IPCOP-WIFI : pas d'accès GREEN -> BLUE [RESOLU]

par **Astroboy** » 12 Nov 2006 19:02

Bonjour,

ça faisait bien longtemps que je n'étais pas venu poser une question ici, mais j'ai un problème dont je ne trouve pas la solution ; je ne parviens pas à accéder à la zone BLUE à partie de la zone GREEN :

je viens de passer d'une configuration GREEN + RED à une configuration GREEN + RED + BLUE
La machine IPCOP compte 3 cartes réseau :
GREEN : 192.168.1.1 -> hub -> 5 pc
BLUE : 192.168.2.1 -> routeur wifi NETGEAR WGT624 v2 utilisé en point d'accès -> IPAQ 5450
RED : 82.233.51.109 -> Freebox

IPCOP est relié au routeur wifi par un cable droit branché sur l'une de ses prises lan (la prise wlan n'est pas utilisée).
Au niveau configuration IPCOP, j'ai déclaré le routeur et le Pocket PC dans les accès BLUE.

lorsque je teste, je parviens à accéder sans difficulté à Internet à partir du pocket PC (BLUE-> RED). Je pensais donc avoir fait le plus difficile mais, surprise, je suis incapable de pinguer les éléments de la zone BLUE à partir de mes pc de la zone GREEN, accès que je pensais être complètement transparent dans ce sens. Je suis donc incapable d'accèder à l'interface de configuration du routeur wifi à partir de mon réseau GREEN par exemple...

A partir d'IPCOP, je parviens à pinguer le routeur wifi (192.168.2.2).

J'ai manqué quelque chose quelque part ?

Merci d'avance,
Astro.

(Pour information, je ne parviens pas à pinguer mon pocket pc (192.168.2.4) depuis IPCOP mais je dois avoir un pb de configuration directement sur le routeur, problème que je réglerai plus tard.)

par **Billou02** » 13 Nov 2006 09:32

Salut,

J'avais lu dans le newbie kit :wink:

un post de Loberty sur la manière dont Ipcop gère les flux.
tient voici l'url : http://forums.ixus.fr/viewtopic.php?t=24737&start=13

donc par défaut ipcop laisse passer uniquement de BLUE -> RED le reste non dans ton cas.
il y a de multiples posts qui parlent de ce problème dans le forum.

@+

par **Astroboy** » 13 Nov 2006 12:13

Bonjour,

j'ai relu le poste de Loberty, mais malgré sa limpidité, ça ne m'éclaire pas trop....

je le cite :
GREEN => IPCOP : ouvert**
GREEN => ORANGE : ouvert**
GREEN => BLUE : ouvert**
GREEN => RED : ouvert**

lorsque je fais un ping sur une machine du réseau BLUE à partir d'une machine du réseau GREEN, j'initie l'aller-retour d'information à partir du réseau GREEN et je suis donc bien dans les conditions GREEN => BLUE, non ?

Astro

par **Billou02** » 13 Nov 2006 14:48

Plus a l'inverse, tu demandes un ping (echo) d'une machine du bleu vers le vert !
une machine du bleu demande a une machine du vert de répondre donc on est bien du Bleu -> Vert

par **Astroboy** » 13 Nov 2006 15:18

heu, je me permets d'insister, je n'ai pas du être clair dans mon premier post (ou je suis complètement bouché, hypothèse de travail tout à fait possible)...

j'essaye bien de produire les conditions suivantes : une machine du vert demande a une machine du bleu de répondre.

D'un pc du réseau vert, j'essaye de pinguer mon point d'accès wifi (réseau bleu), mon ipaq (réseau bleu), j'essaye de joindre l'interface d'administration web de mon routeur (réseau bleu), etc...

Donc je suis bien dans les conditions Vert -> Bleu où tout devrait rouler sans paramétrage particulier, non ?

Astro
ps. je ne l'ai pas dit mais merci pour l'attention que tu as déjà porté à ce topic, Billou02.... :biz:

par **jdh** » 13 Nov 2006 15:28

Green -> Blue : ouvert mais Blue -> Green : fermé.

Que se passe-t-il pour ping ?

Un PC de Green envoie un ICMP (request) vers le PC en Blue : le paquet est transmis au PC en Blue.

Le PC de Blue renvoit un ICMP (reply) ... qui ne sera pas transmis au PC en Green !

Cela fonctionnerait avec un protocole TCP, par exemple, HTTP ou TELNET grace à "ip_conntrack". Mais pour UDP ou ICMP, il n'y a pas de suivi de la connection. Donc il n'y a pas de retour (il y a l'aller du PING mais pas le retour).

par **Billou02** » 13 Nov 2006 15:41

Merci jdh, je ne savais pas comment expliquer cela. :wink:

Astroboy a écrit:

de rien

par **Astroboy** » 13 Nov 2006 16:28

Je n'avais pas réalisé que je testais mon installation avec un outil reposant sur un protocole de transport non orienté connexion ; du coup, je ne comprenais pas pourquoi le retour de l'information pouvait être bloqué....

:oops:

j'ai honte, mais je suis soulagé...

Merci beaucoup tous les deux...
Astro

ps. je cloturai ce topic ce soir, quand j'aurai mis en place les rêgles nécessaires...

par **Astroboy** » 13 Nov 2006 16:55

Mmmm, j'ai répondu un peu vite...

Je comprends bien mon erreur pour le ping, mais pour l'accès à la console d'administration du routeur, je suis en http, donc sur un service orienté connexion... dans ce cas précis, je devrais réussir mon accès normalement....

#-o

Astro

par **jdh** » 13 Nov 2006 18:31

Absolument correct ! Mais cela se vérifie !

2 axes de vérifications :
- iptables -vn -L : vérification des règles de filtrages
- tcpdump : trace de ce qui se passe (y a-t-il tout ce qui est nécessaire : Syn >, <Syn+Ack, Syn+Ack>, ...)

par **Franck78** » 13 Nov 2006 22:56

jdh a écrit:Green -> Blue : ouvert mais Blue -> Green : fermé.

Que se passe-t-il pour ping ?

Un PC de Green envoie un ICMP (request) vers le PC en Blue : le paquet est transmis au PC en Blue.

Le PC de Blue renvoit un ICMP (reply) ... qui ne sera pas transmis au PC en Green !

Cela fonctionnerait avec un protocole TCP, par exemple, HTTP ou TELNET grace à "ip_conntrack". Mais pour UDP ou ICMP, il n'y a pas de suivi de la connection. Donc il n'y a pas de retour (il y a l'aller du PING mais pas le retour).

Oui mais non finalement! Un ping d'une machine 'vert' vers 'rouge' fonctionne correctement.

C'est une protection supplémentaire depuis 'bleu': il faut autoriser spéfiquement IP ou mac address à l'aide de 'wireless.cgi'

Le commentaire a changé un peu (1.4.12) c'est bien UN ou les DEUX champs qu'il faut saisir pour une machine autorisée.

par **tomtom** » 13 Nov 2006 23:11

jdh a écrit:Green -> Blue : ouvert mais Blue -> Green : fermé.

Que se passe-t-il pour ping ?

Un PC de Green envoie un ICMP (request) vers le PC en Blue : le paquet est transmis au PC en Blue.

Le PC de Blue renvoit un ICMP (reply) ... qui ne sera pas transmis au PC en Green !

Cela fonctionnerait avec un protocole TCP, par exemple, HTTP ou TELNET grace à "ip_conntrack". Mais pour UDP ou ICMP, il n'y a pas de suivi de la connection. Donc il n'y a pas de retour (il y a l'aller du PING mais pas le retour).

Rho, quand même, pauvre ip_conntrack, il sait bien faire ça

D'ailleurs, ça marche aussi pour udp, sinon adieu le dns depuis le routeur ou un client

D'où le nom, ip_conntrack

:biz:

t.

par **Astroboy** » 10 Sep 2007 09:50

Arf, la clôture presque un an après de ma question...
:oops:

J'ai du rendre le routeur (pas à moi) entre temps et j'avais donc laisser en suspend la question.
Après l'achat d'un nouveau routeur (D-LINK WGRT54GL v1.1), et la reconfiguration de tout le bazar, tout fonctionne bien. J'avais donc loupé un truc à l'époque...

Merci pour votre aide.

Astro

ps. ce réseau fonctionne bien, mais ne répond pas forcément à mes besoins, finalement... du coup, j'envisage de changer un peu mon architecture (cf. ma question dans le forum sécurité ici)

IPCOP-WIFI : pas d'accès GREEN -> BLUE [RESOLU]

IPCOP-WIFI : pas d'accès GREEN -> BLUE [RESOLU]

Qui est en ligne ?