Probleme DMZ SME / IPCop

[ewen]

Bonjour a tous,

J'ai (encore ) un petit probleme avec mon couple SME / IPCop

j'ai installé un nouveau SME que je desire mettre dans la zone orange d'IPCop mais pas moyen d'y acceder (lan ou net)

voila deja la config du reseau

config IPCop (rouge / vert / orange)

IP carte verte 192.168.1.1 (dhcp actif) -->switch --> 3 postes windows (192.168.1.100 a 102)
IP carte orange 192.168.2.1 --> switch --> SME (192.168.2.254)

config SME (serveur seul)

adresse du serveur SME : 192.168.2.254
passerelle : 192.168.2.1
serveur DNS : 192.168.1.1 (ipcop)


depuis un poste du lan (192.168.1.100) j'arrive a ping 192.168.1.1 et 192.168.2.1 sans probleme mais pas 192.168.2.254
depuis SME je n'arrive pas a ping quoi que ce soit.
depuis le lan et depuis le net je n'arrive pas a joindre le poste SME

J'ai essayer de faire un transfert du port 80 vers 192.168.2.254, mais forcement ca ne change rien

j'en deduit que je me suis trompé quelque part et comme je ne vois pas ou, je fait appel a vos lumieres pour m'eclairer

"etat du reseau " IPCop :

Code: Tout sélectionner

eth0      Link encap:Ethernet  HWaddr 00:A0:CC:59:D5:D6 
          inet addr:192.168.1.1  Bcast:192.168.1.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:4729 errors:2 dropped:0 overruns:0 frame:0
          TX packets:6971 errors:1 dropped:0 overruns:0 carrier:1
          collisions:0 txqueuelen:1000
          RX bytes:539200 (526.5 Kb)  TX bytes:4275839 (4.0 Mb)
          Interrupt:9 Base address:0x6000

eth1      Link encap:Ethernet  HWaddr 00:40:F4:19:94:26 
          inet addr:82.xxx.xxx.xxx  Bcast:82.xxx.xxx.xxx  Mask:255.255.255.0
          UP BROADCAST NOTRAILERS RUNNING  MTU:1500  Metric:1
          RX packets:3449 errors:0 dropped:0 overruns:0 frame:0
          TX packets:2009 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:3645899 (3.4 Mb)  TX bytes:336357 (328.4 Kb)
          Interrupt:5 Base address:0xd000

eth2      Link encap:Ethernet  HWaddr 00:10:A7:12:E6:7E 
          inet addr:192.168.2.1  Bcast:192.168.2.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:0 (0.0 b)  TX bytes:0 (0.0 b)
          Interrupt:11 Base address:0x3000

lo        Link encap:Local Loopback 
          inet addr:127.0.0.1  Mask:255.0.0.0
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:1018 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1018 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:147981 (144.5 Kb)  TX bytes:147981 (144.5 Kb)

(SME Fonctionne tres bien si je lui mets 192.168.1.254 comme adresse et que je le colle sur le Green)

Merci d'avance

[jibe]

Salut,

Encore un fan d'Ipcop qui cherche les emm*** et qui n'a pas compris que la SME se suffit à elle-même...

Bon, enfin, chacun fait comme il pense Mais perso, sauf cas très spéciaux, je ne vois aucun intérêt à mettre SME derrière Ipcop...

Ceci dit, tu n'as pas beaucoup d'activité sur eth2 ! Causes possibles (compte tenu du fait que la SME sur la carte verte assure bien) :

• carte eth2 (ça m'a toujours fait marrer qu'Ipcop utilise la carte orange ) HS (Celle de la SME est bonne, puisque il y a eu le contrôle de la carte verte)
• Câble HS
• Switch HS (au fait, pourquoi ce switch ? ça me parait plus cher d'acheter un switch qu'un câble croisé )
• Problème de firewall sur Ipcop, mais là, je suis totalement incompétent. Sauf bricolage maison, il ne devrait pas y en avoir côté SME.

Comment sont les voyants sur les cartes concernées et sur le switch ? Les voyants de connexion physique devraient être allumés et s'éteindre aux deux extrémités si tu débranches le câble.

[ewen]

Salut,

Merci pour ta reponse,

Encore un fan d'Ipcop qui cherche les emm*** et qui n'a pas compris que la SME se suffit à elle-même...
Bon, enfin, chacun fait comme il pense Mais perso, sauf cas très spéciaux, je ne vois aucun intérêt à mettre SME derrière Ipcop...

En fait tout est deja configuré avec ipcop, et je n'ai pas envie de tout refaire

[*] Câble HS

tout neuf, et ca marche avec le meme si je le mets dans le green.

[*] Switch HS (au fait, pourquoi ce switch ? ça me parait plus cher d'acheter un switch qu'un câble croisé )

idem au dessus, ok dans le green donc .....
pas de cable croisé car ..... j'ai un vieux switch et plein de cables droits

[*] Problème de firewall sur Ipcop, mais là, je suis totalement incompétent. Sauf bricolage maison, il ne devrait pas y en avoir côté SME.

aucun doute la dessus, c'est a mon avis IPCop qui est mal configuré
SME fonctionne nikel dans le green (en changeant son adresse x.x.2.254 --> x.x.1.254)

Comment sont les voyants sur les cartes concernées et sur le switch ? Les voyants de connexion physique devraient être allumés et s'éteindre aux deux extrémités si tu débranches le câble.

ok pour les voyants, allumés et eteint si pas de cable branchés (ouf !! heureusement .. )

[carbone]

Bonjour,

J'ai eu un problème semblable, pour le résoudre, j'ai mis comme DNS pour SME les DNS de mon FAI et pas IPCOP (que j'avais mis) en effet IPCOP ne gère pas les DNS pour le réseau Orange.

[jibe]

Salut,

En fait tout est deja configuré avec ipcop, et je n'ai pas envie de tout refaire

c'est a mon avis IPCop qui est mal configuré

Ca me parait nettement plus simple de reconfigurer la SME en serveur-passerelle et de virer tous les câbles, switch et Ipcop inutiles que de reconfigurer l'Ipcop

(bon, peut-être bien que je dis ça parce que je ne connais pas du tout Ipcop )

Si tu es sûr côté matériel, il ne reste effectivement plus qu'un problème de config Ipcop. Mais tu ne parles pas de la carte réseau orange d'Ipcop ? L'as-tu testée ? Ce n'est pas parce que le voyant s'allume qu'elle fonctionne bien...

Si c'est un problème Ipcop, là je vais avoir du mal à t'aider, parce que tout ce que j'en sais c'est qu'elle a une carte orange sur laquelle certains branchent une SME et qu'ils ont alors tout un tas de problèmes Tu devrais peut-être demander à un modo de transférer ton topic sur le forum Ipcop...

J'ai eu un problème semblable, pour le résoudre, j'ai mis comme DNS pour SME les DNS de mon FAI et pas IPCOP (que j'avais mis) en effet IPCOP ne gère pas les DNS pour le réseau Orange.

Vu que je ne connais rien en Ipcop, je ne te contredirai pas ! Simplement une remarque : ce problème de DNS ne peut pas empêcher les ping de fonctionner, si tant est bien sûr qu'ils ont été lancés avec une adresse IP... ewen, comment as-tu fait tes pings ?

[soprom]

J'utilise IPCOP devant 3 SME. Le SME doit être monté en serveur/gateway si tu utilises les 2 cartes réseau. Dans mon cas, un SME reçoit les ports de courriel et l'autre les ports de web. Le ProxyPass permet ensuite de diriger le trafic vers les machines en fonction des noms de domaine.

Si tu monte le SME en serveur seulement, la carte externe est tout simplement désactivée et il est donc normal de n'avoir aucun trafic de ce côté.

[fraedhrim]

[Apparté ON]

Jibe, l'IPCOP a beaucoup plus de fonctions passerelle nativement que la SME. C'est une distrib vraiment orientée passerelle sur laquelle tu évites de faire tourner des sambas et des serveurs de messagerie ayant directement accès à ton LAN.

Rapido les avantages natifs de IPCOP :
- Proxy ou proxy transparent (SME aussi)
- Détection d'intrusion
- Visualiseur de logs un peu plus ergonomique (là je pinaille)
- Support plus large de modems autre que Ethernet
- Statuts et graphs système et réseau
- Traffic shaping
- Mise à jour via l'interface web
- VPN
- Plus de finesse dans la gestion des autorisations d'accès aux interfaces admin
- Serveur NTP (mais la je ne sais pas si SME peut le faire aussi en standard)
- Distrib beaucoup plus légère donc backup plus simple
Je ne parle pas des add-ons possibles (notamment filtrage AV des flux webs, SMTP et POP) car là effectivement on y arrive aussi avec la SME.

Il est clair que tu arrives à faire tout ça avec la SME mais il faut mettre les mains dedans et surtout être pret à mettre une machine multiservices avec accès au LAN directement sur Internet...

Si la contrainte est l'économie de machines alors SME en gateway/server s'impose.
Sinon c'est IPCOP en firewall, SME pour la messagerie et le web en DMZ Orange, SME pour les fichiers et en DC sur le LAN Green... Et là pas de jaloux.

M'enfin ça n'engage que moi.

Tu devrais essayer une fois pour voir. C'est une chouette distrib dans son genre (distrib firewall).

A++

[Apparté OFF]

[jibe]

Salut,

[troll]
[Réponse à l'apparté]

[Tu devrais essayer une fois pour voir.

Certes. Mais les journées n'ont que 24 h, je n'ai que 2 mains et un cerveau dont je me demande parfois si les deux neurones n'ont pas parfois tendance à être un peu saturées. Mais c'est sûr que je devrais !

C'est une chouette distrib dans son genre (distrib firewall).

Je n'ai jamais dit le contraire. D'ailleurs, si je n'avais besoin que d'une passerelle, je choisirais probablement Ipcop.
Ce que j'affirme, c'est que dans la plupart des cas (ce qui sous-entend que je reconnais qu'il y en a d'autres...) la SME suffit.
- Parce qu'un des atouts (je devrais dire le but principal) de la SME est de procurer une solution économique "tout en un". Si on veut une solution chère et multi-serveurs, il y a beaucoup mieux qu'une config Ipcop+SME
- Parce que la plupart des avantages d'Ipcop que tu énumères soit n'en sont pas vraiment ou sont minimes, soit existent ou sont facilement installables sur SME (tu l'as reconnu pour certains, mais pas pour d'autres). Là encore, je dis "la plupart", ce qui implique que je reconnais que certains avantages sont indéniables... raison pour laquelle j'admets que, parfois, une config Ipcop+SME peut s'avérer une solution intéressante...
[/Réponse à l'apparté]
[/troll]

Parenthèse refermée, as-tu un avis au sujet du problème de notre ami ewen ?

Je n'avais pas réfléchi à cet aspect des choses (j'aurais dû y penser ), mais je pense que soprom a raison... ewen, as-tu fait ou peux-tu faire un essai en serveur-paserelle ?

[fraedhrim]

[INUTILE à Ewen]
Ben Jibe, faut rester calme des fois. Ca fait plusieurs topics sur des installs bi-goût où on te voit faire des écarts sur le fait que SME n'a pas besoin d'IPCOP et que tu dis ne pas connaître IPCOP alors je fais un petit résumé c'est tout... Pour ta remarque sur le fait que je ne reconnais pas que tu peux avoir les mêmes fonctionnalités sur SME j'ai bien dit "Il est clair que tu arrives à faire tout ça avec la SME ". Sauf que je maintiens que des services de messagerie et de fichiers n'ont rien à faire sur une passerelle si on veut faire les choses proprement, mais bon c'est sans doute une déformation professionnelle. Quant à l'argument du coût de la solution IPCOP+SME vu le type de machine requis pour certaines personnes c'est pas plus cher et surtout plus simple de ne pas avoir à mettre les mains dedans outre mesure pour faire une SMECOP... Quant à "la plupart des avantages d'Ipcop que tu énumères soit n'en sont pas vraiment ou sont minimes" cela montre bien que tu as une vision service et pas passerelle/sécurité/supervision, mais chacun son métier... Bref... Ca fait deux topics sur lequel tu me renvoies dans les cordes... Tu m'en veux perso ou tu es comme ça tout le temps ?
[/INUTILE à Ewen]

Et non je n'ai pas d'autre avis sur le problème de Ewen que si déjà ça ne pinge pas le 192.168.2.1 depuis la SME c'est que (après ce qui a été éliminé suite à tes questions) :
1 - le switch a un pet au casque (l'as-tu testé lui aussi sur le green ?)
2 - IPCOP est mal configuré
3 - la carte orange (!) a un pet au casque (vu les stats de ton ifconfig rien n'est envoyé ni reçu, à moins que tu l'aies fait en ayant rien branché dessus depuis le dernier reboot). Le port est-il bien UP quand il y a qqchose dessus ? As-tu forcé la vitesse et le mode de duplex ?

Au delà des problèmes matériels :
1 - Effectivement pour le DNS déjà mettre 192.168.1.1 pour la SME n'était pas terrible (le orange ne doit pas pouvoir atteindre le green (même de l'IPCOP)
2 - et en plus il semble qu'il ne soit pas possible d'utiliser IPCOP en DNS sur le orange d'où le besoin des DNS externes

Si je n'avais rien ajouté (et là non plus) c'est que je n'ai jamais fait de orange. Quant je ne sais pas en général je me tais...

Désolé si j'ai pollué le topic mais j'avais bien signalé la parenthèse....

[ewen]

Bien, j'ai mis les dns de mon fai, changer la carte reseau par une neuve d'un autre modele que celles sur vert et rouge, offert un aller simple contre le mur a mon vieux switch et mis un cable croisé a la place ...... et bien non, je n'y arrive pas, il ne reste donc que la deuxieme possibilité : IPC mal configuré !
mais bon, je ne vois pas ce que je peux changer a ce niveau puisqu'il n'y a pas des masse d'option pour la zone orange ormis les accés a la dmz - j'ai du coup changé la config en red / green / blue et le probleme reste entier

Je pense que ce serveur va finir dans le green avec un transfert de ports car c'est actuellement la seule chose qui fonctionne sans aucun probleme ...

[fraedhrim]

Ah bah oui mais non j'ai l'air fin moi si tu fais ça ?!

Parce que là pour le compte la balance penche plutôt vers Jibe et une SME seule en gateway/server.

C'est pénible mais tu as essayé d'inverser green et orange ? Pour voir si c'est un problème de conf orange ou seulement de conf d'interface ethernet (même si tu en as changé...) ?

Tu n'as toujours aucun paquet compté dans le ifconfig de IPCOP ?
Sinon fais voir un peu un ifconfig de la SME en situation orange ? La SME compte--t-elle des paquets en sortie ? En entrée ?

A+

[micjack]

pour faire une SMECOP

C'est exacte fraedhrim, cela va finir par etre une SMECOP ou une COPSME à force de vouloir rajouter des addons sur IPCop ou des contribs de part et d'autre .. Pour SME, il suffit AMHA, de desactiver un max de services et elle peut aussi à son tour devenir un IPCop (ou autres Firewall dedié) .. Elle a l'avantage de beneficier de certains services activables au besoin (contrairement à IPCop qui est un Firewall avant tout)

Cela, certe ne repond pas à Ewen, mais je suis certain que c'est un truc tout bete, genre renseigner la passerelle ou le DNS...

[jibe]

Salut,

Heu... ewen, je ne suis pas sûr que tu aies vu la dernière ligne de mon dernier post...

Je n'avais pas réfléchi à cet aspect des choses (j'aurais dû y penser ), mais je pense que soprom a raison... ewen, as-tu fait ou peux-tu faire un essai en serveur-paserelle ?

Je crains de t'avoir mené sur de fausses pistes avec mes suppositions précédentes. Je crois bien que la solution est là : il faudrait que tu testes le mode serveur+passerelle pour confirmer.

La SME n'est pas conçue pour fonctionner derrière une Ipcop

Tu m'en veux perso ou tu es comme ça tout le temps ?

Je suis vraiment désolé que tu prennes ça mal ... Je t'assure que ce n'était pas mon intention de te choquer...
Si tu ne l'es pas trop, et que tu es prêt à tenter de comprendre mon point de vue, tu peux aller voir ce post. C'est sûrement ta seconde supposition qui est la bonne

[fraedhrim]

Bon finalement cela pose quand même un question.

Bon heu mon gars Ewen dis nous un peu quelles sont tes motivations hein ? Pour faire une SME derrière un IPCOP ? Le challenge et la curiosité ou un réel intérêt de faire une archi super blindée ?

A+

[ewen]

dans le desordre :

1) Motivation pour SME + IPcop :

IPCop : plutot pour l'aspect "technique" de la chose et bien sur pour proterger mon reseau local
SME : pas de reel utilité, juste pour comprendre comment ca tourne et eventuellement mettre en place un serveur pour la famille et les potes (echange de photos et autres trucs perso), faire une baie pour stocker mes documents et les rendre dispo pour tous les postes de mon lan, bref rien de "secret defense"

2) test en serveur / passerelle : pas tester encore

3) Croiser green / orange : pas exactement ce que j'ai fait mais si je mets SME sur le green il fonctionne nikel, si je mets un pc avec win sur le orange ca ne marche pas non plus ... donc ca m'a tout l'aire de venir de cette interface orange (ou bleue car idem quand je mets red + green + blue)

a votre avis, je tente une reinstall d'ipcop ? actuellement V1.46 + BOT (desactivé)

Merci a tous