Product SiteDocumentation Site

8.2. Configuration du réseau

B.A.-BA Rappels réseau essentiels (Ethernet, adresse IP, sous-réseau, broadcast...)

La majorité des réseaux locaux actuels sont des réseaux Ethernet qui fonctionnent par trames, c'est-à-dire que les données y circulent de manière non continue, par petits blocs. Le débit varie de 10 Mbit/s pour les cartes Ethernet les plus anciennes, à 100 Gbit/s pour la génération la plus récente (avec le débit le plus répandu passant actuellement de 100 Mb/s à 10 Gb/s). Les câbles correspondants les plus courants sont, selon les débits qu'ils permettent d'acheminer, connus sous les nom de 10BASE-T, 100BASE-T, 1000BASE-T, 10GBASE-T et 40GBASE-T, dits en « paire torsadée », dont chaque extrémité est munie d'un connecteur RJ45 — mais il existe d'autres types de câbles, qui sont surtout utilisés pour les débits à partir de 10 Gbit/s.
Une adresse IP est un numéro employé pour identifier une interface réseau d'un ordinateur sur le réseau local ou sur Internet. Dans la version d'IP actuellement la plus répandue (IPv4), ce numéro se code sur 32 bits et se représente habituellement comme 4 nombres séparés par des points (ex : 192.168.0.1), chaque nombre pouvant varier de 0 à 255 (représentant ainsi 8 bits de données). La version suivante du protocole, IPv6, étend cet espace d'adressage à 128 bits, une adresse étant représentée sous forme de nombres hexadécimaux séparés par des deux-points (ex : 2002:58bf:13bb:0002:0000:0000:0020, que l'on peut abréger en 2002:58bf:13bb:2::20).
Un masque de sous-réseau (netmask) définit par son codage en binaire quelle portion d'une adresse IP correspond au réseau — le reste y spécifiant l'identifiant de la machine. Dans l'exemple de configuration statique IPv4 donné ici, le masque de sous-réseau 255.255.255.0 (24 « 1 » suivis de 8 « 0 » en représentation binaire) indique que les 24 premiers bits de l'adresse IP correspondent à l'adresse réseau, les 8 derniers relevant alors du numéro de machine. En IPv6, pour des raisons de lisibilité, on note uniquement le nombre de « 1 ». Un netmask IPv6 peut donc être 64.
L'adresse de réseau est une adresse IP dont la partie décrivant le numéro de machine est à zéro. On décrit souvent la plage d'adresses IPv4 d'un réseau complet par la syntaxe a.b.c.d/ea.b.c.d est l'adresse réseau et e le nombre de bits affectés à la partie réseau dans une adresse IP. Le réseau de l'exemple s'écrirait ainsi : 192.168.0.0/24. La syntaxe est similaire en IPv6 : 2001:db8:13bb:2::/64.
Un routeur est une machine reliant plusieurs réseaux entre eux. Tout le trafic y parvenant est réorienté sur le bon réseau. Pour cela, le routeur analyse les paquets entrants et les redirige en fonction des adresses IP de leurs destinataires. Le routeur est souvent qualifié de passerelle ; il s'agit alors habituellement d'une machine qui permet de sortir d'un réseau local (vers un réseau étendu comme Internet).
L'adresse de broadcast (diffusion), spéciale, permet de joindre tous les postes du réseau. Presque jamais « routée », elle ne fonctionne donc que sur le réseau considéré. Concrètement, cela signifie qu'un paquet de données adressé au broadcast ne franchit jamais un routeur.
Notez que nous nous restreignons dans ce chapitre aux adresses IPv4, les plus couramment utilisées à l'heure actuelle. Les détails du protocole IPv6 seront abordés dans la Section 10.6, « IPv6 », mais les concepts resteront les mêmes.
Le réseau est automatiquement configuré lors de l'installation initiale. Si Network Manager est installé (ce qui est généralement le cas pour les installations de bureau complètes), il se peut qu'aucune configuration ne soit réellement requise (par exemple, si vous comptez sur DHCP sur une connexion filaire et n'avez pas d'exigences spécifiques). Si une configuration est requise (par exemple, pour une interface WiFi), il créera le fichier approprié dans /etc/NetworkManager/system-connections/.

NOTE NetworkManager

If Network Manager is particularly recommended in roaming setups (see Section 8.2.5, « Configuration réseau itinérante »), it is also perfectly usable as the default network management tool. You can create “System connections” that are used as soon as the computer boots either manually with a .ini-like file in /etc/NetworkManager/system-connections/ or through a graphical tool (nm-connection-editor). If you were using ifupdown, just remember to deactivate the entries in /etc/network/interfaces that you want Network Manager to handle, or specifically allow Network Manager to handle these devices.
→ https://wiki.gnome.org/Projects/NetworkManager/SystemSettings
→ https://networkmanager.dev/docs/api/1.42.4/ref-settings.html
→ https://networkmanager.dev/docs/api/1.42.4/NetworkManager.conf.html#id-1.2.3.9
If Network Manager is not installed, then the installer will configure ifupdown by creating the /etc/network/interfaces file. A line starting with auto gives a list of interfaces to be automatically configured on boot by the networking service. When there are many interfaces, it is good practice to keep the configuration in different files inside /etc/network/interfaces.d/ as described in sidebar B.A.-BA Répertoire en .d.
In a server context, ifupdown is thus the network configuration tool that you usually get. That is why we will cover it in the next sections. For more information about the syntax of the configuration file please read interfaces(5).
Alternatives to the mentioned packages are netplan and systemd-networkd, which should be mentioned here. They are often used by cloud hosters and providers of virtual private servers. Please read their manual pages if you are planning on using them.

8.2.1. Interface Ethernet

Si l'ordinateur dispose d'une carte réseau Ethernet, il faut configurer le réseau qui y est associé en optant pour l'une de deux méthodes. La configuration dynamique par DHCP, la plus simple, nécessite la présence d'un serveur DHCP sur le réseau local. Elle peut indiquer un nom d'hôte souhaité, ce qui correspond au paramètre facultatif hostname dans l'exemple qui suit. Le serveur DHCP renvoie alors les paramètres de configuration du réseau qui conviennent.

Exemple 8.1. Configuration par DHCP

auto enp0s31f6
iface enp0s31f6 inet dhcp
  hostname arrakis

EN PRATIQUE Noms des cartes réseau

By default, the kernel attributes generic names such as eth0 (for wired Ethernet) or wlan0 (for WiFi) to the network interfaces. The number in those names is a simple incremental counter representing the order in which they have been detected. With modern hardware, that order (at least in theory) might change for each reboot and thus the default names are not reliable.
Heureusement, systemd et udev sont capables de renommer les interfaces dès qu'elles apparaissent. La politique par défaut pour nom est définie par /lib/systemd/network/99-default.link (voir systemd.link(5) pour une explication du paramètre NamePolicy dans ce fichier). En pratique, les noms sont souvent basés sur l'emplacement physique du périphérique (deviné d'après l'endroit où ils sont connectés) et vous verrez des noms commençant par en pour Ethernet filaire et wl pour le Wifi. Dans l'exemple ci-dessus, le reste du nom indique, sous forme abrégée, un numéro (p) de bus PCI (0), un numéro de slot (s31), un numéro de fonction (f6).
Évidemment, vous êtes libre de passer outre cette politique et/ou de la compléter pour personnaliser les noms de certaines interfaces spécifiques. Vous pouvez trouver les noms des interfaces réseau dans la sortie de ip addr (ou comme noms de fichiers dans /sys/class/net/).
In some corner cases it might be necessary to disable the predictable naming of network devices as described above. Besides changing the default udev rule it is also possible to boot the system using the net.ifnames=0 (restores the default kernel behavior) and biosdevname=0 kernel parameters to achieve that.
The predecessor of the predictable name scheme was called “persistent name scheme”. It was done using a udev rule to assign the device name based on the MAC address. This scheme has been abandoned and with the release of Debian 10 Buster users have been encouraged to migrate to predictable network device names.
→ https://www.debian.org/releases/buster/amd64/release-notes/ch-information.en.html#migrate-interface-names
Une configuration « statique » doit mentionner de manière fixe les paramètres du réseau. Cela inclut au minimum l'adresse IP et le masque de sous-réseau, parfois les adresses de réseau et de broadcast. Un éventuel routeur vers l'extérieur sera précisé en tant que passerelle (gateway).

Exemple 8.2. Configuration statique

auto enp0s31f6
iface enp0s31f6 inet static
  address 192.168.0.3/24
  broadcast 192.168.0.255
  network 192.168.0.0
  gateway 192.168.0.1

NOTE Adresses multiples

It is possible not only to associate several interfaces to a single, physical network card, but also several IP addresses to a single interface. To assign them, just create several iface entries for the same device. Remember also that an IP address may correspond to any number of names via DNS, and that a name may also correspond to any number of numerical IP addresses.
On l'aura compris, les configurations peuvent être très complexes, mais ces possibilités ne sont utilisées que dans des cas très particuliers. Les exemples cités ici n'exposent donc que les configurations usuelles.

8.2.2. Interface sans fil

Getting wireless network cards to work can be a bit more challenging. First of all, they often require the installation of proprietary firmwares. Then wireless networks rely on cryptography to restrict access to authorized users only, this implies storing some secret key in the network configuration. Let's tackle those topics one by one.

8.2.2.1. Installation des firmwares requis

First you have to enable the non-free-firmware repository in APT's sources.list file: see Section 6.1, « Renseigner le fichier sources.list » for details about this file. Many firmware are proprietary and are thus located in this repository. You can try to skip this step if you want, but if the next step doesn't find the required firmware, retry after having enabled the non-free section.
Then you have to install the appropriate firmware-* packages. If you don't know which package you need, you can install the isenkram package and run its isenkram-autoinstall-firmware command. The packages are often named after the hardware manufacturer or the corresponding kernel module: firmware-iwlwifi for Intel wireless cards, firmware-atheros for Qualcomm Atheros, firmware-realtek for Realtek, etc. A reboot is then recommended because the kernel driver usually looks for the firmware files when it is first loaded and no longer afterwards.

8.2.2.2. Les paramètres Wi-Fi dans /etc/network/interfaces

ifupdown is able to manage wireless interfaces but it needs the help of the wpasupplicant package which provides the required integration between ifupdown and the wpa_supplicant command used to configure the wireless interfaces (when using WPA/WPA2 encryption). The usual entry in /etc/network/interfaces needs to be extended with two supplementary parameters to specify the name of the wireless network (aka its SSID) and the Pre-Shared Key (PSK).

Exemple 8.3. Configuration DHCP pour une interface sans fil

auto wlp4s0
iface wlp4s0 inet dhcp
  wpa-ssid Falcot
  wpa-psk ccb290fd4fe6b22935cbae31449e050edd02ad44627b16ce0151668f5f53c01b
The wpa-psk parameter can contain either the plain text passphrase or its hashed version generated with wpa_passphrase SSID passphrase. If you use an unencrypted wireless connection, then you should put a wpa-key-mgmt NONE and no wpa-psk entry. For more information about the possible configuration options, have a look at /usr/share/doc/wpasupplicant/README.Debian.gz.
À ce stade, vous devriez envisager de limiter les autorisations de lecture sur /etc/network/interfaces à l'utilisateur root uniquement car le fichier contient une clé privée qui ne doit pas être accessibles aux autres utilisateurs.

HISTOIRE Chiffrement WEP

L'utilisation du protocole de chiffrement WEP obsolète est possible avec le package wireless-tools. Voir /usr/share/doc/wireless-tools/README.Debian pour les instructions.

8.2.3. Connexion PPP par modem téléphonique

Une connexion point à point (PPP) établit une connexion intermittente ; c'est donc la solution la plus souvent employée pour les connexions par modem téléphonique (sur le réseau téléphonique commuté RTC).
Une connexion par modem téléphonique requiert un compte chez un fournisseur d'accès, comprenant numéro de téléphone, identifiant, mot de passe et, parfois, protocole d'authentification employé. On la configurera à l'aide de l'utilitaire pppconfig du paquet Debian éponyme. Par défaut, il utilise la connexion provider (fournisseur d'accès). En cas de doute sur le protocole d'authentification, choisissez PAP : il est proposé par la majorité des fournisseurs d'accès.
Après configuration, il est possible de se connecter par la commande pon (à laquelle on fournira le nom de la connexion si la valeur par défaut — provider — ne convient pas). On coupera la connexion par la commande poff. Ces deux commandes peuvent être exécutées par l'utilisateur root ou par un autre utilisateur, à condition qu'il fasse partie du groupe dip.

8.2.4. Connexion par modem ADSL

Le terme générique de « modem ADSL » recouvre des périphériques aux fonctionnements très différents. Les modems les plus simples à employer avec Linux sont ceux qui disposent d'une interface Ethernet. Ceux-ci ont tendance à se répandre, les fournisseurs d'accès à Internet par ADSL prêtant (ou louant) de plus en plus souvent une « box » disposant d'interfaces Ethernet en plus (ou en remplacement) des interfaces USB. Selon le type de modem, la configuration nécessaire peut fortement varier.

8.2.4.1. Modem fonctionnant avec PPPOE

Certains modems Ethernet fonctionnent avec le protocole PPPOE (Point-to-Point Protocol Over Ethernet, ou protocole point à point sur Ethernet). L'utilitaire pppoeconf (du paquet éponyme) configurera la connexion. Pour cela, il modifiera le fichier /etc/ppp/peers/dsl-provider avec les paramètres fournis et enregistrera les informations d'authentification dans les fichiers /etc/ppp/pap-secrets et /etc/ppp/chap-secrets. Il est recommandé d'accepter toutes les modifications qu'il propose.
Cette configuration mise en place, on pourra démarrer la connexion ADSL par la commande pon dsl-provider et la stopper avec poff dsl-provider.

ASTUCE Exécuter ppp au démarrage de l'ordinateur

Les connexions PPP par ADSL sont par définition intermittentes. Comme elles ne sont pas facturées à la durée, la tentation est grande de les garder toujours ouvertes ; un moyen simple est de les faire démarrer par le processus init.
Avec systemd, pour ajouter une tâche qui (re)démarre automatiquement la connexion ADSL il suffit de créer, par exemple, un fichier "unit" /etc/systemd/system/adsl-connection.service contenant ceci : 
[Unit]
Description=ADSL connection

[Service]
Type=forking
ExecStart=/usr/sbin/pppd call dsl-provider
Restart=always

[Install]
WantedBy=multi-user.target
Une fois ce nouveau service défini, il doit être activé avec systemctl enable adsl-connection puis démarré avec systemctl start adsl-connection. Ainsi, en plus de se relancer après chaque interruption, il s'activera également à chaque démarrage.
Pour les systèmes qui n'utilisent pas systemd (y compris ceux exploitant Wheezy et les versions antérieures de Debian), le système d'initialisation SystemV fonctionne différemment. Sur ces systèmes, il suffit d'ajouter la ligne ci-dessous au fichier /etc/inittab ; toute interruption provoquera alors immédiatement l'invocation d'une nouvelle connexion par init. 
adsl:2345:respawn:/usr/sbin/pppd call dsl-provider
Pour les connexions ADSL qui subissent une déconnexion quotidienne, cette méthode permet de réduire la durée de la coupure.

8.2.4.2. Modem fonctionnant avec PPTP

Le protocole PPTP (Point-to-Point Tunneling Protocol, ou protocole point à point par tunnel) est une invention de Microsoft. Déployé aux débuts de l'ADSL, il a rapidement été remplacé par PPPOE. Si ce protocole vous est imposé, voyez la Section 10.3.4, « PPTP ».

8.2.4.3. Modem fonctionnant avec DHCP

Lorsque le modem est connecté à l'ordinateur par un câble Ethernet (croisé), il fait le plus souvent office de serveur DHCP (c'est parfois une option de configuration à activer sur le modem). Il suffit alors à l'ordinateur de configurer une connexion réseau par DHCP ; le modem s'inscrit automatiquement comme passerelle par défaut et prend en charge le travail de routage (c'est-à-dire qu'il gère le trafic réseau entre l'ordinateur et Internet).

B.A.-BA Câble croisé pour une connexion Ethernet directe

Les cartes réseau des ordinateurs s'attendent à recevoir les données sur un brin particulier du câble et les envoyer sur un autre. Lorsqu'on relie un ordinateur à un réseau local, on branche habituellement un câble (droit ou décroisé) entre la carte réseau et un répétiteur ou un commutateur, qui est prévu pour. Cependant, si l'on souhaite relier deux ordinateurs directement (c'est-à-dire sans répétiteur/commutateur intermédiaire), il faut acheminer le signal émis par une carte vers le brin de réception de l'autre carte et réciproquement ; c'est là l'objet (et la nécessité) d'un câble croisé.
Il est à noter que cette distinction n'est plus très utile ; les cartes réseau modernes sont capables de détecter automatiquement le type de câble présent et de s'adapter en conséquence, et il n'est pas rare que les deux types de câbles fonctionnent à l'identique dans un environnement donné.
La plupart des « routeurs ADSL » du marché fonctionnent de cette manière, de même que la plupart des modems ADSL mis à disposition par les fournisseurs d'accès à Internet.

8.2.5. Configuration réseau itinérante

De nombreux ingénieurs de Falcot disposent d'un ordinateur portable professionnel qu'ils emploient aussi bien chez eux qu'au travail. Bien entendu, la configuration réseau à employer n'est pas la même selon l'endroit. À la maison, c'est un réseau Wi-Fi (protégé par une clé WPA) et au travail, c'est un réseau filaire offrant plus de sécurité et plus de débit.
Pour éviter de devoir manuellement activer ou désactiver les interfaces réseau correspondantes, les administrateurs ont installé le paquet network-manager sur ces portables. Ce logiciel permet à l'utilisateur de basculer facilement d'un réseau à un autre grâce à une petite icône affichée dans la zone de notification des bureaux graphiques. Un clic sur l'icône affiche une liste des réseaux disponibles (filaires et Wi-Fi), il ne reste plus qu'à choisir le réseau de son choix. Le logiciel garde en mémoire les réseaux sur lesquels l'utilisateur s'est déjà connecté et bascule automatiquement sur le meilleur réseau disponible lorsque la connexion actuelle vient à disparaître.
Pour réaliser cela, le logiciel est structuré en deux parties : un démon tournant en root effectue les opérations d'activation et de configuration des interfaces réseau, et une interface utilisateur pilote ce démon. La gestion des droits d'accès est confiée à PolicyKit ; la configuration proposée par Debian spécifie que seuls les membres du groupe netdev ont le droit de créer ou modifier les connexions de Network Manager.
Network Manager knows how to handle various types of connections (DHCP, manual configuration, local network), but only if the configuration is set with the program itself. This is why it will systematically ignore all network interfaces in /etc/network/interfaces and /etc/network/interfaces.d/ for which it is not suited. Since Network Manager doesn't give details when no network connections are shown, the easy way is to delete from /etc/network/interfaces any configuration for all interfaces that must be managed by Network Manager. Alternatively, it can be configured to manage all devices listed in that file as well. This configuration is handled in the [ifupdown] section of its configuration file.
Il est intéressant de noter que ce logiciel est installé par défaut lorsque la tâche « Environnement bureautique » est sélectionnée au cours de l'installation initiale.