[RESOLU] Zone GREEN+ORANGE+RED et questions ...

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

[RESOLU] Zone GREEN+ORANGE+RED et questions ...

Messagepar oliverd » 20 Mars 2007 10:23

bonjour à tous,

Cela fait quelques jours que je passe en revue les forums et les faqs, pourtant, je peine à trouver la bonne solution pour la mise en place d'Ipcop. L'installation est faite, et ne me pose aucun souci. Mes question seraient plutôt au niveau de l'infrastructure.

L'architecture actuelle : Un Lan en 192.168.1.x, avec 3 vpn, en 192.168.x.x , un modem routeur ethernet et de la téléphonie sur ip.

La nouvelle architecture : le même lan, les mêmes vpn, le même routeur et la même téléphonie; mais j'ajoute un serveur exchange frontal OWA, un serveur Exchange dorsal, un serveur ftp et un serveur TSE, et bien sur mon ipcop.

La configuration adaptée me semble être GREEN+ORANGE+RED.

le RED pour l'adsl.
l'ORANGE pour le frontal exchange, le tse et le ftp.
le GREEN pour le lan sur lequel sera entre autres le dorsal exchange.

Je ne souhaite pas modifier tous mes vpns, ni mes routeurs. (les vpns sont montés entre les routeurs).

je pense garder la plage 192.168.1.x (dont fait partie le routeur) pour RED;
il me faut mettre en place une plage 192.168.18.x pour ORANGE;
et enfin, une plage 192.168.20.x pour GREEN.

J'ai bon jusque là ? Mais quid de la téléphonie ip ? qui par défaut est sur le 192.168.1.x, est n'est concernée que par les vpn, donc à priori accessible, car dans RED.

Enfin, auriez-vous un tuto ou un topic à me conseiller pour une telle architecture ?

Merci, en tout cas, par avance; pour votre lecture, et vos réponses ...

Oliver
Dernière édition par oliverd le 22 Mars 2007 08:44, édité 1 fois au total.
Avatar de l’utilisateur
oliverd
Matelot
Matelot
 
Messages: 10
Inscrit le: 20 Mars 2007 09:51

Messagepar Franck78 » 20 Mars 2007 11:00

Salut,

J'ai essayé de 'dessiner' ta pensée. Impossible d'être sur. On ne sait pas ce que tu appelles le routeur et vpn que tu veux conserver par exemple. Partant de la, on ne sait pas trop de quoi nous parlons.

D'abord tes VPNs
-IPcop peut les gérer
-Si le routeur que tu veux garder est devant IPCop, ok
-derrière ipcop, pas facile d'orienter (transfert de port) plusieurs vpn vers le routeur

LE téléphone: si ca sort d'une *box, cette *box devrait être devant l'IPcop et gerer elle même la cnx adsl.

un schéma peut être...

En tout cas, le plan classique est d'insérer l'IPCop entre LAN et *Box, *Box en mode routeur pour le 'téléphone illimité'.
A voir pour les VPNs.

Bye
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Des précisions !

Messagepar oliverd » 20 Mars 2007 12:44

Bonjour Franck,

Merci pour cette réponse rapide !!!

Je reconnais qu'extrapoler n'est pas évident, surtout que ce n'est déjà pas évident d'expliquer au mieux ! :oops:

Toutefois, pour répondre à tes interrogations :

Mon routeur est bien devant ipcop. Un vpn est monté entre chacun de mes routeurs; en gros, toutes les agences sont reliées par un vpn; soit un total de quatre vpn. Chacune des agences devra pouvoir accèder à la dmz, mais également au lan.

Pour la téléphonie, il n'y a pas de box, mais un boîtier "omnipcx". et il est entre le routeur et ipcop.

Et le schéma, si tout va bien, il est dessous ! :)

Image

Oliver[/img]
Avatar de l’utilisateur
oliverd
Matelot
Matelot
 
Messages: 10
Inscrit le: 20 Mars 2007 09:51

Messagepar Franck78 » 20 Mars 2007 13:32

Très bien le schéma. J'en connais un qui va encore demander avec quoi il est fait :wink:

La seule chose à savoir c'est qu'IPCop n'a pas de routeur (rip,ospf), donc pas d'échange avec routeur A sur les réseaux existants. Il va aussi 'nater' GREEN/ORANGE alors que c'est inutile.

Donc bien dire a IPCop que sa gateway est routeur A (qui se débrouille entre le choix VPN ou internet).
Et dire a routeur A que par l'IP RED il dispose des réseaux 192.168.18.x et 192.168.20.x
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Dac !

Messagepar oliverd » 20 Mars 2007 13:39

Ok !

Pour le schéma, y a un top produit dans l'action pack de grosoft !!! :D

Pour le reste, je prends bonne note de tes infos, et je vais m'atteler à une plateforme de test. Oui, je ne suis que très moyennement joueur ... :D

Merci encore,

Oliver
Avatar de l’utilisateur
oliverd
Matelot
Matelot
 
Messages: 10
Inscrit le: 20 Mars 2007 09:51

quelques doutes ...

Messagepar oliverd » 21 Mars 2007 07:16

Bonjour,

ma plateforme de tests fonctionne plutôt bien. Je procède à quelques règlages, mais dans l'ensemble, ça roule !

Ma question, ce matin à mon réveil ( :? ) : chacune de mes agences est reliée par un vpn.

Donc, par exemple, l'agence A en 192.168.8.x communique parfaitement avec l'agence paris, dont le routeur, (qui est avant ipcop) est dans RED et donc en 192.168.1.x ...

Alors, pour l'accès TSE, pas de soucis, je fais un forward du port, du routeur de Paris vers le RED de Ipcop, puis IpCop l'envoie sur ORANGE. (ça fonctionne déjà très bien pour FTP, le web et aussi UltraVnc).

Mais ... Ben oui, il y a toujours un mais ... :oops: ... Un quidam connecté en TSE (Donc sur ORANGE), veut accèder à son disque local (non mappé par TSE, et pas de sous pour Citrix). Comment faire alors pour le mapper dans ORANGE, à travers RED ???

Donc bien dire a IPCop que sa gateway est routeur A (qui se débrouille entre le choix VPN ou internet).
Et dire a routeur A que par l'IP RED il dispose des réseaux 192.168.18.x et 192.168.20.x


Le routeur de Paris est bien la passerelle d'Ipcop. Par contre, lui indiquer que par l'ip RED il a les réseaux 192.168.18.x et 192.168.20.x, cela se fait bien par l'ajout de routes ?

Merci encore, pour vos lectures et votre aide !

Oliver
Avatar de l’utilisateur
oliverd
Matelot
Matelot
 
Messages: 10
Inscrit le: 20 Mars 2007 09:51

Messagepar oliverd » 21 Mars 2007 14:04

RE-Bonjour,

Bon, je fais des tests pour mapper les disques locaux (en RED ou en GREEN) dans une session TSE (dans ORANGE).

Pour GREEN/ORANGE, j'ai essayé d'ouvrir 135/139(tcp), 137/138(udp) et 445(tcp). ça fonctionne bien si je spécifie l'adresse ip du poste de destination. En revanche, si j'indique un réseau, ça le fait pas du tout ...

disons que dans l'accès à la dmz, j'ouvre 192.168.18.187(serveur tse dans orange) vers 192.168.20.163(un poste dans green) avec les ports ci-dessus, ça fonctionne bien.

mais, si j'ouvre de 192.168.18.187 vers 192.168.20.0, là ça le fait pas.

je dois me gourrer quelque part, mais où ??? de plus, j'ai bein conscience que cette solution est loin d'être propre, mais c'est la seule piste que j'ai pour l'instant. si vous en avez d'autres, je suis preneur !

merci d'avance pour vos conseils avisés !
Avatar de l’utilisateur
oliverd
Matelot
Matelot
 
Messages: 10
Inscrit le: 20 Mars 2007 09:51

Messagepar Franck78 » 21 Mars 2007 15:30

oliverd a écrit:RE-Bonjour,


Pour GREEN/ORANGE, j'ai essayé d'ouvrir 135/139(tcp), 137/138(udp) et 445(tcp). ça fonctionne bien si je spécifie l'adresse ip du poste de destination. En revanche, si j'indique un réseau, ça le fait pas du tout ...


je crois qu'il y a un bug quelquepart. Mais c'est pas vraiment clair. J'ai déjà lu des petits mots sur ce cas.

Il faudrait investiguer plus.
Des iptables -Lvn dans les deux cas sur la bonne table.
SETXTACCESS? j'ai pas les noms en tête.
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

[RESOLU]

Messagepar oliverd » 22 Mars 2007 08:41

Bonjour !

disons que dans l'accès à la dmz, j'ouvre 192.168.18.187(serveur tse dans orange) vers 192.168.20.163(un poste dans green) avec les ports ci-dessus, ça fonctionne bien.

mais, si j'ouvre de 192.168.18.187 vers 192.168.20.0, là ça le fait pas.


Bon, ben j'ai tenté une réinstall vite fait (merci l'install ultra rapide :D ) et ce problème là est règlé !

Oliver
Avatar de l’utilisateur
oliverd
Matelot
Matelot
 
Messages: 10
Inscrit le: 20 Mars 2007 09:51


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron