Homelab réseau : créer un labo avec 2 VMs

Pour pratiquer le réseau sans risque, créez un labo isolé avec 2 VMs : une passerelle qui route le trafic vers Internet, et un client sur un réseau interne. Ce guide vous accompagne pas à pas pour configurer cette architecture en 30 minutes. À la fin, votre client VM accédera à Internet en passant par votre passerelle, exactement comme dans un réseau d'entreprise.

Ce que vous allez apprendre

À la fin de ce module, vous saurez :

• Comprendre ce qu'est un réseau interne, une passerelle et une route par défaut
• Configurer le NAT (masquerade) pour partager une connexion Internet
• Diagnostiquer : vérifier IP, route, DNS, NAT
• Rendre persistant la configuration réseau

Les 3 invariants à retenir

Machine	Règle	Vérification
Client	Route par défaut → 10.0.0.1	ip route | grep default
Gateway	IP forwarding = 1	cat /proc/sys/net/ipv4/ip_forward
Gateway	NAT sur l'interface Internet	sudo iptables -t nat -S | grep MASQUERADE

Glissez pour voir

Identifier l'interface Internet

L'interface "Internet" de la gateway est celle qui a la route par défaut. Trouvez-la avec :

ip route | grep default
# default via 192.168.122.1 dev enp1s0  ← enp1s0 est l'interface Internet

Dans ce guide, on l'appellera IF_EXT. L'interface interne sera IF_INT.

Pourquoi un homelab réseau ?

Un homelab (home laboratory) est un environnement de test personnel. Pour le réseau, il permet de :

• Expérimenter sans risque : vos erreurs n'affectent pas votre connexion principale
• Comprendre le routage : voir concrètement comment les paquets traversent une passerelle
• Préparer les certifications : CCNA, LFCS, CKA nécessitent de manipuler des réseaux
• Tester des outils : pare-feu, VPN, monitoring en conditions réelles

Coût zéro

Avec des VMs Linux gratuites (Debian, Rocky Linux, Ubuntu Server), vous obtenez un labo complet sans matériel supplémentaire.

Architecture cible

Notre labo comporte 2 machines virtuelles :

Machine	Rôle	Interfaces	Adresses IP
Gateway	Passerelle NAT	eth0 (NAT vers host), eth1 (interne)	192.168.122.x/24, 10.0.0.1/24
Client	Poste utilisateur	eth0 (interne)	10.0.0.10/24

Glissez pour voir

Le réseau interne (10.0.0.0/24) est complètement isolé. Le client ne peut atteindre Internet qu'en passant par la passerelle qui effectue du NAT (Network Address Translation).

NAT masquerade

Le NAT masquerade remplace l'IP source des paquets sortants (10.0.0.10) par l'IP de la passerelle (192.168.122.x). Les réponses reviennent à la passerelle qui les retransmet au client. C'est exactement ce que fait votre box Internet.

Prérequis

Avant de commencer, vérifiez que vous disposez de :

• Hyperviseur : VirtualBox, VMware, KVM/libvirt, ou Proxmox
• RAM disponible : 2 Go minimum (1 Go par VM)
• Espace disque : 20 Go (10 Go par VM)
• ISO Linux : Debian 12, Ubuntu Server 22.04, ou Rocky Linux 9

Performances

Avec moins de 8 Go de RAM sur l'hôte, les VMs seront lentes. Réduisez à 512 Mo par VM si nécessaire.

Choisir votre mode : Atelier ou Durable

Avant de commencer, choisissez votre approche :

Mode Durable (recommandé)

Pour qui ? Débutants qui veulent un labo fonctionnel après redémarrage.

Approche : configuration persistante dès le départ avec NetworkManager + firewalld (ou nftables).

Avantage : ça marche encore après un reboot.

Ce guide : suivez les onglets "Persistant" quand ils apparaissent.

Mode Atelier (comprendre)

Pour qui ? Ceux qui veulent comprendre chaque commande.

Approche : commandes ip et iptables temporaires, puis persistance à la fin.

Attention : tout est perdu au redémarrage jusqu'à la section "Persistance".

Ce guide : suivez les commandes ip / iptables puis la section finale.

iptables = souvent nftables en coulisse

Sur Debian 11+, Ubuntu 22.04+ et RHEL 8+, iptables est souvent un wrapper vers nftables. Vérifiez :

iptables -V
# iptables v1.8.9 (nf_tables)  ← backend nftables

Ce guide utilise la syntaxe iptables qui fonctionne dans les deux cas. Pour un labo, c'est suffisant.

L'équivalent nftables natif du NAT masquerade, si vous préférez la voie moderne :

sudo nft add table ip nat
sudo nft add chain ip nat postrouting { type nat hook postrouting priority 100 \; }
sudo nft add rule ip nat postrouting ip saddr 10.0.0.0/24 oifname "$IF_EXT" masquerade

Préférez oifname à oif : oifname est résolu à l'exécution et ne casse pas si l'interface n'existe pas encore au démarrage.

Création des réseaux virtuels

1. Créez le réseau NAT (accès Internet)

   La plupart des hyperviseurs proposent un réseau NAT par défaut. Avec libvirt :

   # Vérifier le réseau NAT par défaut
   virsh net-list --all

   Sortie attendue :

   Name      State    Autostart   Persistent
   default   active   yes         yes

2. Créez le réseau interne isolé

   Ce réseau n'a pas de passerelle externe, seules les VMs peuvent s'y connecter. Pensez-y comme un switch virtuel isolé : pas de DHCP, pas d'Internet.

   libvirt/KVM

   Créez le fichier internal-net.xml :

   <network>
     <name>internal</name>
     <bridge name="virbr-internal" stp="on" delay="0"/>
     <!-- Pas de forward = réseau isolé, pas d'accès Internet -->
     <!-- Pas de DHCP = IPs manuelles -->
   </network>

   Activez le réseau :

   virsh net-define internal-net.xml
   virsh net-start internal
   virsh net-autostart internal

   Vérifiez que le bridge existe sur l'hôte :

   ip link show virbr-internal

   VirtualBox
   1. Fichier → Outils → Network Manager
   2. Onglet "Host-only Networks"
   3. Créez un réseau avec DHCP désactivé
   VMware
   1. Edit → Virtual Network Editor
   2. Ajoutez un réseau "Host-only" sans DHCP

3. Vérifiez les deux réseaux

   # libvirt
   virsh net-list

   Vous devez voir default (NAT) et internal (isolé).

Configuration de la VM Gateway

La passerelle a deux interfaces réseau : une vers Internet, une vers le réseau interne.

1. Créez la VM avec 2 interfaces

   • Interface 1 : réseau NAT (default)
   • Interface 2 : réseau interne (internal)

   # Exemple libvirt avec virt-install
   virt-install --name gateway \
     --ram 1024 --vcpus 1 \
     --disk size=10 \
     --cdrom debian-12-netinst.iso \
     --network network=default \
     --network network=internal \
     --graphics vnc

2. Identifiez les interfaces après installation

   Connectez-vous à la VM et listez les interfaces :

   ip link show

   Sortie typique :

   1: lo: <LOOPBACK,UP,LOWER_UP> ...
   2: enp1s0: <BROADCAST,MULTICAST,UP,LOWER_UP> ...  # NAT
   3: enp7s0: <BROADCAST,MULTICAST> ...              # Interne (DOWN)

   Noms d'interfaces

   Les noms varient selon l'hyperviseur : eth0/eth1, enp1s0/enp7s0, ens3/ens4. Adaptez les commandes à votre configuration.

3. Configurez l'interface interne

   L'interface NAT a déjà une IP (DHCP). Configurez manuellement l'interface interne :

   # Activer l'interface
   sudo ip link set enp7s0 up
   
   # Assigner une IP statique
   sudo ip addr add 10.0.0.1/24 dev enp7s0

   Vérifiez :

   ip addr show enp7s0

   Sortie attendue :

   3: enp7s0: <BROADCAST,MULTICAST,UP,LOWER_UP> ...
       inet 10.0.0.1/24 scope global enp7s0

4. Activez le routage IP (IP forwarding)

   Par défaut, Linux ne route pas les paquets entre interfaces. Activez-le :

   # Activation temporaire
   sudo sysctl -w net.ipv4.ip_forward=1
   
   # Activation permanente
   echo 'net.ipv4.ip_forward=1' | sudo tee /etc/sysctl.d/99-ip-forward.conf

   Vérifiez :

   cat /proc/sys/net/ipv4/ip_forward

   Doit afficher 1.

5. Configurez le NAT avec iptables

   Le NAT masquerade permet aux clients internes d'accéder à Internet via l'IP de la passerelle.

   iptables (Mode Atelier)

   # Identifier l'interface Internet (celle avec la route par défaut)
   IF_EXT=$(ip route | grep default | awk '{print $5}')
   echo "Interface Internet : $IF_EXT"
   
   # NAT masquerade sur l'interface Internet
   sudo iptables -t nat -A POSTROUTING -o $IF_EXT -j MASQUERADE
   
   # Autoriser le forwarding UNIQUEMENT depuis le réseau interne
   sudo iptables -A FORWARD -i enp7s0 -s 10.0.0.0/24 -o $IF_EXT -j ACCEPT
   sudo iptables -A FORWARD -i $IF_EXT -o enp7s0 -m state --state RELATED,ESTABLISHED -j ACCEPT
   
   # (Optionnel) Bloquer tout autre forwarding
   sudo iptables -P FORWARD DROP

   firewalld (Mode Durable)

   Fonctionne sur Debian/Ubuntu et RHEL/Rocky :

   # Installer firewalld si absent
   sudo apt install firewalld   # Debian/Ubuntu
   # sudo dnf install firewalld # RHEL/Rocky
   
   # Démarrer le service
   sudo systemctl enable --now firewalld
   
   # Interface Internet en zone "external" (NAT automatique)
   sudo firewall-cmd --permanent --zone=external --change-interface=enp1s0
   
   # Interface interne en zone "internal"
   sudo firewall-cmd --permanent --zone=internal --change-interface=enp7s0
   
   # Activer le masquerade sur la zone external
   sudo firewall-cmd --permanent --zone=external --add-masquerade
   
   # Appliquer
   sudo firewall-cmd --reload

   Garde-fou sécurité

   Ne jamais exposer de services sur l'interface Internet de la gateway sans règles strictes. La gateway est un point d'entrée critique.

   Vérifiez la policy FORWARD :

   sudo iptables -L FORWARD -n -v | head -5

6. Vérifiez la configuration complète

   # Interfaces
   ip addr
   
   # Routage activé
   sysctl net.ipv4.ip_forward
   
   # Règles NAT
   sudo iptables -t nat -L -n -v

Configuration de la VM Client

Le client n'a qu'une interface sur le réseau interne.

1. Créez la VM avec 1 interface interne

   virt-install --name client \
     --ram 1024 --vcpus 1 \
     --disk size=10 \
     --cdrom debian-12-netinst.iso \
     --network network=internal \
     --graphics vnc

2. Configurez l'adresse IP statique

   # Activer l'interface
   sudo ip link set enp1s0 up
   
   # Assigner une IP
   sudo ip addr add 10.0.0.10/24 dev enp1s0

3. Configurez la passerelle par défaut

   Indiquez au client que tout le trafic vers l'extérieur passe par 10.0.0.1 :

   sudo ip route add default via 10.0.0.1

   Vérifiez la table de routage :

   ip route

   Sortie attendue :

   default via 10.0.0.1 dev enp1s0
   10.0.0.0/24 dev enp1s0 proto kernel scope link src 10.0.0.10

4. Configurez le DNS

   echo 'nameserver 8.8.8.8' | sudo tee /etc/resolv.conf

Validation complète

Testez chaque étape pour confirmer que le labo fonctionne.

1. Depuis le client, ping la passerelle

   ping -c 3 10.0.0.1

   ✅ Doit répondre, prouve que le réseau interne fonctionne.

2. Depuis le client, ping Internet

   ping -c 3 8.8.8.8

   ✅ Doit répondre, prouve que le NAT fonctionne.

3. Depuis le client, résolution DNS

   ping -c 3 google.com

   ✅ Doit répondre, prouve que le DNS fonctionne.

4. Test HTTP depuis le client

   curl -I https://example.com

   ✅ Doit retourner HTTP/2 200, connectivité complète confirmée.

Succès !

Si les 4 tests passent, votre homelab est opérationnel. Le client accède à Internet exclusivement via votre passerelle NAT.

Voir le trafic avec tcpdump (optionnel mais recommandé)

tcpdump permet de voir exactement ce qui se passe sur le réseau. C'est le meilleur outil pour comprendre et déboguer.

Voir le ping arriver

Sur la gateway, observez l'interface interne pendant que le client ping :

# Terminal 1 (gateway) : écouter l'interface interne
sudo tcpdump -i enp7s0 icmp -n

# Terminal 2 (client) : envoyer un ping
ping -c 3 8.8.8.8

Sortie attendue sur la gateway :

10.0.0.10 > 8.8.8.8: ICMP echo request
8.8.8.8 > 10.0.0.10: ICMP echo reply

Ce que ça prouve : le paquet arrive bien du client (10.0.0.10) vers Internet.

Voir le NAT en action

Sur la gateway, observez l'interface externe (côté Internet) :

# Terminal 1 (gateway) : écouter l'interface NAT
sudo tcpdump -i enp1s0 icmp -n  # Adaptez à votre interface NAT

# Terminal 2 (client) : envoyer un ping
ping -c 3 8.8.8.8

Sortie attendue :

192.168.122.X > 8.8.8.8: ICMP echo request
8.8.8.8 > 192.168.122.X: ICMP echo reply

Ce que ça prouve : l'adresse source a été traduite de 10.0.0.10 vers l'IP externe de la gateway. C'est le NAT en action !

Voir les connexions NAT

Affichez la table de traduction NAT en temps réel :

# Sur la gateway (nécessite conntrack-tools)
sudo apt install conntrack  # Debian/Ubuntu
sudo dnf install conntrack-tools  # RHEL/Rocky

# Voir toutes les connexions NAT actives
sudo conntrack -L | grep 10.0.0.10

Sortie exemple :

icmp     1 src=10.0.0.10 dst=8.8.8.8 src=8.8.8.8 dst=192.168.122.X

Lecture : le paquet de 10.0.0.10→8.8.8.8 revient de 8.8.8.8→192.168.122.X (l'IP NAT de la gateway).

Pourquoi tcpdump est essentiel

En cas de problème, tcpdump répond à deux questions clés :

1. Le paquet arrive-t-il ? → Si non, problème de routage côté client
2. Le paquet ressort-il avec la bonne IP ? → Si non, problème de NAT

Dépannage

Le client ne ping pas la passerelle (10.0.0.1)

1. Vérifiez que l'interface interne de la gateway est UP

   Sur la gateway :

   ip link show enp7s0

   Si l'état est DOWN, activez-la :

   sudo ip link set enp7s0 up

2. Vérifiez les IPs sur les deux VMs

   Gateway :

   ip addr show enp7s0 | grep inet
   # Doit afficher 10.0.0.1/24

   Client :

   ip addr show enp1s0 | grep inet
   # Doit afficher 10.0.0.10/24

3. Vérifiez que les VMs sont sur le même réseau virtuel

   Les deux doivent être connectées au réseau internal.

Le client ne ping pas Internet (8.8.8.8)

1. Vérifiez que le routage IP est activé sur la gateway

   cat /proc/sys/net/ipv4/ip_forward
   # Doit afficher 1

   Si 0 :

   sudo sysctl -w net.ipv4.ip_forward=1

2. Vérifiez la règle NAT

   sudo iptables -t nat -L POSTROUTING -n -v

   Doit contenir une règle MASQUERADE sur l'interface NAT.

3. Vérifiez que la gateway elle-même accède à Internet

   Sur la gateway :

   ping -c 3 8.8.8.8

   Si ça échoue, le problème est la connexion NAT de la gateway, pas le client.

Le client ping 8.8.8.8 mais pas google.com

Le DNS ne fonctionne pas. Vérifiez /etc/resolv.conf sur le client :

cat /etc/resolv.conf
# Doit contenir : nameserver 8.8.8.8

Persistance de la configuration

Les commandes ip et iptables sont temporaires. Pour une configuration permanente :

Debian/Ubuntu

Éditez /etc/network/interfaces :

# Gateway - interface interne
auto enp7s0
iface enp7s0 inet static
    address 10.0.0.1
    netmask 255.255.255.0

# Client
auto enp1s0
iface enp1s0 inet static
    address 10.0.0.10
    netmask 255.255.255.0
    gateway 10.0.0.1
    dns-nameservers 8.8.8.8

Pour iptables :

sudo apt install iptables-persistent
sudo netfilter-persistent save

RHEL/Rocky

Utilisez NetworkManager :

# Gateway - interface interne
nmcli con add type ethernet con-name internal ifname enp7s0 \
  ipv4.addresses 10.0.0.1/24 ipv4.method manual

# Client
nmcli con add type ethernet con-name internal ifname enp1s0 \
  ipv4.addresses 10.0.0.10/24 ipv4.gateway 10.0.0.1 \
  ipv4.dns 8.8.8.8 ipv4.method manual

Pour le pare-feu, utilisez firewalld :

sudo firewall-cmd --permanent --zone=external --add-masquerade
sudo firewall-cmd --reload

À retenir

• Un homelab permet de pratiquer le réseau en toute sécurité
• La passerelle NAT connecte un réseau interne isolé à Internet
• L'IP forwarding (net.ipv4.ip_forward=1) active le routage Linux
• Le NAT masquerade traduit les adresses sources pour les paquets sortants
• La route par défaut (ip route add default via) indique au client où envoyer le trafic externe
• Les commandes ip et iptables sont temporaires, utilisez la configuration persistante pour un labo permanent
• tcpdump est votre meilleur ami pour voir ce qui se passe vraiment sur le réseau

Exercices pratiques

Objectif pédagogique

Ces exercices vous font casser volontairement le réseau pour mieux comprendre chaque composant. Comme tout est temporaire, un reboot remet tout à zéro.

Exercice 1 : Changer l'IP du client

But : Comprendre l'interaction IP + route par défaut.

1. Changez l'IP du client de 10.0.0.10 à 10.0.0.20
2. Testez : ping 10.0.0.1, fonctionne-t-il ? Pourquoi ?
3. Testez : ping 8.8.8.8, fonctionne-t-il ? Pourquoi ?

Solution

# Supprimer l'ancienne IP
sudo ip addr del 10.0.0.10/24 dev enp1s0

# Ajouter la nouvelle
sudo ip addr add 10.0.0.20/24 dev enp1s0

• ping 10.0.0.1 ✅ fonctionne (même sous-réseau 10.0.0.0/24)
• ping 8.8.8.8 ✅ fonctionne aussi, la route par défaut pointe toujours vers 10.0.0.1

Exercice 2 : Couper le DNS

But : Distinguer la connectivité IP de la résolution DNS.

1. Videz /etc/resolv.conf sur le client
2. Testez : ping 8.8.8.8, fonctionne-t-il ?
3. Testez : ping google.com, fonctionne-t-il ?
4. Restaurez le DNS

Solution

# Vider le DNS
echo '' | sudo tee /etc/resolv.conf

# Tests
ping 8.8.8.8        # OK : l'IP n'a pas besoin de DNS
ping google.com     # echoue : "Name or service not known"

# Restaurer
echo 'nameserver 8.8.8.8' | sudo tee /etc/resolv.conf

Leçon : Sans DNS, les IPs marchent mais pas les noms.

Exercice 3 : Désactiver le NAT

But : Voir l'effet du NAT sur le routage.

1. Sur la gateway, supprimez la règle MASQUERADE
2. Depuis le client, testez ping 8.8.8.8
3. Sur la gateway, lancez tcpdump sur l'interface externe
4. Analysez ce qui se passe

Solution

# Sur la gateway : supprimer le NAT
sudo iptables -t nat -D POSTROUTING -o enp1s0 -j MASQUERADE

# Sur le client
ping 8.8.8.8  # ❌ Pas de réponse (timeout)

Avec tcpdump sur la gateway (interface externe) :

sudo tcpdump -i enp1s0 icmp -n

Vous verrez :

10.0.0.10 > 8.8.8.8: ICMP echo request
# Pas de réponse !

Analyse : Le paquet sort avec l'IP source 10.0.0.10 (privée). Internet ne sait pas comment répondre à une IP privée → pas de retour.

Restaurez :

sudo iptables -t nat -A POSTROUTING -o enp1s0 -j MASQUERADE

Exercice 4 : Ajouter un second client

But : Vérifier que le NAT gère plusieurs machines.

1. Créez une VM "client2" connectée au réseau internal
2. Configurez-la avec l'IP 10.0.0.11/24, passerelle 10.0.0.1, DNS 8.8.8.8
3. Testez que client2 accède à Internet
4. Faites un ping entre client (10.0.0.10) et client2 (10.0.0.11)

Solution

# Sur client2
sudo ip link set enp1s0 up
sudo ip addr add 10.0.0.11/24 dev enp1s0
sudo ip route add default via 10.0.0.1
echo 'nameserver 8.8.8.8' | sudo tee /etc/resolv.conf

# Tests
ping 8.8.8.8      # ✅ fonctionne
ping google.com   # ✅ fonctionne

# Depuis client (10.0.0.10)
ping 10.0.0.11    # OK : meme reseau interne

Leçon : Le NAT gère naturellement plusieurs clients. Chaque connexion est suivie individuellement.

Cheat sheet

Machine	Commande	Ce qu'elle vérifie
Client	ip addr show	IP configurée sur l'interface
Client	ip route	Route par défaut vers 10.0.0.1
Client	cat /etc/resolv.conf	Serveur DNS configuré
Client	ping 10.0.0.1	Connexion au réseau interne
Client	ping 8.8.8.8	NAT fonctionne
Client	ping google.com	DNS fonctionne
Gateway	cat /proc/sys/net/ipv4/ip_forward	IP forwarding activé (doit être 1)
Gateway	sudo iptables -t nat -L -n	Règle MASQUERADE présente
Gateway	sudo iptables -L FORWARD -n	Règles de filtrage
Gateway	sudo tcpdump -i <iface> -n	Voir le trafic en temps réel
Gateway	sudo conntrack -L	Connexions NAT actives

Glissez pour voir

FAQ : questions fréquentes sur le homelab réseau

Comment partager une connexion Internet entre deux VMs (NAT) ?

Sur la passerelle : activez le routage (sysctl -w net.ipv4.ip_forward=1), puis ajoutez le NAT iptables -t nat -A POSTROUTING -o IF_EXT -j MASQUERADE, IF_EXT étant l'interface Internet. La VM cliente pointe sa route par défaut vers l'IP interne de la passerelle, et sort via l'IP de celle-ci.

Pourquoi mon client VM n'accède pas à Internet via la passerelle ?

Vérifiez dans l'ordre : le forwarding actif sur la passerelle (ip_forward=1) ; la règle NAT MASQUERADE sur la bonne interface de sortie ; la policy FORWARD qui ne bloque pas (règle ACCEPT) ; la route par défaut du client vers la passerelle ; et un DNS configuré côté client.

Comment activer le routage IP sur une passerelle Linux ?

Avec sysctl -w net.ipv4.ip_forward=1 pour l'activer immédiatement, puis en écrivant net.ipv4.ip_forward=1 dans /etc/sysctl.d/ pour le rendre persistant au redémarrage. Sans ce paramètre, Linux ignore les paquets qui ne lui sont pas destinés et ne route pas entre ses interfaces.

Quelle différence entre un réseau NAT et un réseau interne isolé ?

Un réseau NAT donne aux VMs un accès Internet via l'hôte, qui traduit les adresses. Un réseau interne isolé est un switch virtuel sans accès extérieur ni DHCP : les VMs s'y parlent, mais ne joignent Internet que si l'une fait office de passerelle. C'est ce qui rend le homelab sûr.

Comment rendre la configuration réseau du homelab persistante ?

Le forwarding via un fichier dans /etc/sysctl.d/. Les adresses et routes via l'outil de la distribution : netplan ou systemd-networkd sur Ubuntu, NetworkManager (nmcli) sur RHEL/Rocky. Le NAT via /etc/nftables.conf ou le paquet netfilter-persistent. Sans ces étapes, tout est perdu au redémarrage.

Prochaines étapes

Méthodologie de diagnostic réseau Diagnostiquez votre labo avec une méthode systématique, du plus proche au plus loin.

Le routage : comment les paquets trouvent leur chemin Approfondissez le routage que vous venez de configurer sur la passerelle.

Pare-feu : qui peut parler à qui ? Durcissez les règles de filtrage de votre passerelle NAT.

TCP vs UDP : fiabilité ou vitesse ? Analysez le trafic de votre labo avec tcpdump et comprenez les protocoles.

×

📖 Voir la documentation →