Bonsoir,
Je rencontre un problème d'accès sur le web depuis la DMZ sur l'interface orange.
Depuis le réseau orange, je parviens à atteindre l'IP de l'IPCOP sur son interface, mais je ne parviens pas à sortir sur le web.
Mon DNS est bien renseigné au niveau de machine qui essaye de se connecter.
Un ping IP (google) me renvoie rien
Un ping google me renvoie rien.
Je n'ai à priori rien dans les logs du pare-feu et j'ai une trace de la requête dans l'onglet connexions.
Je ne sais pas comment corriger ce problème.
Toute piste est la bienvenue.
Merci bien
DMZ Orange Internet
Modérateur: modos Ixus
25 messages
• Page 1 sur 2 • 1, 2
DMZ Orange Internet
par zorgh » 03 Oct 2007 19:49
- zorgh
- Premier-Maître
- Messages: 63
- Inscrit le: 26 Mai 2007 13:58
par zorgh » 03 Oct 2007 21:32
Oui la route par défaut a été configurée (celle d'IPCOP sur l'interface orange)
IPCOP et la machine cliente sont sur un même vLan. J'ai pensé un moment à un problème lié au vLan.
Si c'était le cas, la machine cliente ne pourrait pas communiquer avec IPCOP or celui me répond après un ping.
Je sèche.
IPCOP et la machine cliente sont sur un même vLan. J'ai pensé un moment à un problème lié au vLan.
Si c'était le cas, la machine cliente ne pourrait pas communiquer avec IPCOP or celui me répond après un ping.
Je sèche.
- zorgh
- Premier-Maître
- Messages: 63
- Inscrit le: 26 Mai 2007 13:58
Re: DMZ Orange Internet
par Gandalf » 03 Oct 2007 21:58
zorgh a écrit:Mon DNS est bien renseigné au niveau de machine qui essaye de se connecter.
Il faut mettre ceux de ton FAI, pas l'IP de la patte orange d'IPCOP, c'est OK ?
/G.
-
Gandalf - Amiral
- Messages: 1980
- Inscrit le: 22 Août 2002 00:00
- Localisation: Strasbourg
par zorgh » 03 Oct 2007 22:46
Oui c'est bien l'IP du FAI qui est renseigné.
J'ai 2 IPCOP qui tournent en parallèle sur 2 adresses publiques.
L'un tourne avec les interfaces vert, rouge et orange
L'autre tourne avec les interfaces vert, rouge, orange et bleu.
Sur le premier, les machines qui tournent derrière la patte orange sortent bien sur la toile.
Sur le second, les machines derrière orange ne sortent pas.
Les config sont les mêmes.
La patte orange de l'IPCOP qui pose problème est branché sur le même switch que la machine cliente.
Les 2 ports (patte orange et machine cliente) sont configurés sur le même vLan.
Il y a quelque chose qui m'échappe.
J'ai 2 IPCOP qui tournent en parallèle sur 2 adresses publiques.
L'un tourne avec les interfaces vert, rouge et orange
L'autre tourne avec les interfaces vert, rouge, orange et bleu.
Sur le premier, les machines qui tournent derrière la patte orange sortent bien sur la toile.
Sur le second, les machines derrière orange ne sortent pas.
Les config sont les mêmes.
La patte orange de l'IPCOP qui pose problème est branché sur le même switch que la machine cliente.
Les 2 ports (patte orange et machine cliente) sont configurés sur le même vLan.
Il y a quelque chose qui m'échappe.
- zorgh
- Premier-Maître
- Messages: 63
- Inscrit le: 26 Mai 2007 13:58
par ccnet » 04 Oct 2007 11:04
Il ne reste plus qu'a regarder ce que raconte un tracert www.google.fr par exemple (ou trace route).
Parvient on à atteindre l'interface RED ?
Une machine du réseau vert ping sans problème la machine dans le réseau Orange ?
Parvient on à atteindre l'interface RED ?
Une machine du réseau vert ping sans problème la machine dans le réseau Orange ?
- ccnet
- Amiral
- Messages: 2687
- Inscrit le: 27 Mai 2006 12:09
- Localisation: Paris
par zorgh » 04 Oct 2007 12:04
Je ne suis pas sur le site mais de mémoire un tracert sur google me permettait d'atteindre l'IP d'IPCOP sur la patte Orange mais pas plus loin.
Les machines du réseau vert sont sur un vlan et les machines du réseau orange sont sur un autre vlan. Elles ne peuvent donc pas communiquer entre elles.
Je peux essayer demain de les passer sur le même vlan et voir si une machine du réseau vert parvient à pinger une machine du réseau orange.
Les machines du réseau vert sont sur un vlan et les machines du réseau orange sont sur un autre vlan. Elles ne peuvent donc pas communiquer entre elles.
Je peux essayer demain de les passer sur le même vlan et voir si une machine du réseau vert parvient à pinger une machine du réseau orange.
- zorgh
- Premier-Maître
- Messages: 63
- Inscrit le: 26 Mai 2007 13:58
par zorgh » 04 Oct 2007 14:05
tomtom a écrit:Oula la j'ai comme l'impression que tu as une architecture tordue !
Peux-tu la présenter (schema, vlans, etc)
t.
C'est bien une impression que tu as mais cela reste une impression.
Il est vrai que je ne suis pas dans un cas de figure de type : PC --> IPCOP --> Box Free --> Internet
Je ne vais pas poser ici et maintenant une architecture avec 500 machines, une vingtaine de switchs, 4 vLans et 10 serveurs.
Le problème ne situe pas au niveau de l'architecture mais plutôt en périphérie de l'IPCOP.
Je vais dès demain supprimer le vLan associé à l'interface orange et faire quelques tests pour exclure un problème de vLan.
Si cela ne fonctionne toujours pas, il y a certainement un problème au niveau de ma config (somme toute équivalente à celle d'un autre IPCOP qui a également une patte orange, des machines derrières qui accèdent au web).
- zorgh
- Premier-Maître
- Messages: 63
- Inscrit le: 26 Mai 2007 13:58
par tomtom » 04 Oct 2007 16:56
Ben le simple fait que tu puisses imaginer mettre dans le même VLAN deux segments de réseau qui sont obligatoirement séparés m'incite à penser que, oui, ton architecture n'est pas claire.
Quand on a 500 PC et une vingtaine de switches, on n'essaye pas d'en économiser un en mettant la DMZ et le lan sur le même...
Decrire une architecture, ça n'est pas si compliqué, il n'y a pas besoin de mettre les 500 machines... Mais bon, fais comme tu veux après tout...
t.
Quand on a 500 PC et une vingtaine de switches, on n'essaye pas d'en économiser un en mettant la DMZ et le lan sur le même...
Decrire une architecture, ça n'est pas si compliqué, il n'y a pas besoin de mettre les 500 machines... Mais bon, fais comme tu veux après tout...
t.
One hundred thousand lemmings can't be wrong...
-
tomtom - Amiral
- Messages: 6035
- Inscrit le: 26 Avr 2002 00:00
- Localisation: Paris
par zorgh » 04 Oct 2007 17:32
tomtom, comment peux-tu juger de l'infrastructure en place sans même en connaître la typologie, les équipements en place et surtout les besoins inhérents des utilisateurs dans ce système ?
C'est présomptueux de dire que c'est bien fait ou mal fait sans élément.
Un VLan est un réseau local regroupant un ensemble de machines de façon logique et non physique.
De fait, on se fout de savoir où se trouve les machines. On se fout de savoir si telle ou telle machine se trouve sur tel segment du réseau.
Dans la situation exposée, les quelques machines qui se trouvent derrière la patte orange d'IPCOP et qui ne parviennent pas à sortir, se trouvent sur un même vLan.
Pourquoi avoir posé un vLan ?
Parce que ces machines empruntent le même réseau commuté qu'un autre groupe de machines qui elles sortent par un autre pare-feu. Les machines pour une question de sécurité ne doivent pas communiquer entre elles.
Qui plus est, je n'ai jamais écrit que j'économisais une machine en en mettant la DMZ et le lan sur le même ...
Tu avances un propos que je n'ai pas tenu.
De quel lan parles-tu ? qui est le moins précis de nous deux ?
Si ... ! décrire l'architecture réseau en place est compliquée et cela ne se résume pas à un schéma ou quelques explications.
Cela ne t'apportera rien et surtout cela ne te permettra pas de solutionner le problème.
Essaye de t'inspirer de Ccnet et Gandalf qui essayent d'apporter des réponses constructives et arrête de prendre les gens pour des newbies.
As-tu configuré la route par défaut ? --> là cela devient intéressant !
traceroute, tcpdump, etc etc... Ca va pas se resoudre tout seul ! --> là tu deviens infecte
C'est présomptueux de dire que c'est bien fait ou mal fait sans élément.
Un VLan est un réseau local regroupant un ensemble de machines de façon logique et non physique.
De fait, on se fout de savoir où se trouve les machines. On se fout de savoir si telle ou telle machine se trouve sur tel segment du réseau.
Dans la situation exposée, les quelques machines qui se trouvent derrière la patte orange d'IPCOP et qui ne parviennent pas à sortir, se trouvent sur un même vLan.
Pourquoi avoir posé un vLan ?
Parce que ces machines empruntent le même réseau commuté qu'un autre groupe de machines qui elles sortent par un autre pare-feu. Les machines pour une question de sécurité ne doivent pas communiquer entre elles.
Qui plus est, je n'ai jamais écrit que j'économisais une machine en en mettant la DMZ et le lan sur le même ...
Tu avances un propos que je n'ai pas tenu.
De quel lan parles-tu ? qui est le moins précis de nous deux ?
Si ... ! décrire l'architecture réseau en place est compliquée et cela ne se résume pas à un schéma ou quelques explications.
Cela ne t'apportera rien et surtout cela ne te permettra pas de solutionner le problème.
Essaye de t'inspirer de Ccnet et Gandalf qui essayent d'apporter des réponses constructives et arrête de prendre les gens pour des newbies.
As-tu configuré la route par défaut ? --> là cela devient intéressant !
traceroute, tcpdump, etc etc... Ca va pas se resoudre tout seul ! --> là tu deviens infecte
- zorgh
- Premier-Maître
- Messages: 63
- Inscrit le: 26 Mai 2007 13:58
par tomtom » 04 Oct 2007 18:05
Toi tu commence sà m'echauffer, si si !
C'est pour ça que je te la demande ! QUand on a un problème de réseau, l'experience montre qu'il ne s'agit pas 'un problème d'ipcop mais souvent d'un problème d'architecture, et là encore comme par hasard l'architecture n'est pas "standard" donc il est normal de chercher à la connaitre pour comprendre...
Merci
Ha ben non du coup.
IPCop est un routeur, et à moins que tu ne l'aie configuré pour gérer les vlans il ne le fait pas.
Quand on a un routeur, on ne se fout pas de savoir qur quel segment de réseau sont les machines !
Ouf ! Et la patte oraneg d'IPCop ets obligatoirement dans le même VLAN, sinon tu ne pourrais pas le joindre.
Les vlans sont une solution de sécurité bien connue
Sinon, ce n'est pas ça qui pose problème c'est clair.
Si si tu les as tenus :
!!!!!!!
Ces machines sont obligatoirement dans un segment différent de réseau (c'est la base d'IPCop) donc elles ne peuvent pas être dans le même vlan.
Les "mettre dans le même vlan" implique qu'elles soient sur le même réseau commuté ce qui serait franchement franchement une aberration....
Je n'ai pas l'intention de "solutionner" (sic) ton problème, je cherche à t'aider à comprendre d'où peut venir le problème.
Mais, si, pour ça il faut avoir une idée de l'architecture, ce serait-ce que les adresses, les machines présentes, les sources potentielles de problèmes....
Et, non, faire un schema au format txt n'ets pas une chose insurmontables,
Et, si, cela t'aurait deja fait gagner beaucoup de temps...
Aide toi, le ciel t'aidera... Un traceroute (et son resultat), un tcpdump (et le résultat) sont des pramètres permettant de comprendre et peut-etre trouver d'ou vient le problème.
Une fois passés les tests de base (routes, adresses, dns), il faut bien avoir du concret pour essayer de comprendre...
Sinon, tu attends quoi?
qu'avec les paramètres que tu fournis, quelqu'un arrive et te dise : 'fais xx yy et ca marchera" et c'est tout ?
Belle mentalité !
Bien à toi et bonne chance alors...
t.
zorgh a écrit:tomtom, comment peux-tu juger de l'infrastructure en place sans même en connaître la typologie, les équipements en place et surtout les besoins inhérents des utilisateurs dans ce système ?
C'est pour ça que je te la demande ! QUand on a un problème de réseau, l'experience montre qu'il ne s'agit pas 'un problème d'ipcop mais souvent d'un problème d'architecture, et là encore comme par hasard l'architecture n'est pas "standard" donc il est normal de chercher à la connaitre pour comprendre...
Un VLan est un réseau local regroupant un ensemble de machines de façon logique et non physique.
Merci
De fait, on se fout de savoir où se trouve les machines. On se fout de savoir si telle ou telle machine se trouve sur tel segment du réseau.
Ha ben non du coup.
IPCop est un routeur, et à moins que tu ne l'aie configuré pour gérer les vlans il ne le fait pas.
Quand on a un routeur, on ne se fout pas de savoir qur quel segment de réseau sont les machines !
Dans la situation exposée, les quelques machines qui se trouvent derrière la patte orange d'IPCOP et qui ne parviennent pas à sortir, se trouvent sur un même vLan.
Ouf ! Et la patte oraneg d'IPCop ets obligatoirement dans le même VLAN, sinon tu ne pourrais pas le joindre.
Pourquoi avoir posé un vLan ?
Parce que ces machines empruntent le même réseau commuté qu'un autre groupe de machines qui elles sortent par un autre pare-feu. Les machines pour une question de sécurité ne doivent pas communiquer entre elles.
Les vlans sont une solution de sécurité bien connue
Sinon, ce n'est pas ça qui pose problème c'est clair.
Qui plus est, je n'ai jamais écrit que j'économisais une machine en en mettant la DMZ et le lan sur le même ...
Tu avances un propos que je n'ai pas tenu.
De quel lan parles-tu ? qui est le moins précis de nous deux ?
Si si tu les as tenus :
Les machines du réseau vert sont sur un vlan et les machines du réseau orange sont sur un autre vlan. Elles ne peuvent donc pas communiquer entre elles.
Je peux essayer demain de les passer sur le même vlan et voir si une machine du réseau vert parvient à pinger une machine du réseau orange.
!!!!!!!
Ces machines sont obligatoirement dans un segment différent de réseau (c'est la base d'IPCop) donc elles ne peuvent pas être dans le même vlan.
Les "mettre dans le même vlan" implique qu'elles soient sur le même réseau commuté ce qui serait franchement franchement une aberration....
Si ... ! décrire l'architecture réseau en place est compliquée et cela ne se résume pas à un schéma ou quelques explications.
Cela ne t'apportera rien et surtout cela ne te permettra pas de solutionner le problème.
Je n'ai pas l'intention de "solutionner" (sic) ton problème, je cherche à t'aider à comprendre d'où peut venir le problème.
Mais, si, pour ça il faut avoir une idée de l'architecture, ce serait-ce que les adresses, les machines présentes, les sources potentielles de problèmes....
Et, non, faire un schema au format txt n'ets pas une chose insurmontables,
Et, si, cela t'aurait deja fait gagner beaucoup de temps...
Essaye de t'inspirer de Ccnet et Gandalf qui essayent d'apporter des réponses constructives et arrête de prendre les gens pour des newbies.
As-tu configuré la route par défaut ? --> là cela devient intéressant !
traceroute, tcpdump, etc etc... Ca va pas se resoudre tout seul ! --> là tu deviens infecte
Aide toi, le ciel t'aidera... Un traceroute (et son resultat), un tcpdump (et le résultat) sont des pramètres permettant de comprendre et peut-etre trouver d'ou vient le problème.
Une fois passés les tests de base (routes, adresses, dns), il faut bien avoir du concret pour essayer de comprendre...
Sinon, tu attends quoi?
qu'avec les paramètres que tu fournis, quelqu'un arrive et te dise : 'fais xx yy et ca marchera" et c'est tout ?
Belle mentalité !
Bien à toi et bonne chance alors...
t.
One hundred thousand lemmings can't be wrong...
-
tomtom - Amiral
- Messages: 6035
- Inscrit le: 26 Avr 2002 00:00
- Localisation: Paris
par zorgh » 04 Oct 2007 19:03
Ah, je vois que tu peux devenir plus constructif et moins vaniteux si on te pousse à bout !!
Ceci dit, je ne suis pas d'accord avec toi en particulier sur un point :
"Ha ben non du coup.
IPCop est un routeur, et à moins que tu ne l'aie configuré pour gérer les vlans il ne le fait pas. "
Ipcop est équipé de cartes Ethernet qui ne savent pas gérer des trames taggés. Je ne vois pas dans quelle mesure, un Ipcop pourrait être configurée pour les gérer.
S'agissant d'un vLan de niveau 2, c'est le commutateur qui va tagger la trame et retirer le tag pour la remettre à l'Ipcop.
Il est vrai que tcpdump, tracert peuvent apporter des éléments d'explications. C'est le ton désinvolte 'Ca va pas se resoudre tout seul ! ' qui est gênant.
Je n'ai pas remonté ce type d'informations parceque je voulais tout dans un premier temps exclure un problème de paramétrage Ipcop (quelque chose qui m'aurait echapper).
Avant de poster, j'ai fait rapidement des tests réseaux pour résoudre tout seul le problème. Je n'y ai pas trouvé d'éléments parlants.
Puisque, à priori ma configuration Ipcop est bonne, dans un deuxième temps, j'exposerai des traces si d'ici là je n'ai pas trouvé la solution.
Ceci dit, je ne suis pas d'accord avec toi en particulier sur un point :
"Ha ben non du coup.
IPCop est un routeur, et à moins que tu ne l'aie configuré pour gérer les vlans il ne le fait pas. "
Ipcop est équipé de cartes Ethernet qui ne savent pas gérer des trames taggés. Je ne vois pas dans quelle mesure, un Ipcop pourrait être configurée pour les gérer.
S'agissant d'un vLan de niveau 2, c'est le commutateur qui va tagger la trame et retirer le tag pour la remettre à l'Ipcop.
Il est vrai que tcpdump, tracert peuvent apporter des éléments d'explications. C'est le ton désinvolte 'Ca va pas se resoudre tout seul ! ' qui est gênant.
Je n'ai pas remonté ce type d'informations parceque je voulais tout dans un premier temps exclure un problème de paramétrage Ipcop (quelque chose qui m'aurait echapper).
Avant de poster, j'ai fait rapidement des tests réseaux pour résoudre tout seul le problème. Je n'y ai pas trouvé d'éléments parlants.
Puisque, à priori ma configuration Ipcop est bonne, dans un deuxième temps, j'exposerai des traces si d'ici là je n'ai pas trouvé la solution.
- zorgh
- Premier-Maître
- Messages: 63
- Inscrit le: 26 Mai 2007 13:58
par tomtom » 04 Oct 2007 21:32
Ah, je vois que tu peux devenir plus constructif et moins vaniteux si on te pousse à bout !!
Z'etes toujours aussi polis quand vous avez besoin d'aide à l'EN ?
Ceci dit, je ne suis pas d'accord avec toi en particulier sur un point :
"Ha ben non du coup.
IPCop est un routeur, et à moins que tu ne l'aie configuré pour gérer les vlans il ne le fait pas. "
Ipcop est équipé de cartes Ethernet qui ne savent pas gérer des trames taggés. Je ne vois pas dans quelle mesure, un Ipcop pourrait être configurée pour les gérer.
S'agissant d'un vLan de niveau 2, c'est le commutateur qui va tagger la trame et retirer le tag pour la remettre à l'Ipcop.
Depend des drivers et des cartes... Mais ça marche (voir http://forums.ixus.fr/viewtopic.php?t=1 ... n&start=15 par exemple)
Il n'empeche, mettre orange et green sur le même réseau ethernet, c'est pas une bonne idée...
Tout ceci etant dit, fin de cette discussion pour moi...
Un dernier conseil :
http://forums.ixus.fr/viewtopic.php?t=38987 (c)
t.
One hundred thousand lemmings can't be wrong...
-
tomtom - Amiral
- Messages: 6035
- Inscrit le: 26 Avr 2002 00:00
- Localisation: Paris
25 messages
• Page 1 sur 2 • 1, 2
Qui est en ligne ?
Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité