Ipcop Exchange 2007

par **Yoda** » 11 Nov 2009 17:08

Bonjour,

ma config:

switch 3 pattes sont utilisées de cette manière
patte 1: vlan user connectée à l'interface RED de IpCop
patte 2: vlan serveur connectée a un switch avec 6 serveur dessus
patte 3: vlan téléphonie connectée a un switch POE

la patte GREEN de Ipcop est connectée sur un switch avec les users derrière.

problème:

mes users n'arrivent pas à recevoir le courrier qui est stocké dans l'exchange 2007 hébergé dans le vlan serveur...

je pense a un pb de routage comment est-il possible de le résoudre ?

je dois pouvoir résoudre mon problème en ajoutant une interface DMZ à Ipcop et en y intégrant mes server dans ce cas, mon soucis va ce reproduire avec mon vlan téléphonie...

merci de vos réponses.

par **ccnet** » 11 Nov 2009 22:04

Ipcop ne gère pas les vlans. Ce n'est peut être pas la raison de votre problème.

patte 1: vlan user connectée à l'interface RED de IpCop

Je ne comprend pas cette configuration. "User" ça ne rime pas avec RED sur Ipcop.
et

la patte GREEN de Ipcop est connectée sur un switch avec les users derrière.

Je comprend de moins en moins.
Un schéma s'impose.

De façon générale sur le plan de l'architecture la place des serveurs est dans la dmz pour ceux qui reçoivent du trafic provenant d'internet. Dans votre cas, le problème est si brouillon que l'on ne peut rien ajouter.

par **Franck78** » 11 Nov 2009 22:53

Vu qu'il y a SIX serveurs, des users (clients) et que le problème concerne UN service (smtp?,pop,connecteur exchange), ce n'est probablement pas un routage défectueux. Plutôt un filtrage.

Mais sans info (nouveau problème, vient de se déclarer,changement de machine, ou autre), pas la peine de chercher plus!

par **ccnet** » 12 Nov 2009 00:59

Vu l'usage fait d'ipcop , qui semble inhabituel, cela "sent" effectivement le transfert de port manquant dans une config un peu spéciale.

par **Yoda** » 12 Nov 2009 08:43

mon infra:

net --> fw juniper 3 pattes

--> patte 1 nml --> switch --> default (acces au net)
--> patte 2 dmz1 --> switch --> server
--> patte 3 dmz2 --> switch --> server web

le switch est le même pour les 3 pattes, avec 3 vlan dedans, nml, servers, server web.

l'interface RED de ipcop est connectée dans le vlan default, l'interface GREEN est connectée dans le vlan user.

le but est de mettre en place IpCop en 2 ème rideau et utiliser urlfilter uniquement pour le vlan user. mais mais user doivent avoir accès a l'exchange qui est dans le vlan server...

je ne sais pas comment configurer ipcop pour que mes users accèdent à l'exchange... la connection ce fait vers l'exchange, mail les mails ne rentrent pas... les connections rdp baguottent...

existe-il une solution avec cette config pour autoriser les user à recevoir les mail de exchange ?

je pense qu'en rajoutant une carte ORANGE, et en la connectant dans le vlan server, cela devrait marché...

merci de vos réponses.

par **Franck78** » 12 Nov 2009 10:09

c'est quand même très fort: tu nous décris trois réseaux vlans dont deux sont connectés par IPCop et tu penses qu'en reliant le troisième d'une façon une d'une autre cela pourrait marcher!
Faut-il vraiment répondre?

IPCop en deuxième rideau? C'est quoi le premier? Un autre routeur cisco (ou autre) qui lie tes trois vlans et produit donc une boucle entre tout ce mélange?

par **jdh** » 12 Nov 2009 10:15

La logique d'un ipcop c'est que sa carte RED soit directement connecté au modem ou routeur pour l'accès à internet. Donc, il n'y a pas lieu DU TOUT de connecter RED à un switch (même via un vlan).

De même le réseau Orange étant connecté à Orange et uniquement à lui, le plus simple est de dédier un switch sans vlan.

Bref le vlan ne saurait être d'intérêt que pour le Green.

(Enfin c'est mon avis personnel. Mais en même temps je n'ai pas pratiqué les vlan, enfin en pro).

par **Yoda** » 12 Nov 2009 12:09

aie je viens de relire mon post il est incomplet.

net --> fw juniper 8 pattes

--> patte 1 nml --> switch --> default (acces au net)
--> patte 2 dmz1 --> switch --> server
--> patte 3 user --> switch --> user
ca c'est la partie qui nous intérresse... ensuite...
-->patte 4 dmz2 --> switch --> server web
... etc patte 5 --> société 2... patte 6 --> société 3 etc....

les autres pattes non utilisées mais non aucune importance dans notre cas.

je veux simplement placé IpCop entre la patte nml (donnant accès au net) et le switch user.

actuellement mon IpCop dispose seulement de 2 interface RED connecté dans le vlan donnant accès au net, et une interface GREEN connecté sur le switch user.

quand je change la gateway distribué par mon switch, les users recoivent bien une ip, on accès au net et les url sont filtrées. j'ai bien accès a mes serveur, par contre, comme je l'écris, les mail ne rentrent pas, et les connections rdp baguottent. a mon avis cela fonctionne mal car il y a du routage en place sur le switch au dessus de ipcop.

mon objectif est de rajouter une interface ORANGE et de la connecter dans le vlan server pour résoudre mon pb de déconnexion intempestive du service rdp et surtout recevoir mes e-mail... pourquoi cela ne fonctionnerait-il pas ?

tu nous décris trois réseaux vlans dont deux sont connectés par IPCop

Non seulement le reseau GREEN est connecté a Ipcop

IPCop en deuxième rideau? C'est quoi le premier?

le juniper comme expliquer net -->juniper--> etc...

La logique d'un ipcop c'est que sa carte RED soit directement connecté au modem ou routeur pour l'accès à internet.

A bon et pourquoi ?

De même le réseau Orange étant connecté à Orange et uniquement à lui, le plus simple est de dédier un switch sans vlan.

sur un switch de 24 ports je connecte 6 servers et les autres ports ne servent à rien... sur ce même switch j'ai plusieurs vlan je ne vois pas ou est le pb.

Bref le vlan ne saurait être d'intérêt que pour le Green

j'ai de la télephonie ip dessus aussi...

merci de vos remarques.

par **jdh** » 12 Nov 2009 13:03

Un vlan n'assure pas la même sécurité qu'un switch séparé et dédié. Enfin me semble-t-il. (Il existe des outils pour "sortir" de son vlan, je n'en citerais pas !).

Je ne vois absolument pas pourquoi le routeur n'est pas connecté directement à la carte Red. C'est la porte ouverte à toutes les fenêtres ! Dans un schéma logique, sûr et sain, il ne doit y avoir qu'un câble entre le routeur et Red parce qu'il ne doit y avoir aucune machine entre les deux. Donc autant brancher le routeur directement sans passer par un switch.

Enfin pourquoi pas un vlan physique par port (p1 : Orange, p2: serv1, p3: serv3, ...) ? Cela fait une économie mais, comme il y a risque de passage outre vlan, je ne mettrais rien d'autres sur le switch. Donc autant mettre un switch dédié.

A la rigueur, je partagerai un switch entre 2 dmz mais jamais je ne mélangerais vert et orange.

Mais encore une fois, ce n'est que mon avis.

par **Yoda** » 12 Nov 2009 15:23

Je ne vois absolument pas pourquoi le routeur n'est pas connecté directement à la carte Red. C'est la porte ouverte à toutes les fenêtres ! Dans un schéma logique, sûr et sain, il ne doit y avoir qu'un câble entre le routeur et Red parce qu'il ne doit y avoir aucune machine entre les deux. Donc autant brancher le routeur directement sans passer par un switch.

je suis supris de cette réponse !!! comment fait tu pour mettre en place 2 rideaux de fw dans ton hypothèse ?

Enfin pourquoi pas un vlan physique par port (p1 : Ora

mais port de switch n'acceptent qu'une mac adresse.

merci encore de ta pertinence.

bonne journée.

par **Mister-Magoo** » 12 Nov 2009 15:33

Je ne comprends toujours pas pourquoi cascader 2 firewalls ...

par **Yoda** » 12 Nov 2009 15:40

Je ne comprends toujours pas pourquoi cascader 2 firewalls

augmenter la sécurité d'un réseau par exemple !!!

rideau 1 fw marque x, rideau 2 fw marque y

par **ccnet** » 12 Nov 2009 16:16

Yoda a écrit:
Je ne comprends toujours pas pourquoi cascader 2 firewalls

augmenter la sécurité d'un réseau par exemple !!!

rideau 1 fw marque x, rideau 2 fw marque y

Illusoire ! Cela ne fait qu'augmenter la complexité donc les risques. Si vous voulez augmenter votre niveau de sécurité c'est sans doute possible. Sur la méthode, les outils vous faites fausse route.

Une part importante de l'augmentation de votre niveau de sécurité réside très probablement dans la façon de mettre en œuvre l'existant autant en terme de méthode de travail que d'outils.

Une remise à plat s'impose. Tout cela va vers un plat de spaghettis ingérable. Ipcop n'est pas fait pour ce que vous en attendez.

Je confirme que le saut de Vlan est possible. Tout dépend des switchs, de leur paramétrage, de leur marque, de leur firmeware, de leur charge. Le Vlan peut être un élément de sécurité, mais sa simple présence ne garantie rien. Comme jdh je suis formel : pas de Vlan sur le même switch entre l'interne et une dmz

par **jdh** » 12 Nov 2009 16:19

La seule justification de brancher Red sur un switch pourrait être un schéma comme

Internet <-> fw1 <-> switch dmz <-> fw2 <-> switch réseau interne

avec sur le switch dmz à la fois fw1, fw2 et les serveurs en dmz.

Mais un schéma

Internet <-> fw1 <-> fw2 <-> switch réseau interne

n'a jamais amélioré la sécurité CONTRAIREMENT à ce qu'on peut croire en première analyse.

Je pense même que ce type de schéma augmente l'insécurité SI une discipline drastique n'est pas en parallèle mise en place. Notamment si les 2 firewalls sont de marques et modèles différents, cela sera encore plus justifié. Parce qu'il faut une discipline d'acier pour synchroniser les 2 sécurités au niveau de chaque firewall.

Tomtom a décrit sur le forum des exemples de ce type (pour des infras de grande taille).

Mais même ce schéma ne justifie pas de "mélanger" Red et Orange.
Je note que certains Watchguard détecte le branchement de plusieurs interfaces sur le même switch et cela les met dans un mode précis de fonctionnement. (Enfin c'était le cas pour des anciens 2500.)

Néanmoins, je rappelle que je ne suis pas expert vlan, loin de là. Je ne m'intéresse qu'à la logique de la chose.

par **Yoda** » 12 Nov 2009 16:34

Code: Tout sélectionner: Illusoire ! Cela ne fait qu'augmenter la complexité donc les risques. Si v

Absolument pas d'accord avec cette phrase !!! je bosse très réguliérement dans des banques ou 2 fw cascader est le minimum.

Code: Tout sélectionner: Sur la méthode, les outils vous faites fausse route

dans mon cas précis, c'est urlfilter qui m'interresse. qui fonctionne comme je l'ai paramètré mon seul soucis est mon accès bancale à ma dmz.

Code: Tout sélectionner: Une remise à plat s'impose

Code: Tout sélectionner: Ipcop n'est pas fait pour ce que vous en attendez

Ah bon ! ipcop ne peux pas proteger un lan, permettre l'accès à une dmz et a ses servers et faire du filtrage d'url....

@jdh

Code: Tout sélectionner: Internet <-> fw1 <-> switch dmz <-> fw2 <-> switch réseau interne

JE SUIS DANS CE CAS !

dans le switch que tu appelle "switch dmz" dans ton explication, j'ai mes vlans, 1 qui héberge mes serveurs, 1 pour mes server web, un vlan que j'appelle "no-man-lan" qui pointe vers le juniper et qui donne accès au net, mon ipcop, est à la place de ton fw2, juste que l'interface ORANGE de mon IpCop est plugguée sur le switch "switch dmz" dans le vlan "server"

mais les connexions vers les servers sont bancales...

rien d'autre, désolé si je ne suis pas clair, mon problème me parait tellement bénin a résoudre, il s'agit simplement d'avoir accès correctement aux servers en dmz rien de plus.

merci de vos aide.

Ipcop Exchange 2007

Ipcop Exchange 2007

Qui est en ligne ?