Comment accéder à internet via 3 routeurs IPCOP ?

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Comment accéder à internet via 3 routeurs IPCOP ?

Messagepar Whaouu » 02 Fév 2010 16:26

Bonjour, à tous,

Je suppose que le titre du post n'est pas correcte du tout, mais je ne sais pas comment le formuler correctement. :(

Dans le cadre d'un test j'ai besoin de monter une configuration me permettant de simuler du routage.

Voilà un schéma de la configuration :

Image

J'utilise Virtualbox pour créer une partie de la configuration à savoir :

IPCop 2
IPCop 3
Le serveur : 192.168.1.1
La Machine : 192.168.1.2

J'ai paramétré une NAT sur le routeur "Ipcop 3" me permettant d'accéder à l'application hébergée sur le serveur 192.168.1.1

Ainsi qu'une route statique sur la machine "180.10.105.1" qui héberge l'application cliente :

route add 192.168.1.0 MASK 255.255.255.0 180.10.105.120

La route par défaut sur cette machine étant le routeur IpCop 1 en 180.10.105.254

C'est une configuration qui n'a rien d'exceptionnel et cela fonctionne bien.

Mon problème réside dans le fait que je désirerais avoir un accès internet avec les machines virtuelles en 192.168.1.0

Cela est-il possible ? Et dans l'affirmative comment faire ?

Merci d'avance pour vos conseils.
Whaouu
Matelot
Matelot
 
Messages: 7
Inscrit le: 02 Fév 2010 15:54

Messagepar jdh » 02 Fév 2010 21:40

C'est une configuration qui n'a rien d'exceptionnel et cela fonctionne bien.

Non ! Un tel schéma est forcément inutilisé en entreprise ! Parce qu'il n'y a AUCUN intérêt à faire succéder 3 firewall et parce qu'en entreprise (et avec des professionnels sérieux), on ne virtualise pas un firewall !

Il y a d'autres choses illogiques. Par exemple 2 phrases :

- "J'ai paramétré une NAT sur le routeur "Ipcop 3" me permettant d'accéder ..."
- "Ainsi qu'une route statique sur la machine "180.10.105.1" qui héberge l'application cliente : route add 192.168.1.0 MASK 255.255.255.0 180.10.105.120"

Pourquoi 2 façons de traiter différemment 2 firewall fonctionnant de la même façon ?

Ou, pourquoi ipcop3 ferait du NAT et pas ipcop2 ?


Je répète (Nous répétons) que la virtualisation complique la perception des phénomènes réseaux.
Autrement dit, la virtualisation peut tout à fait permettre de simuler un schéma ou d'évaluer un firewall, mais seul un professionnel méthodique et prudent dans ses hypothèses pourra en faire les meilleures déductions utiles !
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar Franck78 » 02 Fév 2010 22:21

Salut,

Je ne suis pas d'accord avec le route add sur la machine cliente. IPCop ne fonctionne pas en mode routeur. Il ne peut y avoir que des transferts de port (terminologie ipcop) sur ipcop, successifs, jusqu'a la machine finale.

Et dans l'autre sens, depuis serveur vers internet, il n'y a rien a faire si les configs réseau des IPCops sont bonnes. A ce propos, prendre 180.10.105.0 n'est pas une bonne idée.

Si tu veux des routeurs pour tester, tu prends des debian, pas des IPCop!


bye
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Messagepar Whaouu » 03 Fév 2010 11:11

Bonjour,

Tout d'abord merci pour vos réponses.

Je n'ai peut-être pas assez insisté sur le fait qu'il s'agit d'une configuration de test qui sert juste à contrôler le dialogue d'une application client serveur d'où l'utilisation de la virtualisation.

En revanche il est fort probable que le choix d'Ipcop soit mauvais pour ce test, s'il n'assure pas de fonction de routage, ce qui ne m'avait pas semblé évident au 1er abord, mea culpa.

Il faudrait que je trouve une solution de routage logiciel relativement simple à mettre en place pour ce test.

Cela dit, c'est dommage la configuration fonctionne, sauf que je n'ai pas l'accès internet sur les machines en "192.168.1.0". :cry:

Encore merci pour votre aide.
Whaouu
Matelot
Matelot
 
Messages: 7
Inscrit le: 02 Fév 2010 15:54

Messagepar Franck78 » 03 Fév 2010 23:01

l faudrait que je trouve une solution de routage logiciel relativement simple à mettre en place pour ce test.

là, franchement, c'est un manque flagrant de recherche.

N'importe quel linux de base (donc non modifié en firewall) route par défaut entre ses cartes réseau. C'est quasiment le comportement naturel de la pile tcp/ip.
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Messagepar jdh » 03 Fév 2010 23:31

Je plussoie Franck78.

Outre la même analyse sur NAT versus route, il a rappelé le basic "RFC1918" !

Concernant une basique Debian, il suffit de correctement configurer chaque interface et de mettre 1 dans ip_forward (ne me semble pas à 1 par défaut ?) au moyen (traditionnel) echo 1 >/proc ... ou mise à jour sysctl.conf ... C'est simple et vu et revu.
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar Whaouu » 03 Fév 2010 23:59

C'est étrange cette façon de répondre aux questions, ce qui peut laisser penser que vous désirez aider les personnes qui viennent sur ce forum, ce qui est fort louable.

Et en même temps d'être désagréable, voir méprisant dans la façon de formuler vos réponses.

Cette dichotomie entre le fond et la forme me laisse perplexe.
Whaouu
Matelot
Matelot
 
Messages: 7
Inscrit le: 02 Fév 2010 15:54

Messagepar jdh » 04 Fév 2010 07:21

Mettre en oeuvre un firewall (voire plusieurs) en milieu professionnel (ou en voie de l'être) exige une expertise et une méthode de travail (et un certain recul). Notamment il faut un esprit scientifique et itératif : observer, mesurer, réfléchir, analyser, projeter ... mais aussi rechercher (savoir rechercher ?) !

Un firewall est au moins un routeur NAT (dans le cas général). Il est donc parfaitement logique de d'abord comprendre comment fonctionne un routeur. Et quoi de plus simple que de prendre une Debian, de configurer 2 interfaces et d'exécuter un seule instruction (echo 1>...) pour obtenir un routeur ip ...

Le NAT est l'antithèse du routage : s'il y a NAT, il n'y a pas de route ! Cela est aussi très logique.

Ce qui nous rend perplexe, ce sont les illogismes d'un schéma compliqué (présenté à tort comme courant et qui utilise la virtualisation augmentant la difficulté de perception).

En plus nous avons quelque fois peu ou pas d'informations, ce qui n'est pas le cas ici : il est fort difficile de comprendre que l'on puisse demander d'être aidé sans fournir de description !
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar Whaouu » 04 Fév 2010 11:20

Encore une fois, Il n'est pas question ici de mettre en place quoi que ce soit dans un environnement de production, mais de faire une simulation dans un environnement virtualisé sur une machine.

Il n'a jamais été question de mettre quoi que ce soit en place dans une entreprise...

Poser une question, sur un forum spécialisé et de façon plus générique à des personnes possédant un niveau certain d'expertise, fait partie de mon processus de recherche depuis des années.

Vous semblez désapprouver cette méthode de travail.

Dans ce cas, dites-moi en quoi demander conseil auprès de personnes compétentes dans un domaine donné pour obtenir des informations pertinentes, trouver une solution ou simplement une orientation pour poursuivre les recherches, constitue une inaptitude à la recherche ?

Un forum pour moi et un lieu d'échange. Échange d'idées, de savoir, etc.

Je pense que vous partagez cette façon de voir sinon vous ne participeriez pas aussi activement, et de façon bénévole, à la vie de ce forum.

Donc le problème n'est pas sur le fond, ou votre travail est tout à fait admirable, mais sur la forme comme spécifier sur mon précédent post.

Est c'est vraiment regrettable de gâcher ce formidable travail, par cette façon d'aborder les choses.

Pour passer à autre chose, je vous remercie tous les deux pour vos conseils et je vais (dès que j'en aurais le temps) tester votre solution via une distribution linux.
Whaouu
Matelot
Matelot
 
Messages: 7
Inscrit le: 02 Fév 2010 15:54

Messagepar jdh » 04 Fév 2010 12:23

Vous semblez désapprouver cette méthode de travail.


Beh non justement, le premier premier point c'est d'abord de chercher (dans le forum ou ailleurs), puis de poser une question si on a pas trouvé de pistes. C'est assez exaspérant de lire des questions moulte fois posé sur le forum, il faut en convenir.
(Le deuxième point serait de savoir décrire sa situation, ici c'est plutôt réussi et ce n'est pas assez fréquent).

Dans le cas, la compréhension du NAT et la confusion avec le routage fait que vous ne prenez pas la bonne route. C'est un peu dommage car ce sont des concepts importants, donc à de bien comprendre dès le début. Et de fait, on peut apprendre cela facilement avec un bonne Debian pour bien appréhender les concepts en jeu. (J'ai eu la chance d'apprendre en quelques jours "tout" Netfilter/Iptables avec un développeur Debian.)
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar Franck78 » 04 Fév 2010 22:47

fait que vous ne prenez pas la bonne route.
un comble dans un tel sujet :lol: :lol:


Ce qui est exaspérant, c'est de voir comment on peut s'embarquer dans des exercices totalement irréalistes, ou l'on pense apprendre des choses de hautes voltiges qui reposent sur presque rien. Alors qu'il y a tant de livres, de cours disponibles. C'est un peu domage de perdre son temps.
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Messagepar jdh » 04 Fév 2010 23:03

Incroyable, je ne l'ai même pas pensé : comme quoi, c'est bien là le problème de compréhension !!

Bien lu, Franck78 !
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar Whaouu » 05 Fév 2010 10:27

Ce qui est exaspérant, c'est de voir comment on peut s'embarquer dans des exercices totalement irréalistes, ou l'on pense apprendre des choses de hautes voltiges qui reposent sur presque rien. Alors qu'il y a tant de livres, de cours disponibles. C'est un peu domage de perdre son temps.


Je ne comprends absolument pas cette phrase.

Qui s'embarque dans un exercice totalement irréaliste ? Si vous parlez de moi ? je ne vois pas en quoi il est irréaliste de vouloir monter ce type de simulation.

ou l'on pense apprendre des choses de hautes voltiges qui reposent sur presque rien


Encore plus mystérieux. Qui pense apprendre quoi ?

Ce qui est exaspérant

C'est un peu domage de perdre son temps


Ça c'est intéressant, donc vous êtes exaspéré de répondre sur ce forum et de perdre votre temps ? Mais qui vous y oblige ?

C'est une réponse à mes 2 précédents messages ?
Whaouu
Matelot
Matelot
 
Messages: 7
Inscrit le: 02 Fév 2010 15:54

Messagepar jdh » 05 Fév 2010 10:49

Mr Whaouu


J'imagine que vous êtes en formation pour devenir administrateur réseau et que vous vous êtes passionné par ipcop.

Vous avez peut-être noter que Franck78 est mentionné parmi les développeurs d'ipcop. Certains peuvent penser que participer activement au développement exige de bien connaitre le produit et ses fonctionnalités voire son utilisation.

Moi je n'ai installé que très peu de fois ipcop.

Néanmoins, nous sommes parfaitement d'accord, Franck78 et moi, pour dire que votre schéma N'EST PAS utilisé en entreprise : qui aurait l'idée de mettre à la suite 2 firewall ?

Je note que vous faire un réglage sur l'un (d'ailleurs correct, le NAT) et que vous créer une route parfaitement inutile parce qu'il faut faire exactement la même chose.

Ce qui tend à montrer que vous n'avez que TRES partiellement compris comment un firewall et un routeur fonctionne et en quoi ils sont différents.

De plus, vous virtualisez tout cela au risque (fréquent) de ne pas bien percevoir les phénomènes.

Ai-je besoin de mentionner un adressage non conforme ?


Bref cela fait pas mal d'incohérence, d'illogisme.

Dois je comparer le nombre de posts fournis par les uns et les autres ainsi que le temps depuis lequel vous êtes sur le forum ?


Nous perdons en effet du temps à vous expliquer quelque chose issu de notre expérience pratique.
Et vous, vous perdez du temps à
- ne pas lire des sites de référence comme celui de Christian CALECA,
- ne pas lire sans doute vos cours,
- rêvasser de schémas complexes et inutiles desquels on apprend pas grand chose ...

Ce qui est dommage, c'est que vous aviez su, au moins, faire un schéma au premier post et ce n'est pas si courant. Hélas c'était une illusion ...

Lisez donc ce qu'a écrit avec talent Jibe un grand contributeur du forum http://forums.ixus.fr/viewtopic.php?t=3 ... ficacement
Peut-être vous interrogerez vous sur les raisons du retrait de tous les grands posteurs du forum ?
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar Whaouu » 05 Fév 2010 11:59

J'imagine que vous êtes en formation pour devenir administrateur réseau et que vous vous êtes passionné par ipcop.


Je ne suis pas en formation pour devenir administrateur réseau, cela dit je trouve le projet IPcop tout à fait intéressant et j'en profite au passage pour remercier les personnes qui y participent.

Vous avez peut-être noter que Franck78 est mentionné parmi les développeurs d'ipcop. Certains peuvent penser que participer activement au développement exige de bien connaitre le produit et ses fonctionnalités voire son utilisation.


Je n'en doute pas une seconde, mais je ne vois pas ce que cela vient faire dans le sujet que nous abordons ?

Néanmoins, nous sommes parfaitement d'accord, Franck78 et moi, pour dire que votre schéma N'EST PAS utilisé en entreprise : qui aurait l'idée de mettre à la suite 2 firewall ?


Avez-vous lu mes messages précédents ? remplacé le mot firewall pour celui de routeur et je pense que vous comprendrez mieux ce que je désire mettre en place. Personnellement je n'ai pas l'idée de mettre 2 firewalls à la suite l'un de l'autre non plus. Je parle routage depuis le début, mais personne ne semble le comprendre...

De plus, vous virtualisez tout cela au risque (fréquent) de ne pas bien percevoir les phénomènes.


C'est un risque possible en effet. Cela dit la partie importante pour moi et de tester le comportement d'une application client serveur que je développe actuellement. La partie réseau dans l'histoire n'est pas le plus important pour moi. C'est juste un outil qui doit me permettre de valider le comportement de mon application, et en aucune façon une finalité dans le processus. Je n'ai donc de ce fait pas le temps de capitaliser beaucoup de temps de recherche sur la partie réseau, mais juste d'appliquer une solution qui soit proche de la configuration déployer chez les clients à savoir du routage.

Ai-je besoin de mentionner un adressage non conforme ?


J'ai volontairement mis des adresses ne correspondant pas à la réalite dans le schéma. Et je vous concède que le choix des adresses en 180 n'était pas une bonne idée pour l'exemple. Mais rassurez-vous, dans la réalité, le plan d'adressage et tout à fait correcte.

Bref cela fait pas mal d'incohérence, d'illogisme.


Pas tant que ça si vous raisonnez en routage. Et que vous considérez que tout ceci doit rester un outil pour moi et non une finalité. Mon but n'est pas d'installer des routeurs, des firewalls ou quoi que ce soit en rapport direct avec les réseaux. Mais de valider une application.

Dois je comparer le nombre de posts fournis par les uns et les autres ainsi que le temps depuis lequel vous êtes sur le forum ?


Pour faire quoi ?

Nous perdons en effet du temps à vous expliquer quelque chose issu de notre expérience pratique.


Ce n'est pas le but d'un forum ? Et encore une fois rien ne vous y oblige, si vous répondez c'est que vous le voulez et dans ce cas pourquoi être désagréable dans vos réponses ?

Enfin j'ai déjà abordé ce sujet dans mes précédents messages.

Et vous, vous perdez du temps à
- ne pas lire des sites de référence comme celui de Christian CALECA,
- ne pas lire sans doute vos cours,
- rêvasser de schémas complexes et inutiles desquels on apprend pas grand chose ...


Comme spécifier plus haut, le temps que je consacre à la partie réseau pour faire un test, doit être le plus court possible ce n'est pas une finalité pour moi. Ce n'est pas mon métier, c'est juste un outil dans un processus plus large.

Précédemment vous trouviez, je cite :

"(Le deuxième point serait de savoir décrire sa situation, ici c'est plutôt réussi et ce n'est pas assez fréquent)."

Donc, ce schéma n'est ni complexe ni inutile...

À ce propos, je vous fais remarquer que les symboles utilisés pour le schéma sont des routeurs et non des firewalls. Mais personne ne semble y avoir prêté la moindre attention...

Encore une fois, j'apprécie l'aide apporté par des personnes bénévoles sur les forums en général et celui-ci en particulier c'est ce que je dis depuis le début.

Mais cela n'inclut pas d'être désagréable et dédaigneux si la question ne plaît pas. Encore une fois rien ne vous oblige à répondre.

Ce qui touche au réseau n'est pas mon métier et il est tout à fait possible que je commette des erreurs, mais personne ne m'a posé da question sur mon degré de connaissance en la matière.

Depuis le début j'ai indiqué que cette configuration était dans le but de tester une application, je l'ai reprécisé plus loin. Comment faut-il que je l'écrive, je ne sais pas...

Et pour conclure, comme vous avez pu le constater je ne suis pas du tout disposer quand je pose une question, que je suis polis, courtois et respectueux de l'aide que l'on m'apporte à subire des réponses désagréable.

Le fait de détenir une connaissance ne donne en aucune façon le droit d'être désagréable et dédaigneux.
Whaouu
Matelot
Matelot
 
Messages: 7
Inscrit le: 02 Fév 2010 15:54

Suivant

Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité