[Réglé] MNF + Passerelle + PPPoE... je n'y arrive pas !

Le MNF (Multi Network Firewall) est un des produits pare-feu les plus richement pourvus en fonctionnalités du marché. Il est basé sur un kernel Linux 2.4 sécurisé. Ce forum est également destiné à accueillir tous les posts concernants les distributions Mandriva (anciennement Mandrake)

Modérateur: modos Ixus

[Réglé] MNF + Passerelle + PPPoE... je n'y arrive pas !

Messagepar maxv » 30 Juil 2004 14:13

Bonjour, j'ai installé (à x resprises avec x > 7 au moins) la distribution MNF afin de tenter de donner un semblant de sécuristé au reseau de mon entreprise (des mecs avait installé un routeur/firewall mais ce dernier n'était pas activé :().

Après beaucoup d'efforts je suis parvenu a configurer corrrectement ma carte lan (192.168.0.1 avec comme masque 255.255.255.0, configurée lors de l'installation) puis à acceder à l'interface.

Maintenant je souhaite configurer mon accès à internet. J'utilise donc l'interface pour parametrer une connection xDSL chez wanadoo. Je lui désigne l'interface reseau eth1 désignée au paravant comme étant la carte wan.
Je choisis d'utiliser PPPoE (la carte Wan est raccordée à un modem ethernet. Cette dernière n'a pas d'ip, PPPoE oblige). Je configure tout et cela semble fonctionner (on voit à travers l'interface de la MNF qu'une IP wanadoo à été attribuée et que le protocole est ppp (par contre c'est mis sur "Down" mais à ce que j'ai cru comprendre dans les tutos et sur ce même forum ce n'est pas vraiment indicatif) : la MNF se connecte à internet. Le reseau se connecte à la MNF mais ca ne va pas plus loin !

Je ne parviens pas à faire le lien entre la carte lan et la carte wan. La MNF le fait elle automatiquement ou faut il le faire manuellement ? Comment ? J'ai beau regarder, je ne trouve rien sur le paramétrage des connections adsl avec PPPoE.

Peut que j'utilise un mauvais protocol, dans ce cas là merci de me l'indiquer.

Je précise que je n'ai touché ni aux regles du firewall, ni aux services (qui sont tous désactivés)

Merci d'avance pour votre coup de main car j'ai vraiment l'impression d'etre au bout de mes peines et pourtant au bord de me noyer dans un verre d'eau :s

PS : Il est vrai que je part du principe que c'est la MNF qui ne fonctionne pas du à un mauvais paramétrage. Je suis quasi certain qu'il s'agit de cela car mes posts clients sont bien paramétrés (passerelle qui pointe vers 192.168.0.1), du moins je l'espere.

PS2 : Lors de l'installation, je ne met aucunes passerelle, aucuns serveur DNS et clique sur annuler lors de la configuration de eth1. C'est bien la procédure à suivre dans le cas d'une connection ADSL n'est ce pas ?
Dernière édition par maxv le 04 Août 2004 09:41, édité 1 fois au total.
maxv
Quartier Maître
Quartier Maître
 
Messages: 25
Inscrit le: 30 Juil 2004 14:02

Messagepar Methos_Hi » 30 Juil 2004 18:27

sur tes postes clients tu dois également indiquer les dns de ton fai.

as-tu procédé au niveau de la mnf au masquage classique ?
As tu lu la doc (en français) qui aborde dans l'ordre les étapes à suivre ?
Avatar de l’utilisateur
Methos_Hi
Amiral
Amiral
 
Messages: 1520
Inscrit le: 07 Fév 2004 01:00
Localisation: Ile de France

Messagepar maxv » 02 Août 2004 08:43

Methos_Hi a écrit:As tu lu la doc (en français) qui aborde dans l'ordre les étapes à suivre ?


Oui j'ai lu la doc (lien vers un manuel html en fr depuis la description de la MNF, sur le portail d'Ixus) et suivit pas à pas les instructions depuis le début, rien n'y fait.

Mais j'ai ce week end utilisé la magnifique fonction "Rechercher" de ce forum pour tomber sur ce post. J'ai suivit pas à pas la procédure et voilà que dorénavant j'ai le resultat de la requette ping indiqué dans le status de la connection internet (ce qui me fait dire qu'avant je n'était pas vraiment connecté (bien qu'ayant une ip wanadoo affichée, bizard...) et que maintenant je le suis). Tout est bien configuré suivant ce même poste.

Enfin, le seul service de la MNF activé c'est le proxy transparent (au début jme disais que c'était peut etre ca...)

Methos_Hi a écrit:sur tes postes clients tu dois également indiquer les dns de ton fai.


Reste que les clients n'ont toujours pas accès à internet alors qu'ils ont 192.168.0.1 (MNF) en passerelle, qu'il sont sur une plage 192.168.0.xxx et que leur masque est 255.255.255.0 (donc ils sont sensés "se voir" entre eux. Pas de problèmes à ce niveau là). De plus ils ont les DNS du FAI (mamadoo).

PS : Quand je dit que les clients n'ont toujours pas accès au net, je parle de pings sortants, de surf et tout et tout...Seulement avec des DNS, je vais voir ce que ca donne s'y j'essaie directement avec des IP...

Y doit rester un ptit poil de $%#&! quelque part coincé dans les rouages qui fait foirer toute la méchanique seulement je vois pas où :?

Methos_Hi a écrit:as-tu procédé au niveau de la mnf au masquage classique ?

Hum, dsl je n'ai jamais eu de cours sur le reseau et c'est nouveau pour moi ce genre de trucs (je viens a peine de comprendre le 192.168.0.1/32 et encore je n'ai pigé qu'a moitié). Par contre j'ai lu les Dix Commandements de la MNF :mdr:
maxv
Quartier Maître
Quartier Maître
 
Messages: 25
Inscrit le: 30 Juil 2004 14:02

Messagepar maxv » 02 Août 2004 08:59

Si j'essaye de pinger free.fr, ca donne :

Code: Tout sélectionner
ping www.free.fr
La requête Ping n'a pas pu trouver l'hôte www.free.fr. Vérifiez le nom et essaye
z à nouveau.


J'ai donc essayé de pinger free.fr mais avec l'ip.
Cela donne donc :

Code: Tout sélectionner
ping 213.228.0.42

Envoi d'une requête 'ping' sur 213.228.0.42 avec 32 octets de données :

Réponse de 192.168.0.1 : Impossible de joindre le port de destination.
Réponse de 192.168.0.1 : Impossible de joindre le port de destination.
Réponse de 192.168.0.1 : Impossible de joindre le port de destination.
Réponse de 192.168.0.1 : Impossible de joindre le port de destination.

Statistiques Ping pour 213.228.0.42:
    Paquets : envoyés = 4, reçus = 4, perdus = 0 (perte 0%),
Durée approximative des boucles en millisecondes :
    Minimum = 0ms, Maximum = 0ms, Moyenne = 0ms


Il me semble pourtant que par défaut la MNF en sensée laisser "sortir" les pings. Y doit donc me manquer un réglage ou quelque chose comme cela.
maxv
Quartier Maître
Quartier Maître
 
Messages: 25
Inscrit le: 30 Juil 2004 14:02

Messagepar maxv » 02 Août 2004 12:15

Je viens de me rendre compte qu'il existait une section "Traduction d'adresses réseau de masque" dans "Configuration du Pare-Feu" (aie, tapez pas !), je vais donc voire ce que je peux faire de ce coté là et m'inspirant de cette remarque donnée dans un topic sur une passerelle internet mnf ne fonctionnant pas :
As tu bien mis en place une regle de traduction d'adresses réseau du type masque classique :

eth1:0.0.0.0/0 192.168.1.0/24

où eth1 serait ton interface connecté au wan et 192.168.1.0/24 l'adresse réseau de ton lan


EDIT : Bon, je viens de me rendre compte que j'ai entierement sauté une section du manuel de la mnf traitant justement de cette fameuse passerelle, penssant que je l'aborderai une fois que j'en serait à la configuration même du pare-feu (je pensais pas que cela serait configuré si tard).

Oui bon d'accord, la prochaine fois je lit TOUT, d'un coup :oops:

Bon je vous tiens au courant de l'avancement des choses et je risques de revenir vous voir, nottament pour la traduction de cette rubrique du manuel :)
maxv
Quartier Maître
Quartier Maître
 
Messages: 25
Inscrit le: 30 Juil 2004 14:02

Messagepar maxv » 02 Août 2004 12:35

J'ai donc (tenté) de creer des regles de masquages...

j'ai donc crée la regle
Code: Tout sélectionner
ppp+:0.0.0.0/0    192.168.0.1

qui n'a pas fonctionné, de même que
Code: Tout sélectionner
eth1:0.0.0.0/0    192.168.0.1


L'ennui c'est que là on tombe dans les masques et que moi je n'y comprend absolument rien :(

Je vais donc vous expliquer ce que je cherche à faire...

J'ai besoin de faire en sorte que tous mes posts ayant pour ip 192.168.0.xxx ainsi que 10.0.0.xxx puissent aller sur internet. Comme indiqué plus haut, l'interface de connection à internet est ppp+ (seulement physiquement c'est eth1). Me voilà face à un sacré dilème :)

Quelqu'un à t'il une solution pour moi ?

Merci pour tout ce qui a été déja fait et tout ce qui va etre fait a propos de mon problème.

EDIT : je viens de constater un truc bizard... j'ai DEUX eth1 dans les possibilités d'interface pour la création d'une nouvelle règle de traduction d'adresse. Normal (peut etre, comme j'ai crée un ppp+ ca a peut etre une conséquence que j'ignore) ?
maxv
Quartier Maître
Quartier Maître
 
Messages: 25
Inscrit le: 30 Juil 2004 14:02

Messagepar maxv » 02 Août 2004 12:58

Apparement le probleme du double eth1 n'est en pas un car quand je fais une regle avec ppp+ je me retrouve avec un double ppp+...

J'ai donc réalisé que je faisais une traduction d'adresse uniquement pour 192.168.0.1 ce qui se revele etre assez débile, j'en concois.

J'ai donc tenté de faire succèssivement
Code: Tout sélectionner
   ppp+:0.0.0.0/0    192.168.0.0/24
ppp+:0.0.0.0/0    eth0
, mais sans succès.
maxv
Quartier Maître
Quartier Maître
 
Messages: 25
Inscrit le: 30 Juil 2004 14:02

Messagepar maxv » 02 Août 2004 13:48

Bon, finallement ca marche avec
Code: Tout sélectionner
ppp+:0.0.0.0/0    eth0
(j'avais mis et0 a la place de eth0 donc heuresment que shorewall a geulé au redémarrage sinon j'était pas pret de m'en rendre compte). Tout est donc rétablit et maintenant, quand je tente de rejoindre une adresse internet, paf ! 302 Access denied avec un tableau des tranches des heures autorisées sur le reseau.

Je crois que ces indications horaires sont érronés car d'une part je suis dans une zone "verte" (il est 13h45 or le lundi on a pas le droit de 12h à 13h) et d'autres part je ne vois aucunes interdictions horaires configurés.

Je suis donc à la recherche de deux trucs :
- un réglage plus fin au niveau de la traduction d'adresses ip (voir plus haut : filtrer les accès au web en fonction de certaines tranches d'ip)
- l'origine de cette interdiction d'aller sur le web

EDIT : je me rend compte que j'ai mal "défini" mes besoins en ce qui concerne la traduction d'adresses ip. Finallement, ne doivent aller sur le net que ceux qui ont une adresse ip 192.168.0.xxx et 192.168.2.xxx.
maxv
Quartier Maître
Quartier Maître
 
Messages: 25
Inscrit le: 30 Juil 2004 14:02

Messagepar maxv » 02 Août 2004 14:50

Bon, ca deviens limite un journal de bord ici... tampis :)

Finallement le net fonctionne, c'était le filtrage du proxy web qui merdait... Je l'ai désactivé (mais en laissant le proxy en mode transparent) et tout fonctionne parfaitement (peut etre un petit lag, le temps de constituer le cache).

Donc me dernier problème ces les plages d'ip traduites (ou masquées, je sais pas comment on dit).

Moi j'ai donc fait 192.168.0.0/24 (pour autoriser tous les 192.168.0.*) et il me reste à autoriser les 192.168.0.2 (192.168.0.2/24 peut etre ?) via les masques. Quelqu'un peut t'il m'aider ?
maxv
Quartier Maître
Quartier Maître
 
Messages: 25
Inscrit le: 30 Juil 2004 14:02

Messagepar Methos_Hi » 03 Août 2004 11:53

2.0 et non 0.2 je suppose sinon c'est çà.
Sauf qu'il faut que l'adresse de la passerelle soit aussi en 192.168.2.x. Il faut donc que tu es un autre interface sur ta mnf (physique ou virtuelle)

Ce masquage que tu as fais ces derniers jours s'appelle le masquage classique.
Il est abordé comme tout le reste dans la documentation en français au format PDF (Acrobat).
Avatar de l’utilisateur
Methos_Hi
Amiral
Amiral
 
Messages: 1520
Inscrit le: 07 Fév 2004 01:00
Localisation: Ile de France

Messagepar maxv » 03 Août 2004 12:39

Une doc au format pdf ? J'ai du la louper :s

Tu me dit là que ce n'est pas possible par exemple d'avoir comme passerelle 192.168.0.1 et des pc 192.168.2.x qui se connectent dessus ? Même si tout deux on un masque 255.255.0.0 ?
maxv
Quartier Maître
Quartier Maître
 
Messages: 25
Inscrit le: 30 Juil 2004 14:02

Messagepar Methos_Hi » 03 Août 2004 13:03

Avec ce dernier masque oui, mais c'était pas le cas jusqu'à présent.

Mais dans ce cas, quel intérêt ?

PS :
sur cette page http://www.ixus.net/modules.php?name=Di ... andrakesnf, tu as :
Documentation Mandrake MNF (version française) - 02/05/2003
http://www.ixus.net/modules.php?name=Do ... it&lid=179
Avatar de l’utilisateur
Methos_Hi
Amiral
Amiral
 
Messages: 1520
Inscrit le: 07 Fév 2004 01:00
Localisation: Ile de France

Messagepar maxv » 03 Août 2004 14:29

A l'origine je pensai que ca pourrait etre utile, car la plage 192.168.2.x était reservée à ceux qui avaient deux cartes réseaux. Seulement c'est une mesure totallement inutile aussi je pense que je vais mettre tout le monde sous le même régime...

(Il me semble que la doc sur la mnf que tu indique, au format pdf, est la même que celle au format html que j'utilise)

Merci beaucoup en tout cas, à toi et tous ceux qui ont eu un problème et on posté la réponse ici même.
maxv
Quartier Maître
Quartier Maître
 
Messages: 25
Inscrit le: 30 Juil 2004 14:02


Retour vers Mandriva MNF & SNF

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron