[Résolu] BOT admin externe : déterminer la bonne adresse Mac

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Publier une réponse

[Résolu] BOT admin externe : déterminer la bonne adresse Mac

Messagepar Nello » 04 Avr 2008 12:43

Bonjour,

j'administre mon routeur IPCOP depuis l'extérieur (300 km de distance), et j'envisage d'installer BOT. Pour cela, je dois indiquer l'adresse mac d'administration.

Ma question va paraître stupide, mais comme je n'ai pas la possibilité d'intervenir physiquement sur la machine, j'aimerais autant ne pas me bannir par erreur :!:

IPCOP est installé derrière une Freebox configurée en routeur. Pour être bien sûr de mon adresse mac, j'ai désactivé le FTP du serveur et je me suis connecté au FTP de manière à apparaitre dans les logs du firewall de IPCOP.

Résultat : Mon adresse IP est la bonne, mais l'adresse mac correspond à celle de la Freebox !

Quelle adresse mac dois-je indiquer dans le panneau d'admin de BOT ?

Merci d'avance :)
Dernière édition par Nello le 07 Avr 2008 14:28, édité 1 fois au total.
Avatar de l’utilisateur
Nello
Aspirant
Aspirant
 
Messages: 113
Inscrit le: 27 Déc 2004 19:15
Haut

Messagepar jdh » 04 Avr 2008 13:13

Il ne pourrait t'avoir échappé qu'une adresse MAC n'a de sens que dans le contexte d'un réseau local ...

Dès qu'il y a un routeur l'adresse MAC de toutes les machines de l'autre côté devient celle du routeur. Par exemple en ligne de commande, un "arp -a" achèvera de te convaincre.

Je pense qu'il s'agit de l'adresse MAC d'une machine locale qu'il faut indiquer.
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes
Haut

Messagepar Nello » 04 Avr 2008 13:19

Salut,

je ne travaille jamais avec les mac, donc je débarque un peu :oops:

Je vais donc ajouter l'adresse de la freebox, puis je rajouterai les autres postes locaux en admin supplémentaires (pour les fois où je suis sur place).

Merci
Avatar de l’utilisateur
Nello
Aspirant
Aspirant
 
Messages: 113
Inscrit le: 27 Déc 2004 19:15
Haut

Messagepar jdh » 04 Avr 2008 20:17

Effectivement tu n'as rien compris avec les adresses MAC. (Je ne dis pas ça méchamment : les processus en jeu, ARP, et RARP, sont complexes).

Sans connaître BOT, je peux imaginer que l'adresse MAC demandée est l'adresse MAC d'un PC du réseau interne (Green), bien évidemment, et sûrement pas celle de la freebox en Red !

Si tu veux administrer un Ipcop à distance, il vaut mieux ouvrir l'administration web (sur le port 445) à l'extérieur (en changeant de port bien sur et avec un mot de passe long et sérieux).

Mais je ne suis pas spécialiste Ipcop ...
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes
Haut

Messagepar Nello » 06 Avr 2008 14:35

jdh a écrit:Effectivement tu n'as rien compris avec les adresses MAC. (Je ne dis pas ça méchamment : les processus en jeu, ARP, et RARP, sont complexes).

Ne t'inquiète pas, je ne le prends pas mal. Je n'y connais pas grand-chose à ce niveau. Juste les bases.

jdh a écrit:Sans connaître BOT, je peux imaginer que l'adresse MAC demandée est l'adresse MAC d'un PC du réseau interne (Green), bien évidemment, et sûrement pas celle de la freebox en Red !

Si tu veux administrer un Ipcop à distance, il vaut mieux ouvrir l'administration web (sur le port 445) à l'extérieur (en changeant de port bien sur et avec un mot de passe long et sérieux).

Mais je ne suis pas spécialiste Ipcop ...

C'est exactement ce que je fais depuis pas mal de temps pour administrer IPCOP de l'extérieur (sans BOT) : accès externe au port 445 pour une IP particulière. Port non conventionnel et mot de passe (très) long et compliqué.

Avec l'installation de BOT, j'ai placé l'adresse mac de la freebox en admin (puisque c'est celle-ci que IPCOP voit), puis j'ai ajouté les adresses mac de différents pc. Je n'ai voulu prendre aucun risque de me bannir car je suis très loin du réseau).

Pour le moment tout fonctionne (avec les règles données sur le site officiel)

:)
Avatar de l’utilisateur
Nello
Aspirant
Aspirant
 
Messages: 113
Inscrit le: 27 Déc 2004 19:15
Haut

Messagepar jdh » 06 Avr 2008 15:16

On peut imaginer que BOT construit une règle avec les adresses MAC et l'interface Green.

Donc il ne sert à rien de placer l'adresse MAC de la Freebox. (Sans compter que la meilleure utilisation de la Freebox est en mode "bridge" et là pas d'adresses !).

Mais j'insiste l'adresse MAC d'un routeur ne peut qu'avoir AUCUN sens : toutes les machines pourrait alors administrer !!
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes
Haut

Messagepar Poon » 06 Avr 2008 17:32

@Nello

Je te conseille d'installer OpenVPN pour l'administration à distance ... plus secure !

Tout comme toi, j'administre un IPCop à distance, pas d'admin sur place et ca fonctionne très bien ... Mais fais bien attention a ce que tu fais pour ne pas te couper l'accès !!!!! Par exemple, évite de lancer le setup en Putty : j'en ai fait la mauvaise expérience ce WE. En allant dans la partie Networking j'ai désactivé (sans le vouloir evidemment) les interfaces réseaux ... résultat : VPN et IPCop down : j'ai du gaiement me déplacer :)

@+
Poon
Second Maître
Second Maître
 
Messages: 36
Inscrit le: 03 Déc 2007 13:14
Haut

Messagepar Nello » 06 Avr 2008 18:17

jdh a écrit:On peut imaginer que BOT construit une règle avec les adresses MAC et l'interface Green.

Donc il ne sert à rien de placer l'adresse MAC de la Freebox. (Sans compter que la meilleure utilisation de la Freebox est en mode "bridge" et là pas d'adresses !).

J'ai fait ça car, ne connaissant pas du tout BOT, je voulais être absolument sûr de ne pas me couper l'accès à ipcop. Maintenant, tu me rassures, je vais pouvoir indiquer une autre adresse mac. Concernant l'utilisation de la Freebox en mode routeur, c'est une particularité de mon réseau : j'ai plusieurs sous-réseaux.

Poon a écrit:Je te conseille d'installer OpenVPN pour l'administration à distance ... plus secure !

Merci du conseil, je vais me pencher là-dessus. Cela-dit, aucune machine du réseau n'est allumée 24h/24 en dehors d'Ipcop et du serveur. J'ai bien un petit Pentium II 400 en rab qui pourrait servir, mais je ne pourrai pas le monter avant un petit bout de temps.

Merci à vous deux pour vos conseils :)
Avatar de l’utilisateur
Nello
Aspirant
Aspirant
 
Messages: 113
Inscrit le: 27 Déc 2004 19:15
Haut

Messagepar Poon » 06 Avr 2008 19:23

Nello a écrit:Merci du conseil, je vais me pencher là-dessus. Cela-dit, aucune machine du réseau n'est allumée 24h/24 en dehors d'Ipcop et du serveur. J'ai bien un petit Pentium II 400 en rab qui pourrait servir, mais je ne pourrai pas le monter avant un petit bout de temps.


OpenVPN s'installe sur la machine IPCop, pas besoin d'une autre machine ...

Vas voir sur ce site, tu auras tous les détails ... C'est très simple à mettre en place, secure et de plus tu as accès à toutes les machines de ton réseau à distance !

@+
Poon
Second Maître
Second Maître
 
Messages: 36
Inscrit le: 03 Déc 2007 13:14
Haut

Messagepar Nello » 07 Avr 2008 09:48

Bonjour,

zerina installé et fonctionnel. Je suis connecté avec l'adresse 192.168.4.6/255.255.255.252. Par contre, malgré la lecture du Newbie Kit, impossible d'accéder à l'admin d'Ipcop, même avec BOT désactivé. Même pas moyen de pinguer le serveur (192.168.2.2).

Red = 192.168.0.11
Green = 192.168.1.1
Orange = 192.168.2.1
OpenVpn = 192.168.4.0

Le fait d'être connecté au réseau avec OpenVPN GUI ne suffit pas ?
Avatar de l’utilisateur
Nello
Aspirant
Aspirant
 
Messages: 113
Inscrit le: 27 Déc 2004 19:15
Haut

Messagepar jdh » 07 Avr 2008 10:10

OpenVPN (alias Zerina) est un VPN entre un client (roadwarrior) et UN réseau (généralement le Green).

Il me semble qu'il faut ajouter le réseau Orange ... si tu veux accéder à ce réseau. Non ?


(Cela dit je ne connais pas l'interface)
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes
Haut

Messagepar Nello » 07 Avr 2008 10:30

Salut,

j'ai ajouté le réseau orange, mais je ne peut toujours accéder à aucune machine (ping, telnet, etc.). Pour info, je me connecte à partir d'un Windows Vista (uac désactivé donc je suis en admin). Ça peut peut-être jouer ?
Avatar de l’utilisateur
Nello
Aspirant
Aspirant
 
Messages: 113
Inscrit le: 27 Déc 2004 19:15
Haut

Messagepar jdh » 07 Avr 2008 10:53

La logique d'OpenVPN est que le fichier de conf du serveur intègre des lignes du type

push "route 192.168.x.x 255.255.255.0"
...

(je ne sais comment ce fichier s'appelle avec zerina ni où il est situé)

Il faut donc UNE route par réseau, bien sur.


Il semble normal qu'une fois connecté, le pc dispose des dites routes, ce qui peut être contrôlé par "route print" en ligne de commande (windows).
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes
Haut

Messagepar Nello » 07 Avr 2008 11:23

voici la configuration d'OpenVPN /var/ipcop/ovpn/server.conf
Code: Tout sélectionner
#OpenVPN Server conf

daemon openvpnserver
writepid /var/run/openvpn.pid
#DAN prepare ZERINA for listening on blue and orange
;local 192.168.0.11
dev tun
tun-mtu 1400
proto udp
port 1194
tls-server
ca /var/ipcop/ovpn/ca/cacert.pem
cert /var/ipcop/ovpn/certs/servercert.pem
key /var/ipcop/ovpn/certs/serverkey.pem
dh /var/ipcop/ovpn/ca/dh1024.pem
server 192.168.4.0 255.255.255.0
push "route 192.168.1.0 255.255.255.0"
status-version 1
status /var/log/ovpnserver.log 30
cipher BF-CBC
comp-lzo
max-clients 100
tls-verify /var/ipcop/ovpn/verify
crl-verify /var/ipcop/ovpn/crls/cacrl.pem
user nobody
group nobody
persist-key
persist-tun
verb 3

On voit bien push "route 192.168.1.0 255.255.255.0"

Lorsque je tape la commande "route print" sous Windows, voici le résultat (sans la table ipv6) :
Code: Tout sélectionner
===========================================================================
Liste d'Interfaces
13 ...00 ff 75 af 56 c0 ...... TAP-Win32 Adapter V9
  9 ...00 1b fc f1 7f bc ...... Attansic L2 Fast Ethernet 10/100Base-T Controlle
r
  8 ...00 15 af 30 78 fc ...... Atheros AR5006EG Wireless Network Adapter
  1 ........................... Software Loopback Interface 1
12 ...00 00 00 00 00 00 00 e0  isatap.{19D73F3F-1A41-4F67-8A00-735DB67CAA4D}
11 ...00 00 00 00 00 00 00 e0  isatap.{C5F79127-2E23-40CB-A373-9D45C0EC3004}
10 ...02 00 54 55 4e 01 ...... Teredo Tunneling Pseudo-Interface
15 ...00 00 00 00 00 00 00 e0  Carte Microsoft ISATAP #3
===========================================================================

IPv4 Table de routage
===========================================================================
Itinéraires actifs :
Destination réseau    Masque réseau  Adr. passerelle   Adr. interface Métrique
          0.0.0.0          0.0.0.0    192.168.0.254     192.168.0.10     25
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
      169.254.0.0      255.255.0.0         On-link       192.168.4.6     30
  169.254.255.255  255.255.255.255         On-link       192.168.4.6    286
      192.168.0.0    255.255.255.0         On-link      192.168.0.10    281
     192.168.0.10  255.255.255.255         On-link      192.168.0.10    281
    192.168.0.255  255.255.255.255         On-link      192.168.0.10    281
      192.168.1.0    255.255.255.0      192.168.4.5      192.168.4.6     31
      192.168.4.1  255.255.255.255      192.168.4.5      192.168.4.6     31
      192.168.4.4  255.255.255.252         On-link       192.168.4.6    286
      192.168.4.6  255.255.255.255         On-link       192.168.4.6    286
      192.168.4.7  255.255.255.255         On-link       192.168.4.6    286
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link      192.168.0.10    281
        224.0.0.0        240.0.0.0         On-link       192.168.4.6    286
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link      192.168.0.10    281
  255.255.255.255  255.255.255.255         On-link       192.168.4.6    286
===========================================================================
Itinéraires persistants :
  Aucun


J'utilise la version 2.1_rc7 de OpenVpen GUI, et je redirige le port 1194 en udp de la Freebox vers Ipcop.
Avatar de l’utilisateur
Nello
Aspirant
Aspirant
 
Messages: 113
Inscrit le: 27 Déc 2004 19:15
Haut

Messagepar jdh » 07 Avr 2008 12:24

Comme je le dis, un seul "push route" vaut un seul réseau accessible ! Il manque le push route de la zone Orange.

Le route print est conforme donc, bon signe. ce qui semble indiquer que le vpn est OK avec le bon renvoi, ... Il est vraisemblable qu'un ping sur un PC en Green devrait fonctionner ...

(Mais comment fait on ? Modifier à la mano le fichier de conf ? Non surement !)
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes
Haut
Suivant
Publier une réponse

Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

Powered by boolaz
cron