sme server 7.0 et passerelle

par **dums** » 31 Mars 2006 10:09

Bonjour a tous

Developpeur d'application php/mysql, j'etais satisfait de mon easyPhp, tournant sur un serveur windows (budget...) , mais voila face au succés des applications mon serveur est devenu juste. J'ai donc opté pour SME server 7.0 que j'ai decouvert sur sme-fr... merci oh a toi grandPa!

Un serveur web GENIAL, facile à installer... mais voila... mon probleme

je suis sur un reseau vpn securisé, et j'ai mis a coté de ce vpn mon sme-server avec sa propre connection adsl a l'aide d'un routeur adsl. Il a une carte reseau sur le vpn(10.24.0.10) et l'autre sur le reseau adsl(10.24.0.11).
ma question est : Que dois je faire pour configurer mon routeur adsl depuis une machine(10.24.0.32) qui est sur le reseau vpn?
mon serveur sme-server est en servergateway, mais ce n'est pas suffisant.
il utilise la connection internet (passerelle) du routeur adsl.

NB : mon routeur adsl a une interface web (10.24.0.1).

en attente d'une réponse je vous remercie par avance

DuMs

par **fraedhrim** » 31 Mars 2006 13:46

Salut,

Bon déjà je pense qu'au niveau plan d'adressage IP tu n'as pas fait le bon choix. A vue de nez tu es dans le même plan d'adressage sur tes deux interfaces réseau. Ce qui risque de ne pas marcher terrible.

Il faudrait que tu aies une interface sur ton réseau "VPN" d'un côté en 10.24.0.10 (masque 255.255.0.0 j'imagine ?) et du côté ADSL si ma supposition est bonne sur le masque plutôt une adresse IP en 10.25.0.10 et ta passerelle en 10.25.0.1 (par exemple).

Si tu ne fais pas une distinction entre tes deux réseaux tu vas avoir un conflit de routes.

Par contre si tu veux conserver cette architecture réfléchit bien aux implications de sécurité. En conservant une installation SME server+gateway entre ces deux réseaux tu crées un routage possible entre ton VPN et ton réseau sur ADSL. Je ne suis pas sûr que ton admin réseau apprécie...........

Tu es en train de faire une faille de sécurité terrible (malgré la robustesse de SME) et complètement pirate non ?

Enfin je ne comprends pas trop quand tu dis que tu es "sur un réseau VPN sécurisé". Ca veut dire quoi ? Que depuis ce réseau tu accèdes à des ressources à distance ?

par **dums** » 31 Mars 2006 14:08

Merci pour votre réponse,

mais mon routeur adsl est uniquement ouvert a certaines adresse IP - un autre vpn...
ayant un peu de connaissance de linux existe t il une methode pour rendre mon serveur sme-server transparent... pour pouvoir gerer mon routeur adsl depuis un poste sur le reseau VPN

merci encore

par **fraedhrim** » 31 Mars 2006 16:19

OK. Mais ça reste pas top safe. Et je soutiens qu'il faudrait montrer cette archi à un admin. réseau.

Cependant pour cette histoire d'administration du routeur il faut d'abord que la SME soit en server-gateway, que les plans d'adressage soient corrigés comme je le disais.
Ensuite il faut qu'au niveau de ton réseau 10.24 la route vers ton routeur ADSL soit connue comme devant passer par ton serveur SME. Soit globalement (au niveau coeur de réseau) soit simplement au niveau de ta machine.
Le mécanisme de masquage d'adresse de la SME en mode server-gateway fera le reste.

par **dums** » 31 Mars 2006 17:32

Je travaille avec l'administrateur reseau ET
le probleme de securite n'est pas le soucis de mon serveur sme-server
je veux juste que mon serveur avec ces deux cartes reseau joue le role de pont transparent entre mes deux pseudo reseau qui utilise la meme plage d'adresse IP...
Ca marche tres bien sous windows...

jai essayé par
iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT
echo 1 > /proc/sys/net/ipv4/ip_forward

ca a fonctionné pendant 5 min puis plus rien reblocage!! que dois je faire?
quel est la solution pour qu'il(sme-server) soit transparent

par **fraedhrim** » 31 Mars 2006 19:59

Il ne sera pas transparent.
Mais il agira comme un routeur NAT si tu suis la méthode que je t'ai expliqué.

Ce que tu dois faire c'est rajouter la route qui dit d'aller sur 10.25.0.0/255.255.0.0 via l'interface de ta SME 10.24.0.10 sur ton poste client.

Mais les corrections d'adressage sont très importantes pour ça. Pour l'instant ton adressage IP est incohérent.

En dehors de ça tu n'auras rien à faire (enfin à mon avis).

Ce que tu as essayé est inutile. Ta SME est déjà capable de router dans la mesure où elle est en server-gateway.

par **sibsib** » 31 Mars 2006 22:09

Hello,

Avec un peu de recul...

Pouquoi veux tu absolument que SME soit transparent ?

Si tu souhaites que les P.C. de ton LAN accèdent de manière transparente à ton routeur ADSL, alors il vaut mieux mettre le serveur SME en server only, et donner un accès direct au routeur.
(Je parle connectivité, pas sécurité :-)

)
D'autre part, ton plan d'adressage est foireux, parce que tu souhaites utiliser ton SME plutôt comme un pont (pourquoi ? ) que comme un routeur. Le fait que tu arrivais à faire çà sous Windows n'est pas une démonstration que la solution est conseillée techniquement (Avant le lancer de trolls : ceci n'est pas lié à Windows, on peut aussi monter des architectures totalement incohérentes sous Linux, Solaris, n'importe quel X, sur Mainframe.... En règle générale, dans ce domaine, ne jamais sous estimer l'imagination des informaticiens :-D

)

Bref, tu as probablement d'excellentes raisons de faire ce que tu souhaites, mais il est probable que sous Linux, çà ne se passe pas comme sous Windows. Donc, il faudrait que tu puisses nous expliquer les pourquoi, afin que nous puissions (peut-être !) t'aider à trouver les comment.

Pour ta manip de modif à vue de iptables : Si c'est la solution, alors oublies SME, et passes à une quelconque distro Linux : la gestion de iptable est bien spécifique sur cette machine, si tu essayes de passer outre, tu vas t'énerver -inutilement, puisque tu nous précises que la sécu n'est pas ton problème-.

A la limite, une Centos qui va reconnaitre (comme n'importe quel distro Linux) tes deux cartes réseaux, et qui contiendra également apache + php - J'ai l'impression que c'est çà que tu cherches, en fait.

A+,
Pascal

par **dums** » 03 Avr 2006 10:19

Merci pour vos réponses...
En effet je souhaitai garder la meme architecture que j'avais avec mon serveur windows... et c'est une betise, en effet j'ai mis mon sme-server en server (et nom plus server/gateway) et je l'ai branché uniquement sur mon vpn, puis j'ai branché mon routeur directement sur le reseau vpn.
Attention mon routeur est uniquement ouvert a certain ip publique fixe (un second vpn...)
et jai donc le resultat voulu, merci bien pour vos réponses...
pourquoi chercher a faire compliquer quand on peut faire simple....

par **tomk** » 03 Avr 2006 16:18

Bonjour,

Voial je suis encore newbee dans le mode linux, je possède un IPCOP 1.4.10 en (RED|GREEN|DMZ)

Je trouve ipcop particulièrement puissant en terme de firewall.

Par soucis du bruit, trois PC tourne H24 dans ma chambre

j'ai voulu passez de:

INTERNET----IPCOP----LAN
----DMZ avec SME dedant

à sa:

INTERNET----SME---LAN

La solution SME est parfaite en serveur par contre la partie connexion ma beaucoup déçu.
Pas d'admin de la connexion en graphique ni de paramétrage comme persistant ou autre (peut être est-ce fesable en modifient les .conf, je ne c'est pas)

Donc je suis repassé à l'ancienne configuration..merci les db et aîe les oreilles lol

Serait il possible de fusionner la partie connexion de ipcop et de l'intégré a SME?? (projet de ouf ??)
et au passage d'obtenir un menu supplémentaire (connexion) dans l'administration http de sme?

------------------------------------------
Désolé mais je répond a un post par une question
Cordialement thomas

par **fraedhrim** » 03 Avr 2006 16:43

Salut !

Qu'appelles-tu "la partie connexion de IPCOP" ? Tu voudrais une interface pour gérer la connexion, les paramètres ADSL tout ça ? En même temps une fois que c'est fait normalement on y touche plus à ça. Et tu peux toujours aller modifier les paramètres en mode console ou en ssh en te loggant en admin.

(En passant tu aurais pu créer un topic tu es hors sujet là.)

par **tomk** » 03 Avr 2006 17:50

Re bonjour, (et au passage désolé pour le hors sujet, je pensais au rapport |sme+passerel| ou |serveur simple|

Voila, jusque la pas de problème, j'avais compris que les paramètres de connexion sont modifiable en mode console, se que j'ai fait récemment.

Ce ci dis, c'était juste pour dire qu'un onglet comme celui de ipcop (réseaux puis connexion) avec les options qui vont avec ainsi que les courbes de traffic serait très appréciable dans l'interface http de SME en mode |serveur+passerel|

Je pense qu'avec un peu de temp cela finira par être développé pour SME.

De mon coter, je vais continuer à chercher sur le net si un add-ons existe pour administrer via l http la connexion.
J'ai deja vus un admin-tools-kit pour sme je crois en court de développement, je vais voir ce qu'il permet d'administrer.

Ps: je c'est qu'une fois les paramètre de connexion entré, normalement il n'y a plus lieu dis touché.
Mais voila ce n'est pas dans le cadre d'une entreprise mais de mon petit laboratoire de test et expérimentation ( en gros ma chambre

dans laquel mon architecture réseaux change relativement souvent.

Sur ce je repart sur sme car il me reste qmail à étudier.
Cordialment thomas

par **fraedhrim** » 04 Avr 2006 08:40

Pour les courbes de trafic. Il y a sme6admin qui fait quelques graphs pas vilains.
C'est moins orienté passerelle que l'IPCOP mais c'est déjà ça.

Après peut-être y a-t-il une contrib plus dédiée. Il faut chercher.

A+

sme server 7.0 et passerelle

sme server 7.0 et passerelle

Qui est en ligne ?