Accès à l'interface web d'un modem-routeur bridgé sur RED

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Accès à l'interface web d'un modem-routeur bridgé sur RED

Messagepar Kef » 28 Nov 2007 12:01

Bonjour à tous

Sur mon Ipcop, j'utilise un modem-routeur devenu simple modem, puisqu'il est bridgé sur l'interface RED.

Petit souci : si je veux me connecter à l'interface web de gestion du modem-routeur, je ne peux le faire que via son "ex" IP lan (10.0.0.138), en branchant une machine dans la même plage IP bien sûr, directement sur le switch intégré du MR.

Ca serait bien plus pratique de pouvoir me connecter depuis une machine du réseau GREEN, mais je ne sais pas comment faire..

J'ai bien essayé d'ajouter une route en mode console sur l'Ipcop, du genre "route add -host 10.0.0.138 gw 1.1.1.1 eth2", mais ça ne fonctionne pas : au mieux je ne peux que pinguer le modem-routeur depuis la console Ipcop, mais il reste inaccessible depuis GREEN.

Je dois louper quelque chose.. peut-être tout bête, comme faut-il redémarrer Ipcop ou les services réseau (comment ?) pour que ma nouvelle route soit effective ? (comme il est "en prod" j'évite de le redémarrer pour rien..)

Merci de vos lumières,
Franck.
Kef
Second Maître
Second Maître
 
Messages: 38
Inscrit le: 11 Juin 2007 17:20

Messagepar staples » 28 Nov 2007 12:53

Bonjour,

as-tu ajouté une route sur ton modem-routeur qui pointe vers ton réseau green via l'IP red d'IPCOP.

Même si le modem-routeur est en mode bridge, à mon avis il faut quand même lui dire qu'il y a un réseau green et que pour l'atteindre il faut passer par l'ipcop, du moins c'est ce que je pense.

Quand on manipule des routes, on a souvent la fâcheuse tendance à oublier la route du retour :(

Regarde de ce côté en te connectant dessus depuis le réseau red et essaye en ajoutant la route qui va bien.

A+

Staples
Avatar de l’utilisateur
staples
Quartier Maître
Quartier Maître
 
Messages: 19
Inscrit le: 28 Sep 2006 16:37
Localisation: région parisienne

Messagepar Kef » 28 Nov 2007 13:39

Bonjour Staples, merci pour ta réponse

Tu l'auras compris, je ne suis pas très savant en la matière, et je crains de mettre le bintz en faisant des bêtises :oops:

Non, je n'ai pas de routes définies dans le modem-routeur.
Il y a bien une rubrique "static routes" dans l'interface, mais j'ai l'impression que ça s'applique plutôt aux accès WAN vers LAN ?

Mon RED Ipcop n'a plus d'IP dans la même classe que le modem-routeur, puisque son IP est devenue
inet addr:1.1.1.1 Bcast:1.1.1.255 Mask:255.255.255.0

Je viens d'essayer d'ajouter une route dans le modem-routeur de la forme "Dest : IP GREEN Ipcop, mask, GW : IP RED Ipcop", mais message d'erreur, impossible d'ajouter la route.
Soit la définition de routes est incompatible avec le mode bridge, soit l'IP RED en gateway ne lui plait pas..
Kef
Second Maître
Second Maître
 
Messages: 38
Inscrit le: 11 Juin 2007 17:20

Messagepar staples » 28 Nov 2007 14:10

Bon, il y a quelque chose que je ne comprend pas.

Dans ton 1er poste, tu dis que ton modem-routeur a l'adresse 10.0.0.138. Ensuite tu dis que ta carte RED à l'adresse 1.1.1.1 :shock:

Là il y a quelque chose qui ne va pas.

Si tu veux attaquer l'interface web de ton modem, il faut obligatoirement que ce modem dispose d'une IP, en l'occurrence 10.0.0.138 => OK

SI tu veux que ton IPcop discute avec ce modem, il faut que ta carte red soit dans le même sous réseau, par exemple 10.0.0.254, sinon l'ipcop, et les autres derrière, ne pourront jamais sortir sur internet. L'ipcop doit avoir comme gateway par defaut, l'IP de ton modem pour pouvoir sortir et naviguer sur le net.

Donc avant toute chose:

- Met l'ipcop red dans le même sous réseau que le modem.
- ensuite depuis ton ipcop, essaye de pinguer l'adresse de ton modem et voir même l'adresse de google par exemple.
- Sur certain modem-routeur tu as la possibilité de faire un test ping, essaye de faire un ping sur ta carte red.

As-tu BOT installé sur l'IPCOP, si oui vérifie tes règles de filtrage

Dernier conseil si avec tout ça, ça ne fonctionne toujours, tu peux toujours faire un tcpdump sur l'interface red ( tcpdump -i eth_red ) et en même temps faire une tentative de connexion sur ton modem-routeur.

En espérant t'avoir donné suffisamment de piste pour t'aider.

Bon courage, t'inquiète pas la solution n'est pas loin.

A+
Avatar de l’utilisateur
staples
Quartier Maître
Quartier Maître
 
Messages: 19
Inscrit le: 28 Sep 2006 16:37
Localisation: région parisienne

Messagepar Kef » 28 Nov 2007 14:46

En voulant faire court, j'ai omis certains détails :

Jusqu'à il y a peu, le modem-routeur était utilisé en tant que tel, donc non bridgé.
Son IP lan était donc 10.0.0.138, pour s'accorder à l'IP RED Ipcop, qui était 10.0.0.1.

Par la suite, j'ai ajouté un VPN Ipsec sur Ipcop, et on m'a fortement conseillé de passer le modem-routeur en mode bridge pour simplifier les problèmes de routage. Dont acte.
Le RED Ipcop est donc passé en DHCP PPPoE, et l'IP RED correspondante est devenue 1.1.1.1

Il n'est donc pas trop question que je "débridge" le modem-routeur.

Tel que, Ipcop arrive à discuter avec le modem(ex-routeur), puisque en ajoutant depuis la console une route "10.0.0.138 gw 1.1.1.1 eth_red", le ping vers le modem fonctionne.

Mais entre la console Ipcop et une machine sur GREEN, il y a des différences et subtilités, et c'est là que je patine quelque peu.. :(

P.S. Le ping depuis le modem vers l'IP RED Ipcop ne fonctionne pas, "Ping host fail"
Mais des pings vers le Wan, noms ou IP, échouent aussi. Comme l'ajout de routes, ça ne doit plus être fonctionnel en mode bridge.

P.S. 2 : pas de BOT installé.
Dernière édition par Kef le 28 Nov 2007 14:55, édité 1 fois au total.
Kef
Second Maître
Second Maître
 
Messages: 38
Inscrit le: 11 Juin 2007 17:20

Messagepar DWAM2 » 28 Nov 2007 14:55

Salut Kef

pourquoi veux-tu accèder à ton ZyXel bridgé ? Une fois bridgé, un modem-routeur n'a plus à être "accédé" ou configuré... Comme si tu avais un modem sur carte PCI par exemple...

Guillaume
DWAM2
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 182
Inscrit le: 19 Juin 2007 18:47
Localisation: Bordeaux

Messagepar Kef » 28 Nov 2007 14:58

Salut Dwan2

En fait je voudrais garder accès à l'interface du modem bridgé "en cas de besoin", et pouvoir jeter un oeil aux logs de temps en temps, puisqu'il semblent encore fonctionnels en consultation locale.
Kef
Second Maître
Second Maître
 
Messages: 38
Inscrit le: 11 Juin 2007 17:20

Re: Accès à l'interface web d'un modem-routeur bridgé sur RE

Messagepar Franck78 » 28 Nov 2007 15:06

Kef a écrit:Bonjour à tous

Sur mon Ipcop, j'utilise un modem-routeur devenu simple modem, puisqu'il est bridgé sur l'interface RED.

Petit souci : si je veux me connecter à l'interface web de gestion du modem-routeur, je ne peux le faire que via son "ex" IP lan (10.0.0.138), en branchant une machine dans la même plage IP bien sûr, directement sur le switch intégré du MR.

Ca serait bien plus pratique de pouvoir me connecter depuis une machine du réseau GREEN, mais je ne sais pas comment faire..



Comme indiqué par dwam, c'est inutile, sauf info pratique comme la cnx adsl. Donc vraiment si tu le veux, le 1.1.1.1 est codé en dur dans /etc/rc.d/rc.???
(??? fait un grep j'ai oublié le nom). Tu peux le changer par 10.0.0.139

Il faudra peut être autoriser de 'exRED' vers GREEN ;-)

bye
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Messagepar staples » 28 Nov 2007 15:18

Tout ce que tu dis est vraiment étrange :shock: :shock:

Une chose, l'IP publique que te fournit ton FAI est supporté par qui ??? tjs le modem-routeur ou la carte red ???

l'adresse IP red est vraiment étrange et je doute que ton fai te fournisse l'IP publique 1.1.1.1 :!: :!:

Essaye 1 tcpdump sur ta carte red et envoi les traces des différents ping.

A mon avis pour faire un vpn, le mode bridge n'est pas utile. Regarde il y a différent post qui traite ce sujet
Avatar de l’utilisateur
staples
Quartier Maître
Quartier Maître
 
Messages: 19
Inscrit le: 28 Sep 2006 16:37
Localisation: région parisienne

Messagepar tomtom » 28 Nov 2007 15:24

Staples : C'est du PPPoE !

t.
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar Kef » 28 Nov 2007 16:00

staples a écrit:Tout ce que tu dis est vraiment étrange :shock: :shock:
Une chose, l'IP publique que te fournit ton FAI est supporté par qui ??? tjs le modem-routeur ou la carte red ???
l'adresse IP red est vraiment étrange et je doute que ton fai te fournisse l'IP publique 1.1.1.1 :!: :!:
C'est Ipcop qui s'occupe d'établir la cnx au FAI, et l'IP publique qu'il me fournit est bien d'allure standard, 82.127.xxx.yy.
Le modem (ex-routeur) ne se comporte plus que comme un modem ordinaire, sauf que son interface web de gestion est toujours joignable via son IP lan toujours active.
Quant à l'IP RED Ipcop dans ce cas, selon ce que dit Franck78 ci-dessus, ça semble être une IP "par défaut" écrite en dur dans la config.

A mon avis pour faire un vpn, le mode bridge n'est pas utile. Regarde il y a différent post qui traite ce sujet
Ha non ! Maintenant que mes galère de VPN semblent finies, j'y touche plus ! :D :wink:
Kef
Second Maître
Second Maître
 
Messages: 38
Inscrit le: 11 Juin 2007 17:20

Re: Accès à l'interface web d'un modem-routeur bridgé sur RE

Messagepar Kef » 28 Nov 2007 16:09

Franck78 a écrit:Comme indiqué par dwam, c'est inutile, sauf info pratique comme la cnx adsl. Donc vraiment si tu le veux, le 1.1.1.1 est codé en dur dans /etc/rc.d/rc.???
(??? fait un grep j'ai oublié le nom). Tu peux le changer par 10.0.0.139
Il faudra peut être autoriser de 'exRED' vers GREEN ;-)

En effet, rien de vital pour devoir accéder absolument à cette interface, d'autant que je peux toujours le faire par un connexion directe sur la boi-boite.

Merci en tous cas cher homonyme pour les infos, j'irai surement creuser ça un jour de courage, car ça me fout toujours la trouille d'aller trifouiller à la main dans les entrailles de la bête :?
Kef
Second Maître
Second Maître
 
Messages: 38
Inscrit le: 11 Juin 2007 17:20

Messagepar tomtom » 28 Nov 2007 16:16

Bien sur !


En mode PPPoE, c'est le dméon ppp qui récupère les paramètres TCP/IP.

La carte ethernet ne sert que de "support" pour la conneixon physique entre le modem et l'IPCop.
SI tu fais un ifconfig -a dans une console, tu vas voir tes diverses interfaces, ton ethernet "RED" qui a une adresse par défaut (1.1.1.1 dans le cas de IPCop), ton interface ppp* qui est la vraie interface RED et sur laquelle est configurée l'IP publique attribuée par le FAI, et l'interface ethernet green qui a l'adresse du lan.



Plutot que de changer la route, ce qui est un peu tordu, effectivement tu peux tout à fait utiliser l'interface ethernet "RED" pour faire du vrai TCP/IP sur un autre réseau purement privé entre le modem et l'IPCop.

Par contre, évidement dans cette configuration, IPCop ne fera pas de NAT et donc il faut configurer les routes sur le modem.

je ferais pour ma part :
ifconfig eth0 10.0.0.137 netmask 255.255.255.0
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

et peut-etre supprimer le filtrage :
iptables -I FORWARD -s 10.0.0.138 -i eth0 -j ACCEPT


(dans le cas où eth0 est l'interface "RED")

t.
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 0 invité(s)

cron