2 ipcop en cascade: pas de net pour le dernier

[bd]

Bonjours a tous,

voila: dans le reseau que je gere, j'ai mis en place un premier ipcop ( 1.4.10) + BOT en tant que passerelle entre le routeur et le reseau: aucun probleme ca tourne. Dans le soucis de fournir une connexion adsl a un second reseau ( Administration, precedement non relier au premier) et d'assurer une gestion d'acces entre les deux reseau, j'ai choisi de rajouter un second ipcop en cascade avec la avec le premier comme passerelle et dns.

Schema:




et la le reseau ne dispose pas du net les bon ports sont ouvert. meme l'ipcop 2 n'a pas acces ( MAJ impossible) alors que le reste du reseau éducation fonctionne parfaitement, meme le ping ne passe pas directement: je doit en premier pinguer le routeur depuis l'ipcop2 pour qu'une connexion a internet soit possible

j'ai regarder les routes, elles existent ( j'ai penser a un moment que ca venait de la, le cop mettait du temps a m'afficher la ligne correspondant a la passerelle. en passant mon premier ipcop en machine statique la reponse a la commande route passe toute seule mais ca ne resoud pas mon probleme.

si quelqu'un a une idée...

[Gesp]

A chaque fois que ping résoud temporairement le problème, il faut se poser la question si le découpage des différents réseaux est correct.

Quel adressage tu as mis en place?
As-tu bien des sous-réseaux séparés sur chaque segment?

Tu devrais avoir par exemple avec un masque 255.255.255.0 à chaque fois
Red-IPCop1 192.168.1.x

Green-IPCop1 192.168.2.x (Red-IPCop2 dans cette plage)
Green-IPCop1 192.168.3.x

[bd]

les adressages sont
ipcop1
red: 172.16.0.0 255.255.0.0
green: 192.168.0.0 255.255.255.0

ipcop2
red: 192.168.0.0 255.255.255.0
green: 10.56.42.0 255.255.255.0

ouai je sais cette plage avec ce masque c'est pas naturel mais elle etait la avant moi et ya pas vraiment de possibilité de changer le masque, mais comme elle est reste differente de green c'est bon et j'ai fait des testes avec une plage correcte, et ca deconne aussi...

ce qui m'enerve un peu c'est que le ping touche pas directement le net, il faut deja taper le ipcop1 green au minimum pour ensuite sortir.
bref...

[m2nis]

j'ai mis en place un premier ipcop ( 1.4.10) + BOT en tant que passerelle entre le routeur et le reseau: aucun probleme ca tourne. Dans le soucis de fournir une connexion adsl a un second reseau ( Administration, precedement non relier au premier) et d'assurer une gestion d'acces entre les deux reseau, j'ai choisi de rajouter un second ipcop en cascade avec la avec le premier comme passerelle et dns.

Pourquoi ne pas avoir mis le réseau d'administration sur une seconde (ou troisième si l'on compte red) interface, blue par exemple? Y aurait-il une difficulté technique ou organisationnelle particulière?

[bd]

ben on vas dire que vu la $%#&! du reseau physique, j'ai pas moyen de ramener un cable pour une bleu, ou alors je fait un montage de cochon ou les deux reseaux sont mixé sur un switch( pas manageable, trop facile sinon) et seul la plage d'adresse fait la difference


je fait finir par faire pinguer ma machine toutes les 10 mins et ca sera bon ( comment ca c'est barbare comme methode ??)

[poudre]

Bonjour,

Pour le test via les mise à jour laisse tomber elles ne fonctionnent plus depuis quelques jours.


Par contre vérifie les masques et les routes.

Pascal.

[jdh]

Je n'ai jamais installé de l'IPCOP mais j'ai installé pas mal d'autre solutions assez semblables.

Concernant les adressages, ils sont assez corrects puisque bien conforme à la RFC 1918 concernant l'adressage privé. (Je trouve même assez logique d'utiliser un 255.255.255.0 pour des parties de 10.x.x.x). (Mais quand même il serais bien plus simple d'utiliser des 192.168.1, 192.168.2, 192.168.3, ...)

Ce que je ne comprends pas c'est le besoin de "chaîner" 2 ipcop ... alors qu'un ipcop avec 2 cartes Green serait parfaitement correct !!!

La premiere conséquence du schéma initial est qu'ipcop2 fait du nat de son Green ("administration") vers son Red qui est aussi le Green d'ipcop1. Pourquoi cachez l'un des 2 réseaux à l'autre ?

Il n'empèche, ipcop2 étant situé sur le Green d'ipcop1, il n'y a aucune raison qu'il fonctionne différemment de n'importe quel PC de cette même Green. C'est la première chose à regarder : ping, wget, ftp, ..., il faut tester différents traffics ...

Le problème avec ipcop c'est la rigidité des ces zones Green, Blue, ... Une MNF ferait mieux l'affaire car l'interface la définit bien comme multi-zone. Quand à moi, comme j'installe plutôt des Debian avec Shorewall qui est le firewall de MNF ... et le futur d'IPCOP. Et là ce n'est plus vraiment trop difficile de parfaitement définir ce qu'on veut.

[m2nis]

Le problème avec ipcop c'est la rigidité des ces zones Green, Blue, ... Une MNF ferait mieux l'affaire car l'interface la définit bien comme multi-zone.

J'ai utilisé la MNF1 pendant pas mal de temps, puis j'ai fini par basculer sur Ipcop. Il y a quelques temps, j'ai voulu essayer la MNF2 qui ne présentait effectivement pas certaines des rigidités d'Ipcop et... belle galère! Alors soit je suis devenu franchement mauvais (ou je n'ai jamais été assez bon ), soit (et il semble que ce soit le cas) celle-ci (c'était peut-être la beta, je ne sais plus très bien) est affectée de gros bugs.

Mais pour revenir un peu plus au sujet, je me dis que l'on doit pouvoir (je n'ai jamais testé ni de près ni de loin) mettre le premier Ipcop avec deux green, chacune des interfaces ayant un des adressage de vos réseaux virtuels. Je me trompe?

[bd]

lesroute sont bonnes, ainsi que les masque, c'est plutot comme si il y avait un bouclage et le fait de pinger indiquerai la bonne route jusqu'a ce qu'il se perdent a nouveau

si je trouve pas de solutions, tant pis je metterai une bleu que je transformerais en vert

[jdh]

Quelles routes ?

Avec 2 ipcop chaînés, je ne vois pas où il y a des routes ! Il ne peut y avoir de route vers le Green de l'ipcop2 à partir de l'ipcop1 !

Bien sur qu'il faudrait 2 Greens ! En plus il pourrait y avoir accès d'un Green vers l'autre selon les besoins.

NB: quand j'écris "rigidité" au sujet d'ipcop, cela veut dire qu'ipcop a des définitions par défaut pour toutes les zones qui me paraissent par trop rigides AMHA. Notamment Blue n'est pas une Green bis (dommage), Green a accès total à Red (un peu léger), Blue n'a pas accès à Green (dommage). Il me semble de plus que Red doit être de préférence "public" (je ne suis pas sur notamment derrière des box fonctionnant en routeur).

[manu59]

Salut bd.
j'ai fait presque la même chose dans mon établissement...et ça marche !
je pense que tu as dû faire une erreur sur la passerelle et le dns du second ipcop.

J'ai utilisé le même principe dans mon établissement pour séparer la formation continue du CDI:
je pars du routeur vers ipcop, j'arrose la formation continue, puis j'alimente une smothwall qui arrose tout le pédagogique (dont un serveur kwartz).
regarde bien ta config adresse du second IPCop.
Dans ipcop1(green) tu devrais réserver une adresse pour ipcop2 (red en fixe)

[bd]

salut

sur mon ipcop2 les dns et la passerelle sont le premier ipcop
la seule 'grosse difference' c'est l'adresse reservé dans ipcop1 pour le red du ipcop2
a un moment j'avait fait un truc similaire mais sur le ipcop2 pour le green du ipcop1

Code: Tout sélectionner

j'ai regarder les routes, elles existent ( j'ai penser a un moment que ca venait de la, le cop mettait du temps a m'afficher la ligne correspondant a la passerelle. en passant mon premier ipcop en machine statique la reponse a la commande route passe toute seule mais ca ne resoud pas mon probleme

vais tester ca lundi

[manu59]

Moi aussi je te recontacte lundi au boulot.

[bd]

bon ben ca changer rien de mettre les machines en statique ( sauf qu'il met moins de temps a afficher les routes mais ca je le savait deja...)
juste our etre plus precis, si je ping pas la passerele en premier, j'ai pour reponse:
ping: unknown host.
si je ping un site. y a vraimment rien qui passe...
j'ai essayer en ajoutant des route vers la passerelles ( qui fait dns aussi pour le premier ipcop) mais rien

i keep lookin'

edit 04/06-11:25
j'en ai eu marre j'ai demander a cron de pinguer toutes les 10 minutes...
c'est pas top mais ca marche. enfin si quelqu'un a une 'vrai' solution, je suis preneur ^^

[lucyfire]

moi je pige pas pourquoi tu dis que tu as un problème d'accès physique car il te faut bien connecter le red du second au red du premier, fais comme tout le mode utilises des dédoubleurs et fais remonter ton réseau administratif sur l'interface bleu et joues avec block out traffic.

++ lcf