Serveurs isolés par routeur cisco rv042
rudi_s
-
rudi_s -
rudi_s -
Bonjour,
Au sein de mon entreprise se trouvent deux réseaux. L'un est relié à l'Internet tandis que l'autre est isolé physiquement. Je souhaite maintenant les relier afin que le réseau isolé puisse accéder à l'Internet. Or sur ce réseau se trouve deux serveurs que je dois sécuriser en les plaçant par exemple derrière un routeur (Cisco RV042) que j'ai sous la main. Le problème est que je ne parviens pas à paramétrer ce routeur correctement :
- côté LAN, je parviens à pinger une machine située du côté WAN
- côté WAN, je parviens à pinger le routeur mais pas une machine (un des deux serveurs) située du côté LAN (la requête ping utilise un serveur extérieur à l'entreprise (!) et renvoie "impossible de joindre le réseau de destination" )
D'autre part, il semble que le filtrage des adresses sur ce routeur ne soit possible que pour les postes côté LAN alors que je souhaite filtrer les machines situées du côté WAN pouvant accéder aux serveurs côté LAN.
Quelqu'un saurait-il m'aider à paramétrer ce routeur ? Je me demande s'il ne serait pas plus simple d'investir dans un switch manageable à la place de ce routeur... Qu'en dîtes-vous ? Je joins quelques images pour illustrer mon projet et mes paramétrages.
Merci.
Rudi
http://rudi.stpsff.free.fr/Images/reseau_existant.jpg
http://rudi.stpsff.free.fr/Images/reseau_projet.jpg
http://rudi.stpsff.free.fr/Images/conf_router_1.jpg
http://rudi.stpsff.free.fr/Images/conf_router_2.jpg?
http://rudi.stpsff.free.fr/Images/conf_router_3.jpg?
http://rudi.stpsff.free.fr/Images/conf_router_4.jpg?
Au sein de mon entreprise se trouvent deux réseaux. L'un est relié à l'Internet tandis que l'autre est isolé physiquement. Je souhaite maintenant les relier afin que le réseau isolé puisse accéder à l'Internet. Or sur ce réseau se trouve deux serveurs que je dois sécuriser en les plaçant par exemple derrière un routeur (Cisco RV042) que j'ai sous la main. Le problème est que je ne parviens pas à paramétrer ce routeur correctement :
- côté LAN, je parviens à pinger une machine située du côté WAN
- côté WAN, je parviens à pinger le routeur mais pas une machine (un des deux serveurs) située du côté LAN (la requête ping utilise un serveur extérieur à l'entreprise (!) et renvoie "impossible de joindre le réseau de destination" )
D'autre part, il semble que le filtrage des adresses sur ce routeur ne soit possible que pour les postes côté LAN alors que je souhaite filtrer les machines situées du côté WAN pouvant accéder aux serveurs côté LAN.
Quelqu'un saurait-il m'aider à paramétrer ce routeur ? Je me demande s'il ne serait pas plus simple d'investir dans un switch manageable à la place de ce routeur... Qu'en dîtes-vous ? Je joins quelques images pour illustrer mon projet et mes paramétrages.
Merci.
Rudi
http://rudi.stpsff.free.fr/Images/reseau_existant.jpg
http://rudi.stpsff.free.fr/Images/reseau_projet.jpg
http://rudi.stpsff.free.fr/Images/conf_router_1.jpg
http://rudi.stpsff.free.fr/Images/conf_router_2.jpg?
http://rudi.stpsff.free.fr/Images/conf_router_3.jpg?
http://rudi.stpsff.free.fr/Images/conf_router_4.jpg?
A voir également:
- Serveurs isolés par routeur cisco rv042
- Bouton du routeur sur pc - Guide
- Serveurs dns - Guide
- Routeur alljoyn - Guide
- Debrancher le routeur c'est quoi ✓ - Forum Réseau
- Liste des serveurs de messagerie - Guide
3 réponses
Sur un routeur, si tu as un port WAN, c'est que le routeur fait du NAT. Hors le NAT ne fonctionne que dans un sens LAN->WAN. Dans l'autre sens il faut faire du port forwarding.
Dans ton cas il ne faut utiliser que les ports LAN pour faire du routage et du filtrage.
Par contre je ne comprends pas ta conf sur R2 : tu mets ton interface LAN en 192.168.1.1/24 et tes serveurs sont en 192.168.254.253 et 254 ? Si tu veux que S2 et S3 soient joignable, il faut qu'ils soient dans le même LAN (au niveau 3).
Dans ton cas il ne faut utiliser que les ports LAN pour faire du routage et du filtrage.
Par contre je ne comprends pas ta conf sur R2 : tu mets ton interface LAN en 192.168.1.1/24 et tes serveurs sont en 192.168.254.253 et 254 ? Si tu veux que S2 et S3 soient joignable, il faut qu'ils soient dans le même LAN (au niveau 3).
rudi_s
Merci pour tes remarques kiki. Les ip R2 / S2,S3 ne sont effectivement pas cohérentes mais ne correspondent pas à la réalité de mon test avec une ip S2 en 192.168.1.5 (pas de S3 dans mon test). Je vais retenter une config LAN / LAN en m'appliquant un peu plus.
Salut,
je ne sais pas s'il est possible de désactiver le nat sur ces petits routeurs, mais il faudrait au moins le rendre statique:
qu'une adresse coté lan corresponde à une adresse côté wan:
Avoir un pool d'adresse wan de la même taille que le d'adresses à router sur le lan.
Reste à savoir si c'est possible, vu la maniabilité de ce genre d'outils à peu près équivalente à celle d'un tramway.
Ici il est question de "one to one nat" c'est cette piste qu'il faut explorer.
Voir page 46 et 47 ici: https://www.cisco.com/c/dam/en/us/td/docs/routers/csbr/rv0xx/administration/guide/rv0xx_AG_78-19576.pdf
et ... Voili Voilou Voila !
je ne sais pas s'il est possible de désactiver le nat sur ces petits routeurs, mais il faudrait au moins le rendre statique:
qu'une adresse coté lan corresponde à une adresse côté wan:
Avoir un pool d'adresse wan de la même taille que le d'adresses à router sur le lan.
Reste à savoir si c'est possible, vu la maniabilité de ce genre d'outils à peu près équivalente à celle d'un tramway.
Ici il est question de "one to one nat" c'est cette piste qu'il faut explorer.
Voir page 46 et 47 ici: https://www.cisco.com/c/dam/en/us/td/docs/routers/csbr/rv0xx/administration/guide/rv0xx_AG_78-19576.pdf
et ... Voili Voilou Voila !
kiki > résultats mitigés en ce qui concerne la configuration LAN/LAN du routeur. Je passe à travers dans les deux sens mais le firewall laisse tout passer ce qui ne présente aucun intérêt, du coup. Mais bon, c'est un pas en avant même si je bute encore dans le paramétrage du firewall.
Projet corrigé et captures de mes tentatives :
http://rudi.stpsff.free.fr/img/linksys_rv042/
brupala > merci pour tes indications et le lien. Je vais aller fouiller de ce côté. Mais comme tu le dis, la souplesse de ce genre d'appareil semble assez limitée. A moins que ce ne soit la mienne. Au final, je me demande quand même si un switch paramétrable (de niveau 2, mettons) ne serait pas plus facile à configurer et plus adapté à ce type de montage. Non ?
Projet corrigé et captures de mes tentatives :
http://rudi.stpsff.free.fr/img/linksys_rv042/
brupala > merci pour tes indications et le lien. Je vais aller fouiller de ce côté. Mais comme tu le dis, la souplesse de ce genre d'appareil semble assez limitée. A moins que ce ne soit la mienne. Au final, je me demande quand même si un switch paramétrable (de niveau 2, mettons) ne serait pas plus facile à configurer et plus adapté à ce type de montage. Non ?
Un switch va t'empêcher de filtre le traffic entre les deux réseaux si tu veux le faire et va t'obliger à renuméroter pour tout mettre ensemble dans le même réseau IP
Mais, si tu veux mettre tout le monde dans le même réseau c'est ce qu'il te faut faire, oui.
PS
ton schéma lan /lan est un switch c'est tout.
Mais, si tu veux mettre tout le monde dans le même réseau c'est ce qu'il te faut faire, oui.
PS
ton schéma lan /lan est un switch c'est tout.
Tout le monde dans le même LAN et un switch administrable pour sécuriser l'accès aux serveurs me paraît en effet le plus simple.
Ou alors, plus économiquement, en WAN/LAN, mettre derrière le routeur (dans le LAN) les serveurs S2 et S3 et les postes de travail autorisés à y accéder puisque le paramétrage actuel du routeur ne permet pas le passage du WAN au LAN mais accepte l'inverse. Les serveurs et les postes de travail peuvent ainsi sortir tout en étant "sécurisés". Le problème de cette solution est que j'ai le sentiment de ne pas la maîtriser complètement tant que je ne comprends pas la raison du blocage du WAN au LAN.
Merci d'avoir pris le temps de lire et de répondre.
Ou alors, plus économiquement, en WAN/LAN, mettre derrière le routeur (dans le LAN) les serveurs S2 et S3 et les postes de travail autorisés à y accéder puisque le paramétrage actuel du routeur ne permet pas le passage du WAN au LAN mais accepte l'inverse. Les serveurs et les postes de travail peuvent ainsi sortir tout en étant "sécurisés". Le problème de cette solution est que j'ai le sentiment de ne pas la maîtriser complètement tant que je ne comprends pas la raison du blocage du WAN au LAN.
Merci d'avoir pris le temps de lire et de répondre.
