port forwarding avec ipcop

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

port forwarding avec ipcop

Messagepar alvesdarocha » 16 Déc 2005 12:57

Bonjour

j'ai deux sites distants A et B sur une liaison LL de 150 kb ( je ne peux pas changer le debit et la configuration non plus car c est une prestation sous contrat). de chaque cote un routeur avec une config proprietaire ( je ne peux pas avoir accès a la config du routeur) .Chaque poste à une ip fixe. ( sur le poste :la passerelle pointe vers le routeur). sur le site A j ai 5 postes. Sur le site B: j ai 3 postes.

je fais du VPN entre ses deux sites pour une application particuliere ( j'utilise un ports pour cette application le port est le 80).
Le site B possède une connection ADSL. les utilisateurs du site A se connecte au site B pour faire internet et utiliser l'application qui a pour conséquence de saturer la liaison 150 et mon application n'a plus de
bande passante.

Je voudrai installer un routeur ADSL sur le site A pour que les utilisateurs du site A puissent aller sur internet. Ainsi on libére la LL (ligne louée). j'aurai un problème de passerelle ( puisque je ne peux en mettre qu une).La passerelle par defaut me sert a me connecte sur la ligne loué de 150 kb.


qu est ce que vous en pensez ?

merci a tous
alvesdarocha
Matelot
Matelot
 
Messages: 3
Inscrit le: 16 Déc 2005 12:46

Messagepar loberty » 16 Déc 2005 19:50

Bonjour,

Tu utilise ta LL pour l'application spécifique seulement ?
Pas pour le dialogue réseau entre les postes (ex : netbios, échange de fichiers, etc ...) ?

A+
Avatar de l’utilisateur
loberty
Contre-Amiral
Contre-Amiral
 
Messages: 411
Inscrit le: 25 Mai 2004 13:47
Localisation: Val de marne

Messagepar TheMogwai » 16 Déc 2005 20:51

Bonjour,

La meilleure solution à mon sens serait d'installer le nouveau routeur ADSL, de donner comme adresse de passerelle à tous les postes clients l'adresse de ce routeur et de rajouter dans ledit routeur une route qui point vers le routeur de la liaison louée pour les adresses internes des machines connectées au VPN de l'autre coté. Ainsi tu n'as pas à modifier la config du routeur de la LL et la modif est transparente au changement de passerelle sur les postes clients. Par contre il faudra absolument que le routeur ADSL reste allumé sinon plus d'accès aux postes VPN.

Cdlt
---IPCop 1.4.10---
-Celeron900-384MoRam-850MoHDD-
-Red:Bewan PCI/ST + Orange + Green-
TheMogwai
Quartier Maître
Quartier Maître
 
Messages: 17
Inscrit le: 26 Août 2005 17:47

merci a tous

Messagepar alvesdarocha » 17 Déc 2005 23:35

bonjour et merci

je n'avais pas penser a cela.

L'application n'utilise que le VPN ( pas d'autre traffic reseau dessus).

Tous les postes utilisent le VPN et doivent faire de l'internet donc chaque poste doit se servir l'application en VPN sur le port 80( en passant par un routeur sur une LL ) et faire de l'internet en passant par le routeur adsl local.

Si je pointe sur le routeur ADSL et en repointant sur l'autre routeur pour l'appli : est ce qu il pourront faire du VPN ? ( est ce que le routeur doit il etre compatible avec du VPN). Comment pourra t il distinguer le flux internet du flux de l'application.

est ce que l'on peut detecter les flux VPN pour le rediriger vers le bon routeur ?

quelle routeur peut faire cela?? ( cisco serie 800 )
alvesdarocha
Matelot
Matelot
 
Messages: 3
Inscrit le: 16 Déc 2005 12:46

Messagepar TheMogwai » 18 Déc 2005 15:22

Bonjour,

Pour bien fixer les idées, il faut se poser la question "qu'est-ce qu'un routeur et à quoi sert-il?"

Pour répondre brièvement et de manière imagée, un routeur est un équipement réseau qui dirige des paquets en fonction de leur destination et ce quel que soit le protocole et le contenu des paquets.

Attention je tente une analogie osée:

Tu as un routeur principal qui est connecté à quatre autres routeurs. Dans le routeur principal tu as une table de routage qui dit que les paquets à destination du nord vont vers le routeur1 ceux pour l'est vers le routeur2 ceux pour le sud vers le routeur3 et ceux pour l'ouest vers le routeur4.

Maintenant sur ton réseau principal tu souhaites envoyer un paquet à Lille. Lille est un sous réseau de nord donc ton paquet va être envoyé vers le routeur1 qui lui même ensuite se débrouille pour envoyer le paquet à Lille en fonction des ses propres tables de routages. Idem pour Marseille qui sera envoyé au routeur3 lequel ensuite se débrouille.

En ce qui concerne ton application à toi, tu cherches à envoyer un paquet vers une adresse VPN (donc normalement sur une adresse privée du type 192.168.1.x. Ce paquet est transmis à ton routeur ADSL qui a dans sa table de routage une entrée qui dit que les paquets à destination de 192.168.1.0/24 (donc de 0 à 255) doivent être envoyé au routeur VPN qui lui arrivera à s'en débrouiller. Pour toutes les autres adresses c la route par défaut qui sera utilisée donc le routeur ADSL envoie sur internet.

Ton routeur se moque de savoir si la paquet à un port de destination de 80 (HTTP) 443 (HTTPS) ou autre ce n'est pas son boulot. Lui il aiguille et c'est tout.

La ou il risque d'y avoir un problème c'est si la routeur fait en même temps firewall.

En effet les firewalls actuels prennent en compte pour autoriser un paquet à passer le fait que tu établisses une connexion ou que tu recoives une réponse à un paquet que tu as envoyé. Lorsque tu établis une connexion tu envoie un paquet avec un flag particulier (SYN) lequel attends en retour un paquet qui est une réponse.

Dans ton cas il ne devrait pas y avoir de problème si le routeur de la LL n'intègre pas de firewall. Il y aura juste au niveau de ton routeur ADSL des paquets SYN qui ne recevront pas de réponse.

J'explique:
A l'aller ton paquet source mettons 192.168.0.2:x vers la destination 192.168.1.2:80 va aller au routeur ADSL qui va mémoriser ce fait , l'envoyer au routeur LL qui va l'envoyer à travers le VPN vers le site distant. L'appli du site distant va répondre en envoyant un paquet source 192.168.1.2:80 à destination 192.168.0.2:x ce paquet va arriver au routeur LL qui va l'envoyer directement au poste client.

On s'apercoit donc que le routeur ADSL n'aura jamais d'établissement de connexion pour le paquet envoyé. Il aura donc mémorisé ce paquet pour rien la mémoire sera libérée au bout du time-out de connexion.

Si tu établis dans un temps très court une multitude de connexions tu te retrouves en position de DDos attack sur toi même mais à mon avis avec 5postes clients pas de problème.

Voilà. J'espère que c'est assez clair sinon pas hésiter à demander.

Cdlt!
---IPCop 1.4.10---
-Celeron900-384MoRam-850MoHDD-
-Red:Bewan PCI/ST + Orange + Green-
TheMogwai
Quartier Maître
Quartier Maître
 
Messages: 17
Inscrit le: 26 Août 2005 17:47

merci pour ta réponse

Messagepar alvesdarocha » 18 Déc 2005 18:34

Bonjour

je te remercie beaucoup :), ta réponse est tres clair :).
ton expliquation m'a remis les idées bien en place :)
si tous le monde serai comme toi , l'informatique avancerai a plus grand pas

Est ce que tu as une référence de routeur qui marche bien et simple à configurer par interface web?
moi, j avais pensé au routeur cisco dans la serie 800. ( j en ai 15 à commander :) )

@+

ps : merci encore :) et passe de bonne fête :)
alvesdarocha
Matelot
Matelot
 
Messages: 3
Inscrit le: 16 Déc 2005 12:46

Messagepar TheMogwai » 18 Déc 2005 18:46

Salut!

Routeur CISCO c'est sans problème. Un peu pénible à configurer (moi j'ai tjs configuré en ligne de commande) mais une fois bien réglé c'est nickel chrome.

Cdlt!

Et bonnes fêtes également
---IPCop 1.4.10---
-Celeron900-384MoRam-850MoHDD-
-Red:Bewan PCI/ST + Orange + Green-
TheMogwai
Quartier Maître
Quartier Maître
 
Messages: 17
Inscrit le: 26 Août 2005 17:47


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron