Routage vers un 2eme WAN ?

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Routage vers un 2eme WAN ?

Messagepar KARMAZ » 20 Jan 2005 12:57

Bonjour,
Je possede un LAN qui se connecte à un Intranet par l'intermediaire d'un Wan avec un routeur FT (Pas modifiable donc).
Leur connexion internet se faisait egalement jusqu'alors a travers cette liaison.
Aujourdhui ce LAN va avoir un zoli Ipcop avec une connection internet qui va donc etre la passerelle par defaut sur les postes pour Internet.
Oui mais voila ceux-ci ne pourront donc plus communiquer par le deuxieme Wan vers des serveurs intranet.
Y'a t'il un routage a faire sur IPCOP si oui comment ?? Ou sur les postes ???
NB: Le routage n'est pas mon fort... :cry:

Un grand merci à ceux qui me viendront en aide!
KARMAZ
Second Maître
Second Maître
 
Messages: 41
Inscrit le: 11 Août 2004 13:26
Localisation: Nancy

Messagepar zgrou » 20 Jan 2005 13:48

Ne faudrait-il pas tout simplement dire au niveaud des butineurs sur les postes clients que le proxy est le serveur IPCop :?:
Avatar de l’utilisateur
zgrou
Aspirant
Aspirant
 
Messages: 117
Inscrit le: 13 Jan 2005 15:17
Localisation: Charmes sur Rhône - 07

Messagepar vanvan » 20 Jan 2005 14:01

et bien en règle de routage tu met une carte sur ton lan et l'autre avec une ip qui touche le wan.
S'il fait firewall, pas de modif sur les postes clients mais autoriser les services adéquats en entrée et sortie de ton réseau.
S'il fait proxy, tes postes clients doit avoir leur navigateur qui pointe sur ce proxy
et là ça devrait être bon.
"Conduire semble un peu compliqué mais après avoir essayé 271 fois d'avoir l'oral qu'ai-je à craindre?", a-t-il philosophé.
Fri April 15, 2005, Seo San-moon
Avatar de l’utilisateur
vanvan
Amiral
Amiral
 
Messages: 1270
Inscrit le: 14 Mars 2003 01:00
Localisation: la roche sur yon / nantes

Messagepar KARMAZ » 20 Jan 2005 16:00

Merci, mais j'ai peur de m'être mal fait comprendre....
Le but n'est pas de faire firewall vers le WAN existant, mais de pouvoir utilisé l'accès internet par ipcop qui sera donc la passerelle par defaut et aussi de passer par le routeur FT qui a une IP sur green pour joindre le site central (intranet) par cette liaison qui est en passerelle par defaut actuellement.
Les postes peuvent donc pinguer le routeur FT (intranet) et ipcop(internet) qui se trouve tout deux sur green.

Y'a t'il une ligne qui permette de definir une seconde route par defaut pour qu'il essaye de passer sur l'ip du routeur FT lorsque la destination n'existe pas par IPCOP ??
Est ce qu'ipcop peut relayer cette demande ou autre chose ?
KARMAZ
Second Maître
Second Maître
 
Messages: 41
Inscrit le: 11 Août 2004 13:26
Localisation: Nancy

Messagepar tomtom » 20 Jan 2005 16:04

Il suffit qu'ipcop connaisse la route vers le lan distant.
Il enverra alors des icmp redirect vers les clients (ce qui t'evite d'avoir à renseigner la route sur chaque client).
Il faut bien sur que tu connaisses l'addrsse reseau du lan distant pour créer la route (ce n'est plus la route par défaut, c'est une simple route statique).

Ex :

green = 192.168.0.0/24
@du routeur FT : 192.168.0.254

Site central = 10.0.0.0/8


Sur Ipcop, tu ajoutes juste la route vers le site distant :

route add -net 10.0.0.0 netmask 255.0.0.0 gw 192.168.0.254



Et c'est tout !


t.
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar KARMAZ » 20 Jan 2005 16:31

Milles merci tomtom !
c'est plus ça que je voyais effectivement par contre pour aller un peu plus loin voici le problème.

Ce LAN se connecte a des serveurs sur le site distant (pas de prob le reseau est connu) la regle de routage indiqué doit fonctionner mais transite aussi via un autre routeur sur le site distant pour aller sur un intranet national (donc multiples reseau non connu !)
Des lors comment faire pour que ipcop relaye ces demandes la ??
KARMAZ
Second Maître
Second Maître
 
Messages: 41
Inscrit le: 11 Août 2004 13:26
Localisation: Nancy

Messagepar tomtom » 20 Jan 2005 16:45

Ca c'est plus galère.

Malheureusement, pas de miracle au niveau du routage :(
Il faut connaitre les routes !

2 moyens :

- Les routes sont annoncées par un protocole de toutage dynamique (OSPF, RIP, pourquoi pas BGP).
Dans ce cas, il faut utiliser du routage dynamique de ton coté (avec un outil nommé zebra par exemple). Malheureusement, il est peu probables que les routes soient annoncées au dela du routeur ft :(

- Tu ne connais pas les routes, amis le plan d'addressage de l'intranet global est "propre", c'est à dire qu'il n'utilise que des addresses ip privées.
Dans ce cas, tu considères que IPCop n'accede qu'à Internet (des ip publiques donc !) et tu ajoutes les routes comme un cochon vers les addresses privées via le routeur ft

Evidemment, si tu ne connais rien du plan d'adressage de l'intranet national et que les réseaux ne sont pas déterminés, tu es dans la m****. Il ne te reste qu'à contacter le siège pour connaitre la liste des réseaux routables depuis ton intranet !


t.
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar KARMAZ » 20 Jan 2005 17:02

Nous utilisons un plan d'adressage national de classe B en 136.x.x.x donc hors des plages "non routable sur internet" ne me demande pas pourquoi ça depasse mes connaissances.

Je ne comprends pas cette phrase "tu ajoutes les routes comme un cochon vers les addresses privées via le routeur ft "
KARMAZ
Second Maître
Second Maître
 
Messages: 41
Inscrit le: 11 Août 2004 13:26
Localisation: Nancy

Messagepar tomtom » 20 Jan 2005 17:18

KARMAZ a écrit:Nous utilisons un plan d'adressage national de classe B en 136.x.x.x donc hors des plages "non routable sur internet" ne me demande pas pourquoi ça depasse mes connaissances.

Je ne comprends pas cette phrase "tu ajoutes les routes comme un cochon vers les addresses privées via le routeur ft "



Si tu connais la classe, tu peux spécifier la route !

rouet add -net 136.x.x.x netmask 255.255.0.0 gw 192.168.0.254

Par "ajouter les routes comme un cochon", je voulais dire ajouter à la main les ruotes vers les adresses "rfc 1918" via le reouteur ft. ex :
route add -net 192.168.0.0 netmask 255.255.0.0 gw 192.168.0.254 par exemple.


t.
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar KARMAZ » 21 Jan 2005 10:19

Merci beaucoup tomtom.
Je vais faire qqes tests pour valider tout ça.
Mais quid du routage vers des adresses locales si je route tout le plan 136.x.x.x vers ma passerelle.?
KARMAZ
Second Maître
Second Maître
 
Messages: 41
Inscrit le: 11 Août 2004 13:26
Localisation: Nancy

Messagepar tomtom » 21 Jan 2005 10:28

Adresses locales ?

Tu veux parler des adresses de ton réseau local "greeen" ?

Si elles sont dans le plan 136 elles aussi, tu vas avoir au niveau de ton ipcop 2 règles de routage :

136.x.x.x mask 255.255.255.0 dev eth0
136.x.x.x mask 255.255.0.0 via @passerelle dev eth0


n'oublie pas le longest match ;)

pas de problème.

t.
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar KARMAZ » 21 Jan 2005 11:14

le longest match ???
kesako ?
KARMAZ
Second Maître
Second Maître
 
Messages: 41
Inscrit le: 11 Août 2004 13:26
Localisation: Nancy

Messagepar tomtom » 21 Jan 2005 11:18

C'est l'algorithme de routage.

Quand on doit envoyer un paquet disons à 135.0.0.1, on passe la table de routage.

Si on voit deux entrées qui matchent (ex : 135.0.0.1 appartient à la fois à 135.0.0.0/16 et à 135.0.0.0/24), alors celle qui est choisie est celle qui a le masque le plus long (ici, le /24).

Donc tu peux très bien avoir les deux routes sus-citées. Ipcop saura que le réseau 135.0.0.0/24 est directement connecté, et saura que le reste du reseau 135.0.0.0/16 est derrière le routeur.

t.
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité