renvoi de Port [résolu]

[Vulmix]

Bonjour à tous,

J'ai un problème qui me **** depuis plusieurs jours.

Voilà j'ai plusieurs SME 7.x
Sur tous, j'arrive à faire des renvoits de ports (entre autre pour utiliser Terminal serveur)
Sauf sur un serveur ! Pourquoi ? J'en sais rien ! J'ai beau regarder l'iptable et c° je trouve pas pourquoi ce serveur là ne veut pas me faire ce que je lui demande

Alors si vous avez des idées pour voir de quel coté le prendre cela m'aiderait bien

Voici sa config :

Adresse IP fixe arrivant sur un Switch
adresse du switch 192.168.2.1

----> Utilisation d'un pc dans la zone 'DmZ' pour passer derrière le Firewall SME : 192.168.2.63

Adresse du SME en entré : 192.168.2.2
SME
Adresse du sme en interne : 192.168.254.1 avec un mask 255.255.252.0

Machine à joindre de l'extérieur : 192.168.253.17 ou 192.168.254.63


J'ai bien sur fait un renvoit de port : 3389 TCP (et UDP) vers le port 3389 du PC 192.168.254.63 (ou 192.168.253.17)

Evidement, j'ai testé en interne que TS fonctionne correctement...

D'avance je vous remercie !
Vulmix

[ccnet]

Pourriez vous faire un exposé clair de votre configuration, et en particulier de l'adressage de l'ensemble. Je ne comprend pas grand chose. Les SME en passerelle ou serveur autonome ? Quelle machine fait eles redirections de ports ? Un schéma serait idéal.

[Vulmix]

C'est vrai quand disant que j'ai plusieurs SME je pourrais vous enduire d'erreur

C'est simple, j'ai plusieurs sites ! Celui qui me crée des problèmes à la configuration donné sur le post de base. Tous mes SME sont configurés de la même manière : mode serveur /proxi.

[ccnet]

Et donc l'adressage est comment ?

[Vulmix]

IP FIXE -> Cisco [192.168.2.1] -> [192.168.2.2] SME [192.168.254.1 / 255.255.252.0]-> PC[192.168.254.63]

[ccnet]

192.168.254.63 (ou 192.168.253.17)

C'est vers 192.168.254.63 que le transfert de port ne fonctionne pas ?
Vous avez besoin d'autant d'adresses (1024) et de rester en 192.168 pour utiliser un masque réseau "tordu" (255.255.252.0 en classe C) ? Pas d'erreur dans les masques sur les configurations SME et autre PC ? Ce serait une raison suffisante pour empêcher le bon fonctionnement du transfert de port.

[Vulmix]

J'ai un mask 'spéciale' pour séparer deux réseaux le 254 (qui existait déjà) et le 253 pour le service comptable.

La compta pouvant avoir accès à toutes les imprimantes sur les 2 réseaux et bien sur les 'autres' ne pouvant pas avoir accès au réseau de la compta.

Mais à mon avis, ce n'est pas là le problème. Car depuis le SME si je 'ping' les PC 192.168.254.63 ou 192.168.253.17... je n'ai aucun problème.

[tomtom]

tcpdump......

[Vulmix]

le matin ou le soir ?

Non sérieux... je peux avoir plus d'information ?

[tomtom]

oui alors tu lances tcpdump sur ta SME et tu assayes de te connecter, et tu regardes ce qui se passe !

Sans blague, comment peut-on deviner d'où vient le problème sans une ébauche de tests, de diagnostics, etc... ?

Les paquets arrivent-ils simplement à la SME ?
Fait elle le transfert de port, la NAT ?

Tu as une double-nat probablement, la fonction "DMZ" fonctionne-t-elle comme tu l'attends, etc....


t.

[ccnet]

J'ai un mask 'spéciale' pour séparer deux réseaux le 254 (qui existait déjà) et le 253 pour le service comptable.

Pardonnez moi mais avec un masque 255.255.252.0 c'est exactement le contraire. Avec un masque 255.255.255.0 les machines 192.168.253.x et 192.168.254.x sont dans des réseaux séparés. Avec 255.255.252.0 comme masque elles sont dans le même réseau.

[Vulmix]

Sur le SME j'ai un mask 255.255.252.0 pour qu'il puisse voir les deux réseaux (idem pour la compta)
Sur les autres postes j'ai un mask 255.255.255.0 pour qu'ils ne voient pas le réseau compta.

Si je n'avais pas mis le 252 sur le SME il ne pourrait pas voir le réseau de la compta et donc une impossibilité de router le port...

[Vulmix]

oui alors tu lances tcpdump sur ta SME et tu assayes de te connecter, et tu regardes ce qui se passe !

Sans blague, comment peut-on deviner d'où vient le problème sans une ébauche de tests, de diagnostics, etc... ?

Les paquets arrivent-ils simplement à la SME ?
Fait elle le transfert de port, la NAT ?

Tu as une double-nat probablement, la fonction "DMZ" fonctionne-t-elle comme tu l'attends, etc....


t.

Je ne connaissais pas la commande tcpdump. C'est justement pour avoir des informations sur les tests que je pouvais effectuer que j'ai ouvert ce post (Et non pas avoir une solution clé en main )

Comme mon réseau est utilisé par 50 utilisateurs... comment puis-je filtrer le résultat de tcpdump (autrement que de tout envoyer dans un fichier et de la passer en revue...)

[ccnet]

Sur le SME j'ai un mask 255.255.252.0 pour qu'il puisse voir les deux réseaux (idem pour la compta)
Sur les autres postes j'ai un mask 255.255.255.0 pour qu'ils ne voient pas le réseau compta.

Si je n'avais pas mis le 252 sur le SME il ne pourrait pas voir le réseau de la compta et donc une impossibilité de router le port...

Le problème est que vous ne donnez pas les infos complètement et forcément on comprend mal certaines choses.

Router le port

... mouais ...
Bref je ne suis pas certain que ce soit une utilisation normale de SME. D'autres pourrons vous dire cela mieux que moi. Maintenant si le problème est de gérer deux réseaux internes avec de la sécurité entre les deux, je n'utiliserai pas cette solution.

[Vulmix]

Comme mon SME ping bien les deux machines que je veux connecter, je n'ai pas développé la structure interne. (qui ne me pose pas de problème)

Je testerai la commande tcpdump pour vérifier le trafic passant lorsque j'airai moins de trafic...

En passant : merci de m'aider