probleme sme7 firewall

par **benjy31** » 04 Avr 2006 10:18

Salut j'ai monter un sme7 en firewall en activant le dhcp deriere une livebox avec le dhcp activer et tout les pc deriere la sme me dire un probleme sur le reseau il n'arrive pas a distribué d'adresse IP je voudrai savoir coment ondoit procedé???

je ne me suis pas tromper de carte reseau sur ma sme ce qui veut dire que ma sme firewall elle peut se cnnecter a internet j'ai fait le test et sa marche...

voila commant mon installation est faite :

internet----------> livebox-------------> smefirewall----------->swith-----------> PC
| |
| |
---------> PC ----------> SME avec ebergement de site

Bon ba merci a ceux qui pourrai m'aidé

Et je voudrai savoir comment je doit configurer aussi ma livebox pour le port entrant le 80 et le 25 si je doit redirigé le TCP et UDP aussi ou seulement 1 et lequelle

Ou si quellequ'un a une meuilleur configuration qu'il me le dise....
Bon ba meci pour ceux qui pourrai m'aider car le je suis a cours d'idée

et je voulais aussi demandersi je veut faire une configuration manuelle coment je doit configurer les PC avec les adresse IP, le masque de sous reseau, la passerelle et les DNS.
La livebox est avec une distribution d'adresse IP 192.168.1.X
est ce que je doit distribué la meme avec la sme firewall??

j'espere que sa a ete clair?? Merci car je suis un vrai newbi

par **jdh** » 04 Avr 2006 10:55

Moi yen a rien comprendre because c'est pa é cri en frencai.

Il faudrait vraiment faire un petit effort d'écriture : ce qui se conçoit bien s'énonce clairement et les mots pour le dire arrivent aisément (Nicolas Boileau).

* Premier réseau : LiveBox <-> SME firewall :
Normalement, par défaut, la livebox fournit un adressage DHCP 192.168.1.x/24. Cependant il est préférable de mettre une adresse fixe à l'interface (Red) de la SME. Parce que le renvoi de ports configuré sur la LiveBox (via son interface web http://192.168.1.1) sera toujours fonctionnel (risque de changement d'adresse avec DHCP).
On utilise généralement un câble croisé.

* Deuxième réseau : SME firewall <-> réseau local
Il FAUT utiliser un adressage ip DIFFERENT de l'autre réseau (évidence !!). Par exemple, 192.168.2.x/24.
On peut affecter l'adresse ip 192.168.2.1 à l'interface 2 du SME.
On peut bien sur activer le DHCP sur SME, par exemple 192.168.2.50-99.
L'adressage peut aussi être statique : ip 192.168.2x, masque 255.255.255.0, passerelle 192.168.2.1 (celle du SME), dns 192.168.2.1 (en principe SME est serveur DNS ou plutot relais DNS).

Concernant le renvoi de port sur la LiveBox, il faut comprendre que c'est le protocole qui définit les choses : par exemple HTTP signifie TCP/80 mais pas UDP, de même SMTP s'appuie sur TCP/25. Il faut donc regarder le protocole puis en déduire les réglages et ne pas retenir des recettes sans savoir ce qu'on veut.

par **benjy31** » 04 Avr 2006 11:06

merci a toi jdh meme si j'ai un peut de mal en français la prochaine foi j'essarai d'écrire sans trop de faute.
donc si je comprend bien je peut laisser le DHCP de ma livebox active et selui de ma sme.
sauf que pour la sortie de ma sme je change l'adressage mais tu pourrai peut etre m'expliquer pourquoi sa va marché puisque en grop j'ai 2 passerelle et que j'enutilise une et pourqoi elle ne va pas me bloqué a la 2eme ???

Merci encore

Encore une petite question :
tu me préconise quoi comme PC avec quelle puissance et RAM pour mon firewall sachant qu'il va y avoir une 40 de PC dessus

par **benjy31** » 04 Avr 2006 11:47

merci sa marche bien sauf que maintenant quand j'essaye d'accéder a la live box de mon 2eme reseau la livebox se bloque est ce qu'il faut que je fasse quelquechose a cette live box??? merci
et encore un truc j'essaye de configurer les port de redirection et il me met une erreur
comment doit ton faire
ex :
reseau TCP
nom d'hôte : 192.168.2.1
nom de redirection : 192.168.2.2
port : 80

Et sa sa ne veu pas marche sniff

par **sibsib** » 04 Avr 2006 21:38

Hello,

benjy31 a écrit:merci sa marche bien sauf que maintenant quand j'essaye d'accéder a la live box de mon 2eme reseau la livebox se bloque

Que veux tu dire par 'accéder à la LiveBox depuis le deuxième réseau' ?

benjy31 a écrit:et encore un truc j'essaye de configurer les port de redirection et il me met une erreur
comment doit ton faire
ex :
reseau TCP
nom d'hôte : 192.168.2.1
nom de redirection : 192.168.2.2
port : 80

Cà, c'est sûr que çà ne va pas marcher, et pour cause : ta livebox ne verra jamais le réseau 192.168.2, parce que le serveur SME fait du NAT : il cache tout ce qui est derriere lui, et ne montre que son IP publique.

C'est pourquoi JDH te conseillait de passer l'adresse IP externe de SME en IP fixe (n'importe quelle IP du type 192.168.1.X sauf l'IP de ta livebox.
Donc, si ta livebox se présente comme 192.168.1.1, alors, SME peut prendre comme IP 192.168.1.2 (masque 255.255.255.0 et passerelle 192.168.1.1 -la livebox)

une fois que ceci fonctionne, tu vas dans ta livebox, et tu lui dit
reseau TCP
nom d'hôte 192.168.1.2
nom de redirection (je ne sais pas, je ne vois pas ce que c'est)
port : 80

Même chose pour le port 25, et çà devrait rouler.

A+,
Pascal

par **benjy31** » 04 Avr 2006 23:38

1ere chose :

mon installation est une livebox qui distribu des adresse IP de type 192.168.1.x/255.255.255.0(DHCP activé)

puis derriere cette installation j'ai des PCs

en meme sur le meme swith que ses PCs j'ai une SME en server-firewall qui elle son IP est 192.168.2.1 et qui distribu des adresse IP de type 192.168.2.x car le DHCP est activé.

puis deriere cette SME en server-firewall j'ai des PCs et aussi un SME en tant que server simple

Maintenant mon probleme est que juste deriere ma livebox si je tape 192.168.1.1 tout se passe bien.

Maintenant si je tape 192.168.1.1 deriere le SME-firewall ma livenox craque et je fait planter toute la livebox donc plus de connection

Alors je voudra savoir si c'est bien une adresse IP de type 192.168.2.1 que je doit mettre a mon sme-firewall ou si je doit lui mettre une de type 192.168.1.x puis lui mettre comme reseau en DHCP du 192.168.2.x

Jespere que j'ai été assez clair... comme je suis un peut newbi je pense que j'ai peut de mal a m'exprimé. dsl

2eme chose pour la redirection de port je m'étai tromper de toute facon il faut que j'en fasse 2, une sur ma livebox puis une sur ma sme.(je pense)

par **sibsib** » 04 Avr 2006 23:59

benjy31 a écrit:en meme sur le meme swith que ses PCs j'ai une SME en server-firewall qui elle son IP est 192.168.2.1 et qui distribu des adresse IP de type 192.168.2.x car le DHCP est activé.

on est bien d'accord que cette SME dispose de deux cartes réseaux, que tu possèdes deux switches différents et que les P.C. qui sont 'derrière' SME sont sur le deuxième switch ?

C'est seulement comme çà que çà peut marcher. Si tu as essayer de brancher les deux cartes réseaux de ton SME-Firewall sur le même switch, tu peux oublier.

Si tu es dans la conf que voila :

LIVEBOX -------- SW1 ------- SME-FIREWALL ------- SW2 ------ SME2

Alors c'est OK. Dans ce cas, ton SME-Firewall dispose également d'une adresse IP en 192.168.1.X, et c'est la seule que peut voir la LIVEBOX.
Donc, retout à mon post précédent.

benjy31 a écrit:2eme chose pour la redirection de port je m'étai tromper de toute facon il faut que j'en fasse 2, une sur ma livebox puis une sur ma sme.(je pense)

En effet, si tu veux que ton SME soit visible depuis Internet, il faudra faire après une redirection depuis la SME-FIREWALL. Mais çà va être un poil plus chaud (parce qu'il y a aussi un serveur HTTP et un serveur SMTP sur ton SME FIREWALL, donc ttu devrais d'abord essayer d'arriver jusqu'au premier SME.

Je squize les questions sur les P.C. qui plantent la livebox, parce que je voudrai d'abord avoir des précisions sur ton installation.

A+,
Pascal.

par **jdh** » 05 Avr 2006 00:33

[mode Effort à faire] C'est un peu fatigant cette écriture pleine de fautes [/mode Effort à faire].

De mon point de vue, il y a des erreurs d'architectures. Le bon schéma c'est :

LiveBox <-> firewall <-> switch <-> tous les PC et serveur SME en serveur seul. (firewall avec 2 cartes réseaux)

ou encore

LiveBox <-> firewall <-> DMZ : serveur SME en serveur seul
et firewall <-> switch <-> tous les PC (firewall avec 3 cartes réseaux)

* La liaison LiveBox <-> firewall se fait idealement par un câble croisé. Et, bien évidemment, s'il y a des renvois de ports, il seront à faire ET sur la LiveBox ET sur le firewall (2 fois toujours). J'ai déjà dit que l'adressage sera statique de préférence.

* SME comporte un firewall dans la config "serveur gateway". Mais SME n'est pas destiné à être seulement un firewall. La config "Gateway" convient pour des situations où il n'y a pas assez d'argent pour un serveur en firewall ET un serveur fichier/mail/web/... Je ne peux que déconseiller ce choix dans un contexte pro. IPCOP est une distribution mieux orientée pour faire ce boulot de firewall (même si ce n'est pas ma préférée). Il est aussi possible d'utiliser une simple et efficace MNF.

* Pourquoi mettre des PC entre la LiveBox et le firewall puis d'autres au delà du firewall ? Cela ne peut que créer de la confusion. Puis après il faudra permettre certains traffics entre les 2 groupes de PC. Donc il vaut mieux avoir des PC que dans un seul réseau.

* firewall : il va de soi qu'il doit avoir 2 interfaces réseaux. Parce qu'il y a bien 2 réseaux. Si on accepte de dédier une machine au rôle de firewall, on va aussi avoir bien sur plutôt un câble croisé et un switch. Nul besoin d'utiliser entre la LiveBox et le firewall un switch.

* La LiveBox plante ? Si les config réseaux sont faites comme je l'ai déjà décrit, il n'y a aucune raison que cela "plante". Enfin je gère des configs avec LiveBox + firewall + PC et cela fonctionne sans difficulté.

* Pourquoi laisser 2 DHCP (LiveBox et firewall) ? Parce qu'il y a 2 réseaux différents. D'où 1 câble et un switch. Avec un seul switch avec un câble vers la LiveBox et 2 câbles vers le firewall (2 cartes), il est clair que le PC qui demanderait une adresse serait face à 2 serveurs DHCP et serait perdu !

Il me semble absolument nécessaire de reprendre cette architecture et, surtout, de ne pas essayer plus longtemps de faire un peu tout en même temps. La seule démarche à suivre est une démarche de petits pas : une étape, puis l'autre, et enfin une autre, ...

- respecter le schéma simple et naturel que j'indique,
- bien configurer le firewall (adressage des réseaux, DHCP, relais DNS)
- bien configurer 1 PC derrière le firewall : test de ping, d'accès LiveBox, d'accès Internet
- dupliquer cette config vers les autres PC et le serveur SME "server-only".
- paramétrer les renvois + tests

A noter qu'il va être difficile de recevoir des mails en direct sur une telle config, du fait de l'adresse ip dynamique fourni par Wanadoo à la LiveBox. Il ne suffit pas d'acheter un domaine pour que tout fonctionne.

J'imagine une petite (moyenne) PME. Je conseille toujours de faire appel à un hébergeur dont c'est le métier pour gérer le domaine, le site web (public) ainsi que les boites mails (avec antivirus et antispam). Ensuite dans l'entreprise, il est assez facile de prévoir le rapatriement automatique des mails vers les boites internes (fetchmail est fait pour ça).

par **benjy31** » 05 Avr 2006 00:41

voila un petit chéma sous paint lool

j'espere que sela poura plus t'aiclairé sur mon installation

par **jdh** » 05 Avr 2006 00:44

J'avais bien compris que c'était l'architecture en cause. On peut fonctionner de cette manière mais ... il faut avoir plus de connaissance réseaux.

"Keep It Simple and Stupid" (KISS) disent les américains.

par **benjy31** » 05 Avr 2006 00:48

en fait il faut que la livebox redirige vers la sme firewall et que la sme-firewall redirige vers la sme server

puis pour le nom de domaine l'ibay principal de la sme-firewall redirige sur le sme serveur car c'est elle qui va gege tout les site internet.

par **benjy31** » 05 Avr 2006 00:50

et personne ici serai capable de m'expliquer ou de me dirigé vers un site qui aurrai des cour ou un exemple concret pour que j'aprenne

par **fraedhrim** » 05 Avr 2006 09:35

Bon allez je me lance dans la bataille moi aussi.

Selon ton schéma il ne doit pas y avoir de problème pour tes PC au niveau navigation sur Internet aux conditions suivantes :

- PCs du réseau 192.168.1.0/24 en DHCP (fourni par la Livebox)
- PCs du réseau 192.168.2.0/24 en DHCP (fourni par la SME S+G)
- SME S+G :
---- côté SW1 configurée en IP fixe avec une IP valide dans 192.168.1.0/24 (si possible en dehors de la plage DHCP) disons 192.168.1.2,
---- côté SW2 configurée en IP fixe avec une IP valide dans 192.168.2.0/24 (pour simplifier on va prendre la 192.168.2.1 (on changera l'IP de la SME S).
---- comme passerelle par défaut la Livebox (192.168.1.1) et comme DNS la Livebox (192.168.1.1)
- SME S configurée en IP fixe avec une IP valide dans 192.168.2.0/24 (si possible en dehors de la plage DHCP) disons 192.168.2.2 et avec comme passerelle par défaut la SME S+G (192.168.2.1) et comme DNS la SME S+G (192.168.2.1)

Si tu veux donner accès depuis Internet au serveur web de la SME S+G alors tu dois faire une redirection au niveau de la Livebox du port 80 TCP de la Livebox vers le port 80 TCP de la SME S+G.

Si tu veux donner accès depuis Internet au serveur web de la SME S alors tu dois faire une redirection au niveau de la Livebox du port 80 TCP de la Livebox vers le port 80 TCP de la SME S+G côté SW1 (192.168.1.2) ET faire une redirection du port 80 TCP de la SME S+G côté SW1 (192.168.1.2) vers le port 80 TCP de la SME S (192.168.2.2).

ATTENTION : tu comprends bien que sous cette forme tu devras choisir entre donner accès au serveur web de la SME S+G ou celui de la SME S mais tu ne pourras pas faire les deux. Cela est valable pour tous les autres services des SME.

Si tu veux donner accès à tes PC dans le réseau 192.168.1.0/24 au serveur web de la SME S tu dois juste faire une redirection du port 80 TCP de la SME S+G côté SW1 (192.168.1.2) vers le port 80 TCP de la SME S (192.168.2.2) et tes PC doivent accéder à l'adresse de la SME S+G pour atteindre la SME S : http://192.168.1.2/le_site. Et encore une fois à partir de ce moment tu ne peux plus accéder au serveur web de la SME S+G depuis le réseau 192.168.1.0/24.....

Etc...

Bref. Il faudrait savoir exactement ce que tu veux faire, ce que tu veux que chaque PC atteigne pour te proposer une autre architecture....

(Je me demande si dans les autres mêtiers que l'informatique et plus précisément les systèmes et réseaux il y a autant de gens qui s'improvisent professionnels... Cela dit c'est chouette mais bon. C'est un mêtier aussi. Y'a des bases à comprendre. Est-ce que je vais essayer de fabriquer une table moi.....)

[Edit]
Un ptite correction d'IP...
[/Edit]

par **jdh** » 05 Avr 2006 09:59

Pour reprendre fraedhrim, je crois hélas assez inutile d'essayer de faire fonctionner une architecture réseau (trop) compliquée (pour benjy31).

Je pense que tu auras observé que le prolixe benjy31 a fait un schéma où est oublié une chose essentielle : l'adresse ip du sme-firewall. Je lis bien 2 n° de réseau (192.168.1.x et 192.168.2.x) mais je ne vois pas la "séparation" logique entre eux, dont cette adresse serait un peu le symbole.

D'ailleurs, l'analyse de fraedhrim est tout à fait parfaite et exacte (sauf DNS réseau 2 192.168.2.1 et non 192.168.2.2).

Mais inutile à mon sens d'encourager benjy31 à essayer de faire marcher cela ... en l'état. Meilleur sont les conseils de 1/ faire bien plus simple et de 2/ regarder l'excellent site de Christian Caleca http://christian.caleca.free.fr/ (outre les encouragements sur l'orthographe et la grammaire).

Par ailleurs, n'étant pas spécialiste de SME (j'en suis resté à la 5.5), je maintiens que SME n'est pas destiné à être SEULEMENT un firewall. Cela ne peut qu'embrumer un débutant.

KISS : ça veut dire 1 fonction = 1 serveur = 1 mise en oeuvre = tous les tests nécéssaires.

En fait, il serait bien plus simple que benjy31 utilise un et un seul serveur SME en serveur + passerelle (S+G). Quand il comprendra un peu mieux les réseaux, il pourra ajouter un firewall dédié.

(Concernant les systèmes et réseaux, j'ai toujours observé que les DSI les moins techniques ont toujours pensé que leur technicien micro, qui gère les 40 micros Windows de la société, serait largement capable de devinir l'ingénieur système, réseau et sécurité puisque ... les serveurs sont aussi sous Windows ! C'est évidemment totalement stupide mais, règle n°1, le chef a toujours raison.)

par **fraedhrim** » 05 Avr 2006 14:04

Clair, clair et clair.

En fait il faut que Benjy fasse la balance entre l'impact et les risques.

L'impact d'un changement total de l'archi et les risques de maintenir un environnement non maitrisé et difficilement maitrisable avec les moyens du bord.

Donc perso je ferais comme tu l'indiques : un réseau IP et une seule SME. Après laisser la livebox en routeur et mettre une SME Server only ou mettre juste une SME Server+Gateway je n'ai pas de religion sans plus d'expression du besoin....

Bref quel est ton cahier des charges Benjy. Pourquoi ces deux réseaux ? Pourquoi deux SME ?

probleme sme7 firewall

probleme sme7 firewall

Qui est en ligne ?