newbies config mnf

[grobis]

Salut,

J'ai une ipcop 1.4.0a1 qui fonctionne bien et je teste une MNF, mais je n'arive pas à la configurer bien que j'ai lu la doc.

J'ai un réseau derrière un switch, le firewall qui fait routeur/passerelle et le modem ethernet.
Le modem est connecté sur eth1, carte configurée en pppoe dhcp; adresse attribuée par le provider
eth0 = carte lan reliée au switch et paramétrée en 192.1.8.1.1

Au démarrrage eth0 se lance mais eth1 est en echec;
J'ai beau modifier les paramètres dans tous les sens : rien

Si mnf fait office de routeur, il faut configurer le module lan/cable également?

Merci de vos réponses

[Jacques-]

Si j'ai compris la config, le modem est relié directement en ethernet sur eth1.
La config ADSL est en PPPOE.
Il ne faut pas mettre la carte eth1 en DHCP mais en statique sans adresse IP (elle ne sert qu'à relier au niveau 2 (ethernet) et non pas le niveau 3 (IP) entre la MnF et le modem.
Ensuite, l'interface PPP+ est en DHCP, c'est celle-ci qui est reliée à l'internet via le DHCP du FAI.
C'est elle qui utilise le PPP Over Ethernet sur le lien de la carte ETH1.
Il faut faire un masquage de PPP+ par eth0 et ensuite configurer ou non squid selon tes besoins.
Les règles par défaut doivent permettre de sortir pour les premiers tests.

Jacques

[grobis]

Merci pour l'info. Elle complète mes recherches depuis le message. J'ai lu quelques posts qui m'ont aiguillé. J'ai cependant un soucis; Le firewall se connecte: je ping internet en mode console, mais pas des postes réseau.

ma config est la suivante:

modem ethernet B-focus AC-211

1/ config système
nom système= néant
nom domaine= néant

cartes réseau
eth0 lan 192.168.1.1 255.255.255.0 démarrage=oui static
eth1 démarrage=oui static

2/ accès internet

type accès= adsl
interface= ppp0
protocole=ppp0e
country= fr
adresse ip=néant
masque de sous réseau=néant
protocole de démarrage=static
activé au démarrage=oui
nom fournisseur accès=wanadoo
dns1=néant
dns2=néant
nom utilisateur= fti/……
statut = ping 168…..
sur interface = ppp0
adresse ip = 81.251…..
tester hote distant= 216.219.254.30
reconnexion auto=oui=1mn

3/services
proxy=transparent

4/configuration du pare-feu
a) 1=lan 2=dmz(non utilisée) 3=wan

b) interfaces configurées
1=lan=teh0 detect/routestopped
3=wan=ppp+ dhcp/multi
4=wan=eth1 detect dhcp/routestopped

c)règles par défaut
lan-wan accept info

d) traduction d’adresses
interface ppp+ :0.0.0.0/0
masque 192.168.1.3/40

J'ai san doute pas mal d'erreurs là dedans, mais je finirai par y arriver!
Merci de ton aide

[Jacques-]

Il manque déjà les coordonnées des serveurs DNS, elles sont indispensables pour pouvoir te connecter correctement au web.
Ensuite, soit tes postes du LAN ont comme adresse de DNS celles de ton FAI, mais il faut dans ce cas laisser passer les requêtes DNS (domain, port 53) en UDP vers le Wan, soit c'est la MNF qui sert de serveur DNS (les PC doivent avoir l'adresse de la MNF en tant que DNS et tu dois activer le DNS cache sur la MNF (dans l'interface)), soit c'est la MNF qui sert de proxy et il faut activer le proxy dans l'interface, mettre le réseau LAN autorisé à utiliser le proxy et configurer tes clients pour utliser le proxy (par défaut, port 3128 si je ne m'abuse). Tu peux aussi activer le proxy en mode transparent et laisser tes clients web comme ils sont pour le moment.

Mais dans tous les cas, les PC du LAN doivent avoir l'adresse de la MNF comme routeur par défaut, et il faut masquer le LAN via l'interface ppp+.

Jacques

PS:n'oublie pas de consulter les logs, soit dans l'interface, soit plus facilement en mode console (tail /var/log/messages par exemple).

[grobis]

j'ai mis e pratique tes conseils, mais jusqu'à présent rien de nouveau.
Au niveau des définition des zones j'ai bien :
A/ zones configurées
1 = lan 2 = dmz 3 = wan

B/ interfaces configurées
1 = lan eth0
2 = lan eth1
3 = ppp+

Faut i mettre eth1 en lan ou en wan
Dois-je configurer une zone ppp+ en A?

Par ailleurs j'ai du mal à comprendre la config du masquage
dans un premier temps j'avais
interface masque snat
1 ppp+0.0.0.0./0 192.168.1.15/40 (etendue du réseau en dhcp) 0

au démarrage de mnf j'avis un message d'erreur et j'ai conulté les log voici le résultat

tail /var/log/messages
May 13 12:49:00 localhost CROND[7757]: (root) CMD ( /usr/sbin/adsl-reconnect.s
h)
May 13 12:49:00 localhost CROND[7758]: (root) CMD ( /usr/share/msec/promisc_ch
eck.sh)
May 13 12:49:10 localhost sshd[7754]: Could not reverse map address 192.168.1.40
.
May 13 12:49:10 localhost sshd[7754]: Accepted password for admin from 192.168.1
.40 port 1145
May 13 12:49:10 localhost sshd(pam_unix)[7754]: session opened for user admin by
(uid=0)
May 13 12:49:15 localhost kernel: Shorewall:wan2all:DROP:IN=ppp0 OUT= MAC= SRC=2
18.191.70.98 DST=81.251.123.57 LEN=48 TOS=0x00 PREC=0x00 TTL=106 ID=24109 DF PRO
TO=TCP SPT=1879 DPT=5554 WINDOW=16384 RES=0x00 SYN URGP=0
May 13 12:49:16 localhost kernel: Shorewall:wan2all:DROP:IN=ppp0 OUT= MAC= SRC=2
18.191.70.98 DST=81.251.123.57 LEN=48 TOS=0x00 PREC=0x00 TTL=107 ID=24364 DF PRO
TO=TCP SPT=2135 DPT=9898 WINDOW=16384 RES=0x00 SYN URGP=0
May 13 12:49:20 localhost named[2603]: client 192.168.1.40#1057: error sending r
esponse: host unreachable
May 13 12:49:20 localhost last message repeated 9 times
mai 13 12:49:20 localhost su(pam_unix)[7790]: session opened for user root by ad
min(uid=500)

A priori le client réseau 192.168.1.40 n'est pas joignable, alors qu'il s'agit de mon poste de travail et qu'en ipconfig /all il aparait bien, preuve que le servuer dhcp effectue bien son attribution.

j'ai reconfiguré le masquage de la facon suivante:

1 ppp+ 0.0.0.0./0 192.168.1.0 0

J'avoue travailler de façon pifométrique et pas très rationnelle, mais la lecture du guide de configuration mnf ne m'éclaire pas davantage. Je vais rechercher des howto parfaire mes lacunes.

merci de ton aide

Moran

[Jacques-]

Pour ce qui est des messages, les 2 trames jetées par shorewall sont classique, une connexion qui veut entrer et qui n'a pas le droit.

Par contre, tu as du activer le serveur DNS cache de la MNF, mais il n'y a pas de règles autorisant lagestion du port 53 (domain dans l'interface) pour le DNS vers le LAN (genre FW->WAN) ce qui fait que le serveur de nom local ne peut rien retourner à ton client du LAN.

Pour ce qui est de la gestion du réseau, eth0 doit être dans la zone LAN (si c'est bien celle du réseau 192.168.1.0), eth1 dans la zone WAN tout comme PPP+ (ce sont les interfaces utilisées par l'accès internet, encore que ETH1 n'y est pas réellement, elle ne sert qu'à supporter les trames PPP pour le modem.

Si tu ne peux pas laisser l'interface DMZ vide, remets ETH1 ce n'est pas très grave.

Pour l'interface PPP+, tu dois aussi mettre les options noping+norfc1918 de façon à éviter certains types d'intrusion.

Pour le masquage, il doit donner quelque chose du genre :
Interface | Masque
ppp+:0.0.0.0/0 | eth0

Dans Services / Proxy Web / URL Filter / Réseau autorisé
Ajouter les adresses de ton LAN c'est à dire 192.168.1.0/24

Si tu as mis le DNS cache en service, vérifie que le port 53 est autorisé dans le sens :
FW->WAN et LAN->FW, normalement cela se fait automatiquement par la MNF.
Donne comme adresse de routeur ta MNF dans tes PC du LAN, de même pour celle des DNS.
Si tu utilises les DNS de ton FAI, ouvre le port 53 (TCP et UDP) dans le sens LAN->WAN et mets l'adresse des 2 DNS du FAI dans tes PC.

Jacques

[Mat Pat]

Bonjour,

Voici une semaine que je lis les docs, les forums, que j'installe et réinstalle la Mnf avec une config sensiblement équivalente à celle de grobis : et je trouve enfin aujourd'hui ce message interessant, malheureusement mon problème reste le même que le sien : les pc du lan ne peuvent accéder à internet !!!


Voici ma config :

- 1 firewall avec 2 cartes :
eth0 | lan | 192.168.0.1 | 255.255.255.0 | yes | static | (pour le LAN)
eth1 | lan | | | yes | dhcp | (reliée au modem ethernet)

- 1 pc sur le lan (il y en aura plusieurs bien sûr...)
ip : 192.168.0.2
masque : 255.255.0.0
passerelle par défaut : 192.168.0.1
DNS 1 : 193.252.19.3 (wanadoo)
DNS 2 : 193.252.19.4

(sans doute activerais-je le serveur dhcp de la mnf ensuite).

- l'accès à internet fonctionne depuis le firewall (ping + acces via lynx), malgrès un status à 'down' dans l'interface web. Cela avec protocole pppoe, interface ppp0, dhcp.

- seul le service proxy (trensparent) est activé. Car j'ai spécifié les adresse DNS sur le client et que les requêtes udp (53) sont permises de lan vers firewall, de firewall vers wan et de lan vers wan.
J'ai donc spécifié le réseau autorisé.

- j'ai 4 zones ... :
1 - lan | LAN | local_aera_network
2 - dmz | DMZ | demilitarized_zone
3 - wan | NET | internet
4 - ppp0 | PPP | ethernet

- ...et 3 interfaces :
1 - lan | eth0 | detect
2 - wan | eth1 | detect | dhcp+routestopped
3 - wan | ppp+ | detect |dhcp+noping

- Masquage classique :
1 - ppp+:0.0.0.0/0 | 192.168.0.0/24

- Pas de NAT (pas obligatoire si ? de toute façon, même avec ça ne marche pas ).

- ajout d'une règle par défaut :
1 - fw | wan | ACCEPT | info (juste pour test, je n'ai pas besoin de logguer tout le trafic).

- les requêtes udp (53) sont permises de lan vers firewall, de firewall vers wan et de lan vers wan :
1 - ACCEPT fw wan tcp+udp 53
2 - ACCEPT dmz wan udp 53
3 - ACCEPT lan wan udp 53
4 - REJECT wan fw tcp 113
5 - ACCEPT lan fw tcp 22
6 - ACCEPT lan fw tcp 8443
7 - ACCEPT fw lan icmp 8
8 - ACCEPT lan fw icmp 8
9 - ACCEPT lan dmz icmp 8
10 - ACCEPT dmz lan icmp 8
11 - ACCEPT dmz fw icmp 8
12 - ACCEPT fw dmz icmp 8
13 - ACCEPT lan wan tcp pop3
14 - ACCEPT lan wan tcp smtp
15 - ACCEPT lan wan tcp http
16 - ACCEPT lan wan tcp https
17 - ACCEPT lan wan tcp ssh
18 - ACCEPT lan wan tcp ftp
19 - ACCEPT lan wan tcp nntp
20 - ACCEPT fw wan udp ntp
21 - ACCEPT lan wan tcp imap
22 - ACCEPT fw wan:20022 tcp ftp
23 - ACCEPT fw wan tcp
24 - ACCEPT lan fw::3328 tcp www all
25 - ACCEPT fw wan tcp www

- le ping du firewall vers la machine lan fonctionne, l'accès internet depuis fw est ok.

MAIS COMME GROBIS, JE NE PEUX PAS ACCEDER A INTERNET DEPUIS LE 192.168.0.2...
Il me semble pourtant avoir suivi les conseils de ces messages (et ceux d'autres forums et des diverses docs bien sûr).

Je continue de chercher, mais si quelqu'un a une autre piste. Je posterai si j'ai du nouveau...

[lembal]

Il faut que tu actives le NAT en premier lieu. As-tu spécifié une @IP pour ton interface WAN ?

[Mat Pat]

Bonjour,

je me suis trompé, je pense que eth0 et eth1 doivent-etre en lan (c'est ce que je fais en tout cas. Je ne spécifie pas l'ip pour eth1 car je crois que ppp et sur une couche inférieure à celle de ip...).

Quant-au NAT, il demande un ip publique, que je n'ai pas car celle fournie par mon fai est dynamique...

dois-je qd-même l'activer ?

j'essaie en attendant et je vous tiens au courant.


Merci.

[lembal]

Bonjour,

Quant-au NAT, il demande un ip publique, que je n'ai pas car celle fournie par mon fai est dynamique...

dois-je qd-même l'activer ?

j'essaie en attendant et je vous tiens au courant.


Merci.

Une IP publique ! Ha non le NAT c'est de la translation d'adresse qui te permet de faire sortir des machines d'un réseau privé (ton LAN) sur Internet au travers d'une seule IP publique (dynamique ou pas d'ailleurs) qui est fournie par ton FAI. Tu dois spécifier une @IP privé dans ton "NATtage"...

[Mat Pat]

J'ai fini par y arriver, grace notamment aux bons conseils et à la patientce des utilisateurs de ce forum :

Voici ma config :


- Avant toute chose, il convient de s'assurer de la synchronisation des horloges entre la MNF et le reste du réseau => rubrique 'Configuration système\Temps'.
Chez moi, celà suffit pour avoir accès à l'interface d'admin. (même avec IE6).

- Configuration des cartes réseau :
=> rubrique 'Configuration système\Cartes réseau'.

eth0 lan 192.168.0.1 255.255.255.0 yes static
eth1 lan yes none

Attribuer une adresse IP à eth1 est inutile, puisque qu'elle sert ici de support à ppp, qui se situe dans une couche inférieure à celle de IP. (Si je ne dis pas d'ânneries...)


- Configuration de la connexion à internet :

=> rubrique 'Accès à Internet\Connexion DSL'.

Cliquer sur 'configurer', choisir eth1 :
Type d'accès : ADSL
Interface Internet : ppp0
Protocole ADSL : pppoe
Country : France
Address IP de la carte Ethernet :
Masque de sous-réseau Ethernet :
Passerelle par défaut :
Protocole de démarrage : none
Activer à chaque démarrage de la machine : yes

Renseigner les infos relatives au FAI.

Activer ou non la reconnexion automatique.


- Configuration du pare-feu :

=> rubrique 'Configuration du pare-feu \Définition des zones'.

3 zones :

Zone Nom Commentaires
1 lan LAN local_area_network
2 dmz DMZ demilitarized_zone
3 wan NET internet


3 interfaces :

Zone Interface Diffusion (Broadcast) Options
1 lan eth0 detect
2 lan eth1 detect
3 wan ppp+ detect dhcp


=> rubrique 'Configuration du pare-feu \Traduction d'adresses réseau de masque'.

- Masquage classique uniquement :

Interface Masque SNAT
1 ppp+:0.0.0.0/0 192.168.0.0/24

- Règles par défaut :

Par défaut.

- Exceptions :

Je ne sais plus si j'en ai ajouté, alors voici mon tableau :

Action Zone client Zone serveur Protocole Port(s) Renvoyer
1 ACCEPT fw wan tcp+udp 53
2 ACCEPT dmz wan udp 53
3 ACCEPT lan wan udp 53
4 REJECT wan fw tcp 113
5 ACCEPT lan fw tcp 22
6 ACCEPT lan fw tcp 8443
7 ACCEPT fw lan icmp 8
8 ACCEPT lan fw icmp 8
9 ACCEPT lan dmz icmp 8
10 ACCEPT dmz lan icmp 8
11 ACCEPT dmz fw icmp 8
12 ACCEPT fw dmz icmp 8
13 ACCEPT lan wan tcp pop3
14 ACCEPT lan wan tcp smtp
15 ACCEPT lan wan tcp http
16 ACCEPT lan wan tcp https
17 ACCEPT lan wan tcp ssh
18 ACCEPT lan wan tcp ftp
19 ACCEPT lan wan tcp nntp
20 ACCEPT fw wan udp ntp
21 ACCEPT lan wan tcp imap
22 ACCEPT fw wan:20022 tcp ftp
23 ACCEPT lan fw::3328 tcp www all
24 ACCEPT fw wan tcp www
25 ACCEPT lan fw udp 53



=> rubrique 'Services\Serveur DHCP'.

L'interface sur laquelle les serveurs DHCP doivent écouter : eth0
Nom de domaine du client :
Adresse IP du serveur WINS :
Début de la plage d'adresses IP : 2 (1 étant la passerelle)
Fin de la plage d'adresses IP : 10 (selon le nombre d'adresses que vous désirez).
Intervalle de temps par défaut (21600 = 6h) : 21600
Max Time Interval (43200 = 12h ) : 43200


=> rubrique 'Services\Proxy Web'.

Transparent, pas de filtrage pour le moment.

=> rubrique 'Services\DNS Cache'.
renseigner les DNS de votre FAI.


=> Configuration des clients : IP automatique et DNS automatique.


Merci encore pour votre aide, je reste donc moi aussi à l'écoute...

[grobis]

intéressant,
j'essaie la config ce week-end et je donne des nouvelles; pour l'instant je n'arrive toujours pas à connecter le lan à l'internet alors que la connection est up.

@+
merci pour toutes les infos


grobis

[grobis]

salut,
je reviens aux news au bout de quelques jours.

J'ai tout testé y compris la dernière config de mat pat qui est quasiement identique à la mienne mais toutjours rien. Le firewall se connecte à l'internet l'accès est up, mais des postes lan rien. pas d'accès.
il doit s'agir de pas grand chose, mais je ne vois pas ce qui cloche.
Dans les zones faut il rajouter ppp+ ou faut il laisser les 3 standard: lan wan dmz?

En outre je ne pige pas très bien le cache dns. Il est activé est c'est mnf qui fait routeur / passerelle.
Que faut ilrajouter dans les 2 case suivante: les dns wanadoo ou l'adresse ip de la passerelle ou rien?

J'y perd mon latin (enfin le peu que j'ai)

Suite au prochain numéro

[Mat Pat]

Dans les zones faut il rajouter ppp+ ou faut il laisser les 3 standard: lan wan dmz?

>>> Les 3 suffisent si elles correspondent à ton schéma...

En outre je ne pige pas très bien le cache dns. Il est activé est c'est mnf qui fait routeur / passerelle.
Que faut ilrajouter dans les 2 case suivante: les dns wanadoo ou l'adresse ip de la passerelle ou rien?

>>> Les DNS Wanadoo bien sûr puisque tu fais du cache pour tes clients, et pour qu'ils puissent atteindre des urls, il faut spécifier les règles correspondantes au port 53 (protocole udp).

[grobis]

merci, ça marche!
Effectivement il ne fallait pas grand chose. J'ai fait une réinstall et j'y suis allé par palliers; En définitive il ma manquait la config du cache DNS avec le adresses des serveurs du provider.
pour le reste tout est ok sur le lan.
Maintenant je fait pouvoir avancer et configurer le proxy.
A tous un grand merci.