Pont entre deux réseaux ?

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Pont entre deux réseaux ?

Messagepar wanamoa » 23 Mars 2010 13:03

Bonjour,

nous avons deux réseaux distincts (192.168.xxx.xxx dhcp et 172.16.xxx.xxx) avec chacun une connexion internet et serveur de fichiers.
Depuis le réseau 192.x nous souhaiterions pouvoir utiliser l'imprimante/photocopieur du réseau 172.xxx et à certaines pages du serveur, mais sans remontée possible dans l'autre sens.

Je précise que le premier réseau est sous serveur win2003 et le second SE3 (sambaedu 3, complété d'un SLIS).
Je pensais mettre en place Ipcop sur un vieux coucou avec deux cartes réseaux, le 192.x dans la zone verte et le 172.x dans la zone orange : est-ce une solution adaptée à ce type de service?

Sinon, que dois-je envisager?
Le but est bien de ponter les deux réseaux pour une communication unilatérale.


Merci de vos renseignements et conseils avisés.

Cordialement,

Arnaud.
Mon Dieu...Pourvu qu'il n'arrive rien !
wanamoa
Quartier Maître
Quartier Maître
 
Messages: 25
Inscrit le: 09 Juil 2006 00:52

Messagepar ccnet » 23 Mars 2010 13:46

Le but est bien de ponter les deux réseaux pour une communication unilatérale

Si l'on fait abstraction des problèmes de sécurité (vous n'en parlez pas) vous avez un simple problème de routage, et non de pont. Ensuite vous avez un problème de filtrage du trafic entre les deux réseaux qui vont être connectés par des routeurs.
Il reste une question de taille. Par quel moyen doit s'effectuer l'interconnexion ? Internet ? Vpn ? Type de Vpn ?
Avant de penser solution (ipcop ...) il serait bien de poser le problème complètement.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar wanamoa » 23 Mars 2010 15:45

ccnet a écrit:
Le but est bien de ponter les deux réseaux pour une communication unilatérale

Si l'on fait abstraction des problèmes de sécurité (vous n'en parlez pas) vous avez un simple problème de routage, et non de pont. Ensuite vous avez un problème de filtrage du trafic entre les deux réseaux qui vont être connectés par des routeurs.
Il reste une question de taille. Par quel moyen doit s'effectuer l'interconnexion ? Internet ? Vpn ? Type de Vpn ?
Les deux sous-réseaux se trouve dans les mêmes batiments : je pensais pouvoir connecter ce poste routeur via eth0 sur un switchs du 1er réseau et via et1 sur le 2eme réseau...

Avant de penser solution (ipcop ...) il serait bien de poser le problème complètement.


Oui, je reconnais que c'est un peu confus mais c'est bien parce que je n'ai pas les connaissances suffisantes que je demande conseil :wink: .

J'explique : il s'agit d'un réseau administratif et d'un réseau pédagogique d'un collège. Il se trouve que le personnel administratif voudrait pouvoir lancer des impressions sur l'imprimante géante couleur du réseau pédago...
Mon Dieu...Pourvu qu'il n'arrive rien !
wanamoa
Quartier Maître
Quartier Maître
 
Messages: 25
Inscrit le: 09 Juil 2006 00:52

Messagepar ccnet » 23 Mars 2010 20:44

Avec vous la possibilité d'ajouter une route sur le routeur actuel (la passerelle par défaut) du réseau administratif ? Il faudra bien dire sur le routeur par défaut qu'il ne faut pas sortir vers internet pour atteindre le réseau pédagogique, mais aller vers une autre interface. Je ne sais pas indiquer les numéros de réseaux puisque vous ne les avez pas donné.
Existe t il déjà une connectivité entre les deux réseaux ?

Un Linux de base (Debian) est capable de faire le travail de routage. peut être même existe t il des distributions pour cela. Un ipcop RED+GREEN pourrait probablement le faire. Il faudra vivre avec la translation, ce qui peut poser problème dans les logs.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar wanamoa » 24 Mars 2010 17:22

Avec vous la possibilité d'ajouter une route sur le routeur actuel (la passerelle par défaut) du réseau administratif ? Il faudra bien dire sur le routeur par défaut qu'il ne faut pas sortir vers internet pour atteindre le réseau pédagogique, mais aller vers une autre interface. Je ne sais pas indiquer les numéros de réseaux puisque vous ne les avez pas donné.


J'ai la main sur le serveur administratif W2003 et sur le modem routeur (netgear dg classique...)
J'ai aussi la possibilité d'ajouter une carte réseau sur le serveur W2003, le cas échéant mais je ne suis pas certain que ce soit recommandé.

Réseau administratif : 192.168.100.255 de classe 255.255.255.0
Serveur administratif : 192.168.100.120
Modem/Routeur : 192.168.100.254
Les clients étant en DHCP voire DHCP avec réservation d'IP.

Réseau pédagogique : 172.16.0.255 de classe 255.255.0.0
Serveur de fichiers : 172.16.0.3
Serveur de communication (fait office de proxy, tous les clients le traverse pour sortir): 172.16.0.2
Imprimante à "partager" : 172.16.105.100
Modem/Routeur an amont du serveur de communication : 192.168.0.1

Pour l'instant les deux réseaux ne sont pas reliés du tout. J'ai la possibilité de réaliser diverses interconnexions (physiquement, je veux dire).

Un linux de base avec deux cartes réseau pourrait donc faire l'affaire en configurant correctement la table de routage ? Je pensais à IPcop car les remontées vers le réseau administratif ne doivent pas être possible et parce que c'est une distribution dédiée à ce genre de tâches, si je peux dire.

Je suis prêt à recevoir tous vos conseils qui sont les bienvenus et je vous remercie particulièrement, ccnet ;-)

Cordialement,

Arnaud.
Mon Dieu...Pourvu qu'il n'arrive rien !
wanamoa
Quartier Maître
Quartier Maître
 
Messages: 25
Inscrit le: 09 Juil 2006 00:52

Messagepar ccnet » 24 Mars 2010 18:11

Si je résume :
Réseau administratif 192.168.100.0/24 avec une gateway en 192.168.100.254/24
Réseau pédagogique 172.16.0.0/16 avec une gateway en 172.16.0.2/16
Le réseau 192.168.100.0/24 souhaite accéder à l'imprimante 172.16.105.100/16

Et :
Modem/Routeur an amont du serveur de communication : 192.168.0.1

Là je ne comprend pas. Je ne comprend pas comment les clients du réseau 172.16.0.0./16 attaquent ce routeur en 192.168.0.1 avant de sortir par 172.16.0.2/16. A moins que ce ne soit le contraire mais je ne comprend pas plus. Cela signifierait qu'il y a des routes qui ont été ajoutées.

Quoi qu'il en soit, il faut pour accéder cette imprimante :

Une connexion (un routeur, ipcop, ...) entre les deux réseaux.
Une route sur 192.168.100.254/24 vers l'ip du "routeur/ipcop" qui lui saura, à son tour, atteindre 172.16.105.100.

Si vous utilisez Ipcop il faudra mettre l'interface verte sur le réseau administratif en sachant que toutes les adresses seront translatées en utilisant l'ip de l'interface rouge.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar wanamoa » 24 Mars 2010 18:46

ccnet a écrit:Si je résume :
Réseau administratif 192.168.100.0/24 avec une gateway en 192.168.100.254/24
Réseau pédagogique 172.16.0.0/16 avec une gateway en 172.16.0.2/16
Le réseau 192.168.100.0/24 souhaite accéder à l'imprimante 172.16.105.100/16

Et :
Modem/Routeur an amont du serveur de communication : 192.168.0.1

Là je ne comprend pas. Je ne comprend pas comment les clients du réseau 172.16.0.0./16 attaquent ce routeur en 192.168.0.1 avant de sortir par 172.16.0.2/16. A moins que ce ne soit le contraire mais je ne comprend pas plus. Cela signifierait qu'il y a des routes qui ont été ajoutées.


En fait pour le réseau pédago, on a :

modem/routeur en 192.168.0.1 qui envoie le net au serveur de communication en 172.16.0.2 qui distribue le net (proxy, squiguard) et les clients attaquent forcément ce serveur pour sortir sur le net.`C'est un SLIS.

Quoi qu'il en soit, il faut pour accéder cette imprimante :

Une connexion (un routeur, ipcop, ...) entre les deux réseaux.
Une route sur 192.168.100.254/24 vers l'ip du "routeur/ipcop" qui lui saura, à son tour, atteindre 172.16.105.100.

Si vous utilisez Ipcop il faudra mettre l'interface verte sur le réseau administratif en sachant que toutes les adresses seront translatées en utilisant l'ip de l'interface rouge.


Ok, je vous remercie beaucoup pour toutes ces infos et le temps passé ;-).

Cordialement,

Arnaud.
Mon Dieu...Pourvu qu'il n'arrive rien !
wanamoa
Quartier Maître
Quartier Maître
 
Messages: 25
Inscrit le: 09 Juil 2006 00:52

Messagepar fleib » 24 Mars 2010 19:12

@ wanamoa

ccnet t'as posé une question à propos du routeur dont l'adresse est 192.168.0.1, mais je ne crois pas que tu y ai répondu... J'avoue que moi aussi je n'ai bien saisi comment les postes clients du réseau 172.x.x.x font pour contacter ce routeur...

Quoi qu'il en soit, un petit schéma (oui, j'adore les schémas d'architecture...) nous aurait bien éclairés.

A en croire ton dernier post, tu aurais trouvé/compris la solution à ton problème. Si c'est le cas pourrais tu expliciter cette dernière.

Merci à toi et bon courage
Avatar de l’utilisateur
fleib
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 205
Inscrit le: 28 Mai 2009 14:50
Localisation: St Paul / La Réunion

Messagepar wanamoa » 24 Mars 2010 21:30

fleib a écrit:@ wanamoa

ccnet t'as posé une question à propos du routeur dont l'adresse est 192.168.0.1, mais je ne crois pas que tu y ai répondu... J'avoue que moi aussi je n'ai bien saisi comment les postes clients du réseau 172.x.x.x font pour contacter ce routeur...

Quoi qu'il en soit, un petit schéma (oui, j'adore les schémas d'architecture...) nous aurait bien éclairés.

A en croire ton dernier post, tu aurais trouvé/compris la solution à ton problème. Si c'est le cas pourrais tu expliciter cette dernière.

Merci à toi et bon courage


Exact , ma réponse est passée à la trappe (vous avez remarqué que j'avais pourtant scindé le quote) mais rien, un blanc...
Donc je reprends.
Le serveur de communication a deux cartes réseau : le web d'un côté sur son interface 192.168.0.0 et le réseau pédago de l'autre en 172.16.0.0. Il fait office de proxy, squidguard, firewall, serveur web, serveur de mails... Les clients passent obligatoirement par ce serveur pour sortir sur le net ;-) :

MODEM----------> serveur SLIS ------->réseau pédago
192.168.0.1 192.168.0.2 / 172.16.0.2 172.16.XXX.XXX

Par contre côté réseau administratif, le serveur w2003 ne fait pas office de passerelle vers le web.

Quant à la solution, je vais tester les deux: IPCOP et une simple distro linux en tant que routeur.
Mon Dieu...Pourvu qu'il n'arrive rien !
wanamoa
Quartier Maître
Quartier Maître
 
Messages: 25
Inscrit le: 09 Juil 2006 00:52

Messagepar Franck78 » 25 Mars 2010 01:38

Salut

Le SLIS est en général (en tout cas chez moi) piloté/administtré par l'académie du coin. VPN. A priori ca marche encore (SLIS3). C'est donc un mauvais choix pour implanter une carte réseau.

Par contre le sambaedu est bon candidat. Un carte réseau supplémentaire, trois regles IPTables pour laisser passer le port 9100 en provenance du windows 2003 (port jetdirect) vers la'grosse'.

donc l'idée est

1)ajouter carte reseau sambauedu IP 192.168.100.x
et relier au réseau administratif of course.

2)mettre le routage a 'on' sur le sambaedu

3)et limiter sérieusement
iptables -A FORWARD -s ip_w2003 -d ip_lagrosse -p tcp --dport 9100 -j ACCEPT
policy_drop le reste
(laisser le ping vers la grosse)

4)sur le w2003
route -p add ip_lagrosse mask 255.255.255.255 192.168.100.x

5)creer l'imprimante partagée dans le w2003 avec son port à la jetdirect.
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité