MNF, VPN, TSE

Le MNF (Multi Network Firewall) est un des produits pare-feu les plus richement pourvus en fonctionnalités du marché. Il est basé sur un kernel Linux 2.4 sécurisé. Ce forum est également destiné à accueillir tous les posts concernants les distributions Mandriva (anciennement Mandrake)

Modérateur: modos Ixus

MNF, VPN, TSE

Messagepar eden91 » 29 Juin 2004 10:48

Bonjour,
Mon pb est le suivant : je m'occupe de l'interconnexion de plusieurs sociétés dont 1 à caen et 1 à paris.
Celle de Paris a une MNF sur son réseau (mais pas celle de Caen car trop petite structure pour avoir une MNF) ainsi qu'un serveur TSE et 1 serveur VPN.
La boîte de Caen se connecte à celle de Paris sur le serveur VPN via une connexion VPN. Une fois la connexion VPN établie, elle peut lancer une connexion TSE avec l'ip du réseau local de PARIS. Jusque là tout marche bien. Le pb se pose lorsque les utilisateurs de Caen veulent imprimer à partir de leur fenêtre TSE sur leurs imprimantes à eux à Caen. Normalement, pour ajouter une imprimante à eux, ils doivent à partir de leur fenêtre TSE ajouter une imprimante réseau et choisir une de leurs imprimantes. Mais ils n'arrivent pas à voir dans la liste des imprimantes, les imprimantes de leur réseau. Même quand ils mettent le chemin manuellement \\nompc\nompartagedel'imprimante, ça ne trouve pas.

Je me suis ensuite aperçu, que les utilisateurs de Caen, à partir de leur fenêtre TSE, ne peuvent pas pinger leur réseau local à eux. Lorsqu'ils essaient de pinger, ils ont un message de la MNF de Paris qui dit qu'ils ne peuvent pas joindre le port de destination. Donc étant donné qu'ils n'arrivent même pas à pinger leur réseau, ils ne pourront jamais installer d'imprimante !!!!

Quelles règles et quels protocoles dois-je ajouter dans les exceptions du shorewall pour que ça marche ???

Réseau local de Paris : 192.168.253.0
Réseau local de Caen : 192.168.252.0
Connexion avecIP Fixe pour Paris
Connexion avec IP Fixe pour Caen
eden91
Aspirant
Aspirant
 
Messages: 123
Inscrit le: 20 Avr 2004 13:11

Messagepar Methos_Hi » 29 Juin 2004 11:46

Est-ce mnf qui joue le rôle de serveur vpn ?

Le protocole du ping c'est icmp (il doit déjà y en avoir quelques unes dans les rules de mnf il suffit de t'en inspirer).

Ne serait-ce pas plutôt un problème de routage ou de résolution de noms?
Avatar de l’utilisateur
Methos_Hi
Amiral
Amiral
 
Messages: 1520
Inscrit le: 07 Fév 2004 01:00
Localisation: Ile de France

MNF, VPN, TSE

Messagepar eden91 » 29 Juin 2004 12:06

Merci de t'intéresser à ce sujet épineux !!!

Ce n'est pas la MNF qui sert de serveur VPN, c'est un serveur Windows 2000 Server.
Je ne vois pas trop comment m'en sortir ...
Pb de route ?
eden91
Aspirant
Aspirant
 
Messages: 123
Inscrit le: 20 Avr 2004 13:11

Messagepar Methos_Hi » 29 Juin 2004 14:00

oui, lorque un poste de caen de retrouve en tse sur un serveur de paris, il a dans le terminal une adresse ip de Paris. Pour voir le réseau de caen, il faut que le routage permettent de joindre le réseau de caen.

Si cela marche avec les adresses ip, alors le routage est bon mais si çà ne marche parche pas avec les noms c'est dans doute à cause du Wins ou du Dns.

Au niveau du Wins, il en faut un sur chaque réseau qui se réplique l'un sur l'autre.


Si la mnf était serveur çà serait plus simples pour les règles car chaque liaisons vpn étant considérée comme une zone, les règles deviennent faciles à établir. Là çà au moins un schéma c'est difficile de se prononcer.

Au fait, si je comprends bien du coté de caen c'est chaque machine (et non le réseau via un équipement dédié) qui est client vpn. Il y aurait autant de liaison vpn que de clients. Si tel est le cas, c'est clair que tu ne peux joindre une machine de caen depuis paris. Par contre tu peux joindre une machine de paris et donc une machine de caen en vpn avec paris. Si cette dernière partage une imprimante même si elle semble être à paris ben l'imression se fera à Caen.
C'est clair ce que j'ai dit ?
Avatar de l’utilisateur
Methos_Hi
Amiral
Amiral
 
Messages: 1520
Inscrit le: 07 Fév 2004 01:00
Localisation: Ile de France

MNF, VPN, TSE

Messagepar eden91 » 29 Juin 2004 14:30

Lorsque la machine de Caen se connecte à Paris, elle récupère en effet une adresse IP du réseau local de Paris. Pour la machine à Caen, elle peut pinger à la fois son réseau à Caen ainsi que le réseau à Paris, mais depuis sa fenêtre TSE, elle ne peut pinger que le réseau de Paris (logique en fait puisque elle récupère une adresse IP de Paris). Mais la question est, comment faire depuis cette fenêtre TSE, pinger une adresse du réseau de Caen ?
Une fois que ce problème sera résolu, je m'attaquerai à la résolution de noms WINS et DNS ...

Tu as bien compris en effet, chaque machine à Caen est un client VPN.
La MNF peut faire office de serveur VPN ? je croyais que le menu VPN de la MNF ne servait qu'à monter un VPN entre 2 MNF ....

Mais même si plus tard, je suis amené à passer la MNF en tant que serveur VPN, j'aimerais bien essayer de faire marcher ma solution actuelle ...
Je ne suis pas loin du but !

Tu me parles de routage ... ne faut-il pas justement que je rajoute des routes ?
eden91
Aspirant
Aspirant
 
Messages: 123
Inscrit le: 20 Avr 2004 13:11

Messagepar Methos_Hi » 29 Juin 2004 18:12

Est que depuis paris tu peux joindre une machine de caen ? Ping ou autre chose ?
Car lorsque tu es dans le terminal d'une machine de caen en fait c'est comme si tu étais à paris.

De toute évidence tu peux car tu n'as pas relier les deux réseaux de façon transparente via un tunnel vpn mais en fait chaque machine de caen se retrouve virtuellement indépendament des autres sur le réseau de PAris avec une adresse ip de paris attribuée par le serveur vpn de paris.

Tu ne peux donc imprimer que sur une machine de Paris mais rien n'empêche cette dernière de n'être que virtuellement sur paris et que en fait tu imprimes à caen.

Pour le routage, tu peux ruser mais çà va charger une machine.
Au lieu de créer une liaison vpn par machine de caen, tu choisis une machine à caen qui reste tout le temps allumé.
Tu fait un pont entre son interface physique et son interface vpn et elle te servira de passerelle pour aller d'un réseau à l'autre en étant physiquement à caen et virtuellement à Paris.

Tiens, je suis en train de me demander si le serveur vpn à Paris ne peut pas remplir ce rôle...

M'enfin, tu vois où est le problème ?
En fait pour faire simple les réseaux ne se connaissent pas et ont aucun moyen d'entrer en relation.
Avatar de l’utilisateur
Methos_Hi
Amiral
Amiral
 
Messages: 1520
Inscrit le: 07 Fév 2004 01:00
Localisation: Ile de France


Retour vers Mandriva MNF & SNF

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité