Routage, DMZ et ligne spécialisée
Résolu
jivef
Messages postés
927
Date d'inscription
Statut
Membre
Dernière intervention
-
jivef Messages postés 927 Date d'inscription Statut Membre Dernière intervention -
jivef Messages postés 927 Date d'inscription Statut Membre Dernière intervention -
Bonjour,
J'essaie de mettre en place une DMZ sur un réseau qui comporte deux sites reliés par une Ligne spécialisée.
La configuration n'est pas des plus compliquée, mais le site distant n'arrive à contacter le serveur de test qui est dans ma DMZ, malgré la mise en place d'une table de routage...
Il n'arrive pas non plus à contacter le nouveau routeur Internet qui est relié à une interface séparée du pare-feu (IPCop, interface RED)
Voici en gros à quoi ressemble la config.
Site principal adresse IP 192.168.1.0/24
DNS 192.168.1.10
Pare-feu IPCop
192.168.1.252/24 (interface GREEN)
192.168.200.252.0/24 (interface ORANGE - DMZ)
192.168.201.252.0/24 (interface RED - Internet)
Routeur Internet (passerelle par défaut) en 192.168.201.254/24 relié à l'interface RED d'IPCop.
Routeur LS 192.168.1.254 vers site distant. (192.168.2.0/24)
Routage serveurs dans le réseau 192.168.1.0, y compris IPCop :
route add -net 192.168.2.0/24 gw 192.168.1.254
Routage serveur dans la DMZ :
route add -net 192.168.2.0/24 gw 192.168.200.252
Site distant relié par une LS.
192.168.2.0/24
Default gateway 192.168.2.254
Pas besoin de routage pour joindre l'autre réseau puisque la passerelle par défaut fait la liaison.
Ping parfaitement le pare-feu ipcop sur l'interface GREEN.
Mais ce n'est pas encore ça.
Je n'arrive pas à pinguer le serveur de test dans la DMZ ni le nouveau routeur Internet relié à l'interface RED de IPCop (192.168.201.254)
Au niveau du site principal, les accès fonctionnent bien, il n'y a qu'au niveau du site distant que ça ne marche pas...
Est-ce quelqu'un a déjà rencontré ce type de problème ?
J'ai essayé d'être le plus précis possible.
Merci par avance pour votre aide éventuel.
Jivef.
J'essaie de mettre en place une DMZ sur un réseau qui comporte deux sites reliés par une Ligne spécialisée.
La configuration n'est pas des plus compliquée, mais le site distant n'arrive à contacter le serveur de test qui est dans ma DMZ, malgré la mise en place d'une table de routage...
Il n'arrive pas non plus à contacter le nouveau routeur Internet qui est relié à une interface séparée du pare-feu (IPCop, interface RED)
Voici en gros à quoi ressemble la config.
Site principal adresse IP 192.168.1.0/24
DNS 192.168.1.10
Pare-feu IPCop
192.168.1.252/24 (interface GREEN)
192.168.200.252.0/24 (interface ORANGE - DMZ)
192.168.201.252.0/24 (interface RED - Internet)
Routeur Internet (passerelle par défaut) en 192.168.201.254/24 relié à l'interface RED d'IPCop.
Routeur LS 192.168.1.254 vers site distant. (192.168.2.0/24)
Routage serveurs dans le réseau 192.168.1.0, y compris IPCop :
route add -net 192.168.2.0/24 gw 192.168.1.254
Routage serveur dans la DMZ :
route add -net 192.168.2.0/24 gw 192.168.200.252
Site distant relié par une LS.
192.168.2.0/24
Default gateway 192.168.2.254
Pas besoin de routage pour joindre l'autre réseau puisque la passerelle par défaut fait la liaison.
Ping parfaitement le pare-feu ipcop sur l'interface GREEN.
Mais ce n'est pas encore ça.
Je n'arrive pas à pinguer le serveur de test dans la DMZ ni le nouveau routeur Internet relié à l'interface RED de IPCop (192.168.201.254)
Au niveau du site principal, les accès fonctionnent bien, il n'y a qu'au niveau du site distant que ça ne marche pas...
Est-ce quelqu'un a déjà rencontré ce type de problème ?
J'ai essayé d'être le plus précis possible.
Merci par avance pour votre aide éventuel.
Jivef.
A voir également:
- Routage, DMZ et ligne spécialisée
- Partager photos en ligne - Guide
- Mètre en ligne - Guide
- Aller à la ligne excel - Guide
- Apparaitre hors ligne instagram - Guide
- Formulaire en ligne de meta - Guide
4 réponses
Bonjour,
J'ai fait des modifications au niveau de mon parefeu IPCop.
J'ai ajouté une interface réseau virtuelle souchée sur "lan-1"
ifconfig -a lan1:0 192.168.2.252 netmask 255.255.0.0 broadcast 192.168.255.255
Puis j'ai créé un script et j'ai ajouté le script à la fin de /etc/rc.d/rc.sysinit pour que cet interface soit recréée à chaque redémarrage.
Mais ça n'a pas beaucoup arrangé mon cas.
J'ai également modifié le masque de sous-réseau de la machine dans la DMZ en mettant 255.255.0.0 ainsi que le broadcast (192.168.255.255).
Je ne vois toujours pas mon réseau distant et depuis le réseau distant, je n'arrive toujours pas à pinguer la machine de test dans ma DMZ.
Une idée ?
J'ai fait des modifications au niveau de mon parefeu IPCop.
J'ai ajouté une interface réseau virtuelle souchée sur "lan-1"
ifconfig -a lan1:0 192.168.2.252 netmask 255.255.0.0 broadcast 192.168.255.255
Puis j'ai créé un script et j'ai ajouté le script à la fin de /etc/rc.d/rc.sysinit pour que cet interface soit recréée à chaque redémarrage.
Mais ça n'a pas beaucoup arrangé mon cas.
J'ai également modifié le masque de sous-réseau de la machine dans la DMZ en mettant 255.255.0.0 ainsi que le broadcast (192.168.255.255).
Je ne vois toujours pas mon réseau distant et depuis le réseau distant, je n'arrive toujours pas à pinguer la machine de test dans ma DMZ.
Une idée ?
Salut,
je ne comprends pas :
tu ne peux pas avoir le site distant à la fois en route statique et en DMZ locale, il faut choisir un autre réseau distant.
tu comprends que ça ne peut pas fonctionner ?
surtout que :
ça rajoute encore au bazar.
une passerelle par défaut ne peut être que dans le réseau connecté, pas dans le réseau cible.
tu veux faire quoi exactement ?
et ... Voili Voilou Voila !
je ne comprends pas :
tu ne peux pas avoir le site distant à la fois en route statique et en DMZ locale, il faut choisir un autre réseau distant.
route add -net 192.168.2.0/24 gw 192.168.1.254
Routage serveur dans la DMZ :
route add -net 192.168.2.0/24 gw 192.168.200.252
tu comprends que ça ne peut pas fonctionner ?
surtout que :
Site distant relié par une LS.
192.168.2.0/24
Default gateway 192.168.2.254
ça rajoute encore au bazar.
une passerelle par défaut ne peut être que dans le réseau connecté, pas dans le réseau cible.
tu veux faire quoi exactement ?
et ... Voili Voilou Voila !
Et bien finalement, en utilisant des règles de la table "nat" d'iptables (depuis le pare-feu IPCop), je crois que j'ai réussi mais ça a été un peu pifométrique pour en arriver là.
En tout cas, depuis mon serveur de test de la DMZ, j'arrive à joindre les machines du site distant, il faut juste que je vérifie si l'inverse est également valable.
A suivre...
En tout cas, depuis mon serveur de test de la DMZ, j'arrive à joindre les machines du site distant, il faut juste que je vérifie si l'inverse est également valable.
A suivre...
Bonjour,
Finalement, comme je ne voyais pas comment ça pouvait fonctionner, mais que je savais que certains l'avaient fait avant moi, j'ai fini par comprendre qu'il fallait que je fasse faire une modification des routes par le fournisseur d'accès à la LS.
Donc ils ont gentiment rajouter les routes dont j'avais besoin et ...
çà marche.
Clôture de l'incident.
Merci.
Finalement, comme je ne voyais pas comment ça pouvait fonctionner, mais que je savais que certains l'avaient fait avant moi, j'ai fini par comprendre qu'il fallait que je fasse faire une modification des routes par le fournisseur d'accès à la LS.
Donc ils ont gentiment rajouter les routes dont j'avais besoin et ...
çà marche.
Clôture de l'incident.
Merci.
