ipcop routage différents réseaux

[man_mickey2001]

Bonjour,
cela fait un petit moment que je cherche sur le forum un moyen de se servir d'ipcop comme routeur + passerelle web.
Je vous explique mon pb:
je possède 2 lan sur des réseaux différents:

lan1 (192.168.1.0/255.255.255.0) -----------ipcop (192.168.1.1) -----routeur provider -----web
|
|
routeur 1 (192.168.1.254)
|
|
ligne spécialisée
|
|
routeur 2 (192.168.2.254)
|
|
lan2 (192.168.2.0/1255.255.255.0)


il m'est impossible de paramétrer des routages sur les routeurs 1 et 2 (le fournisseur me le refuse)

je voudrais paramétrer la passerelle par défaut de mes pc sur lan1 en 192.168.1.1 (ipcop) via mon serveur DHCP afin d'utiliser le proxy transparent d'ipcop
Les pc de mon lan1 doivent accéder à des pc de mon lan2, comment paramétrer mon ipcop afin qu'il route les paquets à destination de lan2.
j'ai bien essayé les commandes route add , les ping sont bien routés mais impossible de me connecter par ex à un serveur Citrix/TSE sur Lan2 à partir d'un poste de Lan1
Je ne veux avoir à effectuer des routages statiques sur mes postes
Rq: les pc de lan2 ont comme passerelle par defaut 192.168.2.254

Merci d'avance pour vos idées
CDT




lan1: 192.168.1.0/255.255.255.0 là ou est mon ipcop (192.168.1.1)
Sur mon Lan
lan2: 192.168.2.0/255.255.255.0

[jdh]

D'après le schéma que tu fournis, les règles de routage devraient être :

- les pc du lan2 (192.168.2.x/255.255.255.0) : route par défaut : 192.168.2.254,
- le routeur de lan2 (192.168.2.254) : route par défaut : routeur de lan1.

- le routeur de lan1 (192.168.1.254) : route vers 192.168.2.x : routeur de lan2 + route par defaut : ipcop = 192.168.1.1,
- les pc du lan1 (192.168.1.x/255.255.255.0) : route par defaut : ipcop = 192.168.1.1,
- l'ipcop (192.168.1.1) : route vers 192.168.2.x : routeur de lan1 + route par défaut vers Internet.

Pour les pc de lan2, aucune difficulté : la route par défaut c'est à dire le routeur de lan2, sait accéder et à lan1 et à internet (defaut).
Pour les pc de lan1, leur route par defaut c'est à dire l'ipcop, sait accéder et à Internet et à lan2 (via le routeur du lan1 : il fournira donc la redirection qui va bien aux pc de lan1).

Cela suppose que tu puisses d'abord ajouter une route statique à l'ipcop, puis ajouter 1 route à chaque routeur :

- rtr lan2 : de base : accès lan1 via rtr lan1; ajouter par defaut via rtr lan1,
- rtr lan1 : de base : accès lan2 via rtr lan2; ajouter par defaut via ipcop.

Normalement le fournisseur devrait accepter d'ajouter ces routes (car elles sont normalement assez standards). Dans le cas où le fournisseur refuse (ce qui n'est pas bon signe, commercialement), il reste 2 possibilités :

- pour autoriser un traffic http + web : préciser sur chaque PC de lan2 un proxy d'adresse l'ipcop (accessible par les règles de base)
- pour autoriser d'autres traffics : il faudrait créer un tunnel entre un pc sur lan2 (qui remplacera la route par défaut pour lan2) et un pc sur lan1 qui saurait rediriger vers Internet (possiblement l'ipcop) : à travailler ... peut être un tunnel ipsec (sans cryptage inutile) ...

[VXgas]

Je te conseil de jeter un oeil sur le site suivant :

http://christian.caleca.free.fr/demoroutage/jouons___.htm
que tu connais peut être déjà...

Je suis d'ailleurs dans une situation similaire à la tienne et c'est pour cette raison que j'aimerai developper un addon permettant de rentrer des routes sur l'ipcop.
J'ai vu d'ailleurs ton post en réponse à mon message.

[man_mickey2001]

Mes routages sont bon sur l'ipcop étant donné que j'arrive bien à pinguer à partir d'un pc de lan1 vers un pc de lan2.
Le pb c'est d'utiliser à partir de'un pc de lan1 un accès vers TSE/Citrix ou autre sur serveur de lan2, là cela ne fonctionne plus.

Rq: si je positionne le routage en dur sur le pc de lan1 cela fonctionne mais c'est ce que je ne veux pas faire étant donné que j'aurais beaucoup de pb à paramétrer.

C'est bien ipcop qui ne route plus en paquets tcp je pense....

Merci tout de même pour votre aide, si quelqu'un en sait plus !!!!

[jdh]

A partir du moment où le pc du lan1 ping le pc du lan2 (et reciproquement), il faut quelque chose de plus pour que le pc du lan1 n'accède pas au service fourni par le pc du lan2. C'est parfaitement clair.

Je sèche donc sans plus de détail.

Ce qui est certain c'est si le pc du lan1 a pour route par defaut l'ipcop (sur le lan1) et que celui ci a la bonne route vers lan2, il n'y a aucune raison que TOUT traffic de type tcp ou udp entre un pc de lan1 vers n'importe quel pc de lan2 DOIT fonctionner (bien entendu les pc du lan2 ont pour route par défaut le routeur de lan2 qui lui connait la route pour atteindre lan1). (La raison est que l'ipcop envoie un paquet de type "icmp redirect" pour signifie au pc de lan1 qu'il doit passer par routeur1)

S'agit-il bien de routeurs ? N'y aurait-il pas un peu plus : ACL ou autres filtrage ?
Je ne comprends pas bien pourquoi un FA (Fournisseur d'Accès) interdirait des routes bien naturelles. As tu bien expliqué par un schéma ta situation à ton FA ?

Désormais, il faut peut-être regarder par dump des 2 côtés les traffics. Est-il possible de tester d'autre chose que TSE ? Y a-t-il une trace de tentative d'accès au niveau du serveur TSE ? A vérifier.

Il y a encore beaucoup de questions et de tests à effectuer.

[man_mickey2001]

MErci jdh, je vais creuser un peu plus en alnalysant les paquet avec un sniffer
Merci tout de même

[man_mickey2001]

Bonjour à tous,
pour répondre à jdh
je reviens à la charge sur mon post
j'ai créé un nouveu post avec un beau schéma et des informations supplémentaire

http://forums.ixus.fr/viewtopic.php?t=37115
titre du post: pb routage ipcop vers Lan2 (shéma)

le pb provient d'une règle iptables etant donné que si je lances sur mon ipcop la commande : iptables -F
les routages se font bien et j'accède bien aux serveurs de Lan2
le pb c'est que je ne suis pas calé en iptables

si jdh ou quelqu'un d'autre peux me donner un tuyau ce serait super sympa
Merci d'avance à tout et très bonnes fêtes de fin d'année

[tomtom]

http://forums.ixus.fr/viewtopic.php?t=37115&highlight=