Routage, DMZ et ligne spécialisée Résolu/Fermé

Question

Bonjour, 

J'essaie de mettre en place une DMZ sur un réseau qui comporte deux sites reliés par une Ligne spécialisée.


La configuration n'est pas des plus compliquée, mais le site distant n'arrive à contacter le serveur de test qui est dans ma DMZ, malgré la mise en place d'une table de routage...
Il n'arrive pas non plus à contacter le nouveau routeur Internet qui est relié à une interface séparée du pare-feu (IPCop, interface RED)


Voici en gros à quoi ressemble la config.

Site principal adresse IP 192.168.1.0/24
DNS 192.168.1.10

Pare-feu IPCop 
192.168.1.252/24  (interface GREEN)
192.168.200.252.0/24 (interface ORANGE - DMZ)
192.168.201.252.0/24 (interface RED - Internet) 

Routeur Internet  (passerelle par défaut) en 192.168.201.254/24 relié à l'interface RED d'IPCop.


Routeur LS 192.168.1.254 vers site distant.  (192.168.2.0/24)
Routage serveurs dans le réseau 192.168.1.0, y compris IPCop  :
route add -net 192.168.2.0/24 gw 192.168.1.254

Routage serveur dans la DMZ :
route add -net 192.168.2.0/24 gw 192.168.200.252   




Site distant relié par une LS.
192.168.2.0/24
Default gateway 192.168.2.254
Pas besoin de routage pour joindre l'autre réseau puisque la passerelle par défaut fait la liaison.
Ping parfaitement le pare-feu ipcop sur l'interface GREEN.
Mais ce n'est pas encore ça.

Je n'arrive pas à pinguer le serveur de test dans la DMZ ni le nouveau routeur Internet relié à l'interface RED de IPCop (192.168.201.254)


Au niveau du site principal, les accès fonctionnent bien, il n'y a qu'au niveau du site distant que ça ne marche pas...

Est-ce quelqu'un a déjà rencontré ce type de problème ?

J'ai essayé d'être le plus précis possible.

Merci par avance pour votre aide éventuel.
Jivef.
Configuration: GNU/Linux

jivef · Answer

Bonjour,
J'ai fait des modifications au niveau de mon parefeu IPCop.
J'ai ajouté une interface réseau virtuelle souchée sur "lan-1"
ifconfig -a lan1:0 192.168.2.252 netmask 255.255.0.0 broadcast 192.168.255.255

Puis j'ai créé un script et j'ai ajouté le script à la fin de /etc/rc.d/rc.sysinit pour que cet interface soit recréée à chaque redémarrage.

Mais ça n'a pas beaucoup arrangé mon cas.

J'ai également modifié le masque de sous-réseau de la machine dans la DMZ en mettant 255.255.0.0 ainsi que le broadcast (192.168.255.255).
Je ne vois toujours pas mon réseau distant et depuis le réseau distant, je n'arrive toujours pas à pinguer la machine de test dans ma DMZ.

Une idée ?

brupala · Answer

Salut,
je ne comprends pas :
tu ne peux pas avoir le site distant à la fois en route statique et en DMZ locale, il faut choisir un autre réseau distant. 
route add -net 192.168.2.0/24 gw 192.168.1.254Routage serveur dans la DMZ :route add -net 192.168.2.0/24 gw 192.168.200.252
tu comprends que ça ne peut pas fonctionner ? 
surtout  que :
Site distant relié par une LS.192.168.2.0/24Default gateway 192.168.2.254 
ça rajoute encore au bazar.
une passerelle par défaut ne peut être que dans le réseau connecté, pas dans le réseau cible.
tu veux faire quoi exactement ?
 
et ... Voili  Voilou  Voila !

jivef · Answer

Et bien finalement, en utilisant des règles de la table "nat" d'iptables (depuis le pare-feu IPCop), je crois que j'ai réussi mais ça a été un peu pifométrique pour en arriver là.

En tout cas, depuis mon serveur de test de la DMZ, j'arrive à joindre les machines du site distant, il faut juste que je vérifie si l'inverse est également valable.

A suivre...

jivef · Answer

Bonjour,
Finalement, comme je ne voyais pas comment ça pouvait fonctionner, mais que je savais que certains l'avaient fait avant moi, j'ai fini par comprendre qu'il fallait que je fasse faire une modification des routes par le fournisseur d'accès à la LS.
Donc ils ont gentiment rajouter les routes dont j'avais besoin et ...
çà marche.

Clôture de l'incident.
Merci.

Routage, DMZ et ligne spécialisée

4 réponses

Discussions similaires