[Résolut] Prb install ipcop: aucun disque dur detecter.

[triseaux]

Bonsoir,

Déjà tout d'abord merci de prendre du temps de lire mon problème.

Je vous explique, je viens d'avoir un nouveau serveur IBM System x3530 m2 7946 KG3.
Il est équiper d'un system SAS (Marque LSI, type SAS3082E-R L3-25116-01H) composer pour ma par de deux disque dur de 75gb monter en raid 1(miroring).
Mon problème est qu’au début de l'Install tout ce pace bien, sélection lange etc. Puis il lance la détection SCI et a la fin il me dit aucun disque dur détecter.

Quelqu‘un a t'il une idée de paramétrage au lancement pour résoudre le problème ou un moyen d'ajouter des pilotes compatible ?


Merci a tous.

[jdh]

<mode hors sujet>

Il me semble clair qu'un tel hardware (Quadcore Xeon E5530/2.4G) ne convient absolument pas à un firewall.
A moins de gérer 1 ligne en gigabit.
Auquel cas, Ipcop ne parait certainement pas adapté.

Ou alors, pire, il est même prévu de virtualiser le firewall ...

<mode /hors sujet>


Ipcop (avec son vieux noyau 2.4) risque d'avoir beaucoup de mal à supporter un hardware si récent.
Le proverbe ne s'applique surement pas : "c'est dans les vieux pots que l'on fait les meilleures soupes".

[triseaux]

Merci de ta réponse jdh.

A l'heure actuelle en serveur neuf on va toujours avoir du SAS et je dois changer l'ancien serveur qui était en place (un vieux pc de 7ans qui ne suivait plus la charge et qui a cramer ...).

Cet ipcop est destiner a un réseau de 250 postes avec comme objectif, DHCP pour les vacataires, proxy avec url filter, firewall avec blockout trafic et détection d'intrusion avec snort.
Il faut de plus que le system soit opérationnel a 99,9999999% car des formations sont réaliser entièrement par internet.

Pour finir ma société viens de récupérer le marcher pour gérer cette autre société et nous devons reprendre les systèmes mis en place.

PS: le reseau est en GB et le firewall sert aussi de passerelle entre le reseau administration et le reste.

[jdh]

Il y a là du rêve !

- 99,9999999% sur 1 an, cela fait 0,03 secondes d'arrêt maxi ! (99,99% c'est 3156 secondes d'arrêt maxi soit 52 minutes)
- ipcop est-il fait pour ce type d'application ?
- connaissez vous un autre firewall ?
- l'entreprise n'a pas les moyens d'acheter ou un firewall ou une prestation ?
- ne faudrait-il pas penser à un cluster ?
- ipcop supporte-il le mode smp ?
- ne faut-il pas plutôt un octuple coeur ?
- un firewall a-t-il besoin de mirroring ?
- 75 G est suffisant ?


Franchement, à chaque problème sa solution adaptée.

Moi, je choisi le matériel en fonction du besoin.
Et ce type de matériel n'est pas adapté à ce rôle.
Ce matériel est du gaspillage.

Quand aux fonctions qui devraient y résider (proxy, snort), nous répétons et répétons qu'elles n'ont pas leur place sur un firewall, mais c'est le désert ...

[triseaux]

Alors, quand je parle de 99,9999999 ces ironique, il faut ce ce soit stable. Apres je ces bien que ce n'est pas fait pour ce type de reseaux, mais je fait avec ce que l'on me donne.
j'aurer preferer un system ucopia avec un firewall dedier en machine specifique.
Apres je ne vien pas pour que l'on me dise ces pas bien ce que tu fait ces du gaspillage. je vous demande de l'aide pour une solution a un probleme donnée

[jdh]

Je reprends :

Ipcop dispose d'un noyau 2.4.31 (de mémoire).
Nous en sommes à 2.6.32 qui sera le noyau des distributions LTS (Long Terme Support) de 2010. C'est à dire qu'il y a 31 versions depuis la 2.6.0 !

Un certain nombre de pilotes existent et sont supportés par 2.6. Mais beaucoup de nouveautés ne seront pas disponibles en 2.4, c'est clair.



Snort est, pas seulement pour moi, l'exemple type d'addons inscrit dans la liste des nécessités et qui montre que l'on ne maitrise pas les techniques réseau nécessaires et indispensables.

Un proxy ne devrait pas être placé sur un firewall et sera bien mieux sur un serveur SANS raid 1 (et sera plus performant).

Si l'idée de cluster ne vous semble pas utile et fortement lié à une exigence de disponibilité, c'est que nous n'avons pas le même point de vue même si je n'ai que quelques phrases comme cahier des charges.
Au passage, je précise qu'Ipcop n'est pas conçu pour travailler en cluster (même s'il existe un addons).

Si votre client valide un firewall Opensource et que vous lui proposez cela, ce sera une mauvaise publicité pour l'Open Source et il deviendra réfractaire ... Et cela ça me gène.

Il y a pire que les difficultés, il y a les fausses bonnes idées.


Dans une entreprise pour 2 sites, avec une simple sdsl 2M, j'ai 2 firewalls en cluster de chaque côté à 200€ chacun. En phase de test, j'ai observé la perte de 2 pings au travers de l'ipsec, en débranchant l'un ou l'autre des firewalls. C'est un faible débit mais c'est une solution adaptée et économique.

[ccnet]

Cet ipcop est destiner a un réseau de 250 postes avec comme objectif, DHCP pour les vacataires, proxy avec url filter, firewall avec blockout trafic et détection d'intrusion avec snort.
Il faut de plus que le system soit opérationnel a 99,9999999% car des formations sont réaliser entièrement par internet.

Compte tenu du besoin vaguement exprimé, la solution est une vraie fausse bonne idée.

Ipcop ne convient pas.
Snort c'est de l'illusion.
Le proxy et le filtrage de contenu sur le firewall ce n'est pas sérieux.
Un taux de disponibilité pareil (même "ironique") est plus surement atteint avec deux serveurs (cluster) même d'occasion qu'un seul même neuf.

avec une simple sdsl 2M, j'ai 2 firewalls en cluster de chaque côté à 200€ chacun

Je confirme complètement. Et encore je met une partie du budget dans des cartes réseau Intel Gigabits bi ou quadri ports pour serveurs.

[triseaux]

Je ne control pas les achats, ce sont des achat national avec apel d'ofre, on me fourni et je doit fair avec ce que l'on me donne.

[jdh]

(Est-il besoin de rappeler que ni ccnet ni moi n'avons d'intention de descendre tel ou tel projet : nous sommes des professionnels et nous attirons l'attention sur les "vrais" problèmes et "vraies" problématiques ?)


Tout cela est bien incohérent !

Pour réussir, il faut passer en mode projet (qui est loin de se résumer à un diagramme de Gantt). Et projet cela veut dire se projeter ...

Une démarche est :
- quels sont les besoins ?
- quelles est la hiérarchie des options ?
- quels sont les contraintes ?
- quels sont nos compétences et nos ressources ?
- quel exploitation devront nous apporter ?
- quels sont les choix architecturaux ?
- quels sont les choix de distribution possibles ?
- pour chaque solution, quels sont les contraintes ?

Puis, avant de choisir, il faut peut-être maquetter une ou deux solutions.

Ensuite, il faudra faire un choix. (Puis l'assumer ...)


Ici,
- le choix matériel n'est pas adapté : nul besoin de cette puissance, de ce type de stokage,
- le choix de distribution n'est pas adapté : ipcop convient à de petites et simples structure (et à du hardware usuel ou basic),
- les contraintes réelles ne sont pas vues : si on veut une disponibilité, il faut clusteriser (ce qui continue à éliminer ipcop),
- des options sont imposées alors qu'elles n'ont pas de sens et sont erronées : snort est illusion (j'achète le mot), le firewall gagne à ne pas supporter le proxy, ...

Bref, ce n'est pas gagné.


Ne le prenez pas mal mais j'imagine un ingénieur fraichement diplômé dans un société de services choisie pour une (prétendue) qualité de service et un contrat (qui risque de devenir un conflit juridique). J'imagine la séduction d'ipcop.


Dans une société, mon chef a lancé un projet d'hébergement web avec interaction avec notre SI avec des spécifications techniques qu'il a imposée. J'ai pensé que cela pouvait tenir, et j'en ai éliminé des sources de problèmes. Mais nous n'avons pas même atteint une maquette opérationnelle ni mis en ligne malgré 4 mois de boulot. Chacun a dû revoir son point de vue : nous avons payé bien moins que prévu mais payé quand même une partie et le projet a été, bien évidemment, à la poubelle.

Le coût de l'erreur est faible au début et croît avec le temps jusqu'à être enaaauuurme.

[triseaux]

Bonjour,
Merci jdh cela m’a l'air déjà plus constructif comme réponse.

Alors nous avons récupérer ce contrat de maintenance pour cette société. Nous avons donc repris ce qui était en place. Je vais passer toute la partie réseau et station pour en venir a cet ipcop qui fait proxy, firewall et dhcp.
Il a commençait a montrer des signe de faiblesse et il a cramer en début de semaine.
Une station a était mise en attendant de refaire un serveur avec ipcop.

L'on m’a fourni ce serveur pour réinstaller un ipcop et le reconfigurer, je suis tributaire de ce que l'on m'impose.

Donc je n'ai pas de possibilité d'achat d'autre matériel etc. Donc au mieux je peux utiliser une autre distrib, ils feront surement la tête mais tant que ces fonctionnel ce n'est pas grave.

De plus pour bien faire, ce serveur doit être livré mardi prochain ...

[jdh]

Il n'est jamais trop tard pour bien faire, pour poser les bonnes questions, les bons problèmes.

Etre prestataire ne veut pas dire être exécutant. Au contraire, VOUS avez une obligation de conseil !

Bien sur, si votre client pense que Snort lui apporte quelque chose, il peut être difficile de lui dire "beh non ce n'est pas le cas" pourtant c'est bien la réalité !


Il y avait un ipcop ? Mais le hardware choisi (on ne sait pas comment) NE permettra PAS de faire un ipcop ! Il ne faut pas attendre mardi pour dire les problèmes rencontrés.

J'ai appris à mieux réagir en cas de panne : normalement on travaille à comprendre la panne et à la réparer. En fait, il faut d'abord déterminer un temps avec le client pendant lequel on travaille de cette façon. A l'expiration de ce temps, IL FAUT passer à mettre en place un contournement. Puis on revient à la réparation de la panne. Ca c'est très important !


Moi, je me déplacerais de suite en annonçant les difficultés, en reposant le besoin, et en proposant d'évaluer autre chose pour essayer de maintenir le planning ou le recaler pour assurer une solution adaptée. A ccnet ou moi (et pas mal d'autres du forum), cela ne nous poserait pas de problèmes parce qu'on a l'expérience de plusieurs firewalls, de plusieurs contextes, de plusieurs évolutions et avec plusieurs années d'expérience.

[Franck78]

il y a bien la version suivante en beta (ou alpha) censée gérer ce genre de nouveau matériel;
matériel totalement inadapté à ipcop 1.4

[triseaux]

Bonjour,

Bon au final je suis parti sur du ClarckConnect 5 comunity, sa fonctionne très bien, tout mon matériel est détecter sans problème. De plus j'ai pu maitre en place tous ce dont j'avais besoin.