Un serveur accédé par 2 IPCOP

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Un serveur accédé par 2 IPCOP

Messagepar SNORK » 18 Avr 2005 17:29

Bonjour,

J'ai un réseau Vert et un réseau Orange. Viennent dessus 2 Ipcop (1.4.5) (2 accès ADSL).

IPCOP 1
vert 192.168.1.1
orange 192.168.0.1

IPCOP 2
vert 192.168.1.2
orange 192.168.0.2

Un serveur en zone orange (192.168.0.10) répond bien aux requètes adressé depuis une station de travail du réseau vert via l'IPCOP 1 mais reste muet si je le ping via IPCOP 2. Si par contre je me met en ligne de cmd sur l'IPCOP2, je ping bien tous ce qui est sur le réseau.

Etrange non ? qu'ai je oublié ?
Avatar de l’utilisateur
SNORK
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 246
Inscrit le: 12 Mars 2003 01:00
Localisation: Asnières

Messagepar benoitg » 18 Avr 2005 18:37

La route par defaut !

A priori, ton serveur est configurer avec la route par defaut vers ton ipcop1.

Quand tu contactes ton serveur par ipcop1, ton packet SYN ouvre une session dans la table de ipcop1, et ton serveur repond (ACK) en passant par ipcop1. Il a deja l'entree dans sa table de session, donc la connexion tcp peux continuer.

Si tu contactes ton serveur par ipcop2, ipcop2 ouvre une session tcp dans sa table de session, mais lorsque ton serveur repond, le trafic prend la route par defaut, donc ipcop1. ipcop1 voit arriver un packet ACK qui ne correspond a aucune entree dans sa table tcp, et donc drop le packet. Tu as meme sans doute un log du style "ACK not SYN ?".

le dialogue entre ipcop2 et ton serveur fonctionne car dans ce cas la, les routes par defaut ne sont pas utilisees, car c'est du LAN.

Pour resoudre ce probleme :
- soit faut faire du stateful redondancy. Par prevu dans ipcop, donc laisse tomber;
- soit definir des routes statiques. Mais alors, tu ne feras que repartir le trafic, et tu n'auras pas de redondances.
- soit definir 2 routes par defauts. Quand un ipcop tombera, ton serveur utilisera l'autre route par defaut.

Bon courage.
Benoit.
benoitg
Quartier Maître
Quartier Maître
 
Messages: 18
Inscrit le: 05 Avr 2005 11:33

Messagepar SNORK » 18 Avr 2005 18:51

benoitg a écrit:La route par defaut !

- soit definir des routes statiques. Mais alors, tu ne feras que repartir le trafic, et tu n'auras pas de redondances.

- soit definir 2 routes par defauts. Quand un ipcop tombera, ton serveur utilisera l'autre route par defaut.

Benoit.


Merci pour cette explication. Je me doutais que ce ne serai pas simple. Je ne cherche pas une véritable redondance (pour l'instant) mais implement migrer d'un lien à l'autre sans interrompre les services hors, vu le temps de propagation des DNS ce ne sera pas facile. J'aurai aimer pouvoir répondre des 2 cotés à la fois. comment définir 2 routes statiques ?
Avatar de l’utilisateur
SNORK
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 246
Inscrit le: 12 Mars 2003 01:00
Localisation: Asnières

Messagepar Franck78 » 19 Avr 2005 00:42

Salut Snork,

Tu as d'abord un problème de config de numéro de réseau. D'un point de vue TCP, tes deux réseaux greens doivent avoir des numéros distinct:

192.168.1.x/255.255.255.0
et
192.168.2.x/255.255.255.0
par exemple.

Le deuxiémé truc, c'est que tes IPCOP devraient fonctionner aussi en routeur pour qu'ils s'échangent les numéros de réseaux qu'ils connaissent. Mais Ipcop ne le fait pas.
Donc route statique sur chacun d'eux et c'est bon.

Le vrai problème viendra d'internet et du NAT vers le serveur en orange.
En local, rien de spécial.

Bye
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Messagepar SNORK » 19 Avr 2005 12:06

Bonjour Franck,

Merci pour ton aide,

je reste dubitatif ... J'aurais aimé avoir un seul réseau vert pour y accrocher mes postes de travail. et maintenir les serveurs du réseau orange qu'ils soient "accrochés" sur un IPCOP ou sur l'autre. Tu penses donc que je vais devoir jongler avec ces réseaux sans pouvoir réèllement les lier ?
Avatar de l’utilisateur
SNORK
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 246
Inscrit le: 12 Mars 2003 01:00
Localisation: Asnières

Messagepar Franck78 » 19 Avr 2005 15:34

Attends, j'ai mal compris ton architecture.
J'ai pas vu que les deux ipcop étaient 'en paralèlle'.
J'étais parti sur deux LAN distincts reliés par le ORANGE.

Donc l'adressage est bon, comme tu l'as fait.

Maintenant ce qui s'y passe, à voir tranquillement.


Excuses

Salut
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Messagepar benoitg » 20 Avr 2005 00:16

SNORK a écrit:Merci pour cette explication. Je me doutais que ce ne serai pas simple. Je ne cherche pas une véritable redondance (pour l'instant) mais implement migrer d'un lien à l'autre sans interrompre les services hors, vu le temps de propagation des DNS ce ne sera pas facile. J'aurai aimer pouvoir répondre des 2 cotés à la fois. comment définir 2 routes statiques ?


selon l'OS, tu peux faire qq choses de ce style :

route add default 'ipcop1' 1
route add default 'ipcop2' 2

Le dernier chiffre c'est la metrique.
Le systeme prendra la route de poids la plus faible. Donc ipcop1 en priorite. Si ipcop1 injoignable (pas de reponse arp), il tentera ipcop2.
C'est la theorie, reste a valider en pratique.

Par contre, il faut bien prendre en compte ceci : ca ne basculera vers ipcop2 que si l'interface Orange de ipcop1 est tombée. Donc lorsque ton interface RED d'ipcop1 tombe, il faut que tu arretes manuellement l'interface Orange d'ipcop1.

Si ca ne marche pas, alors il faut apres partir vers des solutions de redondances, gerant HSRP ou VRRP (de memoire)


Comment as-tu prevu le basculement du trafic externe (entrant) entre les 2 ipcop ?
benoitg
Quartier Maître
Quartier Maître
 
Messages: 18
Inscrit le: 05 Avr 2005 11:33

Messagepar benoitg » 20 Avr 2005 00:20

ou une autre idée, en l'air, car je sais pas si vraiment realisable.

tu installes iptable sur tous tes serveurs (t'as que de l'Unix, bien sur ;o)), et tu crees une regle qui dit que tout ce qui vient de l'adresse MAC de ipcop1 est renvoye via ipcop1, tout ce qui vient de la mac adresse de ipcop2 est renvoye vers ipcop2...

Je suis pas un pro en iptable, donc je certifie pas la realisation ou pas de la chose...

Bon courage
benoitg
Quartier Maître
Quartier Maître
 
Messages: 18
Inscrit le: 05 Avr 2005 11:33

Messagepar SNORK » 21 Avr 2005 10:50

Voila des pistes interessantes, je vais faire quelques essais je vous tiendrais au courant. en tous cas, merci pour votre attention.
Avatar de l’utilisateur
SNORK
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 246
Inscrit le: 12 Mars 2003 01:00
Localisation: Asnières


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron