pb de configuration

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

pb de configuration

Messagepar jmsicot » 17 Juil 2008 15:19

Bonjour,

Je souhaite installer un ipcop en tant que proxy entre l'accès Internet et le reste du réseau de l'entreprise. L'accès internet se fait par un routeur Cisco LAN/WAN; celui-ci dispose d'une adresse ip fixe en 213.x.x.x fournie par le FAI (sur le port WAN donc) et d'une adresse ip locale en 192.168.0.254/24 qui est la passerelle du réseau avec une adresse secondaire en 172.16.0.1/24 (pourquoi je ne sais pas ce n'est pas moi qui l'ai configuré et j'ai pas de doc à l'appui).

J'ai configuré mon Ipcop avec une adresse green en 192.168.0.253/24 et pour le red en statique avec 172.16.0.2/24. Le dns configuré est celui du FAI en 62.4.16.X avec la passerelle en 172.16.0.1/24.

Le problème est que quand je veux interposer mon ipcop entre l'accès internet et le reste du réseau (je branche donc le red sur le routeur et je fais partir le green vers le LAN mais je n'ai pas de connexion. Je peux faire un ping sur le 172.16.0.1 (normal), sur le 213.x.x.x, sur un poste qu'est connecté au green en 192.168.0.X mais pas sur le dns du FAI ni donc sur www.google.fr.

G un peu testé tout et n'importe quoi en changeant les adresses red et passerelle mais j'arrive a rien.

Quelqu'un aurait il une idée une recommandation un conseil.?

Merci
jmsicot
Matelot
Matelot
 
Messages: 4
Inscrit le: 01 Juil 2008 08:22

Messagepar ccnet » 17 Juil 2008 17:53

avec une adresse secondaire en 172.16.0.1/24 (pourquoi je ne sais pas ce n'est pas moi qui l'ai configuré et j'ai pas de doc à l'appui).

Ma première idée serait de vérifier comment cette interface est configurée. Sommes nous certains qu'elle laisse passer tout le trafic ? Qu'elle possède les bonnes informations de routage ?
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar jmsicot » 18 Juil 2008 11:57

J'ai déjà vérifié la configuration du routeur mais je ne vois pas ce qui cloche.
Current configuration : 3929 bytes
!
version 12.4
no service pad
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname RTCIS001
!
boot-start-marker
boot-end-marker
!
no logging buffered
enable secret 5

!
no aaa new-model
!
resource policy
!
!
!
ip dhcp excluded-address 172.16.0.158
!
!
ip cef
ip name-server 62.4.17.69
ip name-server 62.4.16.70
ip inspect name myfw cuseeme timeout 3600
ip inspect name myfw ftp timeout 3600
ip inspect name myfw rcmd timeout 3600
ip inspect name myfw realaudio timeout 3600
ip inspect name myfw smtp timeout 3600
ip inspect name myfw tftp timeout 30
ip inspect name myfw udp timeout 15
ip inspect name myfw tcp timeout 3600
ip inspect name myfw h323 timeout 3600
!
!
!
username qqch privilege 15 secret 5
username RTCIS001 privilege 15 secret 5
username qqch privilege 15 password xxxxxx
!
!
!
!
!
interface Ethernet0
description CRWS Generated text. Please do not delete this:192.168.0.254-255.25
5.255.0
ip address 172.16.0.1 255.255.0.0 secondary
ip address 192.168.0.254 255.255.255.0
ip access-group 122 out
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1452
hold-queue 100 out
!
interface Ethernet2
no ip address
shutdown
hold-queue 100 out
!
interface ATM0
no ip address
atm vc-per-vp 64
no atm ilmi-keepalive
dsl operating-mode auto
pvc 8/35
pppoe-client dial-pool-number 1
!
!
interface FastEthernet1
duplex auto
speed auto
!
interface FastEthernet2
duplex auto
speed auto
!
interface FastEthernet3
duplex auto
speed auto
!
interface FastEthernet4
duplex auto
speed auto
!
interface Dialer1
ip address negotiated
ip access-group 111 in
ip mtu 1492
ip nat outside
ip inspect myfw out
ip virtual-reassembly
encapsulation ppp
ip tcp adjust-mss 1452
dialer pool 1
dialer remote-name redback
dialer-group 1
ppp authentication pap chap callin
ppp chap hostname
ppp chap password 7
ppp pap sent-username
ppp ipcp dns request
ppp ipcp wins request
!
ip route 0.0.0.0 0.0.0.0 Dialer1
!
ip http server
ip http access-class 23
ip http authentication local
no ip http secure-server
ip http max-connections 4
ip http timeout-policy idle 600 life 86400 requests 10000
!
ip nat inside source list 102 interface Dialer1 overload
ip nat inside source static tcp 192.168.0.245 21 interface Dialer1 21
!
access-list 23 permit 192.168.0.0 0.0.0.255
access-list 102 permit ip 192.168.0.0 0.0.0.255 any
access-list 111 permit tcp any any eq ftp
access-list 111 permit tcp any any eq telnet
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any traceroute
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq bootps any eq bootpc
access-list 111 permit udp any eq bootps any eq bootps
access-list 111 permit udp any eq domain any
access-list 111 permit esp any any
access-list 111 permit udp any any eq isakmp
access-list 111 permit udp any any eq 10000
access-list 111 permit tcp any any eq 1723
access-list 111 permit tcp any any eq 139
access-list 111 permit udp any any eq netbios-ns
access-list 111 permit udp any any eq netbios-dgm
access-list 111 permit gre any any
access-list 111 deny ip any any
access-list 122 deny tcp any any eq telnet
access-list 122 permit ip any any
dialer-list 1 protocol ip permit
!
!
control-plane
!
!
line con 0
exec-timeout 120 0
login local
no modem enable
stopbits 1
line aux 0
line vty 0 4
exec-timeout 120 0
login local
length 0
!
scheduler max-task-time 5000
end
jmsicot
Matelot
Matelot
 
Messages: 4
Inscrit le: 01 Juil 2008 08:22

Messagepar ccnet » 18 Juil 2008 12:25

access-list 23 permit 192.168.0.0 0.0.0.255

Le réseau 172.16.0.0 n'est pas mentionné, mais icmp est autorisé quelque soit la source et la destination. Ce qui expliquerait le comportement observé.

Sans être un spécialiste des config de routeurs je crois que l'utilisation de l'adresse secondaire va poser aussi des difficultés avec le nat du routeur.

Votre problème c'est, me semble t il, la configuration du routeur. Consultez un spécialiste pour valider son usage dans le contexte que vous envisager et la faire évoluer si besoin.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité