SME 7.4 + Box ''2wire'' - [Résolu]

Forum dédié à la distribution du même nom et que vous pourrez télécharger sur http://www.contribs.org. La nouvelle version de cette distribution se nomme SME Server

Modérateur: modos Ixus

SME 7.4 + Box ''2wire'' - [Résolu]

Messagepar HP77 » 14 Déc 2009 15:58

Bonsoir,

Je souhaiterais avoir l'avis de personnes expérimentés en réseaux et plus particulièrement avec les "boxes" des opérateurs Internet.

Mon problème est le suivant :
- utiliser un serveur SME (7.4) pour les services Web, FTP, Mail et VPN
- pouvoir accéder au serveur par le LAN en local comme à distance (d'où le VPN)
- conserver la "box" du FAI en mode routeur sinon, plus de téléphone (...)
- continuer à bénéficier du Wi-Fi fourni par la "box" car je ne peux pas installer de point d'accès. :-(

Côté matériel :
- une "box" 2wire 2701HGV-E fonctionnant en mode 'Gateway'.
- un serveur SME 7.4 fonctionnant en mode 'Server & Gateway' (avec deux NIC physiques).

Côté configuration réseaux :
Code: Tout sélectionner
{Web}---[2wire]---{WLAN ; @IP=192.168.1.x}
        [2wire]---{ LAN ; @IP=192.168.1.x}
        [2wire]---{ DMZ ; @IP publique dynamique (= celle vue du Web)}

{DMZ}---[SME 7.4]---{ LAN ; @IP=192.168.1.x}
        [SME 7.4]---{ VPN ; @IP=192.168.1.x} ***

(Schéma n°1)

J'ai bien conscience que ce type de configuration n'est pas très propre mais je n'ai guère d'autre choix dans l'immédiat.
Il semblerait que ceci fonctionne bien mais je souhaiterais en savoir un peu plus sur les "dangers" de cette configuration compte tenu du fait que les "pattes" WAN et LAN du serveur sont toutes les deux sur le switch 4 ports intégré à la "box".

Pour info :
- le client DynDNS livré avec SME est activé
- côté WAN (public), l'adresse IP est affectée à SME par la "box" via le "mécanisme" SME suivant : DHCP (send ethernet address as client identifier).
- la "box" fournit le DHCP pour le LAN sur la plage 192.168.1.64 - 192.168.1.127
- le serveur fournit le DHCP pour le LAN sur la plage 192.168.1.150 - 192.168.1.199
- le serveur fournit le DHCP pour le VPN sur la plage 192.168.1.200 - 192.168.1.249 ***

S'il manque une quelconque information, n'hésitez pas à me le signaler.

Salutations,
HP


P.S.
***Je tente actuellement de configurer OpenVPN mais cela fera l'objet d'un autre fil de discussion car j'ai deux sources d'informations sur la façon de configurer offrant chacune des opinions contradictoires concernant le 'subnet'...


[edit]15-dec-2009@10h46(GMT+08:00) - Ajout du nom du schéma.[/edit]
[edit]17-jan-2010@10h39(GMT+08:00) - Ajout "tag" [Résolu] au titre.[/edit]
Dernière édition par HP77 le 17 Jan 2010 04:39, édité 2 fois au total.
HP77
Contre-Amiral
Contre-Amiral
 
Messages: 491
Inscrit le: 25 Nov 2009 06:44
Localisation: Singapour

Messagepar jdh » 14 Déc 2009 21:42

Bonsoir,

Tout d'abord, un très bon point : voila une question TRES bien présentée !


La seule configuration vraiment "secure" AMHA est la suivante :

Internet <-> Box <-> ("wan") SME ("lan") <-> PC du Lan

Concernant les PC se connectant en Wifi, il y a deux difficultés :
- s'ils se connectent à la wifi de la box, ils sont du mauvais côté ("wan"),
- SME ne gère pas une 3ième carte (wifi ou ethernet relié à un AP).

J'ai tendance à considérer qu'un Access-Point
- crypté en WPA/AES (et plus TKIP),
- avec une clé de 20-25 caractères bien aléatoires (min+maj+chiffre+symboles) et changée tout les 6 mois,
pourraient être installé dans le Lan. C'est surement discutable ...
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar HP77 » 15 Déc 2009 04:37

Bonjour JDH,

Tou d'abord, Merci pour votre avis.

jdh a écrit:Tout d'abord, un très bon point : voila une question TRES bien présentée !

Merci du compliment, je m'étais appliqué. ;-)

jdh a écrit:La seule configuration vraiment "secure" AMHA est la suivante :

Internet <-> Box <-> ("wan") SME ("lan") <-> PC du Lan

C'est aussi Mon Humble Avis.

jdh a écrit:Concernant les PC se connectant en Wifi, il y a deux difficultés :
- s'ils se connectent à la wifi de la box, ils sont du mauvais côté ("wan"),

Justement, c'est là que se pose ma question :
Seule la machine SME est en DMZ, sur le switch 4 ports intégré à la "box" 2wire car, cette dernière, ne permet qu'une seule machine en DMZ.
Toutes les autres machines connectées à son switch 4 ports sont dans le LAN qui est à la fois géré par la "box" et le serveur SME (d'où les précisions sur les plages DHCP). C'est ce qui me parraît toujours un peu curieux (je n'ai pas toute la théorie en tête).

jdh a écrit:- SME ne gère pas une 3ième carte (wifi ou ethernet relié à un AP).

C'est donc ici qu'une discussion sur une solution IPcop pourrait prendre son sens... ;-)
Mais je dois faire sans IPcop. (que j'ai déjà utilisé et beaucoup apprécié également) :-)

jdh a écrit:J'ai tendance à considérer qu'un Access-Point
- crypté en WPA/AES (et plus TKIP),
- avec une clé de 20-25 caractères bien aléatoires (min+maj+chiffre+symboles) et changée tout les 6 mois,
pourraient être installé dans le Lan. C'est surement discutable ...

Effectivement, un Access-Point Wi-Fi du côté LAN me semble bien plus "propre" également mais, comme "souligné", cela impose une rigueure de gestion qui risque de passer à la trappe sauf si, peut-être, crond peut aider à envoyer un e-mail de rappel...

Ne pouvant pas du tout ajouter cet équipement sur mon installation (les raisons sont indiscutables avec les propriétaires des lieux qui ne voient déjà pas d'un bon oeil mon mini serveur SME...), je pense éventuellement à modifier la configuration réseau comme suit :
Code: Tout sélectionner
{Web}---[2wire]---{WLAN_2wire ; @IP=192.168.1.x}
        [2wire]---{ LAN_2wire ; @IP=192.168.1.x}

{ LAN_2wire ; @IP=192.168.1.x}---[SME 7.4]---{ LAN_SME ; @IP=192.168.2.x}
                                 [SME 7.4]---{ VPN_SME ; @IP=192.168.2.x}

{ LAN_SME ; @IP=192.168.2.x}---[PC fixes locaux]
{ VPN_SME ; @IP=192.168.2.x}---[PC via Wi-Fi]
{ VPN_SME ; @IP=192.168.2.x}---[PC distants]

(Schéma n°2.1)

Dans ce cas, le VPN devient obligatoire pour accéder au LAN_SME pour les PC utilisant le Wi-Fi de la "box" 2wire mais les choses devraient être plus simples et sécures dans la gestion de visiteurs occasionels n'ayant rien à faire sur le LAN. ;-)

Inconvénients :
- Le serveur SME se retrouve derrière un firewall / routeur... (je n'aime pas ça à cause du double routage vers le LAN_SME...)
- Le serveur doit donc passer en @IP fixe côté "WAN" et la box doit être configurée pour bien router...
- un switch additionel devient nécessaire pour connecter les PC fixes au LAN_SME.
- le VPN, et lequel ?, sera-t-il "aisé" à mettre en place ?

Que faire pour être sûr d'éviter les problèmes de routage et que le client DynDNS fonctionne à merveille (pas toujours le cas) ?

Pour info, la "box" 2wire à ma disposition :
- ne possède pas de NAT-Loopback
- ne gère aucun client à la sauce DynDNS
- ne peut-être remplacée
- ne peut pas être configurée en mode bridge (à cause du téléphone...)
- ne serait pas compatible avec IPsec d'après certaines lectures à ce sujet.

A cause de toutes ces contraintes, j'ai finallement adopté le premier schéma (=schéma n°1) de ce fil de discussion mais, mon schéma et la configuration réseau qui va de paire sont-ils vraiment viables ??

Reste encore une solution à essayer où je pourrais retirer le pont physique entre le LAN_SME et le LAN_2wire et adopter le schéma suivant :
Code: Tout sélectionner
{Web}---[2wire]---{WLAN_2wire ; @IP=192.168.1.x}
        [2wire]---{ LAN_2wire ; @IP=192.168.1.x}
        [2wire]---{ DMZ_2wire ; @IP= publique Internet}

{ WLAN_2wire ; @IP=192.168.1.x}---[PC via Wi-Fi]

{ DMZ_2wire ; @IP=publique Internet}---[SME 7.4]---{ LAN_SME ; @IP=192.168.2.x}
                                       [SME 7.4]---{ VPN_SME ; @IP=192.168.2.x}

{ LAN_SME ; @IP=192.168.2.x}---[PC fixes locaux]
{ VPN_SME  ; @IP=192.168.2.x}---[PC via Wi-Fi]
{ VPN_SME ; @IP=192.168.2.x}---[PC distants]

(Schéma n°2.2)

Dans ce cas, plus de bizarrerie côté DHCP, une seule @IP de 'Gateway' pour accéder à Internet (2 dans le schéma n°1...) mais un doute persiste :
Est-ce que les PC connectés via Wi-Fi à la "box" vont pouvoir accéder au serveur situé en DMZ à cause de l'absence de NAT-loopback sur cette "box" ? (dans le cas du schéma n°1, MonDomaine.dyndns.org était totalement injoignable depuis le réseau local)

Que pensez-vous de tout ceci ?
(Casse-tête ou plutôt usine à gaz d'amateur...) :?:


Merci à ceux qui prendront la peine de s'intéresser à mon cas. Autrement, si vous avez d'excellentes adresses pour accéder à de vrais cours théoriques genre, cours d'unniversités, etc... je suis aussi preneur car j'aime bien comprendre à 100% ce que je fais.
(p.s. : je connais très bien l'adresse de Google, pas de souci. Merci.) ;-)

Salutations,
HP

[edit]2009-12-16@21h28 GMT+08:00 - Rectification erreur copié-collé dans schéma2.2 : le serveur n'était pas en DMZ côté WAN...[/edit]
HP77
Contre-Amiral
Contre-Amiral
 
Messages: 491
Inscrit le: 25 Nov 2009 06:44
Localisation: Singapour

Messagepar HP77 » 16 Déc 2009 15:47

Bonsoir,

Je viens de publier un retour d'expérience au sujet d'un problème de bonding sur le fil suivant : SME 7.4 + contrib ddclient = interface bond0 !!?

Conclusion : mon schéma n°1 est mauvais et à éviter !!


Je pense refaire mon système avec le mon schéma n°2.2 (voir le post ci-dessus).

Est-ce que quelqu'un y voit un nouveau problème caché ou potentiel comme avec le bonding ?
(Ma crainte allant cette fois-ci vers un éventuel double routage ou un truc du genre...)


Merci d'avance pour votre éventuel retour d'info.


Sincères salutations,
HP
HP77
Contre-Amiral
Contre-Amiral
 
Messages: 491
Inscrit le: 25 Nov 2009 06:44
Localisation: Singapour

Messagepar jdh » 16 Déc 2009 22:33

J'ai décris un schéma sur et simple mais il y a proposition d'autres schémas :


* Internet <-> box <-> réseau 1

Les PC dans ce réseau 1 peuvent faire n'importe quoi puisque la box n'est pas un firewall mais seulement un routeur NAT : le traffic sortant n'est pas filtré (et c'est une erreur).

Mettre une SME configuré en DMZ ne règle rien.
Pourquoi y aurait-il besoin d'un VPN pour accéder aux ressources du LAN ou à ce qu'offre SME au LAN, alors qu'on est seulement du mauvais côté ?


* Internet <-> box <-> (Wan) SME (Lan) <-> réseau 1

Il y a là un contrôle possible du trafic sortant au niveau du script firewall de la SME (server+gateway).

* wifi : accès via la box versus accès via un AP interne.

Accéder à la box en wifi place le pc du mauvais côté (comme les pc fixes). Difficulté accrue : il n'est pas possible de définir précisément le cryptage, au mieux on pourra changer la clé.

Utiliser un simple Access-Point dans le réseau interne n'est certes pas idéal. Mais SME ne gère que Wan et Lan ! Cependant en faisant ce choix, on peut avoir une sécurité acceptable si on se discipline :
- cryptage WPA+AES : il faut désormais éviter TKIP qui pourrait tomber dans quelques temps (on en est encore loin),
- clé suffisamment longue et complexe,
- changement de clé régulier,
- coût économique d'un Access-Point en choisissant une Fonera,
- économie d'un switch si on a 3 pc seulement.

Pour moi c'est un schéma KISS : Keep It Simple and Stupid, et par voie de conséquence efficace.
C
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar HP77 » 18 Déc 2009 05:32

(Re-)
Bonjour,

jdh a écrit:J'ai décris un schéma sur et simple mais il y a proposition d'autres schémas

Je t'en remercie JDH et je suis désolé si j'ai donné l'impression de ne pas prêter attention à l'avis sollicité.
J'étais tellement absorbé par cette affaire de réseau à la maison depuis plusieurs semaines, les contraintes imposées par le propriétaire de la pièce que je loue... et la fatigue aidant... :oops:

Cela dit, je m'étais justifié à propos de mon "obstination" sur mon premier schéma. D'autant plus que tu évoquais plus des difficultés (= pour moi, quelque chose à faire en plus) que des problèmes (comme ceux que j'ai rencontré avec mon affaire de "bonding" intempestif.)
Maintenant, je reconnais aussi que j'ai tendance à faire du texte à rallonge, je m'en excuse, mais souvent les détails fournis ne sont pas suffisants...

Donc, toutes mes excuses.


Autrement, personnellement, j'ai une préférence pour ce schéma :
* Internet <-> modem <-> SME <-> réseau 1
(Les "box" sont trop souvent mystérieuses et surtout difficile à maîtriser pour des raisons liées aux fabricants et FAI qui les exploitent, surtout les "customisées" pour FAI.)
Mais je perds la téléphonie de "mon" proprio si je fais ça... :roll:


Mainenant, j'ai adopté le mon schéma n°2.2 où :
- La "box" fonctionne en routeur
- La machine SME est dans la DMZ de la "box" (fonctions web, ftp, mail, etc... requises)
- Le Wi-Fi est à la charge de la "box" (donc, je ne m'en ocupe plus, c'est le proprio qui gère...)
- Les PC fixes sont dans le LAN_SME
- Tous les autres accès au LAN via Internet ou Wi-Fi se feront par VPN


jdh a écrit:Les PC dans ce réseau 1 peuvent faire n'importe quoi puisque la box n'est pas un firewall mais seulement un routeur NAT : le traffic sortant n'est pas filtré (et c'est une erreur).

Dans mon cas, cela reste encore à vérifier, chez "2wire" ils ont l'air d'avoir réellement incorporé un firewall et c'est cette cochonnerie de système en partie "auto-adaptatif" qui met parfois la pagaille entre SME et Internet (d'où ma grande préférence pour un simple modem xDSL...).

jdh a écrit:Accéder à la box en wifi place le pc du mauvais côté (comme les pc fixes). Difficulté accrue : il n'est pas possible de définir précisément le cryptage, au mieux on pourra changer la clé.

Ici, tu fais référence à mon schéma n°1 (que j'ai maintenant abandonné pour la vesion 2.2), dans ce cas, je suis d'accord.

jdh a écrit:Utiliser un simple Access-Point dans le réseau interne n'est certes pas idéal. Mais SME ne gère que Wan et Lan ! Cependant en faisant ce choix, on peut avoir une sécurité acceptable si on se discipline :
- cryptage WPA+AES : il faut désormais éviter TKIP qui pourrait tomber dans quelques temps (on en est encore loin),
- clé suffisamment longue et complexe,
- changement de clé régulier,
- coût économique d'un Access-Point en choisissant une Fonera,
- économie d'un switch si on a 3 pc seulement.

Pour moi c'est un schéma KISS : Keep It Simple and Stupid, et par voie de conséquence efficace.
C


TKIP = à éviter : je suis d'accord !
Cela m'avait paru bien trop léger en comparaison du seul autre choix : WPA2(personal)+AES.

Je te remercie pour l'info sur 'Fonera', je ne connaissais pas cette solution mais, pour l'aspect "hot-spot" gratuit, je ne l'activerais jamais s'il le traffic transite par mon LAN.
Pour finir, qu'en serait-il, en France si un petit malin uilisait cette solution pour télécharger des fichiers répertoriés comme illégaux en utilisant l'accès Internet de chez mes parents ?
(coupure de l'accès mais compte bancaire débité tous les mois quand même ..?)

Bon, je vais me documenter un peu plus... :wink:


Maintenant, s'il n'y a rien à redire et compte tenu des précisions ajoutées concernant l'usage que je souhaite faire :
- Connection Internet via la "box"
- Serveur web, mail, ftp, vpn, etc... en "direct" (DMZde la "box") depuis Internet
- Wi-Fi via la "box" pour accéder à Internet seulement
- Accès au LAN de SME par câble réseau exclusivement sinon, VPN obligatoire
Peut-on dire que la principale source de souci est maintenant "entre" le clavier et l'écran des PC de la où j'habite (oublie de changement de clefs Wi-Fi compris) ?


Salutations sincères,
HP
HP77
Contre-Amiral
Contre-Amiral
 
Messages: 491
Inscrit le: 25 Nov 2009 06:44
Localisation: Singapour

Messagepar jdh » 18 Déc 2009 22:27

Moi je ne comprends pas ce schéma 2.2

D'abord le VPN fournira des adresses FORCEMENT différentes du LAN interne.
Quel est l'intérêt d'installer un VPN (avec toutes les difficultés que cela signifie) alors qu'il suffirait de se brancher juste 50 cm plus loin ?

Une box n'est pas un firewall (n'en déplaise au marqueteux) : c'est un routeur NAT : le trafic sortant n'est pas filtré, seul le trafic entrant dépend d'une éventuelle règle (sans compter que ces règles ne parlent généralement que de tcp et udp !).

Qu'est ce qui est plus dangereux :
- des PC placés derrière une box,
- ou des PC se connectant à un Access-Point disposant d'un cryptage non réputé cassable et qui est situé derrière un vrai firewall pouvant filter le flux sortant ?

Pour moi il est clair qu'il faut toujours éviter les schémas compliqués.

En général pour faire un Access-Point, on utilise un routeur wifi dont on N'utilise PAS le port WAN, cela fait déjà un petit switch 3 ports pour les PC en ethernet : il y a un switch 4 ports mais la patte Lan de SME en utilisera un.
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar HP77 » 19 Déc 2009 05:54

Bonjour JDH,

Je te remercie pour ta réponse et le temps que tu consacres à ma problématique.

jdh a écrit:Moi je ne comprends pas ce schéma 2.2

Après lecture et réflexion sur ta réponse, je suppose que tu veux dire :
" Pourquoi, sacrebleu, coller l'accès Wi-Fi du côté "WAN" de SME et non pas du côté LAN ? "

Si nous sommes d'accord et selon tes dires, je crois comprendre que, en temps normal (pour un particulier), le schéma à adopter pourrait ressembler plutôt à celui-ci :
Code: Tout sélectionner
Schéma 3.1:


{Web}---["box"]---{WLAN_"box" = OFF}
        ["box"]---{ LAN_"box"}
        ["box"]---{ DMZ_"box" ; @IP= publique Internet}

{ DMZ_"box"; @IP=publique Internet}---[SME 7.4]---{ LAN_SME} *
                                      [SME 7.4]---{ VPN_SME ; @IP=192.168.???.x} ****

{ WAN_Routeur = NON CONNECTE}---[Routeur]---{ LAN_Routeur} **
                                [Routeur]---{WLAN_Routeur}

{WLAN_Routeur}---[PC via Wi-Fi à la maison (accès à Internet et LAN_SME)]

{ LAN_Routeur}---{LAN_SME}

{ LAN_Routeur}---[PC fixes locaux]

{ VPN_SME}---[PC distants (accès au LAN_SME depuis n'importe où)]





Notation adoptée:
{blablabla}   = réseau "blablabla" qui peut être l'un de ces termes : Internet, LAN, WAN, WLAN, ...
[machinchose] = équipement réseau "machinchose".
---           = liaison, physique (câble) ou sans fil (Wi-Fi).


Configuration "BOX":
- Mode= Routeur / Passerelle, etc...  = NON Bridge ;
- Wi-Fi= OFF ;
- DMZ=   ON ;
- LAN=   Ne pas tenir compte car rien ne devrait être branché dessus après avoir revu la configuration, si nécessaire. Seul le serveur SME sera connecté à la "box" pour bénéficier de la DMZ.


Configuration SME:
- Mode= 'Server & Gateway' ;
- @IP_SME_côté_WAN= @IP publique Internet fournie par la DMZ de la "box" ;
- @IP_SME_côté_LAN= 192.168.3.w (exemple : 'w' = 2) ;
- DHCP=OFF (ce n'est pas SME qui fourni les @IP au réseau local).


Configuration du ROUTEUR: (genre Cisco XYZ-54G ??)
- Mode= Point d'Accès entre WLAN (WiFi) et LAN seulement (Routage seulement entre LAN et WLAN) ;
- @IP_Routeur_côté_WAN= Non Définie ! (car inteface non connectée) *** ;
- @IP_Routeur_côté_LAN= 192.168.3.1 ;
- DHCP=ON ; Plage @IP=192.168.3.x  à  192.168.3.y  (où les vqleurs co;prises entre 'x' et 'y' ne couvrent pas l'adresse IP du serveur SME ni du Routeur. (exemple: x=100 et y=200)).


*    DHCP=OFF sur SME car ce n'est pas SME qui fourni les @IP au réseau local.
**   Routeur "WiFi+LAN" utilisé en tant que "Access-Point". (= Routage seulement entre l'interface LAN (= switch intégré) et le Wi-Fi du Routeur. Routage avec l'interface "WAN" du routeur non utilisé.)
***  Certains routeurs "n'aiment" pas ça du tout : le réseau devient instable et les machines injoignables - Expérimenté il y a 5 ans avec un Cisco WRT-54G de l'époque)
**** pour le VPN, il y a des "???" dans l'adresse du sous-réseau car dépend fortment de la solution VPN adoptée (certaines sources d'infos disent "même sous-réseau que le LAN" et d'autres sources disent "sous-réseau différent" ! ...)


REMARQUES:
- Ici, la "box" pourrait être remplacée (vivement recommandé) par un simple modem (A)DSL.
- J'ai conservé la "box" dans le schéma uniquement à cause de la téléphonie...
- Pour le routeur, bien se renseigner sur l'option 'Access-Point' avant d'acheter.
- Concernant le VPN, c'est totalement optionnel. Je l'ai indiqué quand-même (finallement) car c'est une option que je souhaite ajouter et, qui peut le plus, peu le moins...
(Schéma 3.1)

Sommes-nous toujours d'accord ?
(J'espère que oui car j'ai détaillé de manière à permettre à d'autres lecteurs d'exploiter ce schéma pour chez eux :wink: )


Dans mon cas de figure uniquement, étant locataire vivant sous le même toit que le propriétaire (en Asie, c'est presque inévitable quand les finances sont limitées) :
- Le serveur SME est ma propriété privée exclusive ;
- La "box" appartient au propriétaire des lieux qui "tolère", moyennant finances, la présence de mon serveur sur la "box".
- Le Wi-Fi doit rester sur la "Box" car je ne veux pas d'éventuelles interférences sur SME avec la famille de passage chez le "proprio".

Donc, mon problème actuel semble résolu sur le point de vue de la configuration matérielle. Bien sûr, si l'idée (déplaisante à mon goût) me vient d'ajouter le Wi-Fi sur mon LAN_SME, j'ajouterais un routeur LAN<->WLAN avec un WLAN dédié à mon usage. :wink:

Bon, maintenant, il ne me reste plus qu'à passer au VPN... (c'est là que ça va faire mal :cry: ) :wink:

jdh a écrit:D'abord le VPN fournira des adresses FORCEMENT différentes du LAN interne.

Que veux-tu dire par là ?
1. Sous-réseau différent
2. Même sous-réseau mais plages DHCP différentes comme avec [url=http:///]cette "contrib" OpenVPN[/url] qui n'utilise pas PHPki ?

jdh a écrit:Quel est l'intérêt d'installer un VPN (avec toutes les difficultés que cela signifie) alors qu'il suffirait de se brancher juste 50 cm plus loin ?

Toujours personnellement, j'ai besoin d'avoir accès à certains documents stockés à la maison, soit sur le serveur SME soit sur le PC fixe qui serait resté allumé pour terminer un traitement long comme cela arrive avec de la vidéo (ne veut pas dire forcément télécharger un DVD de 4Go et+ via le VPN, faudrait vraiment y tenir beaucoup... :roll: ) ou bien à cause d'une opération de backup inachevée avant de partir pour le boulot mais, le plus souvent, car j'ai besoin de récupérer un environnement et des fichiers de compilation suite à des tests à la maison... :P
(Là, je pense exploiter à fond les possibilités de profiles itinérants mais un débat pourra être ouvert dans un autre fil de discussion :wink: )

jdh a écrit:Une box n'est pas un firewall (n'en déplaise au marqueteux) : c'est un routeur NAT : le trafic sortant n'est pas filtré, seul le trafic entrant dépend d'une éventuelle règle (sans compter que ces règles ne parlent généralement que de tcp et udp !).

Je vais essayer d'en savoir un peu plus sur "ma" "box" car ce que tu dis est bien vrai et je suis moi-même un peu surpris que "ma" "box" "prétende" vraiment faire firewall avec rapports sur tentatives d'intrusions et blocages de traffic non sollicité (probalement entrant, uniquement, comme tu l'a mentionné).

jdh a écrit:Qu'est ce qui est plus dangereux :
- des PC placés derrière une box,
- ou des PC se connectant à un Access-Point disposant d'un cryptage non réputé cassable et qui est situé derrière un vrai firewall pouvant filter le flux sortant ?

Juste pour répondre : la première option, bien sûr !
Une "box" à des capacités bien trop limitées en comparaison des solutions/équipements dédiés/spécialisés.

jdh a écrit:Pour moi il est clair qu'il faut toujours éviter les schémas compliqués.

S'il n'y avait que les schémas dans la vie... :wink: :lol:

jdh a écrit:En général pour faire un Access-Point, on utilise un routeur wifi dont on N'utilise PAS le port WAN, cela fait déjà un petit switch 3 ports pour les PC en ethernet : il y a un switch 4 ports mais la patte Lan de SME en utilisera un.

Là, je serais curieux de connaître précisément tous les détails/caratéristiques essentiel(le)s pour éviter de rencontrer les mêmes soucis que j'ai eu dans le passé (en 2004-2005) avec un routeur Cisco WRT-54G de premières générations flambant neuf.
(je raconterais bien ma petite histoire pour partager mon (in)expérience, mais dans un fil de discussion dédié dont j'ajouterais le lien ici pour ne pas brouiller celui en cours :wink: ).

Eventuellement, si tu peux citer quelques modèles (et leur versions) que tu aurais déjà fait fonctionner de la sorte et sans encombre, cela pourrait sûrement re-servir à d'autres lecteurs (dont moi :P )...


Sur ce, bon samedi !

Salutations,
HP
HP77
Contre-Amiral
Contre-Amiral
 
Messages: 491
Inscrit le: 25 Nov 2009 06:44
Localisation: Singapour

Messagepar jdh » 19 Déc 2009 08:58

Evidemment, si des éléments importants pour la compréhension manquent :

"continuer à bénéficier du Wi-Fi fourni par la "box" car je ne peux pas installer de point d'accès"
ne peut pas être compris comme "étant locataire vivant sous le même toit que le propriétaire".

La box appartient au propriétaire qui autorise néanmoins que la SME du locataire soit connectée en RJ.


Quelques éléments de réflexion :

* La contrib OpenVPN pour SME est (contrairement à ce que je ferais) en mode bridge : les ip fournies aux roadwarrior sont des ip du réseau LAN, du coup les pc extérieurs deviennent "comme" des pc intérieurs.

* 2 routeurs wifi :
Aucune difficulté : perso, j'ai 3 sources wifi dans mon appartement (box+routeur+fonera), et je vois au moins une dizaine d'autres sources (les autres habitants de l'immeuble). On peut même avoir plusieurs routeurs sur le même canal. En fait si on veut que plusieurs routeurs ne se gênent pas, il ne faudrait utiliser que les canaux 1, 5 et 11 : la largeur utilisée "déborde" sur les canaux voisins, d'où seulement 3 bandes réellement distinctes ! D'où l'intérêt du SSID !

* routeur wifi en access-point :
J'ai un (vieux) WRT54G. Il dispose d'un port Wan, de 4 ports Lan et de 2 antennes wifi qui envoient le même signal. En fait les 4 Lan et le Wifi qui sont "bridgés" forment donc qu'un seul réseau. Mon Lan contient un pc/firewall d'adresse 192.168.2.1/24 fournissant DHCP et DNS. Pour le WRT54G, j'ai donc configuré Lan=192.168.2.254/24, Wan=192.168.90.254/24, passerelle 192.168.90.1, DHCP désactivé : la partie Wan ne correspond donc à rien et c'est fait pour ! Il est alors vu comme un simple Access-Point !

* Box (ou routeur) comportant un firewall :
Une box (ou un routeur d'accès Internet) est à la base un routeur NAT : une interface comporte une adresse ip publique et une autre interface comporte une ip privée à laquelle est relié tous les PC internes. D'un, la box ou le routeur doit convertir l'ip source quand le trafic part vers Internet (remplacement ip source par l'ip publique), c'est le NAT. De deux, le trafic retour subit le remplacement inverse : il est repéré en maintenant une table de "sessions". De trois, le trafic entrant ne correpondant pas à une "session" peut être redirigé vers une machine interne grâce à une règle "de renvoi".

Même s'il y a un suivi de sessions, je n'appelle pas ça un firewall : il faudrait pouvoir filtrer le trafic Lan vers Internet, autoriser en trafic entrant avec plus de protocoles (pas seulement tcp/udp), changer de port le trafic entrant, suivre les trafics entrants qui change de ports (p.e. ftp), ...

* DMZ des box :
La dmz des box est, en fait, une destination pour tous les trafics entrant (sauf ceux spécifiquement décrit par les renvois de ports ?).

C'est donc sympa de la part du propriétaire de se priver de cette dmz ! !


* Les pc du propriétaire ne font pas partie de votre réseau !
Pour VOS pc en wifi, je maintiens qu'il serait judicieux de disposer de votre propre Access-Point.
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar HP77 » 19 Déc 2009 14:28

Bonsoir JDH,

Merci de m'avoir répondu avec tant de précisions. :D

jdh a écrit:Evidemment, si des éléments importants pour la compréhension manquent :

"continuer à bénéficier du Wi-Fi fourni par la "box" car je ne peux pas installer de point d'accès"
ne peut pas être compris comme "étant locataire vivant sous le même toit que le propriétaire".

Désolé, je n'avais pas jugé nécessaire de préciser davantage le pourquoi de cette contrainte faisant que l'installation d'un point d'accès était inpensable dans ma situation.

jdh a écrit:La box appartient au propriétaire qui autorise néanmoins que la SME du locataire soit connectée en RJ.

En espérant que sa manie de virer à la poubelle tout ce qu'il juge inutile ne le prenne pas subitement en posant les yeux sur le serveur... :roll:

jdh a écrit:Quelques éléments de réflexion :

* La contrib OpenVPN pour SME est (contrairement à ce que je ferais) en mode bridge : les ip fournies aux roadwarrior sont des ip du réseau LAN, du coup les pc extérieurs deviennent "comme" des pc intérieurs.

A éviter ?!?
Peux-tu développer davantage car je trouvais, au contraire de ta pensée, cela plutôt sympa... ?
J'essaye d'imaginer certaines raisons techniques par rapport au critère de sécurité mais s'il y a routage entre deux sous-réseau différents, cela n'empêchera probablement pas une machine infectée par un vers de polluer l'ensemble du LAN. Non ??
Autrement, suggères-tu un mode "tun" pour tunnel (je me base sur ce que j'ai cru appercevoir dans le fichier de configuration de OpenVPN GUI...) ?

jdh a écrit:* 2 routeurs wifi :
Aucune difficulté : perso, j'ai 3 sources wifi dans mon appartement (box+routeur+fonera), et je vois au moins une dizaine d'autres sources (les autres habitants de l'immeuble). On peut même avoir plusieurs routeurs sur le même canal. En fait si on veut que plusieurs routeurs ne se gênent pas, il ne faudrait utiliser que les canaux 1, 5 et 11 : la largeur utilisée "déborde" sur les canaux voisins, d'où seulement 3 bandes réellement distinctes ! D'où l'intérêt du SSID !

Yum yum !! Les micro-ondes à la maison, fini les pizzas qui refroidissent dans le carton. :P :wink:
C'est quand même curieux cette histoire de largeur de bandes qui se recoupent au point de répartir les cannaux comme décrit.
Y aurait-il une mauvaise conception faisant que les fréquences intermédiaires (au fait, c'est de la MF ? je supppose) aient des harmoniques se répétant avec tant de puissance au point d'atténuer le signal des bandes voisines ?
(dans ce cas, je vais peut-être pouvoir solutionner mon problème de Bluetooth en simultanné avec le Wi-Fi sur le portable du boulot, un Toshiba Portégé 800. :? à moins que la même antenne soit utilisée pour les deux solutions travaillant dans le 2,4GHz... :roll: )

jdh a écrit:* routeur wifi en access-point :
J'ai un (vieux) WRT54G. Il dispose d'un port Wan, de 4 ports Lan et de 2 antennes wifi qui envoient le même signal. En fait les 4 Lan et le Wifi qui sont "bridgés" forment donc qu'un seul réseau. Mon Lan contient un pc/firewall d'adresse 192.168.2.1/24 fournissant DHCP et DNS. Pour le WRT54G, j'ai donc configuré Lan=192.168.2.254/24, Wan=192.168.90.254/24, passerelle 192.168.90.1, DHCP désactivé : la partie Wan ne correspond donc à rien et c'est fait pour ! Il est alors vu comme un simple Access-Point !

Merci pour le tuyau! :D
Je tenterais ça dès que je serais de retour en France. :wink:

jdh a écrit:* Box (ou routeur) comportant un firewall :
Une box (ou un routeur d'accès Internet) est à la base un routeur NAT : une interface comporte une adresse ip publique et une autre interface comporte une ip privée à laquelle est relié tous les PC internes. D'un, la box ou le routeur doit convertir l'ip source quand le trafic part vers Internet (remplacement ip source par l'ip publique), c'est le NAT. De deux, le trafic retour subit le remplacement inverse : il est repéré en maintenant une table de "sessions". De trois, le trafic entrant ne correpondant pas à une "session" peut être redirigé vers une machine interne grâce à une règle "de renvoi".

Même s'il y a un suivi de sessions, je n'appelle pas ça un firewall : il faudrait pouvoir filtrer le trafic Lan vers Internet, autoriser en trafic entrant avec plus de protocoles (pas seulement tcp/udp), changer de port le trafic entrant, suivre les trafics entrants qui change de ports (p.e. ftp), ...

:D
Ca met en appétit tout ça ! Que suggèrerais-tu comme mots clefs pour que Google me serve un festin d'infos en la matière ?

jdh a écrit:* DMZ des box :
La dmz des box est, en fait, une destination pour tous les trafics entrant (sauf ceux spécifiquement décrit par les renvois de ports ?).

C'est donc sympa de la part du propriétaire de se priver de cette dmz ! !

Oui, très sympa même ! :P
S'il savait que cela pouvait exister, j'aurais bien plus de soucis encore, je crois. :wink:

jdh a écrit:* Les pc du propriétaire ne font pas partie de votre réseau !
Pour VOS pc en wifi, je maintiens qu'il serait judicieux de disposer de votre propre Access-Point.

Oups, j'ai tutoyé !
Les habitudes commencent à changer car ici, le "vous" de politesse s'est perdu avec l'usage de l'anglais... Sorry!
Là, je ne vois pas trop pourquoi excepté, peut-être, pour bénéficier d'un débit accru entre le PC portable et SME sur le LAN (si j'utilise le VPN, ça fait des choses en plus dans la communication donc, de la place en moins pour les données. Is it ?).

Bon, finalement, en repensant au fonctionnement interne de la "Box", je me dis que SME doit en faire au moins autant avec la translation d'adresses pour que les machines présentent sur son LAN échangent des données "avec" Internet.
Cela ressemble donc à un double routage mais j'imagine facilement que les choses doivent se reproduire plusieurs fois entre mon PC à la maison et un PC ou serveur situé n'importe où dans le Monde.
Alors, j'aimerais savoir qu'est-ce qui se passe quand on dit qu'il y a double routage/translation d'adresses et que cela fait qu'au final : soit le réseau ne fonctionne pas du tout ou bien ça fonctionne quelques temps et après ça devient du pure délire... (=machines visibles sur le LAN mais non accessibles ou "pingables", machines invisibles mais partages réseaux fonctionnent à sens unique, etc..., etc...) ??


Bon, là, ça sent à plein nez le hors sujet du fil de discussion du départ mais, comme le fait de mettre le serveur SME en DMZ de la "box" suffit à simplifier et solutionner bien des choses ..., on va dire que l'on change de sujet, juste pour compléter les connaissances qui justifient le choix de cette solution (je rappelle : SME dans DMZ de la "box").

Sur ce :
- Bien Merci à toi / vous JDH ! :D
- J'attends la suite de ce partage de connaissance avec impatience !! :D :D :D :wink:

Bonne soirée !

Sincères salutations,
HP
HP77
Contre-Amiral
Contre-Amiral
 
Messages: 491
Inscrit le: 25 Nov 2009 06:44
Localisation: Singapour

Re: SME 7.4 + Box ''2wire''

Messagepar schlagg » 21 Déc 2009 11:41

bonjour,

HP77 a écrit:- conserver la "box" du FAI en mode routeur sinon, plus de téléphone (...)


tu es sûr de ça??

j'ai une freebox dont le mode routeur est désactivé et je peux toujours me servir de la téléphonie IP ...
schlagg
Enseigne de vaisseau
Enseigne de vaisseau
 
Messages: 138
Inscrit le: 20 Juin 2007 15:56

Re: SME 7.4 + Box ''2wire''

Messagepar HP77 » 21 Déc 2009 14:19

Bonsoir,

schlagg a écrit:bonjour,
HP77 a écrit:- conserver la "box" du FAI en mode routeur sinon, plus de téléphone (...)


tu es sûr de ça??

j'ai une freebox dont le mode routeur est désactivé et je peux toujours me servir de la téléphonie IP ...

Malheureusement, oui. J'aivais vérifié et il s'agit d'un système VOIP ou équivalent.
La "box" 2wire permet même de gérer une seconde ligne téléphonique (cf. une page de configuration ad hoc), à condition de payer pour obtenir les paramètres de configuration de celle-ci (création du numéro, etc...).

Mercie quand même. :wink:


Salutations,
HP
HP77
Contre-Amiral
Contre-Amiral
 
Messages: 491
Inscrit le: 25 Nov 2009 06:44
Localisation: Singapour

Messagepar jibe » 22 Déc 2009 02:28

Salut,

Payer pour la seconde ligne, ou même pour la première ?

C'est peut-être à regarder de près ! Je ne me suis jamais penché sur le problème, et je vais peut-être dire des co... bêtises, mais je ne suis pas tout à fait certain que le fait (je confirme) que ça fonctionne avec la FreeBox soit dû uniquement au fait que la téléphonie Free est une vraie téléphonie SIP utilisable même sans FreeBox.

Lorsque la FreeBox n'est pas configurée en routeur, elle se comporte un peu comme... un routeur qui n'aurait qu'une DMZ et pas de sortie LAN. Je ne vois pas pourquoi d'autres box ne pourraient pas faire quelque chose de similaire, et orienter tout ce qui concerne la téléphonie sur la prise RJ11, et tout le reste sur la sortie Ethernet. On aurait ainsi un pseudo-bridge tout en conservant la téléphonie...

Je répète : à vérifier. Je n'ai aucune compétence et quasiment aucune connaissance en ce qui concerne les *box. Just my 2 cents...
"Le monde ne sera pas détruit par ceux qui font le mal, mais par ceux qui les regardent sans rien faire" (Albert Einstein)

Autrefois, l'Etat défendait des valeurs. Maintenant, il défend des profits... (Anne Haunnime)
Avatar de l’utilisateur
jibe
Amiral
Amiral
 
Messages: 4366
Inscrit le: 17 Oct 2003 00:00
Localisation: Haute Savoie


Retour vers E-Smith / SME Server

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité