pas dans les bonnes pratiques car je n'ai jamais vu etc".

- je ne comprend pas en quoi c'est dangeureux. Perso, je pense que comme on reste dans le non-routable, il y a peu de risque.
- je ne comprend pas pourquoi ça ne marche qu'à moitié (je sais ping une machine mais pas d'autres)
- la solution ne plaît qu'à moitié car du coup, on ne sait pas à partir de l'IP prévoir à quel type de machine on se connecte
- je n'aime pas ne pas recevoir d'explications crédibles.

Devant sa certitude affichée (mais qu'il n'a pas réussi à étayer) et mon humilité concernant les réseaux, je viens vous demander à vous, il y a très très souvent de bonne réponse, pas aussi souvent que des trolls, railleries et autres sarcasme mais bon, ça me fait souvent bien marrer.

EDIT : j'ai peut-être un début d'explication mais le site à l'air douteux. Apparemment, on ne peut pas créer des sous-reseaux autres que du classe C en 192.168.xxx.xxx. Pour un classe B, il faut passer par des adresses 172.xxx.xxx.xxx. Quelqu'un peut confirmer? Pourquoi cette limitation?

Quand tu créés des sous-réseaux, tu peux communiquer dans un sens, mais pas dans les deux.

Enfin pas directement d'une machine à l'autre d'un sous-réseau différent, tu dois alors mettre en place un gateway qui pourra faire communiquer les différents réseaux entre eux.

https://infoforall.fr/reseau/reseau-act030.html

C'est plutôt bien expliqué.

litteulcake · 21 Sept 2020

Cool! Merci à tous!

Joon · 21 Sept 2020

C'est ça, c'est du routage.
Sinon, ouvrir le masque est aussi une solution et ça n'est pas du tout un problème de sécurité.
tu peux rester sur un 192.168, mais effectivement c'est plage d'IP est "réservé" (sans vraiment plus trop l'être) à un masque sous-réseau de /24
Dans les réseaux privé, t'as 3 ranges différentes bien connue

Pour du /24, c'est 192.
(voilà pourquoi il est toujours utilisé sur les routeurs pour particulier)
Pour passer à du /16, 172
Pour faire du /8, c'est les IP qui commence par 10.

Enfin, ça, c'est grossir énormément le trait.

Dépendant du nombre de machine que tu as sur ton réseau, il sera plus intéressant de choisir l'un ou l'autre.

SkankerS · 21 Sept 2020

litteulcake a dit:
je précise que le réseau est simple : quelques switches qui connecte le tout ensemble, pas de structure élaborée). Les PC sont sous Windows 10.

Si tu as créé 3 subnets différents tu dois d'avoir un routeur entre eux sinon ils ne peuvent pas communiquer. Tu peux aussi avoir un switch Layer3 mais c'est cher .. autant prendre un petit routeur sympa.

Pour le /16 qui ne fonctionne pas je sèche .. théoriquement ça devrai fonctionner .. ou alors c'est Windows qui fait son capricieux et qui n'accepte pas ce masque pour ces IP (c'est vrai que c'est pas propre ... )

YoupiDollarZ · 21 Sept 2020

- je ne comprend pas en quoi c'est dangeureux. Perso, je pense que comme on reste dans le non-routable, il y a peu de risque.

Adresse privée ou donc non routable pour les internet... Mais en interne (dans ton réseau local), mettre tout le monde dans le même réseau, c'est pas l'idéal.

Exemple, tu veux pas que ton wifi guest soit dans le même réseau que tes caméras IP par exemple ou tes serveurs de prod... Ou tes switches qui auraient peut etre encore des accès admin par défaut.

Dans l'idéal un firewall entre les sous réseaux pour autoriser ou non le traffic entre ces réseaux.
- je ne comprend pas pourquoi ça ne marche qu'à moitié (je sais ping une machine mais pas d'autres)

A voir comment ca a été modifié. Tu dis: Bref, on s'est dit au départ qu'on va simplement mettre le masque en /16 (même si après calcul, /18 aurait pu aller).
Etre sûr que les configurations ip des dites machines aient bien été changées: ip, masque, passerelles, dhcp? etc. Route par défaut bien modifiée ? Il y a plein de truc qui peuvent expliquer pourquoi ca n'a pas marché. Sans parler des VLAN.

- la solution ne plaît qu'à moitié car du coup, on ne sait pas à partir de l'IP prévoir à quel type de machine on se connecte.Apparemment, on ne peut pas créer des sous-reseaux autres que du classe C en 192.168.xxx.xxx. Pour un classe B, il faut passer par des adresses 172.xxx.xxx.xxx.

Si, tu as les adresses privées et il est de bonne pratique que ton LAN soit dans ces adressages mais tu peux aller vers les "autres" addresses.
Tu peux aller de 192.168.xxx.xxx. à 172.xxx.xxx.xxx. C'est juste qu'il te faut un routeur qui connait les deux réseaux, il va s'occuper de te faire passer de l'un à l'autre.

- je n'aime pas ne pas recevoir d'explications crédibles.

Je sais pas si les miennes le sont plus

En gros, evidement que mettre tous les équipements dans le même /24 ca va marcher, mais pas top pour les raisons évoquées ci dessus.
Si tu veux avoir plusieurs sous réseaux, il te faut un routeur. Pas le choix

Si tu veux faire passer le 192.168.20.xxx ; 192.168.40.xxx ; 192.168.60.xxx. sans routeur, il te faut effectivement un /18 mais ca va te donner beaucoup trop d'adresses pour rien (16000+). Bien configurer les machines... et mettre tout le mondre dans le même sac, ce qui n'est jamais bon, comme dit au dessus

DeflaMental · 21 Sept 2020

(voir broadcast domain)

Aussi, mettre a jour les caches ARP des différentes machines

litteulcake · 23 Sept 2020

Re,

C'est peut-être une question bête mais plus haut, on me propose de créer un routage entre les différents sous-réseau... Or, les adresses actuelles sont dans des ranges dit "non routable" (192.168.xxx.xxx). Cela reste possible ? Si oui, pourquoi appelle-t-on ça du "non-routable" ?

Merci encore.

DeflaMental · 23 Sept 2020

litteulcake a dit:
Re,

C'est peut-être une question bête mais plus haut, on me propose de créer un routage entre les différents sous-réseau... Or, les adresses actuelles sont dans des ranges dit "non routable" (192.168.xxx.xxx). Cela reste possible ? Si oui, pourquoi appelle-t-on ça du "non-routable" ?

Merci encore.

Routable =/ privé

Tout est routable, c'est juste un range défini comme "privé", c'est à dire que c'est un range qui est utilisé plein de fois dans le monde, dans chaque domicile etc... du coup ces adresses ne peuvent pas être utilisées sur internet et ton modem fait du NAT pour faire une correspondance entre tes adresses privées et ton/tes adresses publiques.

Cependant, à l'intérieur de ton réseau, tu fais tout ce que tu veux. Tu découpes en sous réseau comme tu le sens.

DeflaMental · 23 Sept 2020

une petite vidéo explicative :

J'ai du mal à trouver de la doc là dessus, beaucoup de lien sur internet mettent directement des paquets de lignes de commande sans expliquer

litteulcake · 23 Sept 2020

Encore une fois merci, je comprend beaucoup mieux...

Question masque de sous-réseau

litteulcake

Not an addict

hadak99

Elite

DeflaMental

[-_-]

THiBOo

Elite

litteulcake

Not an addict

Joon

Squadeur.

SkankerS

Yippee Ki Yay

YoupiDollarZ

Je suis un ananas

DeflaMental

[-_-]

litteulcake

Not an addict

DeflaMental

[-_-]

DeflaMental

[-_-]

litteulcake

Not an addict

Autres sujets récents