Deux serveurs SME + VPN derrière une 'box'

[Quadrax]

Bonjour,

Je souhaite accéder par VPN à un serveur SME 7.4 et par voie "standards" à ce même serveur et un autre sous SME 5.6, le tout derrière une Neuf_Box 4 rev2.

J'aimerais connaître votre avis sur cette installation qui me semble plus que douteuse sur différents aspects :

Code: Tout sélectionner

{Internet} --- [Neuf_Box v4 r2] -+- [SME 5.6  @IP fixe=192.168.0.2]
                                 |
                                 +- [SME 7.4  @IP fixe=192.168.1.3]
                                 |
                                 +- [Switch pour le LAN] -+- [PC 1]
                                                          +- [PC 2]
                                                          . . .
                                                          +- [PC N]


- La Neuf_Box est en mode Routeur
- La Neuf_Box assure le DHCP
- La Neuf_Box est accessible via le service DynDNS qu'elle implémente et possède une @IP fixe=192.168.1.1 vue de son côté "LAN" / interne

- Le serveur SME 5.6 est un ancêtre que je dois conserver encore quelques temps...
- Le serveur SME 5.6 est en mode 'Server Only'
- Le serveur SME 5.6 est muni de deux cartes réseau

- Le serveur SME 7.4 est le petit nouveau qui prendra la relève, à termes...
- Le serveur SME 7.4 est en mode 'Server Only'
- Le serveur SME 7.4 est limité à une seule carte réseau


L'accès à l'un ou l'autre serveur se fait par le biais du numéro de port demandé via la table NAT de la Neuf_Box (c'est là que ça sent l'usine à gaz...) :

http://mondomaine.dyndns.org:port/ibay (PAS sans souci en cas d'utilisation de plusieurs ibays...)

Exemple :

port (externe) = @IPsme80 pour HTTP = 280 pour SME 5.6 et 380 pour SME 7.4

Ai-je oublié qqch d'essentiel dans la liste ci-dessous :

- port (externe) = @IPsme20 pour FTP (mode "passif" de LeechFTP l'exploite)
- port (externe) = @IPsme21 pour FTP
- port (externe) = @IPsme22 pour SSH
- port (externe) = @IPsme25 pour SMTP
- port (externe) = @IPsme80 pour HTTP



Initialement, la configuration était la suivante :

Code: Tout sélectionner

{Internet} --- [Modem ADSL] -+- [SME 5.6] -+- [Switch pour le LAN] -+- [PC 1]
                                                                    +- [PC 2]
                                                                    . . .
                                                                    +- [PC N]


- Le serveur SME 5.6 était en mode 'Server & Gateway'
- Le modem a été remplacé par la Neuf_Box en mode routeur.


S'il faut tout casser du point de vue de l'architecture réseau pour "revoir ma copie", cela ne me pose pas de problème tant que les PC continuent d'accéder aux deux serveurs comme s'il étaient tous sur le même LAN, en attendant une solution plus propre après la longue semaine de Backup qui m'attend....

Merci de m'avoir lu et pour vos éventuels conseils et / ou retours d'expériences.

Cordialement,
Quadrax

[Quadrax]

Bonjour,

Je reviens vers vous car je rencontre toujours des problèmes d'accès depuis Internet à mes deux serveurs en utilisant le premier schéma présenté.

Pour l'instant, pas de VPN, juste HTTP, FTP, SSH et SMTP.

Exemple de problème rencontré avec le HTTP en utilisant Lynx (session SSH avec PuTTY oblige...) sur un serveur SME 5.6 (tout est d'époque) situé dans un autre département :

- Accès ibay 'Primary' = OK
- Accès aux autres ibays = "aléatoire" (1er coup ça ne marche pas, les suivants pas toujours garantis)

Voilà la séquence de commandes opérées :
1°/
- # lynx http://mondomaine.dyndns.org:280 ==> accès à l'ibay Primary = OK
- Sortie de Lynx

2°/
- # lynx http://mondomaine.dyndns.org:280/ibayToto ==> Longue attente de résultat puis, erreur...
- [CTRL]+[C] pour quitter Lynx

3°/
- # lynx http://mondomaine.dyndns.org:280/ ==> accès à l'ibay Primary = OK
- g http://mondomaine.dyndns.org:280/ibayToto ==> accès ibay demandée = OK
- Sortie de Lynx

Là où ça deviens hasardeux c'est maintenant :
- # lynx http://mondomaine.dyndns.org:280/ibayToto ==> accès ibay demandée = OK
- Sortie de Lynx

Nouvel essai...
- # lynx http://mondomaine.dyndns.org:280/ibayToto ==> Longue attente de résultat puis, erreur...
- [CTRL]+[C] pour quitter Lynx


Le hasard continue si je tente de reprendre les étapes 1°, 2° et 3° ...

De quoi cela pourrait-il venir sachant qu'aucun des deux serveurs ne gère le domaine "mondomaine.dyndns.org" (si l'un d'eux le gère, il ramasse tout le trafic et le renvoie sur l'ibay Primary, uniquement) ?

Bizarre, bizarre...


Personnellement, j'aimerais mieux mettre la Neuf_Box en Bridge (faisable mais pas testé pour le téléphone) et rester sur mon ancienne configuration réseau (celle du second schéma) mais, là, je ne sais pas encore comment gérer "le NAT" sous SME et malgré ma grande curiosité, je ne peux pas me permettre de perdre trop de temps en recherches menées à la hâte sur le sujet.

Si jamais une âme charitable veut bien m'aider à mettre en place cette option (surtout s'il s'agit de 2-3 fichiers de configuration à modifier comme je l'imagine)... Je sais, je rêve probablement encore un peu trop à moins que cela se fasse par Messagerie Privée, secret assuré sur qui "fayotera" en cachette...
(je tente, je tente...) PPP lol


Sérieusement, si quelqu'un y comprend quelque chose, je suis preneur d'explications car j'aimerais vraiment comprendre ce qui cloche là-dedans.

Merci de m'avoir lu jusqu'ici.


Bon, ben, aux bonnes âmes, donc !

Cordialement,
Quadrax

[mab]

Salut,

Attention à la sécurité dans ton instalaltion, en effet, de mémoire, sme (c'est pas la seule) fait le filtrage par la source de provenance des trames (la carte réseau), et non la classe ip. En clair, ça veut dire que les 2 sme ne savent pas distinguer dans ton cas les connexions internet ou locales du réseau.

Si ton deuxième pc est limité en nombre de carte réseau (1 seule, c'est un peu juste pour un routeur ) pourquoi tu n'inverserait pas les 2 disque dur des deux machines ? Tu pourrais alors revenir un peu comme avant, la 7.4 dans l'ancienne machine avec 2 cartes réseau, qui servirait à nouveau en routeur/serveur, et qui "NATterais" vers la sme 5.6 n'ayant plus qu'une seule carte réseau.
Maintenant, il faut faire le test avec ta box entre le choix du mode bridge (+ vérif téléphone) et le routage total des ports.
Sachant que tu veux faire du VPN, le mode bridge semble avantageux.

Tu ne pourras d'ailleurs sûrement jamais faire de VPN si ton routeur SME est en réseau local intégral.

Espérant t'aider à trouver ta voie...

[Quadrax]

Bonsoir Mab,

Je te remercie pour ton intérêt pour mon (CE) problème.

Je suis moi aussi très partant pour le mode bridge et si, comme tu le dis, SME en mode 'Server Only' n'est pas fichu de faire le distinguo entre trames LAN et trames WAN car derrière une "Box", cela ne me plaît pas du tout.

Pour le VPN, on m'a prévenu que pour une liaison à l'international, ça risque d'être délicat à exploiter alors, tant pis si je dois me contenter de SFTP et d'une organisation de travail différente mais, "qui peut le plus, peut le moins !"

Je pense que tu m'as aidé à opter davantage pour le mode bridge. Je le tente, si le téléphone l'accepte (...)

Bon, après cela, il ne "restera plus que" la configuration NAT à travailler... (toujours plein de bonnes idées mais, pas toujours facile de rester dans les choses simples pour moi...)


Autrement, côté matériel, le swap de HDD va coincer car, comme toujours, les choses simples ne sont pas au rendez-vous quand je me lance dans l'aventure Linux / SME :

Serveur SME 5.6
- DELL PE2200 (bi PII-266 ; RAM=128Mo ; architecture native SCSI mais exploité en IDE via contrôleur SIL0680A)
- Deux cartes réseau RTL8139D

Serveur SME 7.4
- "HomeMade" (Intel D945GCLF2 (Atom 330 @1,6GHz ; RAM=2Go) + HDD SATA)
- Une seule interface réseau opérationnelle (RTL8139D) car celle intégrée (RTL8102E = Gigabit) n'est pas gérée par le module r8169 livré avec SME 7.4...

Bref, deux machines totalement différentes...
(D'ailleurs, il faudra m'expliquer comment faire, si cela est possible, pour monter le disque dur d'un serveur A dans un serveur B sans perdre toutes les données situées dedans (la carte mère Intel D945GCLF2 possède quand même un "port" IDE donc j'envisage de mettre le DELL en vacances)

Bien merci.

Cordialement,
Quadrax


P.S.
Question subsidiaire n°1 : --> suivre ce fil <--
Question subsidiaire n°2 : voir paragraphe ci-dessus pour un swap cartes mères différentes avec un seul HDD sous SME...

[mab]

C'est avec les mêmes réflexions que comme ça, moi, j'ai pris un couple ipcop/free-eos (dérivée de sme, mais qui commence à s'en s'écarter point de vue age , bien dommage d'ailleurs, mais maintenir une distrib est coûteux en temps perso).
ipcop : 3 cartes réseau ("rouge" = internet via un modem bridge, orange = zone SMZ, vert = réseau local) (je suis en train d'en monter une 4ème, pour sécuriser le wifi)
free-eos : 2 carte réseau ("internet" = branché dans la dmz, avec un autre pc , et "réseau local" = dans le côté vert)

ipcop me fait tout plein de choses au niveau vpn, les règles de nat, QOS, openvpn, etc..., il est fait pour ça, c'est un routeur.
free-eos me fait tout les autres services de fichiers et de web.

Avec ce couple, je prend le meilleur des 2 distribs.
Config ipcop = je viens de changer mon p133/64Mo/6Go par un PII400/196/20Go car le filtrage urlfilter consomme trop de ressources pour 133, et aussi pas assez de ram. = machine qui tourne 24/24-7/7 sans AUCUN problème.
config free-eos = dans une machine virtuelle, avec QEMU, plus grosse.

Pour ton soucis de mode bridge, je crois d'ailleurs qu'ipcop gère le problème du vpn dans un sous réseau intermédiaire, cas d'une box pas en mode bridge. Il faut alors renvoyer TOUS les ports (udp, tcp) vers ipcop, carte rouge.

Tu parles d'une liaison à "l'internationnal", c'est dire, que tu souhaites l'utiliser dans un cadre internationnal ?

D'autre part, j'ai été voir la spécif de ta "petite" carte très mignonne d'ailleurs, il me semble que tu peux y rajouter une carte réseau, non ? peut-être un peu chère

[Quadrax]

Re-Bonsoir Mab,

IPcop, bien sûr !!!
Mon bon vieux copain de bidouilles réseau et autres modems ADSL en tous genres sommeille dans une machine de type AMD K6-II à 550MHz ; 64 ou 128 Mo de RAM et 3 ou 4 Go HDD...
Dire que je l'avais oublié !! (heureusement que j'avais pu trouver/prendre le temps de faire mes petites notes IPcop à l'époque...)

Je vais cogiter un peu là-dessus mais j'étais resté sur SME pour éviter d'avoir deux machines en permanence qui réalisent des choses très similaires. Me tromperais-je ?
Merci du rappel en tous cas !

Côté liaison internationale, oui ça va me servir : je m'en vais tenter de m'installer définitivement très loin de la grisaille parisienne... (un vieux rêve d'adolescence)

D'autre part, j'ai été voir la spécif de ta "petite" carte très mignonne d'ailleurs, il me semble que tu peux y rajouter une carte réseau, non ? peut-être un peu chère

La carte mère ~80 EUR + ~20 EUR pour 2Go de RAM. Une planche, un bloc d'alim 350 Watt à ~20 EUR + adaptateur Molex-->SATA à 2,5 EUR et le HDD adéquat à ~55 EUR
Oui, cela fait un prix mais j'ai investi pour 3 ans minimum.
Côté slot PCI, il est déjà occupé par une carte RTL8139D vu que le contrôleur Gigabit intégré (RTL8102E) n'est pas bien supporté actuellement par SME (d'où ma question subsidiaire n°1 du message précédent)...

A++
Quadrax

[Quadrax]

Pour revenir au mode bridge d'une "Box" :

Pour ton soucis de mode bridge, je crois d'ailleurs qu'ipcop gère le problème du vpn dans un sous réseau intermédiaire, cas d'une box pas en mode bridge. Il faut alors renvoyer TOUS les ports (udp, tcp) vers ipcop, carte rouge.

Sauf erreur naïve de ma part, le mode 'bridge' ne serait-il pas synonyme de 'Modem' ?
Dans ce cas, pourquoi parler de sous réseau, lequel (je crois deviner) se situerait entre le modem et la patte WAN (rouge) d'IPcop ??
(Je doute que le switch intégré à la box, en mode bridge, se comporte comme une sorte de DMZ, si j'ai bien suivi. Généralement, en mode "modem", un seul port du switch intégré à la "box" est opérationel. Les autres sont désactivés de facto.)

J'ai peur que tout ceci ne devienne qu'un sac de noeuds pas très clair ni facile à suivre. :-/
Je vais essayer de clarifier les choses dans un prochain message.


Juste pour info, actuellement obligé de cloner le serveur SME 5.6 dans son homologue en version 7.4, et assurer une continuité de services pour les postes clients, les deux serveurs sont sur le même LAN.
Voici un schéma (bizarre, j'en suis certain !!) intégrant IPcop et mes deux serveurs derrière la box auquel je pense :
Schéma n°3 :

Code: Tout sélectionner

{Internet}---[Neuf_Box V4R2 = Bridge]---[IPcop  @IP]-+-{DMZ IPcop}
                                                     |
                                                     +-[SME 5.6  @IP fixe=192.168.0.2 ; DHCP=On  ]-+-{LAN "SME"}
                                                     |                                             |
                                                     +-[SME 7.4  @IP fixe=192.168.1.3 ; DHCP=Off ]-+
                                                                                                   |
                                                                                                   +-[PC 1]
                                                                                                   +-[PC 2]
                                                                                                   + . . .
                                                                                                   +-[PC N]

Les switchs sont implicites là où le symbole '+' apparaît.
Les deux serveurs SME sont en mode 'Server & Gateway'...

A terme, le parallélisme des branches verticales "DMZ" et "LAN SME" disparaîtra.
Problème, je doute que ce parallélisme soit décent compte tenu des différentes possibilités de passage/traitement des trames réseau, DNS, etc... offertes par cette structure pour une même requête émanent d'un poste client ou attendue par celui-ci....
Quelqu'un a-t-il déjà tenté un "truc" pareil sans désactiver des choses comme la fonction DNS d'un des deux SME ??

Autrement, j'imagine que le schéma n°4 que voici serait plus propre :

Code: Tout sélectionner

{Internet}---[Neuf_Box V4R2 = Bridge]---[IPcop <> LAN]----+-{LAN IPcop = LAN "SME" ; DHCP assuré par IPcop}
                                        [IPcop <> DMZ]-+  |
                                                       |  +-[SME 5.6  @IP fixe=192.168.0.2 ; DHCP=Off ; 'Server Only' ]
                                         {DMZ IPcop}---+  |
                                                          +-[SME 7.4  @IP fixe=192.168.1.3 ; DHCP=Off ; 'Server Only' ]
                                                          |
                                                          +-[PC 1]
                                                          +-[PC 2]
                                                          + . . .
                                                          +-[PC N]

Bon, il se fait tard, on va reposer la tête avant d'en remettre une couche... (réseau bien sûr !) :-p

Bonne nuit...
Quadrax

[mab]

N'aurais-tu pas là ta chance de salut :

http://www.logicsupply.com/categories/accessories/pci_riser_cards

héhé t'en reviens pas, je suis sûr !!

Ipcop fait très bien serveur dns, dns statique, dynamique, dhcp, etc. dont se serviront tes sme.

D'autre part, tu feras attention, pour tes sme tu as noté :
[SME 5.6 @IP fixe=192.168.0.2 et [SME 7.4 @IP fixe=192.168.1.3, ils ne seront pas dans le même réseau.

Il te faudra de toutes façons une bécane qui aura 2 cartes réseau pour le https, de façon à ne pas autoriser server-manager sur le web !!

[Quadrax]

N'aurais-tu pas là ta chance de salut :

http://www.logicsupply.com/categories/accessories/pci_riser_cards

héhé t'en reviens pas, je suis sûr !!

J'y ai déjà pensé, j'avais aperçu ces accessoires en recherchant un boîtier Icaricio ITX100P...

Problème, je me demande s'il ne va pas y avoir un "boxon" pas possible concernant la gestion des IRQ sur les ports PCI s'il sont mis en parallèle (vielles cartes mèresc'était "ouhlà !!" les problèmes d'IRQ, du temps ou l'on croyait que le défunt Abit sortait du matos correct...).

Merci quand même

D'autre part, tu feras attention, pour tes sme tu as noté :
[SME 5.6 @IP fixe=192.168.0.2 et [SME 7.4 @IP fixe=192.168.1.3, ils ne seront pas dans le même réseau.

Il te faudra de toutes façons une bécane qui aura 2 cartes réseau pour le https, de façon à ne pas autoriser server-manager sur le web !!

OUPs !!!!

Tout le monde est bien dans le réseau 192.168.1.xxx pour l'aspect LAN.
(autrefois, c'était bien le 192.168.0.xxx pour tout le monde.)

Sorry !!!

A++
Quadrax

[sibsib]

Hello,

Puisque tu m'as incité à commenter ton schéma...

Déjà, en principe, je lis tous les posts du forum E-Smith / SME Server. Donc, si je ne réponds pas, c'est que je ne pense pas avoir un truc percutant à dire.

Ceci dit, ton montage m'affole. En effet, tu mets deux voies en parallèle (si j'ai bien compris ton schéma N°3 Tu mettrais les deux SME en Server & Gateway entre le LAN et le réseau de ta 9 Box).

Deux chemins en //, comment savoir qui passe par quoi ? C'est à mon avis une abération.

Dans le même genre, j'ai vu un post ces jours ci parlant d'une SME en Server & Gateway qui se trouvait être avec une patte dans le réseau Orange et l'autre dans le réseau Vert d'une IPCop. C'est encore (à mon avis !!!) une très mauvaise idée. Ou plutôt une fausse bonne idée. Tu pourras trouver quelques posts assez , disons 'animés' , à propos d'architectures de ce type.

En bref, dans une architecture qui prend en charge de la sécurité, il est très difficile de ne pas faire d'erreur, parce que les erreurs de sécurité ne se voient que quand on en a besoin (trop tard )

Si je peux me permettre une analogie en électricité : Le fil que je vérifie le plus quand je fais une installation électrique, c'est le fil de terre. En effet, si un autre des fils est mal branché, je m'en rends généralement compte assez rapidement Par contre, le fil de terre, j'espère qu'il ne me servira jamais, mais je compte tout de même énormément sur lui. Donc, c'est également là où je bricole le moins.

A+,
Pascal

[Quadrax]

Bonjour Pascal (Sibsib),

Je te remercie d'avoir accepté mon invitation à jeter un oeil sur ce schéma n°3 (ton histoire de lien réseaux doublés m'intrigue toujours mais on verra ça là où elle est située sur le forum).
Tu confirmes bien toutes mes craintes de "on ne sait pas qui fait quoi ni comment" avec cet horrible schéma que j'ai pondu..
Je te rassure, je n'ai même pas tenté ce schéma qui était une mauvaise première idée par soirée trop avancée...

Comme je le disais récemment, rien n'est jamais simple quand je m'attaque à un problème sensé me simplifier l'existence, à l'usage (de mon point de vue), car maintenant j'ai un nouveau problème : le Wi-Fi !!

Mon IPcop n'est pas pourvu de NIC Wi-Fi et pour l'instant c'est la "Box" qui l'assure avec son mode routeur...

Finalement, mon installation ressemble à un truc insoluble à moins que j'adopte un schéma de câblage légèrement différent de la version n°4 :
Schéma n°5

Code: Tout sélectionner

{WEB} ---[BOX =routeur : LAN_box  <>]------[IPcop : DMZ  <>]----+-[SME 5.6 =Server & Gateway : LAN   <>]- @IP=192.168.2.2
         [BOX =routeur : WLAN_box <>]-+    [IPcop : LAN  <>]-+  | [SME 5.6 =Server & Gateway : VPN =On ]
                                      |    [IPcop : VPN =On] |  | [SME 7.4 =Server & Gateway : DHCP=Off]
                                      |    [IPcop : DHCP=On] |  |
                                      |                      |  +-[SME 7.4 =Server & Gateway : LAN   <>]- @IP=192.168.2.3
          {Wi-Fi = WLAN 192.168.1.x} -+                      |  | [SME 7.4 =Server & Gateway : VPN =On ]
                                                             |  | [SME 7.4 =Server & Gateway : DHCP=Off]
                                                             |  |
                                                             |  |
                                                             |  +- {DMZ}
                                                             |
                                                             |
                                                             +----[PC 1] @IP=192.168.2.3
                                                             |
                                                             +----[PC 2] @IP=192.168.2.4
                                                             .
                                                             .
                                       {LAN 192.168.2.x} ----+----[PC N] @IP=192.168.2.(N+2)



Et que j'utilise ma "Box" et IPcop de la façon suivante :

Neuf_Box :
- Mode Routeur
- Rediriger tout le trafic Internet sur l'interface rouge/WAN d'IPcop
- Wi-Fi uniquement pour accéder à Internet (=> accès à l'interface verte/LAN d'IPcop par liaison VPN gérée par IPcop)*

IPcop :
- interface Orange/DMZ pour mes deux serveurs SME sur leur "patte WAN"
- interface Verte/LAN pour tout le réseau local
- VPN (ou simple routage ?) pour la liaison WLAN<->LAN
- VPN également pour la liaison LAN internationale (=cerise sur le gâteau qui serait appréciable)

Serveurs SME :
- Tous les deux en mode 'Server & Gateway' avec VPN activé pour y accéder depuis le LAN

A la vue de ce schéma, cela m'a l'air propre mais, à la relecture, je me pose des questions :

1) Première question : est-ce que mon "bricolage" douteux sur l'adressage IP de mes serveurs a une chance de fonctionner. En gros, je tente de faire du VLAN, si je ne m'abuse, avec les moyens du bord : VPN (...).
(je ne suis pas diplômé en réseau et cie... alors, merci pour votre clémence )

2) *Deuxièmnde question : VPN (comme à ma première pensée) ou simple routage entre le WLAN et le LAN ?
Je penche pour le VPN en cas d'imprévu ou de coup de bol (pas de débat sur la sécurité Wi-Fi dans ce fil, Merci) pour une facilité d'accès à mon WLAN par un indésirable...

3) Troisième question : Si un maximum de 5 clients VPN (Wi-Fi + liaison(s) Internationale(s) + les deux SME) sont à supporter par ma machine IPcop, est-ce qu'une machine à base de K6-II 500-550 MHz et 128Mo de RAM sera suffisante pour supporter tout ça pendant de longues heures (je vois large) ??
(juste un avis/retour d'expérience. J'approfondirais la question sur le forum IPcop si aucune idée. Merci.)


Bon, voilà, je l'espère, ma dernière requête sur ce sujet car après cela, je vais être à court d'idées (sauf si vous avez de quoi résoudre mon casse-tête).
Je n'ai pas tenté l'essai de la "box" en mode bridge car j'ai un peu égaré le mode d'emploi pour la remettre en routeur en cas d'échec... Désolé pour les curieux, je tenterais ça après avoir rangé un peu mes 10m² pleins à craquer... lol

Merci bien à vous.
Quadrax



P.S. hors sujet

Déjà, en principe, je lis tous les posts du forum E-Smith / SME Server. Donc, si je ne réponds pas, c'est que je ne pense pas avoir un truc percutant à dire.

T'en as du courage et peut-être un peu plus le temps que moi qui tente de rester dans mon électronique...

J'aime beaucoup ton analogie avec le fil de Terre (à condition d'avoir les équipements et le régime de Neutre appropriés ) car je suis moi-même un électricien diplômé du CAP au BTS (pas pu aller plus loin dans la foulée pour raison de soutien familial. J'ai bien tenté le CNAM et l'ENSAM mais les heures supp' au boulot n'étaient pas trop compatibles après quelques années pour atteindre le Cycle C...). Je passe...

[jdh]

Je prends ce fil en cours.

Je suis totalement stupéfait de voir la progression de cette installation :
- box + 1 sme
- box + 2 sme
- box + ipcop + 2 sme
- box + ipcop + 2 sme + bouclage vers Green
(je ne parle même pas du wifi assuré par la box !)

Tout cela me semble ahurissant ! Et totalement insecure cela va sans dire !

- Jibe a déjà dit beaucoup sur l'association Ipcop + SME.

- J'ai déjà dit tout le mal que je pense d'utiliser une SME en serveur+gateway avec une patte en Orange et l'autre en Green. J'ai montré le trajet d'un paquet avec le retour le plus étrange ! (Sibisib utilise le terme d'abération à juste titre).

- Le wifi assuré par la box, c'est à dire en avant d'Ipcop (avec Vpn pour charger le cpu de l'Ipcop !).



Pourquoi le schéma simple suivant ne convient pas ?

Internet <-> Box <-> Ipcop

Ipcop Orange : SME1 (serveur only) + SME2 (serveur only)

Ipcop Green : PC filaires

Ipcop Blue (ethernet) : Access point + PC wifi (ou Routeur Wifi dont on utilise pas le port Wan)

[Quadrax]

Bonsoir Jdh,

Je te remercie pour ta participation.
En effet, je préfèrerais faire simple pour un souci de fiabilité et aussi pour l'aspect sécurité.
(une seule porte à garder demande moins d'efforts que plusieurs, surtout quand on est tout seul...)

La partie Internet <-> Box <-> Ipcop de ton schéma, je la conserve car s'est imposée et semble être la meilleure solution.

pour la partie Ipcop Orange : SME1 (serveur only) + SME2 (serveur only), un membre du forum m'a dit ceci (voir sa 1ère réponse dans ce même fil) :

Attention à la sécurité dans ton instalaltion, en effet, de mémoire, sme (c'est pas la seule) fait le filtrage par la source de provenance des trames (la carte réseau), et non la classe ip. En clair, ça veut dire que les 2 sme ne savent pas distinguer dans ton cas les connexions internet ou locales du réseau.

Sauf erreur de compréhension de ma part, cela signifierait-il que le mode "Server Only' est à proscrire pour l'accès Internet, même en étant derrière un "simple" routeur de BOX (contexte au moment de sa réponse) ?
(d'où mon élucubration de VPN avec le mode 'Server & Gateway' pour les SME du schéma n°5)

Pour Ipcop Green : PC filaires, rien à redire, cela me va très bien.

Pour Ipcop Blue (ethernet) : Access point + PC wifi (ou Routeur Wifi dont on utilise pas le port Wan), là je dirais que j'accepte aussi mais je n'ai pas le bon matériel pour y faire face.
A moins, peut-etre, qu'un bon vieux WRT54G? de première ou seconde génération pourrait faire l'affaire après une mise à jour du firmware...??

Cela dit, le Wi-Fi sera davantage utilisé pour fournir un accès Internet à un éventuel visiteur via le biais d'un adaptateur USB pas cher dont l'adresse MAC est déjà connue de la BOX. Même cas pour mon seul PC portable (..)


Reste encore le VPN : comme je veux accéder à mon LAN depuis l'étranger (ou moins loin, la ville voisine, etc...), il me faut bien activer le VPN sur IPcop. (Cela pourra éventuellement être exploité via le Wi-Fi proposé par la BOX, s'il reste actif. D'ailleurs, quelle différence, pour un usage Internet seul, cela ferait-il que le Wi-Fi soit 100% géré par la BOX ou IPcop ?? (désolé si je froisse la susceptibilité de quelqu'un par mon ignorance, due à l'accumulation de fatigue ou non))

Maintenant , comment faire pour accéder à mes anciens partages de fichiers sur le LAN entre mes PC "fixes" et mes serveurs SME s'ils sont en mode 'Server Only' dans la zone orange/DMZ d'IPcop ?
(j'ai peut-être négligé de préciser ce détail tellement il est présent dans mon esprit. (?))


Bien cordialement,
Quadrax


P.S.
Si je n'avais pas eu de problèmes de support de l'interface Gigabit sur ma nouvelle carte mère avec SME, j'aurais probablement conservé mon schéma n°2 mais avec SME 7.4 au lieu de 5.6 ...
Ceci dit, actuellement j'ai deux serveurs au lieu d'un donc, IPcop a, semble-t-il, trouvé sa place bien que je ne sache toujours pas comment résoudre les problèmes rencontrés avec mon schéma n°1 qui aurait été bien plus simple...

[jdh]

Attention à la sécurité dans ton instalaltion, en effet, de mémoire, sme (c'est pas la seule) fait le filtrage par la source de provenance des trames (la carte réseau), et non la classe ip. En clair, ça veut dire que les 2 sme ne savent pas distinguer dans ton cas les connexions internet ou locales du réseau.

Je n'ai pas compris cette affirmation, mais je ne suis pas spécialiste SME (loin de là).
Il me semble que
- SME en serveur only ne dispose pas de script de filtrage iptables au contraire, bien évidemment, de serveur + gateway.
- en serveur only, seule l'adresse ip peut servir à distinguer le réseau interne d'Internet : cela peut servir dand un fichier tel http.conf avec des "allow" spécifiques.

Jibe, avec talent, avait en son temps défendu une SME en serveur+gateway au lieu du couple Ipcop+SME (nécessairement alors en serveur only). Ce que je soutiens aussi quand on n'exige pas le multi-zone Orange+Green+Blue.


Ce qui est une grave erreur est de "court-circuiter" Ipcop avec une patte Orange et Green ! Il suffit de lire ce que j'ai déjà écrit sur le sujet ...


Concernant le wifi, un router type WRT54G peut faire un très bon acces-point (j'en ai un qui fonctionne très bien "without any problems"). Evidemment on n'utilise pas le port wan, sinon c'est un routeur.

Il ne faut pas utiliser le wifi d'une box avec un ipcop. Pourquoi ?

Par exemple, on peut supposer donner plus de droits à des PC locaux en wifi qu'à des PC extérieurs accédant au(x) réseau(x) via vpn : comment différencier les uns des autres. Donc WRT54G idéal.


Quant à l'accès SMB (partage windows), je déconseille d'écrire les règles SMB Green vers Orange. En plus la résolution Netbios ne fonctionnera pas (sauf Wins).

En fait seules les fonctions mail et web d'une SME ont leur place en Orange, mais pas le partage windows !

[sibsib]

Quadrax,

Avec tout le respect que je te dois, je vais peut-être être un peu cinglant, et ce n'est pas mon but.

Voici comment je te perçois (on ne se connait pas, je n'ai que tes posts sur un domaine bien précis pour me faire une idée, donc je suis certainement 'à côté') :

Tu as une vision 'globale' assez bonne de ce que tu souhaites faire, et tu connais des portes pour y arriver.

Ceci dit, en info, çà 'tombe rarement en marche', et donc (au moins dans tes plans) tu amorce des solutions plus vite que ton ombre. Au moins tu fais des gros efforts pour nous les présenter (çà c'est bien), mais pour autant, il n'est pas sur que nous te comprenions toujours, et encore moins sur que les personnes réputées compétentes sur ce forum aient le temps ou l'envie de te répondre. Donc, tu t'emballes, tu fais pas mal d'hypothèses, et tu 'compliques à mort'.

(C'est ma vision, et j'ai un peu forcé le trait Mais tu peux tout à fait répondre, me reprendre, ce que tu veux, nous ne sommes normalement pas sur ce forum pour 'noter' les personnes, je suis même peut-être hors charte !)

Bref, il est peut-être temps que tu souffles un peu, et que tu te fixes un cahier des charges (et éventuellement, les moyens que tu veux/peux mettre en face).
Perso, je n'ai jamais utilisé le VPN sur SME, je ne te répondrais donc pas sur cette partie du montage.
Cependant il y a un point assez 'casses pieds' dans l'association d'une box en mode routeur et d'un SME en Server & Gateway, c'est le 'double nat', qu'on ne sait pas désactiver (aisément) sur SME. Le piège est souvent par là.
Mais as tu réellement besoin du VPN ? Ce n'est encore une fois pas une attaque, mais une question : parfois, on met en place un truc super complexe alors que la nécessité n'est pas si évidente qe çà.

Ensuite, la coexistence 'temporaire' de deux SME est d'office une grosse problématique. Chaque fois que j'ai installé une nouvelle SME pour remplacer l'ancienne, je me suis arrangé pour qu'une seule des SME soit visible à la fois.
Peut-être devrais tu faire des essais en ce sens. Il y a chez moi une page qui explique comment brancher une SME en server & gateway (en mode test) derrière une autre SME. Ce n'est pas la panacée, mais çà peut aider.

Pour le WiFi, pareil s'il s'agit uniquement de donner un accès à l'extérieur, pas besoin de VPN

Et le saupoudrage de IPCop par dessus...

Mon résumé du jour : KISS (keep It as Simple as Stupid).

Vraiment désolé pour le ton, et j'espère que ce post n'est pas complètement inutile.

A+,
Pascal