accès interne

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

accès interne

Messagepar testeur290306 » 03 Mai 2006 11:06

bonjour,

j'ai déjà posté recemment.
j'utilise ipcop 1.4.10
j'ai mis en place un vpn 3 sites
pas de problèmes, vpn ouvert, ping réussi depuis les postes d'un lan vers l'autre.
les deux sites distants se connectent sur un serveur tse situé derrière un des ipcop.

en mettant dans le transfert de ports la règle
TCP DEFAULT IP : 3389 => X.X.X.X: 3389
tout fonctionne(bien que le port source utilisé par les postes clients changent à chaque connexion et qu'il ne soit pas 3389)

mais le problème de cette régle est qu'elle autorise n'importe quels ip

j'ai donc ajouter sur cette règles des accès externes
Accès autorisé depuis : X.X.X.X en mettant l'ip publique de mes ipcops distants.

et là on ne peut plus se connecter.


j'ai chercher sur le net et tout le monde met la même chose :

mettre d'abord la règle par défaut
ensuite créer une régle d'accès externe dessus en mettant l'ip de la machine que l'on veut autoriser ou le réseau.
j'ai essayer les deux possibilités
-l'ip publique des ipcops(ce qui me parait logique : tout le traffic passe par eux)
-l'adresse de mes lans distants(vu qu'il sont en vpn et que les tests de ping fonctionnent)

je recherche des solutions

si quelqu'un sait pourquoi la règle par défaut fonctionne avec un port source 3389 qui n'est pas celui utilisé par les pc pour établir la connection?
c'est ipcop qui change le port avant de le laisser passer?
si vous avez une idée pour que le transfert de ports fonctionnne?

MERCI D'AVANCE
testeur290306
Premier-Maître
Premier-Maître
 
Messages: 57
Inscrit le: 29 Mars 2006 11:09

Messagepar jdh » 03 Mai 2006 11:35

Quelle est la question ?

Un vpn entre 3 sites + 1 serveur TSE sur un des sites : Ok

Le vpn permet l'accès à TSE sans la moindre restriction alors pourquoi une règle ?

Quel intéret d'ajouter une règle ? et se poser des questions autour de cette règle inutile ?


Concernant le port source, il n'a que peu d'intéret. Ce qui compte c'est le service c'est à dire le port destination. D'ailleurs il suffit de réflechir : cela permet de lancer plusieurs requetes (avce plusieurs ports sources) simultanément sans attendre le résultat de la première requete.
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar testeur290306 » 03 Mai 2006 11:51

si je n'ajoute pas cette règle sur l'ipcop derrière lequel se trouve le tse, impossible de se connecter depuis les sites distants.

la règle que je veux mettre en place c'est pour éviter que n'importe qui puisse accéder au tse.
(j'ai fait le test, depuis chez moi et c'est passé, niveau sécurité c'est pas super)

je veux que seuls mes lans distants reliés par vpn au 3ème site puisse se connecter
testeur290306
Premier-Maître
Premier-Maître
 
Messages: 57
Inscrit le: 29 Mars 2006 11:09

Messagepar jdh » 03 Mai 2006 12:07

Cest incroyable !!

S'il n'y a aucune règle concernant le serveur TSE (et le port 3389), comment de l'extérieur (hors vpn) pourrait on accéder à ce TSE ? IPCOP est quand même prévu pour que l'accès extérieur soit contrôlé !

Il n'y a besoin d'AUCUNE règle pour que les clients des sites distans accèdent à TSE puisque, grâce au vpn, ils accedent bien au reseau sur lequel est situé TSE. Cela me parait évident !

Au pire, il faut ajouter, sur le serveur TSE, les routes statiques vers les 2 sites distants via l'IPCOP. Mais ce ne doit pas nécessaire puisque je peux supposer que l'IPCOP est la passerelle par défaut du TSE.

Enfin je suppose que d'un client distant, tu essayes bien de faire un ping avec l'adresse réelle du TSE (et pas celle de l'IPCOP). Pourquoi y aurait un blocage ensuite pour le protocole de TSE ?
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar testeur290306 » 03 Mai 2006 13:39

l'ipcop est bien la passerelle du tse
dans le transfert de ports d'ipcop
si il y a aucune règle :
pas d'accès depuis l'extérieur , ni depuis mes lans distants à travers le vpn,ce qui est logique.

si je mets la règle dans le transferts de ports
TCP DEFAULT IP : 3389 => X.X.X.x: 3389

je peux accèder au serveur tse depuis l'extérieur et depuis mes lans distants

je veux rajouter à la règle un accès externe
Accès autorisé depuis : X.X.X.X

pour que n'importe quelle ip ne puisse pas se connecter
j'ai essayer de mettre l'ip publique de mes ipcops distants comme le traffic passe par eux
et en mettant l'adresse de lans distants (192.168.X.X).

Mais dès que je mets cette règle : accès autorisé depuis... plus d'accès possible

tu penses que via le vpn,que les lans distants peuvent accéder au tse et pas l'extérieur?

tu penses que sans aucun transfert de ports via le vpn ça devrait fonctionner?
j'ai essayer sans transfert de ports, pas de connection.

je pense que c'est normal, ipcop ne peut pas rediriger ce qui arrive sur le port 3389 vers le serveur tse si on met pas la règle lui indiquant comme destination le serveur tse dans le transfert de ports.
testeur290306
Premier-Maître
Premier-Maître
 
Messages: 57
Inscrit le: 29 Mars 2006 11:09

Messagepar jdh » 03 Mai 2006 14:10

Non avec un vpn, ce n'est pas logique !!

La logique c'est qu'avec un vpn les réseaux sont TOTALEMENT accessibles. Donc un client peut accéder à un serveur sur un autre réseau et réciproquement.

Ce que je constate c'est que tu veux absolument voir un transfert de port là où il n'y en a pas. Ta dernière phrase est bien dans ce sens là : le TSE est accédé DIRECTEMENT car l'IPCOP n'assure qu'un "transport de traffic".

Prends un PC dur un réseau distant, fait lui faire des ping vers TSE (quelle adresse ?). Si cela fonctionne, cela montre qu'un traffic passe via le vpn entre PC et TSE. Pourquoi le traffic TSE ne fonctionnerait pas ?
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar testeur290306 » 03 Mai 2006 15:17

ok je comprend ta logique.
je pensais comme ça au début mais comme cela ne fonctionnait pas

j'ai vérifier des choses pour voir et je crois comprendre

lorsque je prends un pc en dur sur le même lan que mon tse, je lui mets comme passerelle l'ipcop.
je lance des pings vers des pc des lans distants, l'ip publique des ipcops distants: ça fonctionne
je lance des pings depuis l'ipcop(côté lan tse) vers les pc des lans distants : ça fontionne pas
je lance des pings depuis des pc des lans distants vers le tse, vers l'ipcop : ça fonctionne pas
je lance des pings depuis des ipcops distants vers l'ipcop côté tse et des pc : ça fonctionne pas

pour résumer les pc du lan ou se trouve le tse(en passerelle ipcop)les tests fonctionnent sinon depuis les lans distants rien

pourtant mon pc de test à comme passerelle l'ipcop et il arrive à pinger

les pc des lans distants ont aussi comme passerelle l'ipcop.

pourquoi ça marche dans un sens et pas dans l'autre?
testeur290306
Premier-Maître
Premier-Maître
 
Messages: 57
Inscrit le: 29 Mars 2006 11:09

Messagepar jdh » 03 Mai 2006 18:43

Bon je comprends que ton vpn n'est pas nickel.

Ce qui est normal, c'est

- chaque site a, forcément, comme passerelle l'IPCOP local,
- chaque PC d'un site doit pouvoir pingé n'importe quel PC des autres sites (et réciproquement),
- en général, on ne peut pas pingé l'adresse locale de l'IPCOP d'un autre site (et réciproquement) (defaut des tunnels vpn IPSEC de FreeS/Wan.

Il me semble qu'il n'y a qu'une "moitié" de vpn correct. Tant que cela sera comme ça, l'accès au TSE est loin d'être gagné ...
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar testeur290306 » 05 Mai 2006 07:59

j'ai fais d'autre test

depuis un pc qui est côté lan tse( avec ipcop en passerelle) je ping ce que je veux dans les lans distants : pc, intreface green ipcop et red quand j'autorise le ping sur red.

mais c'est depuis les lans distants
j'ai pris un pc avec comme passerelle l'ipcop, je remonte jusqu'a l'ipcop côté lan tse
je peux pinger l'interface green, red quand j'autorise le ping.
quand je fais un tracert vers l'interface green de l'ipcop côté tse depuis le poste distant je vois comme route : intreface green ipcop local-->interface green ipcop côté tse

le vpn à l'air de fontcionner si ça passe direct d'ipcop à ipcop(interface green)?

j'ai toujours accès au tse depuis les lans distants avec le transferts de ports sur l'ipcop.
mais depuis un site distant je peux pas remonter avec le ping, plus loin que l'interface green.même un poste normal(pare feu désactivé), rien.


alors que dans l'autre sens lan tse-->lan distant tous les pings passent, les tracert me renvoient même le nom netbios des machines.



je vois pas ce qu'il y a?

je voudrais trouver une trace, des logs icmp pour voir ou ça coince mais ou?
sur l'ipcop je vois bien les requêtes avec les ports dans l'interface graphique mais ça m'aide pas beaucoup

pourtant mes ipcops sont configurés pareil de chaque côté

si tu à une idée

MERCI D'AVANCE
testeur290306
Premier-Maître
Premier-Maître
 
Messages: 57
Inscrit le: 29 Mars 2006 11:09

Messagepar jdh » 05 Mai 2006 08:52

- Les ping vers red on s'en fout.
- un traceroute vers green (tse) qui passe de green (distant) à green (tse), c'est normal.
- un ping de (distant) vers (tse) qui ne fonctionne pas, c'est peut-être que la passerelle par defaut des PC sur (tse) n'est peut-être pas l'ipcop (green) du réseau (tse).

.......

Je pense qu'il faut peut-être regarder avec des tcpdump ce qui se passe.

Je pense que le fait d'écrire souvent "dont la passerelle est l'ipcop" signifie que ces réglages qui me paraissent évident ne sont pas clair en réalité ni peut-être dans ton esprit..
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar testeur290306 » 05 Mai 2006 09:15

si c'est clair, mais je veux bien préciser comme j'ai plusieurs sorti sur le réseau.

j'ai regarder de plus prêt le traffic réseau sans essayer tcdump encore.

quand je fais des tests le lan tse, que je pingue une machine distante, je vois bien les trames icmp et les echo request et reply.

mais à l'inverse depuis une machine d'un lan distant rien, apparement j'ai que le request.

j'essai tcdump et je regarde si je trouve quelquechose de mieux, une piste de solution
testeur290306
Premier-Maître
Premier-Maître
 
Messages: 57
Inscrit le: 29 Mars 2006 11:09

Messagepar jdh » 05 Mai 2006 09:44

Et beh on y arrive : il y a plusieurs sorties !!!

Un PC n'a qu'une SEULE passerelle dite "par defaut". Si cette passerelle connait par des routes statiques le moyen d'accéder à d'autres réseaux, le PC qui essaie d'accéder à ces autres réseaux reçoit de la passerelle par défaut l'indication de passer par les routeurs défini dans ces routes, et ça roule.

Comme c'est l'IPCOP qui assure l'accès à Internet, il vaut mieux qu'il soit la passerelle par défaut. Il suffit qu'il connaisse les routes vers tous les réseaux. Sauf bien sur les réseaux qui ont été défini par les vpn !

Il est évident que, quand il y a plusieurs sorties, il faut bien définir la passerelle par defaut. Et immanquablement les vpn donnent l'impression de ne pas fonctionner, alors que c'est simplement une question de routage !

A noter que les vpn sont une relation de réseau à réseau. Et que ce n'est pas parce que on peut accéder à un réseau par vpn qu'on peut accéder plus loin ...
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar testeur290306 » 05 Mai 2006 10:00

je spécifier la passerelle a mon poste de test du lan tse pour qu'il passe bien par l'ipcop pour sortir.

sinon par défaut il ya une autre sortie sur le réseau pour l'acès internet

j'ai essayer tcpdump (comment le désinstaller ou le supprimer?)
j'avais ethereal qui était déjà installer et je voyais les requêtes icmp mais que les echo request pas de reply

et j'ai penser aux tables de routage de mes deux ipcops

lan distants
destination
192.168.X.X
gateway
0.0.0.0
interface
eth0

et la même chose sur l'ipcop côté tse.

dans un sens je peux aller plus loin, pas dans l'autre

pourquoi?
testeur290306
Premier-Maître
Premier-Maître
 
Messages: 57
Inscrit le: 29 Mars 2006 11:09

Messagepar jdh » 05 Mai 2006 10:13

tcpdump ou ethereal c'est égal. Tu choisis celui qui te convient. Mais c'est souvent tcpdump qui est installé parce bien plus léger.

Un ping c'est un (icmp echo request) suivi d'un (icmp reply). Autrement dit "ping" suivi de "pong" !

Si le (echo request) passe, c'est qu'il arrive à la destination. Mais s'il n'y a pas de (reply) c'est que le PC destination ne le renvoie pas ... ou plutôt qu'il l'envoie par un autre chemin ... parce qu'il n'a pas la bonne route "retour".

Quand on met en place un vpn, il faut d'abord s'assurer que le routage fonctionne bien. Ensuite on teste dans les 2 sens par ping : PC site1 -- (ping) --> PC site2 et PC site2 -- (ping) --> PC site1; sachant que chaque test exige en réalité déjà un aller et retour (ping - pong ou request - reply).

Mais il FAUT faire le test dans les 2 sens, et bien souvent c'est un mauvais routage ....

La vraie (et seule) question, c'est que tu aies UNE et UNE SEULE passerelle par defaut par site. Quand tu auras réalisé cela, je pense que tout fonctionnera bien mieux.

(Donc il n'y a pas 2 sorties vers Internet !!)
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar testeur290306 » 05 Mai 2006 10:58

sur un des lans j'ai deux sorties vers internet.
en temps normal, les pc sont en dhcp et il ont tous la même passerelle par défaut et c'est pas l'ipcop.

quand je fais des tests, quelque soit le site, je laisse l'ip(dhcp ou fixe) mais je mets en dur la passerelle à utiliser, donc l'ipcop.
je fais des tests pour voir si il utilise bien l'ipcop comme passerrelle.

sur mes ipcops j'ai les tables de routage qui sont identiques.
chaque ipcop à la même passerelle pour accéder au lans opposé.


j'ai bien les echo request mais pas les echo reply depuis les sites distants.
et via le vpn les paquets passent directement d'interface green à interface green.

je pensais mettre dans la table de routage de l'ipcop distant :

destination
192.168.0.0
passerelle
ip green de l'ipcop côté tse


Mais c'est bizarre, si dans un sens j'ai une réponse et que j'ai les mêmes tables de routage
tout est routé par les mêmes routes
je vois pas?
testeur290306
Premier-Maître
Premier-Maître
 
Messages: 57
Inscrit le: 29 Mars 2006 11:09

Suivant

Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité