Monowall derrière une vieille box ... [RESOLU]

[loubard]

bonjour à tous,

je suis actuellement confronté à un souci par manque de connaissance et de compréhension. Je n'utilise sans doute pas les bons mots clefs sous google, ce qui fait que l'information que je cherche ne remonte pas à moi. D'avance je vous remercie d'éviter les commentaires du style change de FAI etc .... je n'ai pas le choix vu qu'il s'agit du FAI de ma boite.
En résumer, je configure une monowall en live cd derrière une club internet box. sur cette box deux options possibles au niveau du fw : désactivé ou activé ... en ce qui concerne les ports tout ce gere je pense par le nat (vu que je n'ai pas la possibilité d'inscrire des règles de fw)
jusque là j'ai résumé les options de sécurités. Mais petit problème, cette box datant de l'âge de pierre, la famille pierreafeux ne l'a pas conçu ni pour la bridger, ni pour transmettre l'adresse ip public tel que le ferait une freebox classique. D'ou mon problème. Je me retrouve avec une adresse wan sur ma monowall de type 192.168.1.0 /24

mon problème, par manque de connaissance, vous l'aurez deviné est d'ouvrir un server ftp dans un premier temps puis un tunel vpn (pkus tard). ce qui fait que je dois gérer une connexion de ce type Adresse du client (80.XXX.XXX.XXX --> Mon IP publique --> Adresse lan de ma clubinternetbox (192.168.1.1)--> mon Lan derrière ma monowall)

Doit on inscrire une route dans la table de routage de la neufbox pour que cela fonctionne ? et si oui qu'elle est elle ? dois je faire un routage tout simple avec le nat ? je me pose la question et je n'ai pas vraiment envie de faire d'erreur)
J'éspère également avoir visé la bonne rubrique si ce n'est pas le cas, je la changerai ...

Merci pour vos réponses

[gemoussier]

Bonjour,

Le double NAT est souvent gênant... selon le modèle de neufbox il doit y avoir la possibilité de passer une adresse IP DMZ. Elle recevra alors tous les paquets en provenance de l'extérieur laissant le rôle de firewall à Monowall.

Donc au niveau des réglages de la box : firewall coupé, ip de monowall en "dmz".

[jdh]

En effet, au niveau de la box, c'est
- soit un renvoi de port (proto : tcp ou udp, port début : 1 à 65535, port fin : 1 à 65535)
- soit une "dmz" : adresse ip vers laquelle tout le trafic est transféré

Faut-il rappeller que le firewall comporte NORMALEMENT 2 cartes réseau (l'un vers la box, l'autre vers le réseau interne)
et que les adressages DOIVENT ETRE DIFFERENT au sens ip ?

[Franck78]

Si la box est si 'inadaptée', et bien change la! Un simple modem adsl, un ipcop et l'affaire est réglée.
C'est l'époque des braderies. Un euro le modem ST510.

[loubard]

mmm donc si je fait un nat comme tu me l'indiques, cela devrait fonctionné ... je voulais m'en assuré mais je ne crois pas avoir la possibilité de faire un nat sur du multi port multi protocol dans la même règle (à partir de cette box à deux balles) ... je vais jeter un oeil à ça (en fait j'avais un peu peur de cette réponse. Je vous tiens au courant
pour la partie sur le fw comportant deux cartes, avec deux réseaux différents, oui, c'est un bon rappel pour certains, mais sur cette partie c'est bien configuré.


merci

[loubard]

impossible de changer la box .... viens de le dire plus haut... bref j'ai besoin de la ligne téléphonique ...

[Franck78]

impossible de changer la box .... viens de le dire plus haut... ...

NON tu as écrit 'changer de FAI'

bref j'ai besoin de la ligne téléphonique

Ca veut dire quoi? Une vieille box double play? Tu peux donner le modèle de ta 'clubinternetbox'

[loubard]

aaaaah mais je vous arrête cher monsieur j'ai dit 'les commentaires du style change de FAI...' bref c'est une offre triple play datant de la guerre (un boitier TECOM à la noix avec un P/N à rallonge donc je ne vais pas le renoter ici. Quoi qu'il en soit, j'ai résolu le problème en natant les ports de ma box vers la patte wan de mon (vrai) fw, testé le tout, et ça marche! donc merci à tous le monde, pour votre participation ^^

[loubard]

Le double NAT est souvent gênant... selon le modèle de neufbox il doit y avoir la possibilité de passer une adresse IP DMZ. Elle recevra alors tous les paquets en provenance de l'extérieur laissant le rôle de firewall à Monowall.

Je sais que le double nat peux poser problème mais là je n'ai pas d'option DMZ sur cette box... ni de bridge, ni la possibilité de désactiver le lan pour une ip WAN

[jibe]

Salut,

J'ai un peu tendance, tout comme Franck, à penser que tu t'obstines à faire une usine à gaz de ton réseau, alors que le changement de box est une solution simple, efficace et probablement économique.

Si elle est si ancienne et démodée, tu ne devrais pas avoir de problèmes pour te la faire échanger par ton FAI. Même si ça te coûte un peu d'argent, ça m'étonnerais que ce soit du même ordre que ce que te coûte le temps passé à mettre en place ton usine à gaz, puis à la maintenir à l'avenir. Sans parler des risques... Et si tu te débrouilles bien, tu devrais assez facilement pouvoir obtenir un échange gratos ou à moindre frais.

Quant à l'impossibilité de changer de FAI, sans être convaincu que ce soit nécessaire, je pense quand même que tes supérieurs hiérarchiques ne devraient pas faire de difficultés si tu leur en démontres la nécessité. Il faudrait peut-être te montrer convainquant, mais c'est quand même ton job et pas le leur, je ne vois vraiment pas plus pourquoi ils ne changeraient pas de FAI si nécessaire que pourquoi ils le changeraient s'ils n'ont pas une bonne raison. Tant que tu ne leur fournis pas cette bonne raison, il est certain qu'ils refuseront de changer une solution qui leur parait convenir parfaitement !