[ABANDON] Faire communiquer deux réseaux

[gunsnroses]

Bonjour à tous.
Je suis en charge de la gestion de deux parcs informatiques reliés par une fibre optique, l'un de mes parc est en 192.168.100.x et l'autre est en 192.168.1.x

J'ai bien sur un IPCOP 1.4.21 en RED-GREEN-ORANGE + 1carte reséau

Après avoir lu pas mal de truc sur le forum et autre, j'ai un peu abandonné l'idée de faire une installation RED-GREEN-ORANGE + BLEU puis installation de BOT pour gérer tout ca.
J'ai donc installé l'addon xtiface pour ma carte réseau supplémentaire et pour l'ipcop tout est ok, il PING sans problème, l'un ou l'autre réseau mais bien sur impossible de pinger quoi que soit d'un réseau vers l'autre. J'ai fait un test avec pfsense comme passerelle pour les deux mais cela me fait mettre une machine suplémentaire et j'aime pas trop.

Avec xtiface impossible de me servir de bot car il ne voit pas l'interface (ce qui me parait normal), du coup, il ne me reste plus (enfin je pense) qu'a autoriser le trafic avec des règles dans le fichier rc.firewall.local, mais comme j'ai un peu peur de faire une $%#&!, je demande votre aide.

Merci d'avance

[ccnet]

Il possible que la réponse ne vous donne guère satisfaction. Elle part du constat qu'ipcop n'est pas adapté pour traiter votre besoin. Une solution serait bien évidement Pfsense. Mais :

J'ai fait un test avec pfsense comme passerelle pour les deux mais cela me fait mettre une machine suplémentaire et j'aime pas trop.

1. Pfsense devrait remplacer ipcop.
2. Relier deux réseaux c'est le travail d'un routeur. Peut on le faire dans votre cas ?
Je ne sais pas ce que n'aimez pas. Le problème n'étant pas d'aimer ou pas mais d'avoir une solution propre.
Je ne vois pas comment trouver une solution propre avec un composant qui n'est pas adapté dans le sens où il n'offre pas les fonctionnalités requises.

[gunsnroses]

Je me doutais bien que j'aurai ce type de réponse (et j'aurai aussi pu parier sur qui me la ferai).
Je suis tout à fait d'accord qu'il faudrai que je remplace IPCOP par pfsense (ou une autre distribution) pour avoir un outil qui correspont à mes besoins (... ... j'aime bien IPCOP) mais je pensait qu'en ajoutant une règle ou deux à ipcop, je pourrai faire passer le trafic, en sachant que même si cela n'a pas été dis, ce n'est qu'une solution temporaire car on parle de mutualisé nos deux sites, du coup on réfléchi à la meilleur facon de travailler.

[ccnet]

Si c'est du temporaire, essayez avec un routeur, voire Pfsense qui va nater toutes les adresses du second réseau ? Je ne garantie pas que ce soit adapté à votre situation. Désolé mais je n'ai pas mieux. Planter des clous avec un tournevis j'ai du mal.

[gunsnroses]

Je comprend tout à fait votre reaction mais j'ai un peu de mal à saisir en quoi il ne serait pas possible de demander à un firewall d'autorié le transfert entre deux interfaces réseau, eth0 en 192.168.1.1 et eth3 en 192.168.100.47. je trouve cela quand même beaucoup plus propre que de vouloir transformer une interface bleu ou une interface orange en seconde interface orange en apportant des regle de filtrage dans BOT.

Je ne pensait pas du tout utiliser un tournevis pour planter un clou, mais seulement un marteau non adapter à la taille du clou

Je suis désolé de paraître insistant, mais je ne trouve vraiment pas ma demande farfelus par rapport à tout ce que l'on peut voir sur le forum.

Pour information, la solution de pfsense a été mis en place et fonctionne pour interconnecter mes deux réseaux sans toucher au paramétrage des structures existante (mise à par un ajout de route, d'un coté comme de l'autre), mais cela m'enbèe de faire tourner une machien que pour cela et je n'ai pas de temps (en ce moment) de faire un remplacement complet d'ipcop par un pfsense.

Si vous me dit que cela n'est pas possible alors je ferai avec mais vu qu'ipcop discute correctement avec mais deux réseaux, il semblerait qu'un ajout de règles dans rc.firewall.local devrait faire l'affaire, vu qu'il m'est impossible d'utiliser BOT qui ne voit pas (du coup moi non plus dans son interface graphique) la carte eth3 configurée par xtiface

[ccnet]

Je comprend tout à fait votre reaction mais j'ai un peu de mal à saisir en quoi il ne serait pas possible de demander à un firewall d'autorié le transfert entre deux interfaces réseau, eth0 en 192.168.1.1 et eth3 en 192.168.100.47. je trouve cela quand même beaucoup plus propre que de vouloir transformer une interface bleu ou une interface orange en seconde interface orange en apportant des regle de filtrage dans BOT.

Je rappelle ma réponse :
Elle part du constat qu'ipcop n'est pas adapté pour traiter votre besoin. Si j'ai voulu écrire que autoriser le routage (le transfert est un terme qui peut porter à confusion) entre deux interfaces d'un firewall ,n'est pas propre, je l'aurai fait. Or ce n'est pas ce que je dis. Je dis : ipcop n'est adapté pour le faire en deux réseaux interne. Globalement je suis d'accord.

Je suis désolé de paraître insistant, mais je ne trouve vraiment pas ma demande farfelus par rapport à tout ce que l'on peut voir sur le forum.

Ai je dis cela ? Non. Votre demande fait complètement partie de problématiques réseaux courantes. Des demandes farfelus il y en a ici et celle ci n'en fait pas partie.

Pour information, la solution de pfsense a été mis en place et fonctionne pour interconnecter mes deux réseaux sans toucher au paramétrage des structures existante (mise à par un ajout de route, d'un coté comme de l'autre), mais cela m'enbèe de faire tourner une machien que pour cela et je n'ai pas de temps (en ce moment) de faire un remplacement complet d'ipcop par un pfsense.

Puisque l'avenir n'est pas encore fixé et que les ressources manquent, pourquoi ne pas en rester là ? Je ne connais pas la façon c'est réalisé mais pourquoi pas. Une machine ou un routeur finalement c'est un équipement de plus.

Si vous me dit que cela n'est pas possible alors je ferai avec mais vu qu'ipcop discute correctement avec mais deux réseaux, il semblerait qu'un ajout de règles dans rc.firewall.local devrait faire l'affaire, vu qu'il m'est impossible d'utiliser BOT qui ne voit pas (du coup moi non plus dans son interface graphique) la carte eth3 configurée par xtiface

C'est typiquement une limitation qui motivait ma réponse initiale, sans avoir d'autre information.

Ne pas pouvoir utiliser BOT par contre est un très sérieux problème de sécurité. Je pense donc que la solution la machine en plus est nettement préférable dans le sens où elle est considérablement plus sûre.

[jdh]

J'aurais pu aussi répondre à ce fil mais ccnet répond avec la logique nécessaire et adaptée.


- IPCOP est un firewall simple et efficace. Mais il doit être utilisé selon sa définition. Et entre autres, il n'est pas vraiment adapté à de multiples Green (addons ou pas).
- BOT est absolument indispensable car c'est LE moyen efficace de filtrage : si on laisse IPCOP avec ses "policies" par défaut, il ne filtre pas grand chose.
- pfSense n'est pas plus compliqué à installer qu'IPCOP. Certains disent qu'il est même plus efficace (je fais partie de ceux là).
- pfSense saura aisément fonctionner avec de multiples cartes (LAN ou LAN1, LAN2, ...).
- la fonction "BOT" est nativement intégré à pfSense.

J'ai peut-être plus d'habitude que vous, mais installer un pfSense ne me prend pas beaucoup de temps (20', tout au plus 30'). Et le paramétrage n'est pas forcément très long (1h à tout casser, pour démarrer).

Il y a juste 2 choses à bien comprendre : les alias (ports, hosts ou networks) et le filtrage se fait par l'interface d'arrivée du paquet (onglet LAN, LAN2).

Typiquement, une policy laxiste (mais rapide pour tester) serait :

alias langauche=192.168.100.0/24 (interface LAN)
alias landroite=192.168.1.0/24 (interface LAN2)
onglet LAN :
rule : prot=any, source=langauche, destin=landroite
onglet LAN2 :
rule : prot=any, source=landroite, destin=langauche

Enfin c'est une question personnelle ...

[gunsnroses]

Merci pour vos réponses.

Je sens bien que je vais devoir abandonné IPCOP pour une solution plus adaptée à ma situation. Je vais me tourner vers pfsense qui semble mieux corresponde (existe-t-il une interface en francais ?, même si je m'en sors avec l'anglais).

Encore merci de prendre du temps pour nous aider

[Franck78]

Chapeau a ceux qui ont compris quelquechose au problème..., aux montages envisagés...

Moi je retiens deux IPCop, deux adressage privé distinct, une fibre optique. Mais rien sur les connexions entre ce beau monde.
Que fait BOT dans l'histoire et qui est xtiface...

Cependant, la réponse qui me vient tout de suite est VPN IPSec entre les réseaux à lier.

[gunsnroses]

Pour être clair dans ma réponse, xtiface est un addon qui permet d'ajouter des interfaces réseaux (gray) mais elles ne sont pas vues par BOT, du coup je ne peux pas créer de règle de filtrage entre la Green et la Gray.

Il est vrai que je n'ai pas été très précis car en faite, d'un coté j'ai un IPCOP mais de l'autre j'ai un Zywall et non deux IPCOP comme on aurai pu le croire. Alors bien sur que j'ai monter un VPN entre les deux mais je ne dois pas être très doué vu que je n'arrive pas à le faire passer par la fibre, ce qui fait que je passe par le net pour la liaison et le debit entre les deux structures est un peu long, alors pour la messagerie ca va, mais nous sommes actuellement sur l'installation d'un logiciel de marché public commun au deux sites, il nous faut donc passer par la fibre absolument.

Pour plus de précision encore, je travaille dans une collectivité territoriale, et mes deux structures sont deux entité complètement différente mais avec le principe de mutualisation mise en place en vue de réduire le nombre de fonctionnaires, nous devons mettre des outils en commun tout en concervant l'entit" de chaque structure.

Cordialement