IPCop et Domaine Windows 2003

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

IPCop et Domaine Windows 2003

Messagepar Chtonk » 18 Fév 2009 14:15

Bonjour à toutes et tous,

J'ai récemment installé un IPCop. Toutefois, j'ai une configuration un peu particulière :

red---------IPCOP-------green--------LAN 1(srv1)-------liaison VPN Oléane------LAN2(SBS)


le LAN1 est en 192.168.40.0/24 et le LAN2 est en 192.168.30.0/24

LAN1 :
IP green = 192.168.40.1
IP LAN routeur Oléane : 192.168.40.254
IP SRV1 = 192.168.40.200

LAN2 :
IP Lan Routeur Oléane : 192.168.30.253
IP SBS = 192.168.30.100

Ensuite, SRV1 est un contrôleur de domaine rattaché au domaine du SBS. Dessus, j'ai configuré un apache (qui me sert de proxy vers mon SBS) et un serveur de messagerie tampon avec mon SBS (qui me sert également de proxy vers mon SBS).

Sur SRV1, qui fait office de serveur DNS et DHCP, j'ai configuré les options du serveur DHCP de manière à ce que tous mes clients aient green comme passerelle. SRV1

Pour que mes clients puissent contacter malgré tout le SBS, j'ai du intégrer sur la patte green une route statique (route add -net 192.168.30.0 netmask 255.255.255.0 gw 192.168.40.254) (selon http://koolbeans.wordpress.com/2007/06/21/static-routes-on-ipcop-and-add-to-startup/).

Normalement, jusque là, tout me semble correct dans la configuration.

Tous mes postes clients, lorsque je les démarre, reçoivent correctement la configuration IP. Ils peuvent sans problème naviguer sur le net, etc...

Mon problème se situe au niveau du domaine windows :
Autant ils peuvent pinger le SBS (ping sbs et traceroute sbs me donne de bons résultats), autant tout ce qui est Active Directory (accès, vérification, exécution des scripts d'ouverture de session, accès aux lecteurs partagés, etc...) ne fonctionne pas.

Le simple fait de remettre la passerelle IP Routeur Oléane (192.168.40.254) sur tous les postes a permi de résoudre ce problème.

Avez vous une idée ? Ai-je raté quelque chose dans la configuration ?

Merci pour toute suggestion !

Cordialement,

Guillaume

[/url]
Chtonk
Matelot
Matelot
 
Messages: 5
Inscrit le: 17 Déc 2008 18:45

Messagepar jdh » 18 Fév 2009 16:22

La réponse est dans le newbie kit : WINS.


L'utilisation de nom au lieu d'adresse ip fait appel à une résolution de noms Netbios qui ne s'appuie que mal sur dns. D'où WINS : le serveur distant peut être serveur WINS, et il doit être indiqué comme tel aux clients DHCP.
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar Chtonk » 18 Fév 2009 18:58

Bonsoir,

et merci pour la réponse.

jdh a écrit:La réponse est dans le newbie kit : WINS.


L'utilisation de nom au lieu d'adresse ip fait appel à une résolution de noms Netbios qui ne s'appuie que mal sur dns. D'où WINS : le serveur distant peut être serveur WINS, et il doit être indiqué comme tel aux clients DHCP.


Oui. En fait, mon SRV1 est également serveur WINS et se réplique avec mon SBS. Et dans la config du serveur DHCP, c'est SRV1 (son IP) qui est précisé. Et donc, je devrais être bon.

C'est pour ça que je ne vois pas pourquoi ça marche pas.

Cordialement,

Guillaume
Chtonk
Matelot
Matelot
 
Messages: 5
Inscrit le: 17 Déc 2008 18:45

Messagepar falcom » 24 Déc 2009 18:24

Bonsoir,

Je m'insère dans ce topic pour éviter d'en creer un.

J'ai une machine sous ipcop, un serveur de domaine 2003.

Ipcop fait le dhcp.

Seulement aujourd'hui j'ai décider de remettre a plat le serveur 2003. J'ai donc créer le domaine, par défaut il a remis un serveur DNS.

Seulement impossible au machine cliente de se connecter.

Aussi quelle est la bonne démarche:

- dhcp sur ipcop ou serveur 2003??
- faut il une ip fixe au serveur, et en dns, seulement son adresse ip??
- pour le dns sur le serveur 2003, faut il rajouter redirection vers ipcop ??

Merci d'avance de vos réponses
falcom
Second Maître
Second Maître
 
Messages: 37
Inscrit le: 16 Mars 2005 13:29

Messagepar jdh » 24 Déc 2009 18:56

Je prends le problème sous l'angle suivant :

- sur un réseau local, il y a besoin d'un serveur dhcp,
- il y a aussi besoin d'un serveur dns qui fournit les ip de chaque machine,
- pour les serveurs, routeurs, imprimantes, je peux les définir dans le dns (notamment parce qu'ils ont une ip fixes),
- pour les machines en dhcp, je veux que le dhcp mette à jour le dns.

- pour un domaine Windows, il FAUT un domaine (dns).


En suivant ce raisonnement, et en considérant que le dhcp et le dns du serveur windows fonctionne bien "de suite" (mise à jour auto du dns), j'arrive à la conclusion que le mieux c'est que le serveur windows soit dns et dhcp.

Bien evidemment, le forwarder dns sera l'ipcop en 1, et en 2 les dns du fai.
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar falcom » 25 Déc 2009 13:11

Bonjour,

bizarrement avant la réinstalle du serveur tout marchait.

Le réseau est fait comme suit:

Livebox ----> Ipcop ----> switch ----> serveur

en gros je touche pas a l'ipcop. je vire juste le dhcp.

Je remet le dhcp sur le serveur 2003, je redirige le dns vers l'ipcop.

Mais pourquoi mettre le dns fai sur le serveur 2003, vu qu'il faut qu'il passe par l'ipcop pour le net??
falcom
Second Maître
Second Maître
 
Messages: 37
Inscrit le: 16 Mars 2005 13:29

Messagepar jdh » 25 Déc 2009 13:24

Bien evidemment, le forwarder dns sera l'ipcop en 1, et en 2 les dns du fai.


Les dns du fai ne sont pas (absolument) nécessaires en effet (sauf si le service dns forwarder d'ipcop tombe !).

NB : Avec une Livebox, il est NECESSAIRE que le dns fourni par la Livebox soit utilisé, notamment pour accéder aux serveurs Orange/Wanadoo.

NB : Une raison supplémentaire pour utiliser le dns de Windows, c'est que le dns "produit" par Windows comporte pas mal de sous-domaine qui peuvent être utilisé entre un Windows Pro et le Windows serveur de domaine.
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar falcom » 26 Déc 2009 13:32

Bonjour,

Quelqu'un pourrait il m'indiquer la démarche pour avoir une structure cohérente. Avec ou sans ipcop et dans les deux cas avec livebox.

Sans ipcop, la livebox en non dhcp, le serveur 2003 en dhcp et redirection dns vers la livebox ???????

Avec ipcop, livebox en non dhcp, ipcop en non dhcp et pour le DNS ??????, le serveur 2003 en dhcp, et pour le DNS, je suis obliger de rediriger vers l'ipcop, car sinon il n'a pas d'acces a internet et donc au dns, non ????
falcom
Second Maître
Second Maître
 
Messages: 37
Inscrit le: 16 Mars 2005 13:29

Messagepar jdh » 26 Déc 2009 13:48

(Dois je comprendre que ce que j'écris, et que j'applique depuis longtemps dans de multiples entreprises, est incohérent ?)


La logique est qu'un serveur, qu'un routeur, qu'un firewall, qu'une imprimante, qu'un switch dispose d'une adresse ip fixe. Et que les PC ou portables soient en dhcp.

J'ajoute qu'une très bonne discipline consiste, à l'arrivée d'un nouveau matériel, à noter son adresse mac et insérer une réservation d'adresse ip dans le serveur dhcp. On a ainsi les avantages du dhcp avec l'organisation d'un adressage "pseudo"-fixe.


Avec un schéma :

Internet <-> Livebox <-> (Red) ipcop (Green) <-> réseau interne

il est très clair que la livebox ne doit pas fournir de dhcp, et que Red d'ipcop doit être configuré en statique. (Est-il besoin de rappeler que le réseau Red et Green doivent être différents ?). La logique de l'adressage, des gateway et du dns parait assez simple dans ce cas (élémentaire) ...


Concernant le réseau interne, je considère que le serveur windows contrôleur de domaine doit être serveur dhcp et dns. (Forcément il devra avoir comme forwarder ipcop qui lui même a la livebox comme dns).

Bon je ne vois pas ce que je rajoute à ce que j'ai déjà écrit : tout cela est assez logique et assez simple ...
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar falcom » 26 Déc 2009 14:02

Bonjour,

A aucun moment j'ai dis que vos indications était incohérente. Bien au contraire, je vous remercie de votre aide.

Juste que mon réseau est incohérent, et que je galère depuis des années en réseau, ça marche un temps et après plus rien, et des que je fais une modif, tout pete. En gros on m'a filer un serveur il y a 5 ans et démerde toi pour le faire fonctionner, j'ai réussit a le faire fonctionner derrière une livebox. L'informatique pour moi c'est juste un hobby, mais je n'ai aucune formation informatique a proprement parler.

J'ai rajouter ipcop il y un mois, pour filtrer certains site, tout fonctionnait. J'ai voulu remettre a plat le serveur 2003, ce que j'ai fait, mais cela ne fonctionne plus. Mon erreur a aussi été de ne pas noter le configuration avant la reinstallation.

Je demande juste des conseils pour avoir enfin un reseau cohérent et qui fonctionne.

Tout mettre en ip statique me pose des problèmes, car une fois que c'est fait , ça ne fonctionne pas a cause des dns que je suis infoutu de configurer correctement.


SI je conserve ipcop, derriere la livebox, est ce que je le laisse gérer les DNS ou non ???.

Pour le serveur 2003, comment je fais pour configurer correctement, sachant qu'il est sur l'interface verte derriere l'ipcop.
falcom
Second Maître
Second Maître
 
Messages: 37
Inscrit le: 16 Mars 2005 13:29

Messagepar jdh » 26 Déc 2009 14:28

Quelque chose qui fonctionne (et qui est logique) :


Internet <-> (tel) Livebox (eth) <-> (Red) ipcop (Green) <-> switch <-> Serveur windows + PC


Livebox : ip 192.168.2.1, masque 255.255.255.0, pas de dhcp, relais dns
ipcop (Red) : adressage statique : ip 192.168.2.10, masque 255.255.255.0, passerelle 192.168.2.1, dns 192.168.2.1
ipcop (Green) : ip 192.168.1.1, masque 255.255.255.0, pas de dhcp, relais dns
serveur Windows : ip 192.168.1.10, masque 255.255.255.0, passerelle 192.168.1.1, dns 192.168.1.1

Le dns devra avoir 192.168.1.1 comme forwarder (Redirecteurs).
Le dhcp, dans la range (Etendue) 192.168.1.0 exclura les adresses de .1 à .49 et de .100 à .254. Elle fournira
- 003 : routeur : 192.168.1.1 = Green d'ipcop
- 004 : srv temps : 192.168.1.10 = serveur
- 006 : dns : 192.168.1.10 = serveur
- 015 : domaine : xxxx.fr = le nom de domaine de la société = nom de domaine windows + .fr
- 044 : wins : 192.168.1.10 = serveur
- 046 : netbios : 0x8

Moi, je réduirais à 10 adresses ip le dhcp car les réservations n'ont pas besoin d'être dans les adresses disponibles (= peuvent être dans les adresses exclues).
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar falcom » 26 Déc 2009 20:11

Bonsoir,

Concernant la redirection dns sur le serveur 2003, dois je le renseigner dans l'interface réseau, ou dans le service DNS.

Est ce encore utile d'installer le service WINS??
falcom
Second Maître
Second Maître
 
Messages: 37
Inscrit le: 16 Mars 2005 13:29

Messagepar jdh » 26 Déc 2009 23:15

L'interface réseau du serveur windows utilisera 127.0.0.1 comme dns et le service dns aura bien comme redirecteur 192.168.1.1 = Green d'ipcop.

Wins reste utile si on fait du vpn (par exemple Zerina alias Openvpn).
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar falcom » 04 Jan 2010 20:59

Bonsoir,

Grand merci a jdh pour sa patience et ses indications.

Vu que je m'étais tellement amuser a enlever/remettre l'AD et le service DNS sur le serveur 2003, je l'ai encore remis a plat.

Sans ipcop, derriere la livebox, la mise en place de l'AD, dhcp et du dns se sont bien passer sur le serveur 2003 grace au indications de jdh

Apres j'ai voulu rajouter ipcop, mais ca n'as pas fonctionner, ipcop avait acces au net, mais pas les poste qui etait raccorder, pourtant les dns serveur 2003 pointait bien vers ipcop. Je n'ai pas pu aller tres loin dans mes investigations, car d'autres voulait bosser derriere.

Je précise que c'est une livebox pro, il me semble qu'en statique, j'avais deja eu des soucis pour ipcop.
falcom
Second Maître
Second Maître
 
Messages: 37
Inscrit le: 16 Mars 2005 13:29

Messagepar jdh » 05 Jan 2010 08:53

J'espère qu'il n'y a pas l'erreur du débutant MAINTES et MAINTES fois répétée : le réseau Green DOIT être DIFFERENT de Red !

Moi je vais arrêter parce que j'ai dit tout ce qu'il y a à dire, mais comme d'hab, les adressages n'ont pas été mentionnés alors que cela fait partie de la présentation NORMALE d'un problème.

Là cela ne fonctionne toujours mal, je suppose donc que l'erreur a été commise.

C'est lassant, nous nous ne sommes pas devant votre réseau !
C'est toujours pareil, à chaque fois que j'interviens, que je suis devant physiquement, je constate que ce qui semble évident ne vient pas à l'esprit et n'est pas communiqué. Et évidemment je mets 5 mn là où on y a passé des heures !

Quels sont les adressages Red et Green ?


(Et pourtant j'ai donné un exemple d'adressage correct ...)
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Suivant

Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité