8 VLAN, 2 pare-feu, config de routeur

[nikogaug]

Bonjour, j'ai un réseau de 8 VLAN gérés par des routeurs.

Jusqu'à maintenant, les routeurs étaient configurés de tel sorte que quand un poste veux se connecté à internet, les routeurs les envois sur le pare-feu Wooweb. avec une règle de routage à la fin qui dit 0.0.0.0 --> 10.17.2.105 (pare-feu wooweb)

Mais là je veux rajouter un pare-feu IPCOP et j'ai quelques problèmes.

Explication par schéma pour la connexion à internet:

Poste client <--> [Passerelle]Routeur[Passerelle]<-->Wooweb
10.17.5.100........10.17.5.254............10.17.2.254......10.17.2.105

Donc ça marche très bien. Le problème qu'il y a c'est que je voulais que le client se connect au pare-feu Wooweb et j'ai renseigné pour cela l'adresse DNS :10.17.5.205 qui est l'adresse GREEN de IPCOP. LE problème c'est que cette fichu ligne des routeurs renvoi tout vers Wooweb et que je ne peut modifier la config des routeurs.
Est-il possible de "court-circuiter" cette ligne de façon à passer obligatoirement par IPCOP ?
Pour avoir ceci :

Poste client <--> [GREEN] IPCOP [RED] <-->Wooweb
10.17.5.100.......10.17.5.205...10.17.2.254....10.17.2.105


Sur la config du poste client, même en mettant l'adresse GREEN de IPCOP en DNS et en passerelle, ça ne fonctionne pas.
Une idée ?

[Franck78]

Salut,
Reformule car même en relisant trois fois, je ne comprend rien. Ni à l'état N, ni à l'état N+1 et encore moins au problème.
Et peut-être auras-tu l'illumination.


Bye

[nikogaug]

Ok j'vais le retenté
Donc pour l'instant j'ai 8 VLAN qui se connect à internet par le biais d'un pare-feu : ordi avec windows XP + Wooweb pro V4.
Et pour qu'ils passent tous par ce pare-feu, une société exterieur à la mienne qui gère les routeur à rajouté dans la table de routage de ces routeur l'adresse du pare-feu wooweb pour toutes les requetes en direction d'IP autres que mon réseau. Donc tout ce qui va sur internet passe par Wooweb.

Le problème c'est que wooweb non seulement fonctionne mal mais en plus ne gère pas la fonction proxy. Et pour le VLAN correspondant aux salles de cours c'est très embêtant car ils utilisent beaucoup la vidéo et l'audio. Donc je voulais mettre IPCOP entre les 2 salles de cours (VLAN7) et Wooweb pour faire office de proxy.

Mais je ne peut pas parce que vu la config des routeurs (que je ne peux modifier sans mettre le bordel dans tout le réseau) toutes les requêtes en direction d'internet sont routés vers Wooweb.

Donc je voualis savori si vous aviez une petite astuce pour contourner le problème de la config de routeurs ?

C'était plus clair ?

[Franck78]

Moins sombre, sans doute. Mais toujours insuffisant.
on dispose de
-huit VLANs (est-ce pertinent comme info)
-des postes clients (on suppose qu'il sont répartis sur les vlans)
-un routeur (des?)
-wooweb
-une liaison adsl
-un futur IPCop

Un schema pour organiser tout ça.... Mais je reste sceptique.

Surtout la bidouille "fameuse règle" qui tendrait à dire que le parefeu n'est pas branché de manière habituelle (en série).

[nikogaug]

- Le nombre de VLAN on s'en fout juste pour dire qu'il y en a et Wooweb et les postes clients sont dans 2 VLAN différents. Tous les clients qui vont être ratachés à IPCOP appartiennent au même VLAN.

- Il y a plusieurs routeurs mais je ne comprend pas pourquoi cette question ?

"Surtout la bidouille "fameuse règle" qui tendrait à dire que le parefeu n'est pas branché de manière habituelle (en série)."
La j'ai rien compris à ta phrase.

Et voilà pour les schémas :



ET



C'est plus clair ?

[Franck78]

c'est pour le moins disons, original à default d'être réaliste

L'IPCop ne t'apportera rien branché tel quel. Peut être squid, mais l'intérèt est plus que limité.

Je te conseille un vendredi soir de simplement débrancher ton wooweb pour le remplacé par IPCop. TU auras tout le week-end pour essayer. Ensuite un beau document 'au patron' pour lui expliquer le bien fondé du changement...

"

Surtout la bidouille "fameuse règle" qui tendrait à dire que le parefeu n'est pas branché de manière habituelle (en série)."
La j'ai rien compris à ta phrase.

oui bien sur, c'est l'objet même de ton post:

LE problème c'est que cette fichu ligne des routeurs renvoi tout vers Wooweb et que je ne peut modifier la config des routeurs.
Est-il possible de "court-circuiter" cette ligne de façon à passer obligatoirement par IPCOP ?

Si tu regarde to schéma, il n'y a pas d'autre choix que de passer par le wooweb pour sortir. En disant simplement que le routeur avait pour routeur par défaut le woweb, tu restais compréhensible par tous

Donc pour résumer:
pour que le routeur n'utilise pas sa 'default gateway' il lui faut une route spécifique vers l'IPCop. Classiquement une règle de routage matche sur l'adresse destination. Dans ton cas c'est source 'vlanX'. Mais puisque tu ne peux toucher à ce routeur, il ne te reste rien 'de simple'.

[nikogaug]

Zut ! Le problème c'est que je sais pas si je vais réussir à me dépatouillé avec IPCOP pour la gestion des VPN parcque j'en ai 3 diférents à gérer (avec 3 solution logicielles différentes en interne qui communiquent avec 3 entreprises externes différentes dont je ne connais pas grand chose sur leur manière de fonctionner.

En plus Wooweb me permet de gérer une dizaine de plages horaires de 50 minutes qui changent tous les jours et je sais que pour l'instant IPCOP ne gère pas très bien les plages horaires.

Mais merci pour ton aide et ton acharnement à comprendre mon charabia

[Franck78]

Le problème c'est que wooweb non seulement fonctionne mal mais en plus ne gère pas la fonction proxy

Finalement, quel est le but recherché?

Installer un proxy[cache]?

Wooweb, connait pas mais "parait difficile" à remplacer par IPCop. Quand tu dis trois solutions vpn, il faut comprendre quoi? Protocoles proprio?
Les plages horaires qui changent tout les jours: encore un truc bizarroïde qui fait penser à un développement spécifique... Et ca bloque quoi? Tout, selon la source, selon la destination, juste http, selon l'url,..... ?

[nikogaug]

Le problème le plus urgent est d'installer un proxy.
Je ne me rappel plus trop pour les VPN, mais il me semble que les techniques utilisées sont différentes. Je ne gère pas cette partie du réseau et ça remonte au début d'année.
Et comme de toute façon je ne peux pas faire de tests... je me suis pas penché sur la question.

"Les plages horaires qui changent tout les jours: encore un truc bizarroïde qui fait penser à un développement spécifique... Et ça bloque quoi? Tout, selon la source, selon la destination, juste http, selon l'url,..... ?"

Wooweb me permet de gérer l'accés à internet en fonction de plages d'adresse de postes clients définies.
De plus, j'ai 2 salles de cours pour lesquelles je gère l'accès à Internet suivant ces règles :
- Certains sites sont bloqués tout le temps(site de téléchargement...)
- Certains sites sont ouverts tout le temps(sites pédagogiques)
- Et suivant la demande des professeurs, j'ouvre des plages horaires de 45 minutes entre 8h30 et 16h30.

Je suis obligé de gérer les plages horaires car :
- Certains prof ne veulent pas d'Internet pour éviter que leurs étudiants fassent autre chose.
- Les étudiants viennent tout seul, arrivent en retard en cours, retardent les cours qui commencent alors qu'ils sont encore là et installent des tas de trucs (je ne peux empecher l'instalation de certains programmes car les profs utilisent certains sites dont le téléchargement de plugins ou petits programmes est nécessaires.

( Nos étudiants sont en fait des clients français et étranger qui viennent pour apprendre les langues.)

[Franck78]

Proxy certe, mais proxy quoi? J'attend bien comme réponse 'http' mais sait-on jamais

Et suivant la demande des professeurs, j'ouvre des plages horaires de 45 minutes entre 8h30 et 16h30.

ah c'est donc un changement manuel. Je me disais bien aussi qu'imaginer une plage qui se modifierait seule était 'gonflé'




Pour ne pas te casser la tête, tu installes entre le routeur et wooweb un linux.
-en te basant sur 'firewall transparent'
-sur lequel tu ajouteras un squid

Je dis ça, c'est très général, squid sur une machine sans adresse IP, je suis pas sur du résultat.

[nikogaug]

Je comprend pas trop le "http" mais c'est un proxy pour servir de cache si ça peut répondre à ta question. Pare que pendant les cours jusqu'à 16 postes vont sur le même site et quand c'est pas notre bande passante qui limite l'accès, c'est souvent le site externe qui nous voyant comme un seul ordi doit limiter notre accès.

"Pour ne pas te casser la tête, tu installes entre le routeur et wooweb un linux.
-en te basant sur 'firewall transparent'
-sur lequel tu ajouteras un squid "
Entre le routeur adsl et wooweb ou le routeur de mon réseau ?

J'avais pensé à mettre un pare-feu entre wooweb et mon routeur ADSL mais je me suis dit que ça ne règlerai pas les problèmes de VPN.
Après avec 'firewall transparent' je connais pas. Je vais voir à quoi ça ressemble pour voir.