Pb Ipcop GREEN+RED avec plusieurs Vlans (sous réseaux)

[wissem112]

Bonjour,
J'ai la config suivante :
RED eth0 : 192.168.0.1 relié au modem 192.168.0.199
GREEN eth1 : 10.18.50.254 relié à mon réseau composé de plusieurs Vlan (sous réseau : 10.18.70.0 // 10.18.100.0 // 10.18.20.0 ...)
J'ai installé BOT (Block out trafic) et j'ai ajouté le routage necessaire à fin de faire suivre le trafic à partir de l'interface green vers les autres Vlan de mon réseau et comme suit dans le fichier /etc/rc.d/rc.local :

route add -net 10.18.70.0 netmask 255.255.255.0 gw 10.18.50.1
route add -net 10.18.50.0 netmask 255.255.255.0 gw 10.18.50.1
route add -net 10.18.20.0 netmask 255.255.255.0 gw 10.18.50.1
route add -net 10.18.100.0 netmask 255.255.255.0 gw 10.18.50.1

==> je peux pinger vers tous les sens : tout marche très bien
Pour la navigation j'ai ajouter les réseaux que je souhaite activé à partir de l'interface Web au niveau de SERVUCES=>PROXY AVANCE=>Contrôle des accès par le réseau

Sous-réseaux permis (un par ligne):
10.18.70.0/255.255.255.0
10.18.20.0/255.255.255.0
10.18.100.0/255.255.255.0

==> la navigation à travers le proxy fonctionne parfaitement ; AUCUN PROBLEME.

==> LE PROBLEME :
outlook express ou Filezilla ou winscp (toutes application qui utilise un port spécifique d'accès 21 / 22 / 25 / 110 ...) : IMPOSSIBLE DE JOINDRE L'HOTE!!!!!

On m'a dis sur un forum qu'il s'agit d'un problème de routage.!!??

Remarques:
- j'avais la même config sans les sous réseaux et tous fonctionné parfaitement.
- BOT n'a aucune influence sur le problème.
- J'ai ajouté l'adresse d'IPcop en tant que DNS au niveau des postes client.

Prière m'aider!! je bloque grave.MERCI D'AVANCE.

[fleib]

IPCop fonctionne avec des vlans? Je croyais que ce n'etait pas implemente...

Que donne la commande "ping forums.ixus.fr" depuis une des stations d'un des vlans?

[wissem112]

C:\Documents and Settings\Administrateur>ping google.fr

Envoi d'une requête 'ping' sur google.fr [216.239.59.104] avec 32 octets de donn
ées :

Réponse de 10.18.70.1 : Impossible de joindre le réseau de destination.
Réponse de 10.18.70.1 : Impossible de joindre le réseau de destination.
Réponse de 10.18.70.1 : Impossible de joindre le réseau de destination.
Réponse de 10.18.70.1 : Impossible de joindre le réseau de destination.

Statistiques Ping pour 216.239.59.104:
Paquets : envoyés = 4, reçus = 4, perdus = 0 (perte 0%),
Durée approximative des boucles en millisecondes :
Minimum = 0ms, Maximum = 0ms, Moyenne = 0ms

[wissem112]

10.18.70.1 c'est ma passerelle par défaut

sans elle je peux pas pinger 10.18.50.254 (eth green)

[fleib]

Y'a un truc qui cloche dans ton archi, fais un plan de ton reseau avec interfaces, masques, @ IP, ca permettra d'y voir plus clair.

[wissem112]

RED eth0 : 192.168.0.1/255.255.255.0 relié au modem 192.168.0.199 /255.255.255.0
GREEN eth1 : 10.18.50.254 relié à mon réseau composé de plusieurs Vlan (sous réseau : 10.18.70.0/255.255.255.0 // 10.18.100.0/255.255.255.0 // 10.18.20.0/255.255.255.0 ...)

IPCOP green : 10.18.50.254 /255.255.255.0
client : 10.18.70.195 /255.255.255.0

ping depuis ipcop vers le client :OK
ping depuis le client vers ipcop : OK

navigation à partir dui client : OK

outlook : impossible de joindre l'hote de destination

[jdh]

Et la recherche sur le forum avec vlan/ipcop ?

Il ne me semble pas avoir lu qu'Ipcop est à l'aise avec les vlan. (D'ailleurs, on lit qu'il ne faut qu'un seul Green).




(Je n'ai jamais bien compris l'intérêt des VLAN : je viens de suivre l'installation de switchs Alcatel avec VLAN pour Voip mais je ne suis pas convaincu ... Ce qui est certain, c'est que les VLAN n'apportent pas de sécurité supplémentaire, c'est illusoire vu les outils faciles à trouver ...)

[wissem112]

Les vlans servent essentiellement à limiter le broadcast (ping 192.168.2.255 par exemple)
et aussi à organiser l'infrastructure ; on aiyant plusieurs vlan on peux facilement lire les journaux par exemple

J'ai voir la recherche sur le forum

[ccnet]

Ipcop avec des vlans c'est possible, mais c'est forcément du bricolage et donc des problèmes (ça marchait, ça marche plus ....).

impossible de joindre l'hote de destination

C'est bien l'indice d'un problème de routage.

outlook express ou Filezilla ou winscp (toutes application qui utilise un port spécifique d'accès 21 / 22 / 25 / 110 ...)

L'usage d'un port spécifique est sans rapport avec le routage. Rappelons que le routage est un problème IP, couche 3 alors que la définition d'un port TCP ou UDP relève de la couche 4.

Il y a au moins deux problèmes.
L'utilisation de Vlan avec un ipcop qui n'est pas prévu pour et en particulier dans son routage par défaut, les translations ...
Une perception confuse du problème routage / filtrage / port TCP UDP ...

route add -net 10.18.50.0 netmask 255.255.255.0 gw 10.18.50.1

Redondant semble t il ...

Un vrai schéma semble bien nécessaire.

[wissem112]

Oui cette ligne est redondante :
route add -net 10.18.50.0 netmask 255.255.255.0 gw 10.18.50.1

je l'ai enlevée!

J'aimerai bien comprendre ou ça le problème de routage??
puyisque tous les sous réseaux se ping mutuellement à travers leurs passerelles correspondantes déclarée au niveau du switch niveau3

???? JE BLOQUE!!

[Stirner]

schéma

merci

[wissem112]

Désolé pour le retard !! j'ai pas pu uploder l'image

[jdh]

Nous voyons bien 3 vlan.
Mais où sont les passerelles de chaque vlan ?

[wissem112]

slt,

Elles sont au niveau du switcheur niveau 3 qui joue le role de routeur!

[wissem112]

En réalité il ya 4 vlan
10.18.20.0
10.18.50.0
10.18.70.0
10.18.100.0

le routage inter vlan est fait à travers le switch N3 (qui a les fonctionnalité de routage)
ainsi on peut pinger de n'importe ou vers n'importe ou

pour Ipcop pour réaliser le routage il faut ajouter les 3 lignes (au niveau du schéma