Probleme de ping a travers une passerelle SME

[mickor]

Bonjour,

L'AGENCE et le SIEGE de ma société sont reliés par un VPN IPSEC configuré sur des routeurs Matériels (solution mises en place en 2007 et qui a toujours donné satisfaction).
Au siège, le réseau est séparé du routeur par un serveur SME 7.5.1 en mode passerelle.

Aujourd'hui mes collègues en agence on besoin de pinguer un serveur sur mon réseau à travers le vpn.


Réseau AGENCE: X.Y.2.x

FireWall AGENCE
-patte LAN:X.Y.2.8
-patte WAN: IP fixe

Internet

FireWall SIEGE
-patte WAN: IP fixe
-patte LAN: X.Y.0.1

SME (passerelle)
-patte LAN firewall: X.Y.0.4
-patte LAN : X.Y.1.6

Réseau SIEGE: X.Y.1.x


Mon problème se situe au niveau du firewall du SME. si je le désactive le PING passe depuis le réseau de l'AGENCE sur le réseau du SIEGE.
Je retrouve bien les tentatives de PING dans le log iptables du SME, marquée denylog.
Pour info le PING passe sans problème depuis le SIEGE vers l'AGENCE.

Je suis en VPN donc logiquement en réseau, je suis donc concerné par les chaines INPUT et OUTPUT des iptables.
OUTPUT est en ACCEPT.
J'ai vérifié dans la chaine InboundICMP, echo-request, echo-reply, destination-unreachable, source-quench, time-exceeded et parameter-problem sont acceptés.

Merci si quelqu'un a une idée de paramétrage me permettant de ne pas filtrer le PING.

Michel

[jdh]

Comment pinguer une machine par delà un firewall effectuant du NAT ?
Je crois que cela n'est guère possible ! Puisque vers quelle machine envoyer un ping arrivé ?

Le réseau LAN est nécessairement natté par la SME puisque en server+gateway.
Il en résulte que, côté WAN, il n'y a des paquets avec ip source = ip WAN de SME.

Je peux imaginer que les lignes fournissent un accès Internet.
Il serait bien plus simple que, de chaque côté, le firewall gère ET l'accès à Internet ET le VPN.
Si le firewall gérait les 2, il n'y aurait pas de difficulté à permettre que chaque réseau se voient complètement.

Je crains que la solution soit une remise en cause des routeurs matériels ...

[unnilennium]

le pronbleme est que tu as deux sous réseaux differents donc tu est avec un vpn qui doit être routé

de plus il faut configurer sme pour qu'il autorise le passage de ce reseau etranger à rentrer dans son lan ( voir reseau locaux dans le manager)

enfin suivant combien tu as de postes de chaque bord utiliser les meme masques ip, un vpn bridge avec openvpn aiderait certainement À faire ce que tu veux sans problème.


JP

[jdh]

@unilenium : Il s'agit de possibilités que je ne connais pas ...

Il n'empêche que le problème est que la passerelle SME fasse du NAT.

Quelles sont les possibilités ?
- remplacement des 2 routeurs matériels par des SME en "server+gateway"; (il doit bien être possible de gérer un VPN site-à-site)
- remplacement des 2 routeurs matériels par des pfSense et reconfiguration de la SME en "server only" ;
- mise en place d'un firewall pfSense en bridge LAN-WAN et reconfiguration de la SME en "server only";

Je ne vois pas l'intérêt de permettre un accès VPN de PC de l'agence via la SME.

[mickor]

Bonjour

Merci pour vos réponses.
Le Nat est une bonne explication, (pourquoi n'y ai-je pas pensé tout seul!).

Mais alors comment expliquer que depuis l'AGENCE on puisse pinguer la patte LAN du siège du SME en X.Y.1.6?

Michel

[jdh]

Eh, eh !

La SME en server+gateway dispose de ... 3 adresses ip : ip côté WAN, ip côté LAN et .. 127.0.0.1

Quand on pingue l'adresse WAN, on peut pinguer l'adresses LAN (si une route le permet).
Parce qu'en fait la réponse au ping est faite quelle que soit l'adresse pinguée avec un retour par la bonne interface.
(Sauf à quelques règles iptables bien senties ?)