IPCop et IP publique statique

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

IPCop et IP publique statique

Messagepar jileuleu » 23 Mars 2008 18:33

Bonjour à tous.

J'ai installé IPCop pour remplacer une passerelle. Configuration RED+ORANGE+GREEN, tout c'est bien passé. J'ai la connexion internet.

Mon souci vient du fait que mes serveurs web et mail dans la zone orange ne sont accessible qu'avec les adresses en durs, les noms ne sont pas résolus.
Ma connexion internet est en ligne dédiée via un routeur CISCO qui s'interface entre le modem et la machine passerelle.
Mon adresse IP est une adresse publique routable sur internet, 193.xxx.xxx.xx2 j'ai un nom de domaine enregistré, et dans la configuration que je veux remplacer je gère le DNS primaire de ce domaine sur la passerelle, le FAI n'est que secondaire.

Voici mes configurations:
eth 2 (rouge)
IP 193.xxx.xxx.xx2
gateway 193.xxx.xxx.xx1(routeur CISCO)
DNS1 193.xxx.xxx.xx2
DNS2 193.xxx.xxx.x10 (mon FAI)

eth1 (orange)
IP 192.168.100.1
gateway 193.xxx.xxx.xx2

eth0 (vert)
IP 172.16.0.1
gateway 193.xxx.xxx.xx2

DHCP activé sur vert.

Les questions que je me pose sont: Est ce que c'est le fait de n'avoir pas installé DNS primaire pour la zone? En effet je ne peux pas faire d'alias avec IPCop n'ayant qu'une seule IP publique, je ne peux donc pas faire pointer www.mondomaine.org vers l'interface rouge, il en ait de même que pour mailhost.

Les questions que je vous pose: suis-je condamné à installer une passerelle avant IPCop? Y-a-t'il possibilité d'installer BIND9 sur IP publique? Donc supprimer DDNS.

MERCI à tous
jileuleu
Quartier Maître
Quartier Maître
 
Messages: 13
Inscrit le: 22 Mars 2008 19:35

Messagepar jdh » 23 Mars 2008 19:46

Bonjour,

(Bravo, c'est bien présenté, même si cela est un peu confus).

1ère remarque : eth1 (orange) et eth0 (vert) n'ont pas de passerelle ! Seule eth2 (rouge) a besoin d'avoir une passerelle.

2me remarque : il est fort curieux de gérer soit même un domaine visible sur Internet. Ce job est difficile : les hébergeurs (ou le fai) ont les (bons) outils à leurs disposition. Sans compter qu'il y a des contraintes techniques et de sécurité TRES fortes ...

3me remarque : quand on met un serveur en DMZ avec un nom (dns) donné, vu d'internet, l'adresse correspondante au nom est une adresse publique (celle de l'interface rouge), tandis que vu du réseau interne, l'adresse correspondante est une adresse privée (celle du serveur en orange).

Pour ce cas, le plus simple est de disposer en interne d'un serveur dns dans lequel on inscrit le nom dns et l'adresse interne. Par exemple, dans IPCOP qui utilise dnsmasq, cela est possible dans un onglet où on spécifie les hôtes.
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar jileuleu » 24 Mars 2008 09:06

Merci pour cette réponse rapide, c'est moi qui n'était pas dispo hier.
Il est vrai que cela est un peu confus. Pour que le problème soit bien compris je reprends.

Le modem est relié à un routeur CISCO par un port série, à partir du routeur je branche la carte eth0 de ma passerelle grace à un cable RJ45. Cette passerelle à 2 cartes réseau eth0 avec IP publique 193.XXX.XXX.XX2 et eth1 192.168.19.1 reliée à un switch d'où sont cnnectées toutes mes stations.

C'est cette passerelle que je voudrais remplacer par un IPCop.
Et très justement ma situation étant particulière, mon souci de sécurité est une préoccupation de tout instant.

Je reviens à ta réponse.

Dnsmasq je ne connais pas dans IPCop, j'ai pas vu d'onglet de ce genre, est ce qu'il s'agit d'un addon?
Si oui où puis-je le trouver?

L'autre solution d'installer carément un serveur DNS dans la DMZ et ouvrir le port 53 est à explorer, je t'avoue que j'y ai pensé hier après l'envoi du post. Je mets en oeuvre immédiatement.
un merci à jdh
jileuleu
Quartier Maître
Quartier Maître
 
Messages: 13
Inscrit le: 22 Mars 2008 19:35

Messagepar jdh » 24 Mars 2008 09:53

Il y a pas mal de choses que je n'ai pas dit !


* ouvrir port 53 :
On fait cela quand on veut être serveur dns d'un domaine existant sur Internet. Ce n'est pas le boulot d'un particulier ou d'une (petite) entreprise, c'est le boulot du fai ou d'un hébergeur. Je ne pense pas que cela doit être fait ! C'est donc totalement erroné ! Je ne pense pas que tu en voies les enjeux ...

* dnsmasq :
C'est l'outil intégré de base à IPCOP. Il s'agit d'un relais dns (pour green) et d'un mini serveur dns (table d'hôtes). Il y a un onglet où on défini justement cette table d'hôtes (nom -> adresse ip) laquelle est fournie aux clients (en green). En fait c'est assez simple.

* les indications concernant le routeur et la passerelle sont très confuses :

Le schéma actuel est :
Code: Tout sélectionner
Modem ---(série)--- Routeur Cisco ---(eth)--- Passerelle ---(eth)--- switch --- PC

Le schéma futur est :
Code: Tout sélectionner
Modem ---(série)--- Routeur Cisco ---(eth)--- (red)Ipcop ---(eth green)--- switch --- PC
                                                         ---(eth orange)--- dmz : serveur

Ce n'est pas plus simple comme cela.
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar jileuleu » 24 Mars 2008 14:03

Le schéma que tu as présenté reflète exactement mes réseaux actuel et futur.

Bien, j'ai donc installé un serveur DNS (machine dédiée) dans la DMZ.
Serveur primaire pour ma zone "mondomaine.org" sur la plage d'adresse 193.xxx.xxx.xx0/255.255.255.252, et pour avoir la résolution inverse des noms sur 192.168.100.0/255.255.0.0 (zone orange).

J'ai fait les transferts de ports et les accès externes qu'il faut.

Cela marche très bien dans le réseau vert: http://www.mondomaine.org, par contre à partir de l'extérieur cela ne marche qu'avec http://machine.mondomaine.org, l'alias entre "machine" et "www" ne se fait pas.
Aurais-tu une idée?

J'en reviens à cette histoire de domaine primaire, je pense que c'est une erreur de mon FAI, qui en me donnant cette configuration m'a élevé au même rang que lui. Quand on connait la pénurie d'adresses routables, je me dis qu'ils ont gaffé quelque part à mon bénéfice.

A +
jileuleu
Quartier Maître
Quartier Maître
 
Messages: 13
Inscrit le: 22 Mars 2008 19:35

Messagepar jdh » 24 Mars 2008 14:19

Je pense que dns n'est pas bien compris ! Le site de Christian CALECA me parait tout indiqué : http://christian.caleca.free.fr/


Il me parait TOTALEMENT IMPOSSIBLE que tu gères toi-même ton domaine (Internet). Moi je ne l'ai jamais fait, et cela fait longtemps que j'exerce !

Par contre, il est possible de gérer LOCALEMENT un nom de domaine portant le même nom qu'un domaine sur Internet.

Avec IPCOP, il n'y a pas besoin de faire compliqué, il y a un onglet qui permet de créer des définitions tout simplement grâce à dnsmasq ... (ça ne devrait pas être trop dur à trouver ...)
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar jileuleu » 24 Mars 2008 14:28

OK on va pas faire dans la polémique, toujours est-il que cela ne marche pas.
Je souhaite juste être aidé.

Ce que tu me proposes avec dnsmasq c'est de créer des alias, mais quand je veux affecter un alias à mon eth red il me dit que l'adresse est déjà utilisée. que faire?
jileuleu
Quartier Maître
Quartier Maître
 
Messages: 13
Inscrit le: 22 Mars 2008 19:35

Messagepar jdh » 24 Mars 2008 14:38

3me remarque : quand on met un serveur en DMZ avec un nom (dns) donné, vu d'internet, l'adresse correspondante au nom est une adresse publique (celle de l'interface rouge), tandis que vu du réseau interne, l'adresse correspondante est une adresse privée (celle du serveur en orange).
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar ccnet » 24 Mars 2008 15:15

jileuleu a écrit:OK on va pas faire dans la polémique, toujours est-il que cela ne marche pas.
Je souhaite juste être aidé.


Nulle polémique ici. Jdh vous explique en quoi la gestion du dns primaire d'une zone (d'un domaine) sur internet est quelque chose de difficile. Je pense qu'il a entièrement raison de vous déconseiller cette opération dont il semble clair que vous ne maitrisez pas toutes les implications. Personnellement je laisse toujours cette opération aux FAI.
Vous aider c'est aussi attirer votre attention sur les dangers et difficultés d'un choix.
Vous le constatez vous même : ça ne marche pas. Raison de plus pour accepter de mettre vos connaissances à niveau afin de maitriser ce qui pose problème. Il sera difficile de faire fonctionner quelque chose que vous ne comprenez pas totalement.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar Franck78 » 24 Mars 2008 15:26

j'ai un nom de domaine enregistré, et dans la configuration que je veux remplacer je gère le DNS primaire de ce domaine sur la passerelle, le FAI n'est que secondaire

tout est dit ici! Il y a un serveur dns qui saute, il faut bien entendu transferer la gestion du domaine sur un autre serveur dns.
IPCop ne remplit pas cette tache. Le but de dnsmasq n'est absolument pas de remplacer un 'bind'. Il sert de forwarder (~proxy cache) entre clients d'un LAN et véritables serveurs dns.

Puisqu'il y a déjà un serveur dns paramétré dans la passerelle que tu vires, et bien laisse la active pour cette seule fonction de serveur dns, placée dans la zone orange d'ipcop!

bye
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Messagepar jdh » 24 Mars 2008 15:39

Une question, Franck78, toi qui connais à fond Ipcop.

Est ce que ce que je décris sur IPCOP est exact ?

- IPCOP utilise dnsmasq comme outils dns.
- dnsmasq est d'abord un proxy-dns.
- on peut définir une table d'hôtes qui est fourni aux clients dns ... pour faire un "mini"-serveur dns local.


Je pense que cette dernière fonction permet de faire le "split-dns" nécessaire :
- au niveau d'internet www.XXX.XXX vaut l'adresse ip de Red,
- au niveau local www.XXX.XXX vaut l'adresse ip réelle du serveur en dmz.
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar jileuleu » 24 Mars 2008 18:03

Merci Franck 78, c'est bien toi le meilleur.

Je l'ai dit précédemment, c'est aujourd'hui que j'ai testé cette solution de garder le serveur DNS primaire pour la zone, actif, mais dans la zone orange. Les résultats sont bons, mais quelque part j'ai du rater un paramètre, en effet à partir du réseau vert j'ai bien www.xxxxxx.xxx, mais à partir d'internet, donc de partout dans le monde j'ai nomdemachine.xxxxx.xxx qui répond à la requête http.

Les autres prenez des leçons de DNS avec http://formation-debian.via.ecp.fr/, vous êtes d'ailleurs renvoyés à d'autres liens dont christian........... et olivier............

Merci tout de même et franchement de bon coeur. Juste qu'il vaut mieux chercher à comprendre la situation qui vous est présentée que d'enfoncer encore plus les potes. Si ont est des fortiches on ne demande pas d'aide mais on en donne comme Franck78.
jileuleu
Quartier Maître
Quartier Maître
 
Messages: 13
Inscrit le: 22 Mars 2008 19:35

Messagepar jdh » 24 Mars 2008 18:12

(Je trouve le ton assez déplacé. Si tu n'as pas besoin d'aide, il suffit de le dire ...).


Soit un client sur Internet, qui interroge le www.xxxx.xxx. Le premier dns est donc le serveur dns en dmz qui lui répond (en supposant que cela fonctionne) ... l'adresse ip interne (et privée) du serveur dmz. Y aurait pas une erreur ????

Je propose une solution BIEN plus simple que d'installer un serveur dns (qui serait en plus accessible depuis internet !). Mais tu persistes sans te documenter ...


Quand à répondre nomdemachine.xxxx.xxx, il suffit de modifier le servername ou le nom de la machine.
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar jileuleu » 24 Mars 2008 18:27

Merci pour ce tuyau je vais essayer.

La passerelle que je vire je l'ai installée avec le serveur DNS primaire, elle tourne depuis 5 ans déjà. Avec serveur de messagerie, géré là aussi par moi même.
C'est pas un manque de documentation.
Quand tu gère ton propre domaine avec seulement une IP sur le net, il faut créer des alias DNS, enregistrements CNAME, qui font correspondre à ton nom de machine, www, mailhost, ftp et tout ce que tu voudras.
Je viens de me rendre compte que les fichiers de l'ancienne passerelle, je les ai transféré sur IPCop à l'aide d'une clé usb et ces fichiers sont devenus exécutables, je ne sais pas quelle incidence cela entraine, je modifie et je vous tiens informés.
jileuleu
Quartier Maître
Quartier Maître
 
Messages: 13
Inscrit le: 22 Mars 2008 19:35

Messagepar Franck78 » 25 Mars 2008 00:56

jdh a écrit:Une question, Franck78, toi qui connais à fond Ipcop.

Est ce que ce que je décris sur IPCOP est exact ?

- IPCOP utilise dnsmasq comme outils dns.
- dnsmasq est d'abord un proxy-dns.
- on peut définir une table d'hôtes qui est fourni aux clients dns ... pour faire un "mini"-serveur dns local.


Je pense que cette dernière fonction permet de faire le "split-dns" nécessaire :
- au niveau d'internet www.XXX.XXX vaut l'adresse ip de Red,
- au niveau local www.XXX.XXX vaut l'adresse ip réelle du serveur en dmz.


Salut JDH,
dnsmasq est utilisé par IPCop telquel et pour remplir la fonction décrite dans la doc dnsmasq...
Il utilise bien 'hosts' pour étoffer sa connaissance du domaine déclaré sur l'IPCop.

Je vois bien ou tu veux en venir par rapport à internet. Après tout il devrait répondre aussi bien sur RED que sur GREEN à des requétes. Mais ca s'arrète la car il n'assure pas le minimum pour intégrer le dns mondial; par exemple redondance et transfert de zone.

Ensuite il y a le pb du au NAT comme tu le fais remarquer.... En interne il faut répondre par l'IP locale. Ou celle publique pour les requètes externes. Il sait pas faire. C'est bien plus simple d'avoir deux serveurs dns ou deux domaines.
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Suivant

Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron