SME 7.x et freebox v4 - problèmes d'accès au net

[Old Lodge Skins]

... Une demande de ping sur yahoo.fr m'indique bien l'Ip de yahoo.fr donc la résolution de noms marche. Autrement il ne me sortirait pas l'IP correspondant au domaine que je tente de pinger.
D'après Yast2 / Services réseau / Nom d'hôte et DNS ==> nom d'hôte modifié par DHCP, l'adresse du serveur DNS, renseignée automatiquement, est bien celle de mon serveur...

Concernant la passerelle, il est vrai que je ne suis pas trop au point sur le sujet, vu que de mémoire je n'ai jamais eu à l'indiquer à mes postes je présume qu'elle est reçue lors de l'attribution DHCP...

Pour le wifi merci pour l'info, j'ignorais que le WPA en était rendu au même niveau que le WEP...
Mon routeur supporte WPA2 mais pas ma carte à priori... Je me renseignerai quand même.

[jdh]

WEP est crackable en moins de 10 minutes. Les vidéos ne manquent pas.

WPA-PSK est crackable seulement parce que la clé de base (PSK = Pre Shared Key), qui sert à générer les clés réellement utilisées, est fixe. Elle est susceptible d'être attaquée par attaque de dictionnaire. Une bonne mesure est donc d'utiliser une clé PSK longue et assez aléatoire (au moins 25 caractères, de a-zA-Z0-9 et quelques signes +-*/_()=$£&).

On peut plutôt dire que WPA-PSK est assez difficilement crackable si les bonnes mesures sont prises. D'ailleurs je n'ai pas trouvé d'outils permettant cela de façon automatique, au contraire de WEP. (Cela ne veut pas dire que cela n'existe pas).


Les autres mesures de sécurité (rendre le SSID non broadcasté, utiliser un filtrage d'adresses MAC) ne servent qu'à ralentir l'attaque parce qu'il est assez simple de passer par dessus. Il faut donc les utiliser ... mais pas se tromper sur leur efficacité.

[Old Lodge Skins]

Ah bon voilà qui est déjà plus rassurant!

[Gaston]

Bonjour,
j'ai l'impression que tu as fait une grosse boucle autour te ton routeur (faut pas perdre de paquet )

Les stations obtiennent leur IP par DHCP sur la plage 192.168.1.64 à 250 / 255.255.255.0, le serveur a 192.168.1.20 en interne et un 82.quelque-chose en externe, le routeur 192.168.1.5

si je refais le dessin, je vois ça :

Code: Tout sélectionner

freebox
x.x.x.x
|
x.x.x.82 (eth1)
SME
192.168.1.20 (eth0)
|
|
192.168.1.xxx
routeur
192.168.1.5 / 255.255.255.0
|
DHCP : 192.168.1.64-250

ou approchant, mais en tout cas pour moi tu as le même réseau de chaque côté du routeur
et au fait c'est qui le serveur DHCP ?

enfin bon, c'est ma vision de ce que tu écris ...
et je vois pas pourquoi ça marche pas avec un switch ... mais clairement vu que le serveur est 100% opérationnel, ce n'est ni côté freebox, ni côté SME que ça coince (sauf si tu remplaces mes x.x.x par 192.168.1 )

G.

[Old Lodge Skins]

Attends j'ai du mal à suivre ton schéma...

La freebox n'a pas d'IP à elle puisqu'elle n'est pas en mode routeur, elle se comporte donc comme un vulgaire modem et passe son IP au serveur. ce qui donne pour moi...

Freebox
|
|
SME (eth1) 82.xx.xx.xx
sme(ETH0) 192.168.1.20
|
|
Routeur 192.168.1.1 (note: 1.1 à présent car je l'ai remis aux réglages d'usine pour être sûr que ce n'était pas son paramétrage qui bloquait)
|
|
Postes 192.168.1.64 à 250 par DHCP

Où est le problème? Tout ce petit monde (de SME(eth0) aux postes) est bien sensé être sur la même branche non? Ou alors il faut que je mette le routeur sur une autre branche (genre 192.168.2.1)?

Ah remarque c'est peut-être ça... Car avant j'utilisais des 192.168.0.x en interne et chez ma soeur j'ai changé pour des 1.x car conflit avec sa freebox, en mode routeur elle, qui utilisait des 0.x... Je vais tester.

Seb.

[Old Lodge Skins]

Ben non... Il me semblait bien aussi...
Et à présent je me heurte à un bogue du routeur qui n'enregistre plus le changement de son IP lol! Pas très grave je vais devoir le remettre à zéro...

[Gaston]

oh ben si ça fait une différence,
d'aprèsce site pris au zazard, il y a quelques règles à respecter.

Un routeur permet de faire communiquer deux réseaux logiques différents. Nous verrons plus loin ce que cela induit dans le transport des données. Si l'on interconnecte deux réseaux physiques avec un routeur, il faudra absolument que ces deux réseaux physiques soient également des réseaux (ou sous réseaux) logiques différents (NetID différents).

G.

[Old Lodge Skins]

je vois bien ton exemple mais je n'utilise finalement ce routeur que comme switch... D'ailleurs avec mon vieux switch j'ai le même comportement. Ce qui devrait mettre hors cause le routeur non?
La communication avec un réseau différent (à savoir 82.xx) c'est la SME qui s'en charge via ses deux cartes réseau. Pas mon routeur. Ou alors c'est que je n'ai rien pigé... (pas taper hein! )

edit: lol ok il n'enregistrait pas les paramètres à cause de NoScript fallait autoriser 192.168.2.1 ce n'était rien...
Enfin quoi qu'il en soit même avec le routeur en 2.1 j'ai le même comportement.

edit#2: même en définissant une route statique (212.27.48.10 [=free.fr] ==> passerelle 192.168.1.20 ==> péripherique ra0 [= ma carte wifi]) impossible de faire un ping ou un traceroute sur cette adresse...
Dans tous les cas, le traceroute arrive bien jusqu'à mon serveur, mais ne va pas plus loin.

Seb.

[jibe]

Salut,

La freebox n'a pas d'IP à elle puisqu'elle n'est pas en mode routeur, elle se comporte donc comme un vulgaire modem et passe son IP au serveur. ce qui donne pour moi...

Je n'ai pas touché à la config de la freebox.

A ma connaissance, la freebox est livrée paramétrée en mode routeur ! Donc, à vérifier si

ce n'est ni côté freebox, ni côté SME que ça coince (sauf si tu remplaces mes x.x.x par 192.168.1 )

Par ailleurs

C'est gênant car:

* Impossible de faire un ping

Pour la résolution DNS elle marche, une tentative de ping me donne la bonne ip (la même que le serveur trouve quand je tente un ping directement depuis lui).

WTF ?

J'ai un peu l'impression que tu te mélanges les pinceaux dans ton usine à gaz ! Tu es loin d'être le seul ! C'est la raison pour laquelle j'ai défendu avec acharnement mon point de vue que, sauf besoins et connaissances peu ordinaires, la SME devrait toujours être utilisée selon une architecture très basique et simple :

modem (ou freebox effectivement configurée en bridge)
|
SME serveur-passerelle
|
switch ou hub (et pas routeur !)
|
LAN

On peut troller autant qu'on veut sur ce sujet : les faits sont là. Sorti ce ce schéma, les emm*** arrivent !

Cela dit, si tu veux persister dans ta config actuelle (mais pourquoi donc ce routeur alors que tu as un switch qui ferait beaucoup mieux l'affaire ici, que ça change ou non (en apparence...) quelque chose dans tes tests), essaie de nous donner des infos exactes et donc cohérentes ! Et vérifie l'adresse externe de ta SME (je ne vois d'ailleurs aucune bonne raison de la cacher : une IP publique n'a rien de confidentiel !) pour t'assurer qu'elle n'est pas encore dans la même plage que l'adresse LAN !

Un tel comportement de ton réseau est absolument anormal, et c'est forcément un truc tout c*n dont on n'a pas connaissance qui en est la cause. Il faut tout vérifier très méticuleusement

[tomtom]

Pas mal de softs trainent pour casser en 10 minutes n'importe quelle connexion Wifi WEP et WPA.

On peut avoir des noms ? Tous ceux que j'ai vu utilisent la force brute ou le dictionnaire, donc avec un mot de passe de 20 caractères aléatoires, courage !

Non, la passerelle n'est pas auto-détectée si elle n'est pas manuellement renseignée ou si le serveur DHCP ne te la fournit pas... J'invente rien, c'est comme ca !

C'est vrai, mais avec un proxy un PC peut parfaitement surfer sans passerelle.
Pour le reste (ping), non...

A ma connaissance, la freebox est livrée paramétrée en mode routeur

Je ne crois, pas, pas la V5 en tout cas...
Et puis si la SME obtient bien une IP publique, ca doit etre bon...


Avec un switch à la place du routeur, le schéma est franchement ce qu'il y a de plus simple....

Pour le problème, soit il y a une une modif sur la SME avec des règles de filtrage qui ont changé, soit il y a un problème tordu.
Une idée me vient comme ça : N'aurais-tu pas inversé les cables green et red sur ta SME en rebranchant ?
A vue de nez, ça pourrait expliquer les symptomes...


t.

[tomtom]

Hum non en fait, tu aurais du mal à acceder à la SME avec les cables inversés...


Peux-tu lister les règles iptables sur ta SME ?

t.

[Old Lodge Skins]

Hum bon alors essayons de reprendre dans l'ordre...

@jibe:
La freebox de ma soeur, elle, n'était pas en mode routeur par défaut! Quant à la mienne, je n'ai pas accès à la console d'administration dans l'immédiat, mais je suis certain qu'elle ne l'est pas non plus, sinon j'aurais eu besoin de créer des renvois de port vers ma SME pour qu'elle soit accessible de l'extérieur.

J'ai besoin de ce routeur pour mon accès wifi, tout simplement... Je ne l'ai acheté que pour ça! Et puis bon sang, ca marchait au poil avant que je ne sois coupé par Free et forcé de mettre une freebox!

Quant à mon IP externe je ne cherche pas à la cacher... C'est juste que quand j'ai posté je ne l'avais pas sous la main. Info provenant du server-manager directement: External IP address / subnet mask 88.176.98.14/255.255.255.0
OK ce n'est pas 82.xx mais 88 ou 82 cela ne change rien à l'affaire...

Par contre... Le masque de sous-réseau peut-être? Là j'ai le même en interne et en externe. Ca joue?

@tomtom: je penche pour le problème tordu...
Bien sûr que non je n'ai pas inversé les deux lol, autrement je n'aurais strictement aucun accès à mon réseau local!
Ah ben oui je vois que tu l'as noté toi-même
Que dois-je faire au juste pour obtenir la liste des règles iptables? Là j'avoue que je n'ai pas l'habitude...

Seb.

[tomtom]

en ssh :

Code: Tout sélectionner

iptables -L -n -v


t.

[Cool34000]

Salut,

On peut avoir des noms ?

Oui bien sur, voila même les liens en prime !
http://www.wirelessdefence.org/Contents ... ckMain.htm
http://kismac.binaervarianz.de/
http://www.wirelessdefence.org/Contents ... tyMain.htm
Voila même deux tutos (parmis tant d'autres...)
http://www.wirelessdefence.org/Contents ... rcrack.htm
http://www.generation-nt.com/wifi-secur ... 824-1.html
Attention, c'est pour tester seulement hein !!!
Et visiblement WPA2 est dans le lot...
Seul défaut : il faut posséder une carte réseau WiFi compatible avec les analyseurs de trames, et la liste des cartes compatibles n'est pas longue !
Des logiciels sont dispo pour plusieurs OS, dont Windows et Linux...
Dormez en toute sécurité

C'est vrai, mais avec un proxy un PC peut parfaitement surfer sans passerelle.

Tout à fait, mais ce n'est alors pas lui qui sort : c'est le mandataire (proxy) ! Et cela reste réservé au surf ou plus généralement aux logiciels étant capable de passer par un proxy...


Quand au Freebox (v4 et v5 que je connais), elles sont livrés en mode Bridge (modem) par défaut et il faut obligatoirement passer par la page web de config chez Free pour activer le mode routeur... Voila !

[Titofe]

Je rejoins tomtom.

GNT : http://www.generation-nt.com/wifi-secur ... 824-9.html

Code: Tout sélectionner

Le WPA aussi a des failles, mais l'attaque qui est illustrée ci-après est relativement plus complexe et demande bien plus de connaissances des logiciels ainsi que de leurs différentes options et possibilités. Ces caractéristiques rendent l'utilisation de cette attaque compliquée à mettre en oeuvre.

Est il le dise que pour le WAP …

Je ne dis pas que ce n’est pas infaisable, mais il faut vraiment en avoir le besoin …

Titofe