URL bloquées sans raison...

[Mophete]

Bonsoir,

Alors voila, j'ai ipcop 1.4.21 avec 4 vlans :
red : en direct sur ma box, elle même en mode bridge (free)
bleu : dessus un point d'accès en mode bridge et ssid non sécurisé de manière à ce que se soit ipcop qui gère les accès via adresses mac.
vert : 2 postes fixes
orange : un serveur web et un NAS

tout ce beau monde cohabite parfaitement, mais depuis quelques mois, je rencontre un pb étrange :

certains pc "externes" ne parviennent pas à atteindre mon nas (ftp) ni mon serveur web
et n'importe lequel de mes pc ne parviennent plus à atteindre des sites web distants (par exemple www.numericable.fr)
les navigateurs affichent un message d'erreur provenant d'ipcop :
Connection to 82.216.111.15 Failed
The system returned:

(113) No route to host

Donc déjà, il ne s'agit pas d'un pb de DNS, puisque le hostname numericable.fr est résolu...
j'ai vidé le cache squid, j'ai désactivé le proxy, ca ne change rien du tout...
si je me connecte via une console ssh sur ipcop, je ne parviens pas à pinguer ces url là, alors que les requêtes ping aboutissent lorsque je saisis n'importe quelle autre url...
si je branche un pc au $%#&! de la box, là, bien entendu, il parvient parfaitement à accéder à ces sites...
sachant que je n'ai installé aucun addon....je voudrais bien éviter de refaire toute ma config ipcop pour si peu

A l'aide svp
merci d'avance pour celui ou ceux qui vont se pencher sur mon pb
Mophete.

[Franck78]

(113) No route to host

A défaut d'avoir un minimum d'info sur les adresses des 'vlans' ont va se contenter de dire que c'est le classique et mille fois exposé problème d'adressage IP foireux des interfaces de IPCop.....

[Mophete]

Bonjour et merci pour ta réponse

bah c'est à dire que je ne voyais pas bien l'utilité de préciser ce genre d'info, là comme ça, ceci dit si ça permet de faire avancer la chose, alors je précise tout ceci avec plaisir :

rouge : en dhcp, les infos sont fournies par free
vert : 192.168.0/24
bleu : 192.168.1/24
orange : 192.168.2/24

a part les 2 serveurs, tous les postes, aussi bien sur vert que sur bleu, sont paramétrés en dhcp, et éventuellement, c'est sur ipcop que je précise que telle ou telle adresse mac doit toujours obtenir une ip fixe...

Si tu souhaites d'autres précisions, surtout n'hésites pas

Merci d'avance,
Mophete

[Franck78]

Salut,
c'est correct si RED est bien différente des trois autres. Désolé, j'ai pas free.

Pas de switches commun à tout ça. Chaque réseau est bien autonome?

certains pc "externes" ne parviennent pas à atteindre mon nas (ftp) ni mon serveur web

Pourquoi 'certains'. C'est tous ou aucun! Tu n'as pas de 'réglages' spécifiques....

n'importe lequel de mes pc ne parviennent plus à atteindre des sites web distants (par exemple http://www.numericable.fr)

et tes PC locaux atteignent TOUJOURS tes serveurs NAS/FTP?

Si oui c'est donc entre free et RED.
Commence par changer la carte réseau RED. Voit aussi dans IPCop du coté des graphiques et des logs ce qui ce raconte.

Franck

[Mophete666]

merci pour vos réponses

alors l'ip red obtenue est 82.228.77.xxx, donc rien à voir avec les ip des autres vlans, et comme elle est fixe chez free, elle ne sera jamais sur le 192.168.xxx.xxx.....

alors par certains pc externes, oui, certains....
en clair, j'ai grosso modo 99% des internautes qui accèdent à mon nas, ou simplement aux sites web que j'héberge, et, je ne sais pas pourquoi, certains autres, non, ils ont également un "no route to host" sur leur navigateur.
des tracert de mes pc vers un site qui n'aboutit pas va jusqu'à mon dslam (alo33) puis plus rien...
et les quelques pc que j'ai recensé "externes" qui n'arrivent pas chez moi, si ils font un tracert de mon url ou de mon ip publique, finissent par arriver sur alo33 (mon dslam) et de là echouent...alors que tous les autres, qui font un tracert, n'affichent jamais cet alo33
de là à affirmer que des pc ne passent par mon dslam pour arriver chez moi, ya qu'un pas, et pourtant, puisque j'ai une cnx adsl, il faut FORCEMENT traverser la broche qui relie ma ligne sur le dslam alo33......

incompréhensible...

les logs de mon ipcop ne donnent rien, puisqu'à mon niveau, les requêtes sortent bien de chez moi et échouent au niveau du dslam, et concernant les requêtes entrantes, comme elles n'arrivent pas jusqu'à mon ipcop...il le logue rien du tout non plus

sinon oui oui TOUS les postes locaux, bleu ou verts, arrivent bien à mes serveurs sur orange...

et tout passe par un seul switch niveau 3 avec des vlans et des ports taggés pour chaque vlan (orange, vert), rouge n'allant que sur la box et bleu n'allant que sur le point d'accès, pas besoin de passer par un switch...

en clair les postes wifi ne passent pas par le switch donc il n'est pas en cause, par déduction (du moins à priori)...

je sèche...

[Franck78]

Si on élimine IPCop il ne reste pas grand chose et encore moins que tu puisses 'corriger' seul. Puisque de l'extérieur ca bute 'du coté du dslam' le mieux est de contacter free.

[Mophete666]

ben je pense pas puisque lorsque je branche un pc en direct sur la box, il accède à tous les sites web, dont ceux qui ne passent pas lorsque ce même pc passe par ipcop...

[Franck78]

Et bien dans ton IPCop ou pas très loin, il doit y avoir un routage à la con qui reprend tout le réseau 'de ceux qui n'arrivent pas chez toi' ou 'que tu ne joins pas' !

#route !

[mab]

salut,

une piste peut-être, vu qu'on ne sait pas qui accède à quoi (pas de règle de problème ou de fonctionnement décrit ) à partir du net :

n'y aurai-t-il pas de blocages de la part de tes "clients" vers des adresses potentiellement BotNet ? du coup aucun accès ne peut-être fait sur normalement aucun port vers les clients lambdas orange, free, etc.

J'ai ce problème, je connais une entreprise qui possède un pare-feu qui bloque les accès vers les BotNets , aucun membre du personnel ne peut accéder à mon serveur.

D'autre part, ayant rencontré des problèmes de réseau en vpn avec la classe 192.168.0.x, je ne l'utilise plus.

Ce qui est toujours étonnant dans ce genre de problèmes, c'est que rien ne semble avoir changé, mais que tout seul ça se mette à ne plus fonctionner correctement.
-> y a-t-il des addons ? comment sont-ils configurés ?

franck78 a demandé si un switch n'avait pas été mis en commun ?

pourquoi parles-t-on ici de "vlan" ? est-ce que tu fais du marquage de trames ?

précises-nous en plus sur l'état de tes clients qui ont ou non accès, pour qu'on puisse diagnostiquer si c'est ce problème ou non.

[Mophete]

Bonjour,

alors je vais tenter de répondre à toutes tes questions dans l'ordre :

J'ai un switch par sous réseau (vert et orange)
pour faire plus clair, j'avais 2 switchs (comme il se doit) et j'en ai mis un seul, administrable de niveau 2, donc sur lequel j'a pu paramétrer des vlans, tagger des prises eth pour chacun de ces vlans, et que donc même après avoir mis en place cet appareil, tout a continué de bien fonctionner sans aucun pb...

concernant les ordis qui n'accèdent pas à mon serveur, je ne dis pas qu'ils ne risquent pas avoir un blocage contre les botnet, mais bon se sont des particuliers, qui ont très certainement une box adsl et 1, voire 2, ordinateurs derrière, avec un windows et un anti virus, quelque fois un firewall logiciel de type suite de sécurité, genre symantec, f-secure, ou encore kaspersky, bref, le cas typique comparable à ce que pourrait avoir Madame Michu chez elle quoi...
en clair, il n'y a pas particulièrement d'ordinateurs situés derrière un firewall d'entreprise qui tente d'accéder à mon serveur...encore que mon propre ordinateur, dans la boite dans laquelle je travaille, situé lui même derrière un gros firewall, accède bien ) mon pc personnel....lui !

pas de marquage de trames
aucun addon, j'ai même pas installé le gestionnaire d'addons

j'ai tenté de désactiver snort, et a peu près tous les services désactivables, mais rien n'y fait.

ceci dit la question concernant le switch m'a mis le doute, donc j'ai remis les 2 switchs non administrables, un concernant vert, et l'autre concernant orange, et après avoir demandé à une personne qui est concernée par le pb, ca ne change rien du tout...
j'ai donc remis mon switch administrable en place

mais de tout ceci, il ne s'agit que de 50% du pb, l'autre moitié concernant le fait que moi, depuis les PCs de mon lan, même mon serveur situé sur orange (j'ai installé le navigateur lynx) ne parviennent pas à accéder à des sites web distants comme http://www.windguru.com, numericable.fr, virtualregata.com, etc.....

certes je suis a peu près certain que la résolution de l'un réglera l'autre, mais bon....
je sèche...
j'attend de recevoir les pièces pour me monter un autre pc sur lequel installer un ipcop tout neuf, refaire mes règles (sans les exporter puis importer, des fois que ca exporte le routage fautif), et ensuite comparer le routage de l'un et de l'autre...
si je trouve la ligne responsable, je n'hésiterai pas à vous la soumettre pour faire avancer la communauté.

[mab]

ok maintenant, ça me semble plus clair.

as-tu essayé de faire un

Code: Tout sélectionner

tcpdump -n -i ppp0

(adapter l'interface red au besoin) sur ipcop quand tu fais un accès vers le web et aussi depuis le web qui fonctionne et un qui ne fonctionne pas ?
un simple ping par exemple histoire d'essayer.