Impossible de trouver la page....

[rico62]

Bonjour à tous,

Serveur SME 7.4
Gateway
Proxy activé

LiveBox Sagem 1.1
IP fixe
DMZ => ip externe SME
FireWall désactivé


Depuis le changement de modem pour une LiveBox (pour la VoiIP), je rencontre la difficulté suivante:
En local sur les postes clients,
- par l'adresse : http://IP-local-serveur => connexion OK
- par l'adresse : http://IP-exterrieur-serveur => connexion OK
- par l'adresse : http://nomserveur => connexion Ok
- par l'adresse http://mondns.dyndns.org => connexion KO
- par l'adresse http://IPFixe => connexion KO

Le visiteur exterrieur (internet)
- par l'adresse http://mondns.dyndns.org => connexion OK
- par l'adresse http://IPFixe => connexion OK



Après des recherches sur la config de la LB (www.livebox-asso.fr), des heures interminables avec la hotline de FT (sans succès , il ne parle pas la même langue...)

Je suis preneur de tous les solutions qui fonctionnent

D'avance merci.

[Gaston]

Bonsoir,
je le dis tout de suite j'ai pas de solution, juste une remarque et une question

pourrais tu nous préciser tes @IP et masques interne, il y a peut-être qqu'un qui verra une incompatibilité que nous ne soupçonnons pas (néanmoins, merci pour la clarté de la présentation du problème)

il semble clair que la LiveBox n'autorise pas l'usage de l'@IP publique à partir d'une IP de sa DMZ.
et ce qui me gêne c'est qu'à priori mondns.dyndns.org soit résolu avec l'@IP publique alors que SME devrait fournir son @IP locale , qu'à tu utilisé comme serveur DNS pour les postes de ton réseau local ?

G.

[jdh]

Ce que je comprends :

Internet <-> LiveBox <-> SME (server+gateway) <-> réseau interne

L'ip publique est donc détenue par la Livebox.
Je suppose que la LiveBox assure le rôle de client dyndns et, par conséquent, met à jour le nom dynamique.
Côté droite de la LiveBox, il y a donc 2 réseaux privés (successivement). (Réseaux bien sur différents !)

Quand un PC du réseau interne essaie de se connecter par http à la machine SME, il y a 4 possibilités :
- ip côté interne,
- ip côté externe,
- ip fixe de la LiveBox,
- nom dynamique = équivalent à l'adresse ip fixe de la LiveBox.

Les 2 premiers sont OK car équivalents au niveau de la SME : une SME possède 3 adresses ip équivalentes : l'interne, l'externe et localhost=127.0.0.1. (Cela fonctionne aussi avec un nom dns).

De la même façon, la LiveBox à 3 adresses ip équivalentes : l'adresse ip privée interne, l'adresse ip publique et 127.0.0.1. Or, je suppose que le trafic arrivant à l'adresse ip publique est renvoyé sur l'ip externe de SME.

Les 2 derniers cas semblent alors poser le problème du "retour en arrière" :
- un paquet du réseau interne, traverse la SME et arrive à la livebox. (le paquet a été au passage transformé = NAT),
- le paquet doit revenir en arrière au niveau de la LiveBox.

Il est probable que la LiveBox ait une règle pour le trafic Internet renvoyé vers la SME. Mais qu'en est-il pour le trafic interne ?


La solution s'appelle "split dns" : localement le nom dynamique devrait correspondre à l'adresse ip de la SME, et roule ...


(Comment le faire : j'ignore quel est le serveur dns interne à SME, ...)

[rico62]

Bonjour,
Afin d'apporter les précision complémentaire

LiveBox:
IP publique : Fixe
IP Int : 192.168.1.1 Masq: 255.255.255.0
DMZ : 192.168.1.3
Hote DynDNS


SME :
IP ext : 192.168.1.3 Masq : 255.255.255.0

IP int : 10.0.0.251 Masq : 255.0.0.0

DNS int : serveur.loc

[Gaston]

Bonjour,

ceci m'interpelle un peu

IP Int : 192.168.1.1 Masq: 255.255.255.0
DMZ : 192.168.1.3

j'ai cru que comprendre que le SME est en DMZ de la Live Box, je vois mal DMZ et réseau interne sur le même sous réseau ... (jdh ?)

D'autre part si j'interprète ceci

DNS int : serveur.loc

comme : le serveur SME a pour nom "serveur" et domaine "loc" (on va dire que c'est un domaine valide et qu'il y a eu un raccourci dans la transcription) c'est là qu'est le problème (comme l'a aussi souligné jdh).

Pour que l'on puisse faire usage de "mondns.dyndns.org" pour accéder au serveur SME, il faut que celui-ci soit dans le domaine "mondns.dyndns.org" et que le serveur DNS pour le réseau local soit "nomSME.mondns.dyndns.org"
A partir de là SME se considère comme autorité pour "mondns.dyndns.org" pour le réseau local et résoudra donc "www.mondns.dyndns.org" (par exemple) avec 10.0.0.251 et non ton adresse publique

G.
PS1 : ta description était détaillée, merci (cela fut rare cet été), mais ce qui est dommage c'est qu'ont puisse écrire

si j'interprète ceci

Ce que je comprends

d'ailleurs moi j'avais compris

Code: Tout sélectionner

Internet <-> LiveBox - (DMZ) <-> SME (server+gateway) <-> réseau interne
             Livebox - (Int) <-> Non utilisé

d'où ma première reqarque aujourd'hui

PS2

Les 2 premiers sont OK car équivalents au niveau de la SME : une SME possède 3 adresses ip équivalentes : l'interne, l'externe et localhost=127.0.0.1.

équivalents ? qu'est que tu veux dire ?

[jdh]

Sur une LiveBox, la DMZ est l'adresse ip vers laquelle tout le trafic entrant d'Internet est renvoyé.

Forcément, la machine ainsi désignée doit être dans le réseau interne de la LiveBox.

Ici, la Livebox est (très traditionnellement) en 192.168.1.1/255.255.255.0, c'est à dire que le réseau interne est 192.168.1.x/24. Et la SME avec une adresse ip externe fixe comme 192.168.1.3 est à sa place comme "DMZ" de la LiveBox.

L'erreur serait de croire qu'il y ait un port RJ45 dénommé DMZ et distinct des prises du réseau interne. Ce n'est pas le cas : la DMZ n'est qu'une définition "logicielle".
(D'ailleurs la prudence serait plutôt de définir chacun des renvois vers ladite machine plutôt que la totalité=DMZ. Mais on fait souvent dans la facilité).

Il n'y a donc pas 2 lignes :
- Internet <-> LiveBox <-> interne
- Internet <-> LiveBox <-> DMZ

Mais il y a une seule ligne :
- Internet <-> LiveBox <-> interne : réseau interne dans lequel, une machine est appelé DMZ.


"adresses ip équivalentes" ?

C'est un très grand raccourci et surtout un point de vue personnel : je peux me tromper !

- un Linux avec 2 cartes réseaux ethernet dispose des 2 adresses ip et de l'adresse 127.0.0.1 (interface lo), soit un total de 3 adresses ip.
- Netfilter/Iptables propose une chaine INPUT (en plus des OUTPUT et FORWARD).
- "de mon point de vue" la chaine INPUT correspond à 3 "sous-chaines" virtuellement : "INPUT eth0", "INPUT eth1" et "INPUT lo".
- SI dans la chaine INPUT, il n'est pas fait mention de l'interface d'origine réelle du paquet ("-i eth?"), en autorisant INPUT tcp/80 sur le serveur, cela autorise cette entrée sur n'importe quelle interface.
- EN CONSEQUENCE, à partir d'un PC interne, on peut faire http://ip-interne ou http://ip-externe cela est équivalent. (C'est d'ailleurs le cas avec n'importe quel paquet y compris un ping.)

NB : si on conditionne en INPUT pour chaque paquet l'interface qui va bien, on peut changer cette "équivalence".

NB2 : du côté externe, cela ne fonctionne pas ... car il faut une route pour atteindre le réseau interne !

NB3 : oubliez l'adresse 127.0.0.1, cela embrouille le discours ...

[rico62]

Bonsoir,

Je tiens à m'excusé auprès de Gaston pour mon manque de précision.

Code: Tout sélectionner

Internet <-> LiveBox - (DMZ) <-> SME (server+gateway) <-> réseau interne

La démonstration détaillée par jdh décrit parfaitement la configuration (malgré que je n'ai pas tout compris )

Je tiens par avance à vous remercier pour le temps passé à vos réponses.

Mais souhaitant aussi utiliser OnCheckStatus, très pratique surtout dans le cas ou le service DYNDNS casse (le gratuit à toujour une limite ).

J'aurai encore besoin d'aide ( la lumière n'est pas, je ne vois pas encore le bout du tunnel )

[Gaston]

bonsoir,
merci JDH pour tes explications, pour la livebox je savait pas, et pour l'équivalence je n'avait pas compris dans quel contexte tu te plaçais d'où ma question

@rico62, maintenant que je sait de quoi on parle , je sait plus où on en est, as tu trouvé la solution à ton problème ? (si oui peux-tu récapituler les actions prises, merci)

G.

[rico62]

Malheuresement non.

Après plusieurs recherches: j'ai appliqué une bride de solution à partir de ce lien :
( inscription de la correspondance directement dans le serveur DNS de la livebox )
http://liveboxsagem11.centerblog.net/6571375-

Je dois dire aussi que cela ne fonctionne pas non plus.

[jdh]

Reprenons :

ce "problème" n'en est pas un !


Soit de l'interne, mondomaine.dyndns.org est défini avec sme comme valeur et on peut accéder "comme à l'extérieur".
Soit de l'interne, on n'accède pas de la même façon.

Ou on a un dns local et on est capable de créer une définition locale,
Ou on renonce à faire "comme à l'extérieur".


Je ne sais quel est le service dns de SME. Donc je ne sais pas comment créer la définition.
En ce qui me concerne, dans des entreprises, j'utilise le service dns du serveur Windows et ça roule.
Au pire, on peut modifier le fichier host de chaque micro : pour windows, c'est c:\windows\system32\drivers\etc\hosts.


Là, je ne suis pas sur d'être compris sur un problème qui n'en est pas un : soit on a compris et, au choix, on agit ou non, soit on n'a pas compris et on considère A TORT qu'il reste un problème.

[rico62]

Bonsoir ,

Cela est un peu plus compliqué,

Dans le cas ou les PC restent dans le réseau, effectivement on peu considérer la réponse comme [Résolu].
Mais la vie n'ai pas aussi simple, j'ai une dixaine de pc fixe dans le domaine, là pas trop de problème, mais j'ai une valse de 60 PC portable qui entre un ou deux par mois et 2 à 3 heures dans reseau.
(Difficile d'intercepter tous les pc)

[jdh]

Non, c'est désormais plus simple :

La solution de "dns du pauvre" (modif hosts) ne fonctionne pas pour des nomades.

Donc il faut insérer une définition locale dans le serveur SME qui est serveur dns du réseau local.

Etape 1 : quel est le serveur dns de SME.
Etape 2 : comment créer un définition locale (en tenant compte du modèle de serveur dns).
Etape 3 : modifier le template associé (sans doute).


Hélas, je ne connais pas le serveur ...

[Gaston]

Bonjour jdh,
cette configuration se fait d'origine sans poser de question

Pour que l'on puisse faire usage de "mondns.dyndns.org" pour accéder au serveur SME, il faut que celui-ci soit dans le domaine "mondns.dyndns.org" et que le serveur DNS pour le réseau local soit "nomSME.mondns.dyndns.org"
A partir de là SME se considère comme autorité pour "mondns.dyndns.org" pour le réseau local et résoudra donc "www.mondns.dyndns.org" (par exemple) avec 10.0.0.251 et non ton adresse publique

point barre, je l'ai sous entendu dès le début, tu l'as confirmé, je l'ai écrit, maintenant le monsieur, il fait comme il veut
Il ya que si la résolution n'est pas celle indiquée, avec la configuration indiquée, que l'on pourra se poser des questions

G.

[jdh]

Ah beh oui, vu comme ça, c'est bien plus simple.

En fait, si je te suis bien, il faut, AVANT de faire l'install, bien penser au nom de la machine qui permettra d'accéder à elle, y compris si on y accède avec un nom dynamique. Bien vu.


Merci Gaston, je suis presque ignorant de SME face à ton expertise ...

[Gaston]

tu as tout compris jdh,
un petit bémol, on peut ajouter autant de domaines que l'on veut via le serveur manager.
Si dans la conf, on indique "Résolu localement" , le serveur sera autorité sur le réseau local, donc des IP locales pour les domaines gérés, si on indique "Serveur DNS de l'Internet" , ben on aura des adresses publiques.
On peut donc aussi le faire *après* l'install, mais on a le droit d'y penser avant aussi

[hors sujet] : A noter qu'il semble qu'une troisième configuration ait disparue en 7.4 "Serveur DNS de votre organisation" qui permettait d'utiliser un autre serveur DNS interne, qqu'un a des infos sur ce changement?[/hors sujet]

G.
PS j'aimerai bien être aussi ignorant que toi