DMZ inaccessible..Au secours !

[n0b0dY]

Bonjour, tout est dans le titre, je suis complètement paumé..

Je suis étudiant en fin de cycle et je dois rendre dans 3 semaines mon rapport de fin d etudes j ai choisi la mise en place d un IPCOP au sein d un réseau.
Je vais tenter de détailler au maximum ma configuration actuelle :

Freebox 192.168.0.254 (routeur et DHCP activé)
IPCOP> VERT ROUGE ORANGE

@ IP Vert : 192.168.1.1
@ IP Rouge : DHCP (branchée directement sur la freebox)
@ IP Orange : 192.168.2.1

J'ai configuré l IPCOP le plus basiquement possible, lui ai mis un petit DHCP sur l interface VERTE et les PC clients clients obtiennent bien une @ IP. Jusqu ici tout va bien.

J'ai mis un PC sous Linux (Ubuntu) en serveur sur la carte ORANGE j ai installé Apache et il marche bien (http://localhost ou http://192.168.2.2 : La page apparait : It Works!) et lui ai attribué :

@ IP 192.168.2.2
Passerelle : 192.168.2.1
Classe C (255.255.255.0)

J'ai été dans Transfert de Ports j'ai activé une redirection de :

Default IP vers > 192.168.2.2 sur le Port 80 mais je n accede pas a la page d accuil d Apache depuis l exterieur (si je mets mon @ IP Publique dans le navigateur il mindique une page d'erreur :

"ERROR
The requested URL could not be retrieved

While trying to retrieve the URL: http://81.57.177.52/

The following error was encountered:

* Connection to 81.57.177.52 Failed

The system returned:

(113) No route to host

The remote host or network may be down. Please try the request again.

Your cache administrator is webmaster.
Generated Wed, 13 Aug 2008 16:34:56 GMT by ipcop.localdomain (squid/2.6.STABLE21) "

Cependant on voit bien à la fin de l erreur le nom de ma machine (ipcop.localdomain) et il spécifie meme la version de squid : 2.6Stable etc..)

De même (et pire encore) si en local je vais sur un de mes clients connectés au GREEN (192.168.1.X) je peux pinger la CARTE RESEAU ORANGE (192.168.2.1) mais pas le serveur Ubuntu (192.168.2.2)

Ca je l attribue au fait que ce soit une DMZ et donc jimagine que c'est normal....

Ma question est la suivante :

Comment rendre ma DMZ accessible depuis l exterieur ?
Dois je configurer un fichier relatif a Apache ?

Bref je suis preneur de nimporte quelle proposition je suis desespéré
Je précise que je suis debutant et que je n ai pas de grosse connaissances en Unix etc..

Merci d avance pour toutes reponses.

[ccnet]

On en parlait encore aujourd'hui :

Freebox 192.168.0.254 (routeur et DHCP activé)
IPCOP> VERT ROUGE ORANGE

@ IP Vert : 192.168.1.1
@ IP Rouge : DHCP (branchée directement sur la freebox)

Configuration régulièrement déconseillée. Mettre la freebox en pont pour avoir l'ip publique sur RED.
Désactiver tout proxy. Tester à nouveau. Vérifier par un tracert vers 81.57.177.52 que vous arrivez bien à destination. Regarder les logs ipcop.

Default IP vers > 192.168.2.2 sur le Port 80

C'est correct.

Pour l'instant le tracert fonctionne mais pas d'accès à Apache.

[jdh]

ccnet, qui a le plus souvent raison, oublie juste de compléter un petit point :

- on ne teste pas de Green l'accès extérieur à un serveur en DMZ : on le teste réellement de l'extérieur !
la réponse obtenue, et indiquée, est celle de Squid installé sur l'IPCOP pour un PC en Green.


Bien évidemment, je confirme, on le répète à longueur de jour : la Freebox est mieux en bridge.

[ccnet]

- on ne teste pas de Green l'accès extérieur à un serveur en DMZ : on le teste réellement de l'extérieur !

C'est mille fois exact, il en était autrement ici ?

[n0b0dY]

Bonsoir, et merci pour vos réponses.

Je ne sais pas vraiment ce que vous entendez par "freebox en bridge", actuellement elle est connectée directement a RED et lui donne une adresse IP. RED distribue ensuite des @ IP à mes clients (VERT) et ils arrivent à accéder a internet etc.

Comment installer la freebox "en bridge" ?

Autre chose, je ne sais pas si j'ai bien fait, mais j'ai été sur l interface d'administration de free et j ai paramétré les redirections des ports 80, 445 et 21 (je compte faire du ftp) vers l'@ IP que recoit mon IPCOP de free (192.168.0.101)...

Ai je fait une betise ?

A savoir que si je desactive le Routeur et le DHCP de la freebox je n ai plus du tout d internet..

Désolé d'être aussi nul, merci d'avance pour vos réponses.

Je joint un screnshot de ma configuration Free :

[ccnet]

Ai je fait une betise ?

Oui. Supprimez tout cela.

Comment installer la freebox "en bridge" ?

Décochez la première case : "Si vous souhaitez activer ce service". C'est en référence au mode routeur donc la réponse est non.

A savoir que si je desactive le Routeur et le DHCP de la freebox je n ai plus du tout d internet..

Faux. Votre ip publique se trouvera sur l'interface RED d'ipcop. La freebox devient un simple modem.

Redémarrez la freebox puis ipcop. Ensuite vérifez sur la console ipcop que vous avez bien votre ip publique sur RED.

[Gesp]

La première chose a dire, c'est si la Freebox est dégroupée ou pas.

Dans le cas d'une configuration dégroupée, effectivement ne pas mettre la freebox en routeur dans l'interface de configuration de Free et l'interface RED pourra utiliser l'adresse publique, que ce soit en IP statique ou en dhcp.


Dans le cas d'une configuration non dégroupée, de manière identique ne pas mettre la freebox en routeur et l'interface RED, configurée en PPPoE (dans setup et l'interface web) pourra utiliser une adresse publique attribuée par le serveur PPP. Cette adresse publique sera fixe si cette option a été demandé dans l'interface Free. Cela est conseillé parce que ce sera beaucoup plus fiable, surtout pour héberger un serveur accessible depuis le net.

Dans les 2 cas, la configuration freebox routeur est à déconseiller parcequ'elle rajoute un second niveau de NAT à celui que fait IPCop. Ce double NAT occasionnera des problèmes potentiels avec des VPN (je suis sûr que les profs vous demanderont d'ailleurs lesquel alors autant vous documenter sur ce point).

[n0b0dY]

Tout d'abord merci pour vos réponses !

Vous aviez raison pour ce qui était de désactiver les NAT de la freebox, je l ai désactiver et jai donc la freebox "en bridge" elle donne bien l'adresse publique à IPCOP, et IPCOP distribue bien le DHCP aux clients du réseau.

Pour mes interfaces RED ET GREEN tout est rentré dans l'ordre, j'ai même installé quelques addons afin de peaufiner les réglages. Ce pendant l'interface ORANGE ne fonctionne toujours pas :/

J'explique :

ORANGE est en 192.168.2.1 et le serveur Ubuntu branché dessus est en 192.168.2.2
Apache est bien installé puisque si je mets le serveur dans le reseau GREEN les clients accedent aux pages web (http://192.168.1.2 réseau vert en 1.x)

Mais on dirait que l'interface ORANGE est completement inactive au sein d'IPCOP :

Depuis le serveur (192.168.2.2) je ne peux pas :

- Faire de Pings sur 192.168.2.1 (passerelle ORANGE)
- Faire de pings sur 192.168.1.1 ni sur 192.168.1.30 (client PC)
- Faire de pings sur www.google.fr ni sur une ip publique...
- La résolution de nom ne fonctionne pas....

J'ai verifié il n y a aucun parefeu sur le serveur et j ai créé des regles dans l interface DMZ d ipcop, je joint les screenshot pour preuve...

J en viens a me demander si mon "iptables" IPCOP n'a pas omis l interface ORANGE dans sa configuration car même apres l installation d un plugin (whoisonline) il ne voit personne sur l interface ORANGE par contre il voit bien l interface GREEN et RED ainsi que les ordinateurs connectés a ces derniers. Il y a meme un bouton pour un "Scan" des interfaces mais même en scannat l interface Orange depuis ce plugin il ne voit rien...

Serait ce possible que le pilote de la carte reseau soit corrompu (meme si ce serait etonnant car les 3 cartes sont identiques...)

Bref je ne sais plus trop quoi faire....Auriez vous une idée ??

Les screenshots :



et




Edit 1 : Question, j'aimerais installer le module "P2PBlock" j'ai lu sur le site qu'il y avait quelques "prérequis" :

1.
1. Obligatoire :
o Avoir une machine avec la version minimale d'IPCOP 1.4.11 uniquement (à cause de la version du kernel : 2.4.31)
o Avoir installé layer7_ipcop_1.4.11.tar.gz valide pour un kernel 2.4.31

Information kernel :

kernel 2.4.34 recompilé avec layer7.

* Avoir une machine avec la version minimale d'IPCOP 1.4.13 à 1.4.15 uniquement (à cause de la version du kernel : 2.4.34)
* Avoir installé ipcop-1.4.15-kernel.tar.bz2 valide pour un kernel 2.4.34.


Moi mon IPCOP est en version : 2.4.36 et je n'ai pas encore installé "layer7", à l heure actuelle sur une version 2.4.36 puis je prendre le risque d'installer de tels modules ? Ou est ce trop dangereux/instable ?

Edit 2 :

Comme je me rends compte que rien n est routé vers ma DMZ (et inversement) j'ai regradé ma table de routage dans IPCOP :

Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.2.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
81.57.177.0 0.0.0.0 255.255.255.0 U 0 0 0 eth2
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
0.0.0.0 81.57.177.254 0.0.0.0 UG 0 0 0 eth2

Je me pose une question, si je change la "gateway" de ORANGE (actuellement eth1 : 192.168.2.0 de 0.0.0.0) que je remplace 0.0.0.0 en 192.168.1.0 ca devrait router automatiquement vers l interface GREEN non ?

Et si oui comment modifier cette valeur dans IPCOP ?

Merci d'avance !

[gemoussier]

Bonjour,

- Faire de Pings sur 192.168.2.1 (passerelle ORANGE)
- Faire de pings sur 192.168.1.1 ni sur 192.168.1.30 (client PC)
- Faire de pings sur www.google.fr ni sur une ip publique...
- La résolution de nom ne fonctionne pas....

Pas d'ICMP depuis la zone orange, donc ici tout est normal. La zone orange doit utiliser un serveur DNS externe (par exemple celui du FAI) ou un serveur DNS dans la zone orange, IPCop ne peut pas servir de serveur DNS pour la zone orange.

Je ne vois pas l'intérêt des accès DMZ orange -> vert, à moins que vous ne souhaitiez accéder à ces services de la zone verte depuis la zone orange, ce qui est bien sûr déconseillé.

En ce qui concerne, les tranferts de ports ils semblent être corrects, l'accès à votre serveur web devrait fonctionner depuis l'extérieur (à tester depuis l'extérieur). Puisque vous êtes chez free, vous pouvez utiliser leur proxy (proxy.free.fr:3128) pour simuler un accès extérieur, il vaut mieux désactiver le proxy d'IPCop pendant le test (d'autant plus s'il est transparent).

Enfin, je déconseille aussi fortement toute modification manuelle d'iptable ou de la table de routage d'IPCop. Votre table de routage est normale :
192.168.2.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1 -> utiliser eth1 pour atteindre le réseau 192.168.2.0/24
81.57.177.0 0.0.0.0 255.255.255.0 U 0 0 0 eth2 -> utiliser eth2 pour atteindre le réseau 81.57.177.0/24 (et donc atteindre la passerelle 81.57.177.254 qui va suivre)
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0 -> utiliser eth0 pour atteindre le réseau 192.168.1.0/24
0.0.0.0 81.57.177.254 0.0.0.0 UG 0 0 0 eth2 -> passerelle par défaut 81.57.177.254 via eth2

Une passerelle 0.0.0.0 indique que le réseau est directement connecté à l'interface, il n'y a donc pas à utiliser un routeur intermédiaire.

[ccnet]

Mais on dirait que l'interface ORANGE est completement inactive au sein d'IPCOP :

Que donne la sortie de ifconfig sur la machine ipcop ?

En dehors de cela je ne peux que vous conseiller vivement de vous en tenir aux suggestions faites dans la réponse précédente.

[n0b0dY]

Voici le résultat d ifconfig sur IPCOP :

root@ipcop:~ # ifconfig
eth0 Link encap:Ethernet HWaddr 00:03:CD:81:95:92
inet addr:192.168.1.1 Bcast:192.168.1.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:1056827 errors:0 dropped:0 overruns:0 frame:0
TX packets:1459687 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:381926800 (364.2 MB) TX bytes:1551771779 (1479.8 MB)
Interrupt:12 Base address:0x2000

eth1 Link encap:Ethernet HWaddr 00:03:CD:82:93:70
inet addr:192.168.2.1 Bcast:192.168.2.255 Mask:255.255.255.0
UP BROADCAST MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:48 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:0 (0.0 b) TX bytes:2880 (2.8 KB)
Interrupt:11 Base address:0x4000

eth2 Link encap:Ethernet HWaddr 00:03:CD:81:95:93
inet addr:81.57.177.52 Bcast:81.57.177.255 Mask:255.255.255.0
UP BROADCAST NOTRAILERS RUNNING MTU:1500 Metric:1
RX packets:1383490 errors:0 dropped:0 overruns:0 frame:0
TX packets:1018769 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:1538674132 (1467.3 MB) TX bytes:377810715 (360.3 MB)
Interrupt:5 Base address:0x6000

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:40915 errors:0 dropped:0 overruns:0 frame:0
TX packets:40915 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:17486903 (16.6 MB) TX bytes:17486903 (16.6 MB)

J'ai également testé de passer par un proxy exterieur et d'accéder à mon IP PUBLIQUE mais rien...

Cette interface ORANGE va finir par me rendre fou

Autre chose, j'aimerais bloquer messenger, msn et autres saletés...l'installation de layer7 + p2pblock est elle envisageable ou est ce trop risqué ? Peut il fonctionner sur un IPCOP 2.4.36 (sachant que je n envisage pas de faire de futures mises a jour de mon IPCOP) car urlfilter ne bloque pas le lancement de MSN :/

Merci d'avance !

[ccnet]

Pas de problème matériel a piori avec l'interface orange, elle semble fonctionnelle.
Dans Orange vous avez une machine avec une interface graphique et un navigateur ?
Comment est établie la connexion, physiquement, entre ipcop et la machine en Orange ?

Si oui :
1. Désactivez tous les addons et proxy sur ipcop.
2. Vérifiez la config éseau avec : une ip statique. une gateway qui point sur l'ip d'Orange, les dns de free sur cette machine (212.27.54.252, ....).
3. Essayez d'accéder au net avec cette machine.

Indiquez le résultat.

Confirmez que tous est ok de de green vers l'extérieur.

[n0b0dY]

Merci de votre réponse, voici les éléments :

Dans Orange vous avez une machine avec une interface graphique et un navigateur ?
Comment est établie la connexion, physiquement, entre ipcop et la machine en Orange ?

Dans ORANGE j'ai un laptop qui tourne sous "Ubuntu Hardy Heron"
J'y ai installé Apache et la page est accessible depuis 127.0.0.1, localhost et 192.168.2.2.
Si je mets ce portable sur le réseau GREEN avec une adresse IP en 192.168.1.x les autres PC de GREEN y accedent.

La connexion entre le portable Ubuntu jouant le role de serveur se fait en ethernet par un cable droit.
L adresse IP est fixe en 192.168.2.2 et la passerelle est en 192.168.2.1 (IP carte ORANGE)
J'ai désactivé les addons et mis les DNS de FREE mais rien n a changé...

Je suis en train de télécharger une version de Windows SBS afin de voir si cela vient d un probleme systeme ou firewall etc...

Je ne sais vraiment pas quoi faire d'autres...

Merci.

[gemoussier]

La connexion entre le portable Ubuntu jouant le role de serveur se fait en ethernet par un cable droit.

Attention, si le serveur est relié directement à la machine IPCop (sans switch ou hub), il est plus courant d'utiliser un câble croisé, toutes les cartes réseaux ne permettent pas les deux modes (auto mdi/mdix). Essayez donc avec un câble croisé, ou droit en intercalant temporairement un switch.

[ccnet]

Je ne sais vraiment pas quoi faire d'autres...

Connexion directe ou via hub / switch ?

J'ai désactivé les addons et mis les DNS de FREE mais rien n a changé...

C'est à dire ?

Vous êtes très brouillon. Essayez de ne pas pas tester tout et n'importe quoi dans n'importe quel ordre.