probleme Firewall

[guidorange]

Après avoir résolu mon problème de pppoe, j'ai un petit souci avec le firewall qui bloque une route !

Voila avec un schéma c'est plus simple !



J'ai besoin que LAN A soit en contact avec LAN B, car à l'interieur du LAN B ou GREEN, j'ai une application (Aloes pour ceux qui connaise). et les gens du LAN B on besoin d'avoir accès au serveur 192.168.0.4 ( MOn serveur d'appli Aloes)

Au niveau des routeurs ce sont du cisco

routeur A ( table de routage )

S 192.168.0.0/24 [1/0] via 192.168.254.1
C 192.168.254.0/24 is directly connected, Serial0
S 192.168.1.0/24 [1/0] via 192.168.2.254
C 192.168.2.0/24 is directly connected, Ethernet0

routeur B ( table de routage )

C 192.168.0.0/24 is directly connected, Ethernet0
C 192.168.254.0/24 is directly connected, Serial0
S 192.168.1.0/24 [1/0] via 192.168.254.2
S 192.168.2.0/24 [1/0] via 192.168.254.2


Au niveau des pings :

un pc du LAN B réussit a pinger un pc du LAN A

un pc du LAN A n'arrive pas a pinger un pc du LAN B et donc a contacter 192.168.0.4 mon serveur d'appli !


un pc du LAN A arrive seulement a contacter le 192.168.0.251 c'est à dire la passerelle coté LAN B

Au départ je pensai à un problème sur le routeur B, mais non. Car lorsque j'ai fait iptables -F sur ipcop je n'ai pas eu de probleme. C'est à dire que un pc du LAN A a reussi a pinger un pc du LAN B !

Avez vous une idée de ce qui pourrai bloquer ou alors ai -je besoin de rajouter une règle iptable.

je cherche, merci de m'aider si vous pouvez !

[ccnet]

j'ai un petit souci avec le firewall qui bloque une route !

Je ne suis pas certain de comprendre ...

Pouvez vous poster un schéma complet et non celui ci qui laisse de coté ipcop.

[guidorange]

voila , j'espere que ca sera plus clair.



A priori c vrai , on pourrai croire qu'il n'y a aucun rapport avec ipcop, c'est ce que je croyai. Mais pourquoi quand je fais iptables -F le LAN A arrive a pinger le LAN B !
[/img]

[ccnet]

A priori le problème est le routage retour. Pour les machines de LAN B (Edit : et non A bien sûr) quelle est la passerelle par défaut ? j'imagine que c'est la patte verte d'ipcop en 192.168.0.254. Et bien sur ipcop ne sait pas joindre tout seul le réseau 192.168.2.0, il ne possède pas les informations pour savoir qu'il faut passer par 192.168.0.251. L'ajout de cette route sur ipcop devrait régler votre problème.

[guidorange]

si la route est présente , j'ai rajouté cela :

route add -net 192.168.2.0/24 gw 192.168.0.251 dans /etc/rc.d/rc.local

les users du LAN B comme je le disais plus haut arrive bien a pinger les pc du LAN A.

c'est le contraire qui fonctionne pas. C'est à dire les gens du LAN A n'arrive pas a pinger les pc du LAN B et donc le serveur 192.168.0.4.

un traceroute fait dans le LAN A se bloque au routeur B.

La passerelle par défault du LAN B est 192.168.0.254

La passerelle par défault du LAN A est 192.168.2.1

[ccnet]

c'est le contraire qui fonctionne pas. C'est à dire les gens du LAN A n'arrive pas a pinger les pc du LAN B et donc le serveur 192.168.0.4.

J'avais bien compris mais mon msg comportait une erreur que je viens d'éditer.

Si, pour test, vous donnez comme passerelle 192.168.0.252 à une machine de LAN B, est elle joignable depuis LAN A ? Si non c'est votre table de routage sur routeur B qui pose problème. Si oui problème sur ipcop.

J'ai chez un client une configuration qui relève d'un problème similaire. Ma ligne de commande sur ipcop est :

Code: Tout sélectionner

route add -net 192.168.99.0 netmask 255.255.255.0 gw 192.168.1.241 eth0

[guidorange]

il ya du mieux .... mais c'est pas encore ça :

du LAN A j'arrive a pinger 192.168.0.254 ( passerelle LAN B) , j'ai rajouter la route :
192.168.254.0 192.168.0.251 255.255.255.0 UG 0 0 0 eth0

route -n du IPCOP

Code: Tout sélectionner

Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
X.X.X.X         0.0.0.0         255.255.255.255 UH    0      0        0 ppp0
10.0.0.2        0.0.0.0         255.255.255.255 UH    0      0        0 tun0
10.0.0.0        10.0.0.2        255.255.255.0   UG    0      0        0 tun0
192.168.2.0     192.168.0.251   255.255.255.0   UG    0      0        0 eth0
192.168.1.0     192.168.0.251   255.255.255.0   UG    0      0        0 eth0
172.20.0.0      0.0.0.0         255.255.255.0   U     0      0        0 eth1
192.168.0.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0
1.1.1.0         0.0.0.0         255.255.255.0   U     0      0        0 eth2
192.168.254.0   192.168.0.251   255.255.255.0   UG    0      0        0 eth0
0.0.0.0             X.X.X.X                  0.0.0.0         UG    0      0        0 ppp0



mais je ne ping pas les pc du LAN B et donc j'arrive pas a pinger 192.168.0.4 mon serveur.

[ccnet]

Ne voulez vous pas repartir sur une configuration "propre" avec uniquement cette route ajoutée sur ipcop :

route add -net 192.168.2.0 netmask 255.255.255.0 gw 192.168.0.251 eth0

qui est la route retour. Le routage vers 192.168.254.0 n'a pas à être connu d'ipcop puisque ce n'est pas une destination utilisée. C'est au routeur B de s'en occuper.

Avez vous fait le test proposé plus haut ?

[guidorange]

Non je n'ai pas fait le test car en faite j'ai changer mon ancien routeur fedora par ipcop. et donc comme j'ai rien touché au 2 routeurs CISCO ( A et B)le pb ne vient pas de la .

les route de mon ex routeur sont celle-ci.

Code: Tout sélectionner

Destination     Passerelle      Genmask         Indic Metric Ref    Use Iface
196.192.40.1    0.0.0.0         255.255.255.255 UH    0      0        0 ppp0
192.168.2.0     192.168.0.251   255.255.255.0   UG    0      0        0 eth0
192.168.1.0     192.168.0.251   255.255.255.0   UG    0      0        0 eth0
172.20.0.0      0.0.0.0         255.255.255.0   U     0      0        0 eth2
192.168.0.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0
192.168.254.0   192.168.0.251   255.255.255.0   UG    0      0        0 eth0
169.254.0.0     0.0.0.0         255.255.0.0     U     0      0        0 eth2
10.0.0.0        0.0.0.0         255.0.0.0       U     0      0        0 eth1
0.0.0.0         196.192.40.1    0.0.0.0         UG    0      0        0 ppp0



et
les route de mon ipcop comme dit plus haut sont :

Code: Tout sélectionner

Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
196.192.40.1    0.0.0.0         255.255.255.255 UH    0      0        0 ppp0
10.0.0.2        0.0.0.0         255.255.255.255 UH    0      0        0 tun0
10.0.0.0        10.0.0.2        255.255.255.0   UG    0      0        0 tun0
192.168.2.0     192.168.0.251   255.255.255.0   UG    0      0        0 eth0
192.168.1.0     192.168.0.251   255.255.255.0   UG    0      0        0 eth0
172.20.0.0      0.0.0.0         255.255.255.0   U     0      0        0 eth1
192.168.0.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0
1.1.1.0         0.0.0.0         255.255.255.0   U     0      0        0 eth2
192.168.254.0   192.168.0.251   255.255.255.0   UG    0      0        0 eth0
0.0.0.0         196.192.40.1    0.0.0.0         UG    0      0        0 ppp0


donc pour moi c'est la meme chose !

[guidorange]

le truc que je comprend pas , c'est pourquoi je ping la passerelle du LAN B c'est à dire 192.168.0.254 quand je suis sur le routeur A. mais pourquoi je n'arrive pas à pinger des postes du Lan B comme 192.168.0.4 ou autre ????

[jdh]

Quand on peut pinger l'interface "immédiate" d'une machine, on peut pinger TOUTES les interfaces de cette machine !


La méthodologie de test consiste à faire des ping de proche en proche.
Il n'est JAMAIS acquis que les routes retour fonctionnent !