smeserver derriere CI box ?

[jrebell]

bonjour,
je voudrais utiliser SME SERVER7 comme passerelle/serveur/routeur/parefeu derriere une ClubInternet box (modem Hitachi-TECOM AH 4222) qui utilise le protocole pppoA
mais dans la config SME il n'y a que pppoE comme choix ?
est-ce compatible avec pppoA ou quelle autre solution ?
merçi pour vos réponses

[jibe]

Salut,

Pour faire simple : PPPoE=over Ethernet et PPPoA=over ATM. C'est la façon dont est véhiculé le protocole PPP. Les liaisons FT (et généralement aussi dégroupées) se font en ATM. Donc préférer PPPoA quand c'est possible. Mais pour diverses raisons, PPPoE est aussi largement utilisé, et fonctionne sur les connexions ATM moyennant une encapsulation spéciale. On peut donc l'utiliser aussi. Maintenant, certains FAI semblent n'accepter que l'un ou que l'autre, ou en ont un des deux qui fonctionne mieux.

Donc, en fait, sauf cas particulier, tu dois pouvoir utiliser l'un ou l'autre.

Mais en fait, ton problème n'est pas là : si tu veux utiliser ta SME en serveur-passerelle (c'est mieux : elle est vraiment faite pour ça, et tu auras un meilleur firewall qu'avec ta CIBox) il faut :
- Soit utiliser ta CIBox en simple modem. Je ne sais pas si elle peut le faire (regarde si tu peux la paramétrer en mode bridge). C'est la meilleure solution, la plus simple. Tu mets alors ta SME en PPPoE, et ça roule...
- Soit utiliser ta CIBox en routeur, c'est à dire que c'est elle qui va se connecter sur Internet, tu auras un mini-réseau éthernet intermédiaire entre ta CIBox et ta SME, puis ta SME qui jouera son rôle de serveur-passerelle. Dans ce cas, ta SME doit être configurée pour la connexion sur ta CIBox, soit en IP fixe, soit en DHCP (voir notice de la CIBox pour savoir les possibilités). Mais dans ce cas, il faudra ouvrir des ports sur ta CIBox en fonction des services que tu veux rendre accessible sur ta SME...

[jrebell]

merçi à jibe pour sa réponse
c'est bien ce que j'avais compris
j'ai essayé les deux cas et dans les deux cas çà roule
au niveau sécurité quelle est la meilleure solution sachant que lorsque on utilise CI box en routeur il faut ouvrir au moins les ports 80 ou 8080 si l'on veut que le monde puisse se connecter à son site web sur SME
Autre question: la CI box en mode bridge, peut-on utiliser sa liaison wi-fi(AP) ou doit-on utiliser obligatoirement le mode routeur(pppoA) ?

[jibe]

Salut,

au niveau sécurité quelle est la meilleure solution sachant que lorsque on utilise CI box en routeur il faut ouvrir au moins les ports 80 ou 8080 si l'on veut que le monde puisse se connecter à son site web sur SME

Question controversée. Une théorie affirme que deux sécurités valent mieux qu'une, ce qui parait logique dans un sens. Mais d'autres (dont moi !) disent que ce n'est pas prouvé et que par contre ça complique, voire que c'est moins sécurisé (je précise que, ce que ne savaient apparemment pas ceux qui participaient à ce débat, que gnujpl est l'un des initiateurs et le développeur en chef de FreeEOS). Perso, je déconseille fortement de placer SME derrière un autre routeur quel qu'il soit, sauf à maitriser parfaitement l'administration réseau et particulièrement la configuration des firewalls.

Autre question: la CI box en mode bridge, peut-on utiliser sa liaison wi-fi(AP) ou doit-on utiliser obligatoirement le mode routeur(pppoA) ?

Je ne sais pas. Il me paraitrait logique que la liaison wifi ne fonctionne qu'en mode routeur, mais c'est à vérifier (puisque tu as fait l'essai des deux modes, teste la wifi dans les deux cas ).

Ceci dit, à toi de faire ton choix. Mais avant, il me semble intéressant que tu lises ceci...

Pour info, je n'ai jamais installé de wifi, et pour le bonheur de mes clients j'ai toujours pu trouver des solutions alternatives. Il suffit souvent de le vouloir et ne pas céder à la mode...

[Franck78]

Perso, je déconseille fortement de placer SME derrière un autre routeur quel qu'il soit, sauf à maitriser parfaitement l'administration réseau et particulièrement la configuration des firewalls.

je te rapelle pour info (juste des fois que ca t'ais échappé) que le réseau internet est une succession de lan, de backbone et tous reliés par le même truc: un ROUTEUR. Alors arréte un peu de répandre des fausses vérités. Si ta SME n'a pas un routeur dans son voisinage, et bien tu ne fais pas de réseau. Et ca n'intérresse PERSONNE.

Alors soit la SME résiste face a un routeur complètement compromis, soit elle pète les plombs immédiatement. C'est la seule question. Il n'y a pas de théorie "deux machins mieux qu'un seul machin".


Franck

[neodam]

concernant les box il faut aussi voir comment fonctionne le mode routeur.
je ne sais pas pour la CI box, mais concernant la 9box, elle est pourvu d'un mode Routeur Monoposte qui est celui activé par defaut, et dans lequel cas, elle laisse tout passer (le pc derriere doit donc avoir un firewall, qui pour une personne lambda sera celui de XP...) et ou une seule @IP est attribuable (par defaut 192.168.1.2).

Il peut etre necessaire parfois qu'elle tourne en mode routeur pour avoir acces aux offres du triple play (TV, peut etre pas telephonie) et pour avoir le wifi (si on le veut....moi je m'en passe, le CPL c moins "risqué").
dans mon cas, j'ai donc simplement re-passé ma 9box en mode routeur monoposte (je l'avais mis en multiposte avant d'avoir mon serveur SME) et ma SME est branché directement dessus et ça fonctionne tres bien ainsi.


donc a voir si la CI box n'a pas un mode routeur monoposte.

[jibe]

Salut,

Je ne sais pas qui répand des idées inexactes... (je n'irai pas jusqu'à dire de fausses vérités).

Je ne vois pas comment on peut dire qu'une *box est équivallente à un équipement de FAI !

Dans un cas, la config est gérée par des spécialistes (je présuppose qu'il y en a quelques uns de compétents même chez le plus mauvais des FAI, mais on voit parfois effectivement que ce n'est pas le cas) et tu branches ta SME sur une "patte" d'un réseau où tu peux transmettre et recevoir tout ce qui t'est nécessaire.

Dans l'autre cas, c'est celui qui configure sa box qui fait le nécessaire pour qu'elle transmette proprement ce qui doit entrer ou sortir de la SME.

Il me semble qu'il y a une légère nuance, non ? Je veux bien admettre que, sur le plan purement théorique, on peut considérer que c'est pareil, mais lisez donc les posts sur Ixus et autres forums : il y en a des centaines, peut-être des milliers, concernant certaines associations mal configurées et posant problème.

Et prenons un cas précis, en exemple : j'ai une IP dynamique et un domaine dyndns. La façon de mettre à jour mon IP est quand même fondamentalement différente si j'ai un quelconque routeur (même monoposte...) entre ma ligne ADSL et ma SME... Bien sûr, du point de vue théorique, c'est pareil : la bécane à qui est attribuée mon IP dynamique doit la gérer auprès de dyndns. Mais, puisque vous êtes si malins, expliquez donc ça aux newbies qui ne voient pas du tout comment le faire sur leur *box mais qui ont vu que c'était prévu sur la SME...

Concernant le "routeur monoposte", c'est vrai que c'est un peu différent. Ca revient un peu à avoir la SME en frontal avec une IP fixe. Mais reste malgré tout le cas des domaines dyndns...

=> Je ne cherche absolument pas à répandre de fausses vérités, mais simplement à expliquer que du point de vue pratique (si je ne l'ai pas répété 100 fois... ) j'essaie de donner à ceux qui n'ont pas vos connaissances, messieurs, une solution avec laquelle ils s'en sortent presque à coup sûr et sans casse-tête. Solution qui a largement fait ses preuves, autant que l'association SME+routeur firewall quelconque a prouvé qu'elle est source de problèmes et de casse-tête pour beaucoup.

[sibsib]

Yop,

A Jibé et Franck78 (si je peux me permettre ) :

Il y a eu dérapage de propos. Effectivement, Internet est truffé de routeurs, et tant mieux. Le terme plus adéquat est 'passerelle NAT'. En effet, comme vous le savez bien tous les deux (vous l'avez déjà souvent démontré!), comme nos ISP ne nous fournissent qu'une seule adresse IP publique, il faut faire du NAT quelque part chez nous.

Donc, relire les propos (avisés) de JiBé en lisant 'passerelle NAT' chaque fois qu'il a écrit 'routeur'

A+,
Pascal

[neodam]

Et prenons un cas précis, en exemple : j'ai une IP dynamique et un domaine dyndns. La façon de mettre à jour mon IP est quand même fondamentalement différente si j'ai un quelconque routeur (même monoposte...) entre ma ligne ADSL et ma SME... Bien sûr, du point de vue théorique, c'est pareil : la bécane à qui est attribuée mon IP dynamique doit la gérer auprès de dyndns. Mais, puisque vous êtes si malins, expliquez donc ça aux newbies qui ne voient pas du tout comment le faire sur leur *box mais qui ont vu que c'était prévu sur la SME...

Concernant le "routeur monoposte", c'est vrai que c'est un peu différent. Ca revient un peu à avoir la SME en frontal avec une IP fixe. Mais reste malgré tout le cas des domaines dyndns...

ben ne t'en deplaise, en mode routeur monoposte, y a rien a configurer coté box!!

ma 9box est en mode routeur monoposte c'est a elle qu'est attribué l'@IP publique dynamique et de l'autre coté j'ai une ip interne fixe avec ma SME dessus!
Meme si la 9box comporte une fonction dyndns, je ne l'ai pas activé, et c'est la contrib ddclient qui se charge des resolution des @IP, car j'ai plusieurs domaines qui pointent sur mon @IP et ça la 9box ne le permettait pas.

et au final c'est donc encore + simple que de passer en mode bridge.
On reçoit une 9box, elle est en mode routeur monoposte.
on branche la SME dessus, on met la contrib ddclient et hop nos sites sont visible depuis l'exterieur sans reglages a faire sur la BOX.

http://www.neodamcorp.homelinux.net

[jrebell]

je confirme les pratique de Neodam en ce qui concerne dyndns sauf que je l'ai expérimentée avec une CI.box et je n'ai pas très bien compris pourquoi @ip publique dynamique était attribuée à CI.box en mode routeur alors que c'est ddclient sur SME qui se charge des resolutions @ip
je ne veux pas declencher de polémiques mais je n'ai pas de réponses claires en terme de sécurité:
CI.box en mode routeur avec Règles NAT (lesquelles d'ailleurs ?) or not routeur (quels sont les ports ouverts sur SME par défaut ?) ?

[neodam]

je confirme les pratique de Neodam en ce qui concerne dyndns sauf que je l'ai expérimentée avec une CI.box et je n'ai pas très bien compris pourquoi @ip publique dynamique était attribuée à CI.box en mode routeur alors que c'est ddclient sur SME qui se charge des resolutions @ip

en fait, c'est normal que ça soit ta box qui est l'adresse publique vu que c'est elle qui est connecté directement a internet.
la contrib ddclient, se sert juste d'un site externe (sur le net, je ne sais plus l'adresse) pour connaitre ton adresse ip publique puis se connecte au service dyndns pour lui fournir l'adresse ip correspondant aux domaines que tu y as enregistré voila tout.
Ainsi quand on tape une adresse d'un domaine que tu as enregistré, vu que ça pointe vers ton @ IP, les requetes arrivent jusqu'a ta box.
Elle n'etant qu'en mode routeur monoposte, elle ne fait rien et laisse donc tout passer (dans ce mode, elle est plutot transparente en fait, au nivo du trafic réseau) et du coup c'est la SME derriere qui reçoit la requete et elle va alors y repondre (positivement ou négativement....).

je ne veux pas declencher de polémiques mais je n'ai pas de réponses claires en terme de sécurité:
CI.box en mode routeur avec Règles NAT (lesquelles d'ailleurs ?) or not routeur (quels sont les ports ouverts sur SME par défaut ?) ?

Disons que comme le dit Jibe, c'est mieux d'avoir plus de protection, donc l'ideal serait d'avoir box en routeur multipostes + regles NAT, puis SME en serveur/passerelle, mais niveau simplicité c'est pas le plus evident....
De plus, en tt cas sur la 9box, on est limité a 9 regles NAT (je crois), mine de rien c'est pas enorme et on se retrouve vite bloqué. C'est aussi ce qui m'a poussé a passé a un serveur dedié.
Et honnetement depuis que je suis en box routeur monoposte et SME en Serveur/passerelle, je suis Nettement moins $%#&! avec les reglages NAT.... (rien que pr faire du FTP avec mes amis deja...).

Apres, bon pr etre simple et efficace, la box en routeur monopote et la SME en Server/passerelle, c'est tout aussi efficace et moins contraignant! ça allie simplicité et sécurité!

[jibe]

Salut,

Donc, relire les propos (avisés) de JiBé en lisant 'passerelle NAT' chaque fois qu'il a écrit 'routeur'

Merci sibsib

Précision très utile : c'est vrai que, par (mauvaise) habitude, on parle de routeur pour un peu tout et n'importe quoi...

@ neodam : Tu m'en apprends là une bien bonne ! J'avoue que je n'avais jamais fait l'essai, pensant que ça ne pouvait pas fonctionner ainsi...

Par contre, quelque chose m'échappe : je ne vois pas comment ddclient peut mettre à jour l'@IP dyndns, puisque cette @IP est attribuée à la *box et non à la SME ? J'aurais pensé qu'elle aurait tout bêtement pris l'@IP de l'interface externe de la SME, et donc celle de la portion de réseau interne liant la *box à la SME... Apparemment, ddclient est bien conçu et ne se contente pas de faire au plus simple !

Sais-tu si cela fonctionne également avec le client dyndns intégré d'origine dans la SME ?

Au fait, tu renvoyais sur ton site dans un post précédent, était-ce pour y lire une explication quelconque, ou simplement pour prouver qu'il est accessible à travers ta box ? J'y ai vu de belles photos de ton serveur, mais je n'ai rien su trouver sur le sujet qui nous intéresse ?

[jibe]

J'avais lu trop vite... Réponse à ma question sur le fonctionnement de dyndns :

la contrib ddclient, se sert juste d'un site externe (sur le net, je ne sais plus l'adresse) pour connaitre ton adresse ip publique

Tout simplement ! Il s'agit certainement d'un site du genre whatismyip. (sauf que celui-ci me donne l'adresse locale de mon poste !!! Mais bon, n'importe quel serveur http connait mon IP publique et peut donc me la renvoyer).

@ jrebell : En fait, ce que tu sembles n'avoir pas compris, c'est que ce n'est pas ddclient qui t'affecte ton IP publique, mais ton FAI (tu es un poste client de son réseau auquel il attribue une adresse par DHCP). ddclient ne fait qu'indiquer cette adresse à dyndns.

[Franck78]

Par contre, quelque chose m'échappe : je ne vois pas comment ddclient peut mettre à jour l'@IP dyndns, puisque cette @IP est attribuée à la *box et non à la SME ? J'aurais pensé qu'elle aurait tout bêtement pris l'@IP de l'interface externe de la SME, et donc celle de la portion de réseau interne liant la *box à la SME... Apparemment, ddclient est bien conçu et ne se contente pas de faire au plus simple !

Oui, ca vient pas de ddclient. C'est simplement que le serveur est malin. Il prend automatiquement l'IP source de la requète dans la plupart des cas.
Et comme le NAT est passé par là.... tu devines à quoi elle ressemble.

[neodam]

l'adresse utilisé par ddclient est checkip.dyndns.org


sinon jibe si tu utilise whatismyip.com il te donne bien l'adresse ip publique.

d'ailleurs etrangement l'adresse de ddclient donne aussi l'@IP locale! bizarre...

J'ai installé ddclient premierement parce que j'avais plusieurs adresse a faire pointer sur mon IP, ce que ne permet pas par defaut la fonction integré a la SME.
Apres je crois egalement que la fonction de la SME donnait l'adresse ip locale.

Je renvoyais sur mon "site" (enfin si on peut parler de site) juste pr montrer que la contrib ddclient fonctionne et que le mode routeur monoposte de la 9box ne bloque rien!
il n'y a rien concernant le sujet de ce post sur mon site (hormis a la rigueur les photos de mon serveur ... et encore...)!