Problème d'accès a un webmail en https

[Denis Leroy]

Bonjour,

Apres une nuit, ca ne marche pas plus... damned
Pour ce qui est des logs, j'ai mis info sur la regle de mon serveur web, et lorsque je me connecte dessus ca fonctionne bien, je vois ma connexion
Quand je me connecte a mon serveur web et que la connexion s'effectue, je vois bien la connexion dans les logs.

Par contre quand je me fais jeter (Firefox dit connexion refusé à xxxx (nom de domaine)), il n'y pas de nouvelle ligne dans les logs...

[Denis Leroy]

Cela pourrait il venir d'un problème hardware ?
128 Mo de ram sont ils suffisant ? sachant qu'il y une 10enes d'utilisateurs qui se connectent depuis le lan par proxy avec authentifcation et que le web mail est consulté par 10-20 utilisateurs depuis Lan-Wan.

Non je pense a ca car en faisant une commande top, je me suis apercu qu'il n'y avait que 4 Mo ram de libre...

ps : j'ai supprimé la regle pour le https vers mon webmail et je l'ai recrée... toujours meme soucis

[Gandalf]

Par contre quand je me fais jeter (Firefox dit connexion refusé à xxxx (nom de domaine)), il n'y pas de nouvelle ligne dans les logs...

Salut, le truc qui me chiffonne c'est ce nom de domaine, n'aurais-tu pas un souci avec ? Je m'explique : tu as beau attaquer ton webmail en interne par son nom de domaine, très peu de FAI gère ce genre de "boucle", et en fait tu passes en direct par l'IP privée ! As-tu essayé de passer par l'IP publique en zappant le nom de de domaine, histoire d'être sûr qu'il n'y a pas de pb de ce côté la !

De plus essayes de vider ton cache internet avant de te connecter ! En fait s'il n'y a rien dans les logs c'est que la requête n'arrive tout simplement pas à ton firewall ! C'est pour ça que je chercherais ailleurs ...

Sinon côté hardware, je trouve la config un peu lègère mais ça ne devrait pas poser ce genre de pb ! Quand tu dis que tu as essayé un autre firewall, c'est une autre machine physique hein ?

[Denis Leroy]

oui oui une autre machine physique, meme config .

Alors juste pour détailler, je dispose d'une connexion oleane qui elle dispose d'une ip fixe publique. la dessus est connecté la mnf et donc tout le réseau (lan dmz)
je dispose en plus d'une autre connexion chez un autre fai sur lequel je n'ai qu'un seul pc connecté. cela me permet de tester mon réseau depuis une connexion externe.

Quand je me connecte au webmail depuis le lan, en utilisant le nom de domaine je suis directement redirigé vers le serveur webmail sans sortir, j'ai crée une regle Lan -> dmz. et la résolution de domaine se fait par un serveur dns interne.

Résultat des tests en interne :
par ip interne : OK
par nom de domaine : OK

par ip publique (depuis le poste à part) : non OK
par nom de domaine : non OK

http://adresseippublique fonctionne bien, j'arrive bien sur mon serveur web
https://adresseippublique connexion refusé...

Tu penses à un problème autre que firewall ? ma connexion se fait par un modem routeur speedtouch 510
j'y ai desactivé le firewall intégré. sinon je n'ai rien fait d'autre.

Cela pourrait venir de Oleane ? ce qui m'embete surtout, c'est l'aspect assez aléatoire du phénomène, un coup accessible pendant 10-15-30 minutes et op d'un coup acces refusé... pendant un certain laps de temps...

[Gandalf]

De plus en plus casse-tête ton truc ! Si la requête n'arrive pas sur le firewall c'est qu'elle est bloquée ailleurs en amont ! FAI ? je ne pense pas, modem ? pourquoi pas, une mauvaise interprétation des trames et rien n'arrive sur le MNF ! Tu peux faire un test avec un autre modem peut-être, mais là j'avoue que c'est très étrange tout ça, si j'ai d'autres idées je te fais signe !
Peut-être que d'autres auront d'auters idées à te proposer !

[Denis Leroy]

Hello,

ALors, ces derniers temps j'ai :
1) installé une nouvelle MNF avec les règles importés de l'ancien,
2) mis à jour la MNF
3) Changé le modem routeur (un speedtouch 510 avec firewall intégré coupé)
4) supprimé et recréé les regles concernant le https...

A chaque fois test mais toujours le meme probleme, impossible de se connecter de manière intermitante depuis le wan.
Par le Wan ca marche très bien.

Voici les règles de mon firewall wan -> dmz (je n'ai pas mis les Lan->all)
Je les mets par desepoire de cause car si c'etait un probleme de règles l'impossibilité de se connecter au web mail serait permanente...

3 REJECT wan fw tcp 113
26 DNAT wan dmz:192.168.2.11 tcp http (serveur web)
28 DNAT wan dmz:192.168.2.33 tcp https (Webmail)
29 DNAT wan dmz:192.168.2.33 tcp smtp 192.168.1.2

toutes les regles sur le https :
28 DNAT wan dmz:192.168.2.33 tcp https
32 DNAT lan dmz:192.168.2.33 tcp https
39 ACCEPT dmz:192.168.2.33 lan tcp https
43 ACCEPT fw wan tcp https


help ! je ne comprend plus rien !!!

[Jacques-]

Je ne vois pas d'ACCEPT DMZ -> WAN en HTTPS.
Normalement, le module de tracking sait déterminer si une connexion est dans un état REMATED, c'est à dire fait suite à une connexion initiée et acceptée.
Mais dans le cas du HTTPS, c'est peut être moins évident.

J'essaierai d'ajouter cette règle pour voir ce que cela donne.
Parce que pas de connexion, cela pourrait aussi être pas de réponse... tout simplement.

Jacques

[Denis Leroy]

Bonjour,

Apres une semaine de labeur a chercher partout je ne sais plus trop quoi faire...

Je viens d'insérer cette regle sous tes recommandations Jacques :

54 ACCEPT dmz:192.168.2.33 wan tcp https

Je vous tiens au courant du résultat. En esperant sincerement que cela résoudra mes problèmes car ma direction commence a grincer des dents.

En tout ca merci a tous ceux qui se penchent sur mon problème !

[morocons]

Ne manquerait-il pas une règle : ACCEPT wan dmz tcp https ?

De plus dans la règle 28 DNAT wan dmz:192.168.2.33 tcp https, la redirection de https est-elle implicite vers le port 443 de 192.168.2.33 ?
Normalement oui, mais par sécurité je la modifierais bien de la façon suivante :
28 DNAT wan dmz:192.168.2.33:443 tcp https