Bonjour,
Je rencontre une situation étrange.
Contexte :
IPCOP (-- BLUE) -- Routeur WRT54G -- répéteur WRE54G -- client (poste nomade)
IPCOP est paramétré en DHCP avec un DNS renseigné.
L'interface réseau BLUE est connectée au switch du routeur WRT54G (WAN non utilisé)
Le routeur WRT54G en mode routeur et le DHCP est désactivé.
IPCOP : 192.168.1.2
192.168.1.255
255.255.255.0
DNS : dns externe (a.b.c.d)
Routeur WRT54G : 192.168.1.1
Répéteur WRE54G : 192.168.1.3
Gateway : 192.168.1.2
Le client est configuré en DHCP et reçoit bien une adresse IP, sa gateway et le DNS a.b.c.d
Le signal wifi est bon.
Problème rencontré :
Le poste client est en dual boot (linux Debian et XP)
Sous la Debian, je parviens à pinger l'IPCOP, le routeur, le répéteur et le serveur DNS extérieur au site. Je parviens donc à aller sur le net.
Sous XP, je parviens à pinger l'IPCOP, le routeur, le répéteur mais pas le serveur DNS. Je ne parviens donc pas à aller sur le net.
Les configurations réseau sont donc identiques d'un système à l'autre.
Pourquoi je ne parviens pas à naviguer sur le web ? faut-il obligatoirement mettre le routeur en mode routeur et non en mode NAT ?
Merci pour vos contributions.
blue + DHCP
Modérateur: modos Ixus
6 messages
• Page 1 sur 1
blue + DHCP
par zorgh » 28 Juin 2007 14:51
- zorgh
- Premier-Maître
- Messages: 63
- Inscrit le: 26 Mai 2007 13:58
par zorgh » 28 Juin 2007 20:22
J'ai trouvé l'origine du dysfonctionnement.
Dans l'onglet Pare-Feu --> Accès BLEU, j'avais associé une adresse IP à l'adresse MAC du portable.
Lorsque je démarrais sous XP, je ne recevais pas la même IP. Je ne pouvais donc pas communiquer avec l'IPCOP.
Aussi, comment faire pour que n'importe quelle adresse en 192.168.1.* puisse être autorisée à accéder à Blue ?
Merci
Dans l'onglet Pare-Feu --> Accès BLEU, j'avais associé une adresse IP à l'adresse MAC du portable.
Lorsque je démarrais sous XP, je ne recevais pas la même IP. Je ne pouvais donc pas communiquer avec l'IPCOP.
Aussi, comment faire pour que n'importe quelle adresse en 192.168.1.* puisse être autorisée à accéder à Blue ?
Merci
- zorgh
- Premier-Maître
- Messages: 63
- Inscrit le: 26 Mai 2007 13:58
par zorgh » 29 Juin 2007 19:25
Je vais continuer mon monologue et mon questionnement.
J'ai essayé de paramétrer Copspot.
Le serveur radius tourne sur la patte verte.
J'accède correctement à la fenêtre d'authentification Copspot.
Par contre, j'ai un échec au moment de l'authentification.
J'ai capturé les trames de connexion depuis le serveur radius. La communication entre les 2 machines s'opère.
Souhaitant quelque chose de sécurisé, je constate que Copspot créé une interface TUN qui échappe donc complètement à IPCOP et Guardian.
De fait, si je parviens à avoir un shell sur l'ipcop depuis un accès nomade, je peux aller sur n'importe quelle patte (vert ou orange). Ce qui est ennuyeux.
J'aimerais avoir votre avis sur la question.
Merci bien
J'ai essayé de paramétrer Copspot.
Le serveur radius tourne sur la patte verte.
J'accède correctement à la fenêtre d'authentification Copspot.
Par contre, j'ai un échec au moment de l'authentification.
J'ai capturé les trames de connexion depuis le serveur radius. La communication entre les 2 machines s'opère.
Souhaitant quelque chose de sécurisé, je constate que Copspot créé une interface TUN qui échappe donc complètement à IPCOP et Guardian.
De fait, si je parviens à avoir un shell sur l'ipcop depuis un accès nomade, je peux aller sur n'importe quelle patte (vert ou orange). Ce qui est ennuyeux.
J'aimerais avoir votre avis sur la question.
Merci bien
- zorgh
- Premier-Maître
- Messages: 63
- Inscrit le: 26 Mai 2007 13:58
par Franck78 » 29 Juin 2007 23:43
zorgh a écrit:Aussi, comment faire pour que n'importe quelle adresse en 192.168.1.* puisse être autorisée à accéder à Blue ?
Merci
Ca c'est un de nombreux features request qui attendent pour améliorer IPCop. Pour l'instant, c'est une par une qu'il faut spécifier les IP.
Ton problème copspot, radius, tun, trame est totalement obscur... manque de précision.
Bye
-
Franck78 - Amiral
- Messages: 5625
- Inscrit le: 20 Fév 2004 01:00
- Localisation: Paris
par zorgh » 30 Juin 2007 07:01
Merci Franck78 pour ce complément d'infos.
Je suis d'accord sur le fait que cela manque de précisions.
1) un problème d'authentification Radius entre le client et le serveur.
10.168.100.4 (IPCOP) --> 10.168.200.5 (serveur Radius sur la patte verte) RADIUS ACCESS-Request (1)
10.168.200.5 --> 10.168.100.4 RADIUS ACCESS-REJECT (3)
Je n'ai rien dans les logs qui me permettrait de diagnostiquer les raisons de l'échec.
Le serveur Radius tourne sur un Windows 2003 Server en utilisant le Service d'Authentification Internet.
J'ai des traces Ethereal de la communication mais je ne parviens pas à la lecture de ces traces identifier le code erreur. Je ne sais pas si le RFC 2865 me permettrait d'y voir plus claire.
If any value of the received Attributes is not acceptable, then
the RADIUS server MUST transmit a packet with the Code field set
to 3 (Access-Reject). It MAY include one or more Reply-Message
Attributes with a text message which the NAS MAY display to the
user.
Il est alors difficile de déterminer quelle information transmise est inacceptable.
Je pense peut-être à un mauvais paramétrage de la méthode EAP choisie pour l'authentification.
2) Concernant l'interface TUN, Copspot créé une interface virtuelle avec un adressage spécifique, par exemple 192.168.182.0/24
http://www.ban-solms.de/t/IPCop-copspot.html
IPCOP permet de sécuriser (SNORT+GUARDIAN) n'importe quelle interface (bleu, rouge, vert, orange). S'agissant d'une interface TUN, cela échappe aux règles IPTABLES du pare-feu.
De fait, si un poste nomade parvient à obtenir un shell sur l'IPCOP, il peut aller sur n'importe quelle patte.
J'en ai fait l'exemple, j'ai ouvert SSH sur l'IPCOP et avec mon poste nomade en wifi, je m'y suis connecté. Une fois loggé sur celui-ci, je pouvais pinguer n'importe quelle machine sur la patte verte depuis une liaison sans fil.
Malgrè le fait que le ping est été désactivé et que par défaut, toute connexion depuis la patte bleue vers la patte verte soit interdite.
Je suis d'accord sur le fait que cela manque de précisions.
1) un problème d'authentification Radius entre le client et le serveur.
10.168.100.4 (IPCOP) --> 10.168.200.5 (serveur Radius sur la patte verte) RADIUS ACCESS-Request (1)
10.168.200.5 --> 10.168.100.4 RADIUS ACCESS-REJECT (3)
Je n'ai rien dans les logs qui me permettrait de diagnostiquer les raisons de l'échec.
Le serveur Radius tourne sur un Windows 2003 Server en utilisant le Service d'Authentification Internet.
J'ai des traces Ethereal de la communication mais je ne parviens pas à la lecture de ces traces identifier le code erreur. Je ne sais pas si le RFC 2865 me permettrait d'y voir plus claire.
If any value of the received Attributes is not acceptable, then
the RADIUS server MUST transmit a packet with the Code field set
to 3 (Access-Reject). It MAY include one or more Reply-Message
Attributes with a text message which the NAS MAY display to the
user.
Il est alors difficile de déterminer quelle information transmise est inacceptable.
Je pense peut-être à un mauvais paramétrage de la méthode EAP choisie pour l'authentification.
2) Concernant l'interface TUN, Copspot créé une interface virtuelle avec un adressage spécifique, par exemple 192.168.182.0/24
http://www.ban-solms.de/t/IPCop-copspot.html
IPCOP permet de sécuriser (SNORT+GUARDIAN) n'importe quelle interface (bleu, rouge, vert, orange). S'agissant d'une interface TUN, cela échappe aux règles IPTABLES du pare-feu.
De fait, si un poste nomade parvient à obtenir un shell sur l'IPCOP, il peut aller sur n'importe quelle patte.
J'en ai fait l'exemple, j'ai ouvert SSH sur l'IPCOP et avec mon poste nomade en wifi, je m'y suis connecté. Une fois loggé sur celui-ci, je pouvais pinguer n'importe quelle machine sur la patte verte depuis une liaison sans fil.
Malgrè le fait que le ping est été désactivé et que par défaut, toute connexion depuis la patte bleue vers la patte verte soit interdite.
- zorgh
- Premier-Maître
- Messages: 63
- Inscrit le: 26 Mai 2007 13:58
par zorgh » 03 Juil 2007 09:44
Le problème d'authentification est résolu.
C'était un problème lié à l'enregistrement des mots de passe. Copspot utilise CHAP et requiert donc un cryptage réversible des mots de passe via le service d'authentification Internet (IAS de Microsoft).
C'était un problème lié à l'enregistrement des mots de passe. Copspot utilise CHAP et requiert donc un cryptage réversible des mots de passe via le service d'authentification Internet (IAS de Microsoft).
- zorgh
- Premier-Maître
- Messages: 63
- Inscrit le: 26 Mai 2007 13:58
6 messages
• Page 1 sur 1
Qui est en ligne ?
Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité