Internet marche sur la Green, mais plus sur la Blue

par **Mier** » 16 Mars 2010 11:25

Bonjour,

Mon réseau d'entreprise est sécurisé par un serveur IPCOP installé comme suit :

IPCOP v.1.4.21
plugins installés : BOT (activé), urlfilter (activé), advproxy (activé), OpenVPN (Zerina).
Trois pattes : rouge (inet addr:192.168.1.2 Bcast:192.168.1.255 Mask:255.255.255.0), verte (inet addr:192.168.2.1 Bcast:192.168.2.255 Mask:255.255.255.0), bleue (inet addr:192.168.3.1 Bcast:192.168.3.255 Mask:255.255.255.0).

Sont situés sur mon réseau Green :
- 1 CD W2k3 serveur de fichiers
- 3 imprimantes IP fixes
- 10 postes utilisateurs IP fixes

Sont situés sur mon réseau Blue :
- 5 postes utilisateurs connectés en WiFi via un routeur Netgear WGT624.

Mon problème du jour (en fait de la veille mais j'ai épuisé mes propres ressources

) est que les utilisateurs en wifi n'ont plus d'accès, ni à Internet ni aux ressources (imprimantes) de la zone Verte, alors que le tout fonctionnait très bien 3 jours auparavant depuis des mois.

La connexion internet arrive bien à la Red via un modem Bewan contrôlé par IPCOP, elle ressort sur la Green dont les utilisateurs ont tous Internet.
Concernant la carte réseau de la Blue, elle est branchée à un routeur wifi Netgear WGT624. Les utilisateurs wifi arrivent bien à se connecter au SSID du réseau wifi, même à accéder à l'interface de gestion du routeur. En revanche c'est tout : pas de connexion Internet pour eux.

J'ai vérifié le câble ethernet Blue <-> routeur, qui est bon.
J'ai restauré une vieille sauvegarde de mon IPCOP, ça n'a rien changé.
La carte réseau qui gère la Blue a l'air extérieurement de fonctionner, sa diode jaune s'allume bien.

Je suis un peu à court d'idées de tests et solutions, auriez-vous des pistes pour m'aider ?

Cordialement,

Mier

par **ccnet** » 16 Mars 2010 11:39

Deux vérifications méthodiques de bas s'imposent.
1. Ping sur des machines de plus en plus éloignées
2 Vérification de la résolution dns.

Il y a sans doute un message d'erreur envoyé par le navigateur, mais lequel ? Et puis il y a les logs ipcop. Si vous regardez tout cela et donnez le résultat nous pourrons peut être vous aider à y voir clair, à mieux comprendre le problème.
Dans ce type de situation il ne s'agit pas "d'avoir des idées" mais d'être méthodique.

par **Mier** » 16 Mars 2010 12:20

Bonjour ccnet,

Oui, par idées j'entends bien idées de tests méthodiques que je n'aurais pas encore pratiqués.

À ce sujet, pourrais-tu me préciser les points que tu cites :

- Ping sur des machines de plus en plus éloignées : ping d'une machine connectée au routeur wifi vers une autres machine connectée au même routeur ? Ping d'une machine connectée sur la Green vers une machine connectée au routeur ? Autre ?

- Vérification de la résolution dns : là encore, comment la faire, sachant que :
L'adressage en DHCP est désactivé dans IPCOP pour la Green, car géré par le serveur Win2k ; le serveur DNS renseigné pour la Green dans IPCOP est 192.168.2.1
L'adressage en DHCP est activé dans IPCOP pour la Blue, le serveur DNS renseigné pour la Blue dans IPCOP est 192.168.3.1.
Cette IP 192.168.3.1 est celle de la passerelle (default gateway).

Enfin, le routeur netgear wifi (console d'admin accessible en 192.168.3.2) indique 80.10.246.2 et 80.10.246.129 en serveurs DNS primaire et secondaire (car connexion Orange).
J'ai remarqué hier soir qu'il était lui aussi configuré en DHCP (doublon avec le réglage précité plus haut de la Blue dans IPCOP ?).
Dans l'hypothèse d'un doublon qui créerait un conflit (mais en cas, pourquoi cela aurait fonctionné correctement durant des mois ?), j'ai désactivé hier soir le DHCP sur le routeur, mais toujours pas de connexion internet pour les postes en wifi.

- le message d'erreur du navigateur n'est pas très renseignant :

Adresse introuvable
Firefox ne peut trouver le serveur à l'adresse ...
Vérifier syntaxe...
Vérifier connexion...
Assurez-vous que Firefox à l'autorisation...
Réessayer

- les logs d'ipcop
Si tu fais allusion aux journaux accessibles via l'interface web, je n'en ai pas parlé n'y ayant rien vu qui me paraissait pertinent, mais j'ai pu me tromper :
* dans le journal du parefeu, aucun message concernant la Blue
* journal système :

10:15:01 ipcop Dynamic DNS ip-update for *****.dyndns.org: success
10:10:40 ipcop IPCop started.
10:10:30 ipcop Dynamic DNS ip-update for *****.dyndns.org: failure
10:10:27 ipcop PPP has gone up on ppp0
10:10:25 ipcop Dialling OrangeBewan.
10:10:25 ipcop Starting RED device eth2.
10:09:33 ipcop PPP has gone down on ppp0
10:09:31 ipcop Redémarrage d'IPCop
07:53:28 ipcop Dynamic DNS ip-update for *****.dyndns.org: success
07:53:24 ipcop PPP has gone up on ppp0
07:53:23 ipcop Dialling OrangeBewan.
07:53:23 ipcop Starting RED device eth2.
07:52:17 ipcop Dialling OrangeBewan.
07:52:17 ipcop Starting RED device eth2.
07:52:11 ipcop PPP has gone down on ppp0
00:38:16 ipcop IPCop started.
00:38:07 ipcop Dynamic DNS ip-update for *****.dyndns.org: success
00:38:03 ipcop PPP has gone up on ppp0
00:38:01 ipcop Dialling OrangeBewan.
00:38:01 ipcop Starting RED device eth2.
00:37:11 ipcop PPP has gone down on ppp0
00:37:09 ipcop Redémarrage d'IPCop

Voilà ce que j'ai pour le moment, n'hésitez pas si vous avez besoin de renseignements complémentaires vu la pression impatiente des utilisateurs wifi qui n'ont plus internet, je suis sur le pont :-)

par **ccnet** » 16 Mars 2010 12:55

Optons pour une solution un peu expéditive. Sur une machine connectée à BLUE que donne, à partir de la ligne de commande :

Code: Tout sélectionner: ping www.google.fr

?

par **Mier** » 16 Mars 2010 17:51

Re bonjour,

Cela donne ceci :

ping www.google.fr
ping: unknown host www.google.fr

par **jdh** » 16 Mars 2010 18:01

"unknown host" cela veut bien dire : problème de résolution de nom !

Ipcop par sa carte Blue est serveur DHCP : il devrait être aussi serveur DNS : inutile de fournir un dns publique à tous les clients !

Mais il faut aussi avoir validé une règle BOT pour que l'accès à ce serveur dns soit possible !

par **Mier** » 16 Mars 2010 18:53

Merci pour ta réponse jdh, concrètement que dois-je faire :

- changer l'adresse du serveur DNS de la Blue dans Ipcop, actuellement configuré ainsi : DNS primaire: 192.168.3.1, pour la remplacer par laquelle ?

- dans l'interface du routeur wifi, supprimer les adresses DNS publiques indiquées (80.10.246.2 et 80.10.246.129) pour remplacer par "Get Automatically DNS adresse From ISP" ?

- dans l'interface du routeur wifi, le laisser en serveur DHCP ("Use Router as DHCP Server"), venant potentiellement en doublon avec le DHCP géré par Ipcop sur la Blue, ou pas ?

- dans l'interface de BOT, créer une règle autorisant l'accès pour toute l'interface Blue vers l'adresse du serveur DNS (la ou lesquelles ?) via la port concerné (53 ?).

Merci d'avance pour les éclaircissements. :-)

Ce qui m'intrigue dans tout cela, c'est que cette config n'a pas été touchée récemment et a tourné parfaitement des mois durant !

Cordialement,

Mier

par **ccnet** » 16 Mars 2010 19:13

Ce qui m'intrigue dans tout cela, c'est que cette config n'a pas été touchée récemment et a tourné parfaitement des mois durant !

Les changements de dns ça existe aussi chez les fournisseurs d'accès. Il faut se méfier et aller chercher les informations.

Sur le principe vous devriez avoir une source dns fiable disponible partout où elle est nécessaire et éviter bien sûr les dns public dans le configuration des clients.

"Get Automatically DNS adresse From ISP" n'est a priori pas une mauvaise solution.

Dns c'est le port 53 en effet mais attention, en UDP.

par **jdh** » 16 Mars 2010 19:47

Les anglophones utilisent le mot KISS : Keep It Simple and Stupid.

Ma logique serait de dire :
- l'ipcop (le firewall) gère la connexion à Internet,
- il reçoit (souvent) l'adresse ip publique et le dns par le protocole PPPOE ou DHCP (mais peut aussi être en statique),
- il va fournir dhcp et dns au réseau interne,
- comme cache dns, il sera lui-même le serveur dns pour l'interne !

(Evidemment, avec un serveur Windows interne, on préfèrera que ce soit le serveurs Windows qui soit et serveur dhcp et serveur dns).

De cette façon, une seule machine diffuse le dns pour toutes les machines internes.
(De la même façon, une seule machine devrait être référence ntp dans un réseau.)

Bien sur ce serveur dns, s'il comporte un filtrage de trafic devra être joignable en 53/udp (voire 53/tcp pour les futures dns signées @ccnet).

par **Mier** » 16 Mars 2010 20:22

ccnet a écrit:Les changements de dns ça existe aussi chez les fournisseurs d'accès. Il faut se méfier et aller chercher les informations.

J'ai bien entendu pensé à un changement d'adresse DNS du FAI... mais je n'en ai pas vu parler sur le net... Comment savoir si les serveurs DNS de Wanadoo/Orange ont changé ?

ccnet a écrit:"Get Automatically DNS adresse From ISP" n'est a priori pas une mauvaise solution.

Problème : je viens d'essayer de changer ce paramètre, impossible tant que "Get Dynamically IP From ISP " est décoché, ce qui est le cas puisque dans la partie Basic Settings du routeur, ce dernier est configuré comme suit :

Use Static IP Address (coché)
IP Address 192.168.3.2
IP Subnet Mask 255.255.255.0
Gateway IP Address 192.168.3.1

jdh a écrit:(Evidemment, avec un serveur Windows interne, on préfèrera que ce soit le serveurs Windows qui soit et serveur dhcp et serveur dns).

Ce qui en effet le cas ici : le serveur Windows interne fait office de serveur DHCP et DNS pour les ordinateurs connectés à la zone Green. Et actuellement ces derniers ont bien internet, les saligauds.

Du coup je suis un petit peu perdu j'avoue... :-/ Que faire concrètement ?

par **Titofe** » 17 Mars 2010 07:46

Tu parle de routeur comme point d'accès wifi pour ta zone blue, et en même temps tu dit que les DNS rentrer dans le routeur qui te serre de point d'accès sont ceux de ton FAI, ce qui veux dire qu'habituellement tu communique avec tes imprimantes que par leur adresse IP.

Dans les test que tu à effectué, a tu fait:
- un ping d'un poste derrière le routeur wifi vers ipcop zone blue (192.168.3.1),
- un ping d'un poste derrière le routeur wifi vers ipcop zone green (192.168.2.1),
- mettre en IP fixe un poste derriere le routeur avec comme DNS ceux de ton FAI,
- mettre en IP fixe un poste directement sur la zone blue d'IPCop avec comme DNS ceux de ton FAI,

J'utilise aussi les DNS que tu à indiquez et je ne rencontre aucun souci.

par **Mier** » 18 Mars 2010 02:38

Bonsoir,

Titofe a écrit:ce qui veux dire qu'habituellement tu communique avec tes imprimantes que par leur adresse IP

Tout à fait, si je fais une recherche des imprimantes réseau (installées sur la zone Green) visibles depuis un poste situé en zone Blue, je ne les trouve pas par leur nom, je dois rentrer manuellement leur adresse IP

Concernant les tests que tu préconises, voici ce que ça donne :

un ping d'un poste derrière le routeur wifi vers ipcop zone blue (192.168.3.1)
ping 192.168.3.1
PING 192.168.3.1 (192.168.3.1) 56(84) bytes of data.
From 192.168.3.5 icmp_seq=2 Destination Host Unreachable
From 192.168.3.5 icmp_seq=3 Destination Host Unreachable
From 192.168.3.5 icmp_seq=4 Destination Host Unreachable
From 192.168.3.5 icmp_seq=5 Destination Host Unreachable
From 192.168.3.5 icmp_seq=6 Destination Host Unreachable
etc

un ping d'un poste derrière le routeur wifi vers ipcop zone green (192.168.2.1)
ping 192.168.2.1
PING 192.168.2.1 (192.168.2.1) 56(84) bytes of data.
(reste bloqué, je tue la tâche d'un contrôle C) ^C
--- 192.168.2.1 ping statistics ---
288 packets transmitted, 0 received, 100% packet loss, time 288290ms

J'ai pensé que le ping pouvait ne pas fonctionner du fait de ma configuration de BOT, qui bloque le ping (icmp), puisque même depuis la Green qui a accès sans souci à internet, un ping de www.google.fr donnait :
ping www.google.fr
PING www.l.google.com (209.85.227.147) 56(84) bytes of data.
From ipcop.localdomain (192.168.2.1) icmp_seq=1 Destination Port Unreachable
From ipcop.localdomain (192.168.2.1) icmp_seq=2 Destination Port Unreachable
From ipcop.localdomain (192.168.2.1) icmp_seq=3 Destination Port Unreachable
From ipcop.localdomain (192.168.2.1) icmp_seq=4 Destination Port Unreachable
From ipcop.localdomain (192.168.2.1) icmp_seq=5 Destination Port Unreachable
From ipcop.localdomain (192.168.2.1) icmp_seq=6 Destination Port Unreachable
From ipcop.localdomain (192.168.2.1) icmp_seq=7 Destination Port Unreachable
From ipcop.localdomain (192.168.2.1) icmp_seq=8 Destination Port Unreachable
^C
--- www.l.google.com ping statistics ---
8 packets transmitted, 0 received, +8 errors, 100% packet loss, time 7010ms

J'ai alors désactivé temporairement BOT, de sorte que le même ping vers www.google fonctionnait bien :

ping www.google.fr
PING www.l.google.com (209.85.227.104) 56(84) bytes of data.
64 bytes from wy-in-f104.1e100.net (209.85.227.104): icmp_seq=1 ttl=52 time=57.6 ms
64 bytes from wy-in-f104.1e100.net (209.85.227.104): icmp_seq=2 ttl=52 time=69.9 ms
64 bytes from wy-in-f104.1e100.net (209.85.227.104): icmp_seq=3 ttl=52 time=137 ms
64 bytes from wy-in-f104.1e100.net (209.85.227.104): icmp_seq=4 ttl=52 time=65.8 ms
^C
--- www.l.google.com ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3006ms
rtt min/avg/max/mdev = 57.658/82.750/137.537/31.939 ms

J'ai alors refait un ping, depuis un poste en zone Blue, des IP 192.168.3.1 et 192.168.2.1, mais cela renvoit le même résultat qu'avec BOT activé.

mettre en IP fixe un poste derriere le routeur avec comme DNS ceux de ton FAI
Le routeur est configuré en DHCP sur la plage 192.168.3.3 à 192.168.3.150, j'ai testé de me mettre en IP fixe 192.168.3.151 et les DNS du FAI. Pas possible d'avoir accès à internet

mettre en IP fixe un poste directement sur la zone blue d'IPCop avec comme DNS ceux de ton FAI
J'imagine que ça se fait via l'option "Réservations DHCP fixes" d'IPCOP.
J'ai testé en demandant l'adresse IP fixe 192.168.3.52 associée à mon adresse MAC
Adresse du routeur IP : 192.168.3.1
Serveur DNS:80.10.246.2 (DNS primaire de Wanadoo/Orange)

Et malgré cela, l'IP que j'obtiens en me connectant en DHCP au routeur wifi est différente de celle fixe demandée :

Link encap:Ethernet HWaddr **:**:**:**:**:**
inet adr:192.168.3.4 [au lieu de 192.168.3.52] Bcast:192.168.3.255 Masque:255.255.255.0
adr inet6: fe80::221:63ff:feac:173/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
Packets reçus:2363 erreurs:0 :0 overruns:0 frame:0
TX packets:2845 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:1000
Octets reçus:326256 (326.2 KB) Octets transmis:314470 (314.4 KB)

Bref, j'espère que ces tests supplémentaires mettront quelqu'un dans la voie pour identifier le problème et sa solution ! :-)

par **Titofe** » 18 Mars 2010 16:10

Mier a écrit:mettre en IP fixe un poste directement sur la zone blue d'IPCop avec comme DNS ceux de ton FAI
J'imagine que ça se fait via l'option "Réservations DHCP fixes" d'IPCOP.

Non, mais de mettre une IP Fixe directement sur l'ordinateur ensuite de ping la zone green d'ipcop, la zone rouge et enfin www.google.fr

Cdt,

par **policeip** » 02 Avr 2010 08:30

Tu as activé le proxy, ok ; est-il en mode transparent ?
Si oui, peux tu faire un test en désactivant le mode transparent ?
J'ai eu ce genre de problème et j'ai désactiver le mode transparent pour accéder à internet.
J'avoue ne pas avoir cherché plus loin (par manque de temps), mais je m'y remettrai bientôt.

Internet marche sur la Green, mais plus sur la Blue

Internet marche sur la Green, mais plus sur la Blue

Qui est en ligne ?