[resolu] ntrsupport et sme

[manu59]

Bonjour,
il y a quelques temps j'ai installé un server SME afin de sécuriser un LAN pro et ainsi faire bénéficier les utilisateurs d'un espace partagé, serveur de domaine etc Bref, tout ce que propose la SME.
Les utilisateurs utilisent un logiciel et bénéficient d'une télé-maintenance, via NTRSUPPORT. J'ai donc contacté les éditeurs du logiciel afin de connaitre les ports à ouvrir, ils sont au nombre de 4 :
- 21
- 25
- 443
Le dernier je ne l'ai pas en tête il est dans ma doc et se situe dans les 16338 (un truc comme ça).
Bref, le problème c'est qu'après avoir fait une redirection de port de la box (orange) vers la SME puis de la SME vers le poste concerné, la télémaintenance ne peut pas se connecter au poste du LAN. J'ai également installé dansguardian dans la SME, et celle-ci est configuré en server et passerelle.
Est-ce que quelqu'un a déjà travaillé avec NTRSUPPORT ? Après une recherche sur le forum, j'ai remarqué qu'il n'y avait pas de sujet à ce propos. Je suis dans la recherche de solution, d'autant plus que la société de télémaintenance ne connaissent NTRSUPPORT que pour la télémaintenance de leur logiciel et ne sont pas très bavards sur la config des clients. D'ailleurs j'ai des doutes sur le fait d'utiliser les ports 21 et 25 (leur technicien doit se planter à mon avis). Le 443 (https) et le port propre à NTRSUPPORT (le 16338 de mémoire) me paraissent plus logique.
La méthode de connexion est la suivante: on téléphone à la société, on télécharge un fichier dans lequel on inscrit la clé que nous donne le technicien au téléphone, puis on exécute le fichier.
Voilà tout ce que je sais.
Si quelqu'un a des infos, je suis preneur, Merci

[sibsib]

Yop,

Je ne connais pas le produit, et je déteste déjà, puisque pour télécharger le white Paper concernant la sécurité du produit, il faut donner pleins d'infos. Mais bref, de ce que j'ai pu en lire, la connexion passe par un serveur de jonction, et donc, tu n'as pas besoin de faire de redirecton de port.

Il faut seulement que les ports sortants soient ouverts, ce qui est standard sur SME.

Pas une certitude, attention !

A+,
Pascal

[unnilennium]

un bon début pour expliquer ton problème il nous reste cependant un point nébuleux qui est important pour qu'on puisse t'aider, puisque tu es dans le cas compliqué et à éviter d'un double NAT d'après ce que tu nous explique.

quelles sont les plages IP :


INTERNET -- BOX (IP?)----/LAN1(plage IP?- IP?)/----- (IP?) SME (IP?) -----/LAN2 (plage IP?- IP?)/---- (IP?)Machine ntrsupport

Autre point cela marchait il avant SME ?
Y a t il un firewall sur la machine ou un nouvel antivirus?

SibSib parlais d'un serveur de jonction j'imagine que la machine que tu cherche a faire rediriger est le serveur de jonction pour accéder a tout le reste du parc ?

[manu59]

Merci pour vos réponses,
tout d'abord, une chose que je dois retirer assez rapidement : A-V Kaspersky.
Pour plus de précisions : auparavant le réseau dépendait d'un proxy externe et les utilisateurs étaient mécontents de ne pouvoir bénéficier de la télémaintenance qu'ils payaient. Sur le poste était installé kasper' et bien entendu avec un password que je n'ai pu obtenir. j'ai été contraint de faire une désinstallation à "l'arrache" mais j'ai observé que kasper' possède encore quelques entrées dans le registre.
Pour ce qui est du plan d'adressage :
le LAN de la Box est en 192.168.1.0/24 le Lan de la SME est en 192.168.81.0/24
Le DHCP SME ne fournit que 10 adresses maxi

Bien entendu sur les clients j'ai désactivé le firewall.... Mais il reste le point de kaspersky, je pense qu'une grande partie de mon soucis vient de là.
Je sais que sur un autre réseau j'ai rencontré pas mal de problèmes avec kasper'; par exemple avec la reconstruction Rembo sous licence tivoli, c'est une véritable crotte ! C'est super au niveau sécu mais il y a des inconvénients !

Bref, je refais des test cette semaine après une désinstall' de kasper' (j'ai eu des infos pour effectuer une désinstall' complète sans password) et je vous tiens au courant de l'avancé des travaux au cas où ça pourrait aider quelqu'un.

Merci

[unnilennium]

Je deconseillerais fortement de desintaller kaspersky quand on a la chnace de l'avoir.

Par contre je suis d'accord avec toi qu'il nécessite un travail de l'admin pour autoriser tout ce que l'on veut.

C'est du même niveau que les gens qui désactivent la Protection des données de l'utilisateur sous seven trop habituer a tout faire en tant qu'administrateurs et énervés de devoir prendre conscience qu'ils ne font pas une action anodine.

laisse le installé mais commence par le desactiver le temps d'un test, si c'est concluant regarde pour le configurer : ouvrir les ports autoriser l'application.

si cela ne change rien regarde ailleur , firewall windows toujours actif en plus de celui de kaspersky ....


Merci pour le complément d'information on a bien deux LAN qui ne se chevauchent pas, le problème n'est donc pas la.
J'imagine que leposte ntrsupport a une ip fixe et la sme aussi coté box?

Enfin vu que cela n'a jamais marché on peut suspecter aussi un problème de configuration du logiciel.


Au passage a verifier si le sports enuméré doivent êtres ouverts en entrant ou en sortant. Je vois qu'ils ont besoin des ports 21 25 443 et je pense que tu vas avoir un problème avec sme ....

21 = port FTP utilisé par le serveur FTP integre que tu peux desactiver sinon le 21 est envoyé sur SME dans la config du firewal et je pense qu'il est prioritaire sur d'autres reglages

25 = port SMTP, SME fait un proxy transparent sur le port 25 pour intercepter les emails et les redistribuer lui même ... si ton logiciel s'attend a se connecter directement a la boite mere il peut avoir une surprise. De même ton FAI bloque ce comportement. peut donc poser un problème dans un sens comme dans l'autre.

443 = port https, sme l'utilise pour acceder au manager. peut donc poser un problème dans le sens entrant


tu as donc besoin de lire la documentation de ntrsupport et de SME INTEGRALEMENT avant d'aller plus loin et de mettre plus de désordre dans les antivirus. Ceci dans le but de comprendre que cherche à faire chaque logiciel et comment il s'y prend. Sinon tu vas perdre ton temps et aggraver la situation : ne pas rendre le logiciel fonctionnel et créer une faille de sécurité dans une installation sécuritaire.

[sibsib]

[quote="unnilennium"
SibSib parlais d'un serveur de jonction j'imagine que la machine que tu cherche a faire rediriger est le serveur de jonction pour accéder a tout le reste du parc ?[/quote]

Ok, je n'ai pas vraiment été clair sur ce coup là

Ce genre de soft d'assistance est conçu pour passer outre les firewalls. Donc, en général, quand la personne souhaitant faire de l'assistance contacte la personne à assister, en fait, l'assistant et l'assisté établissent chacun une connexion sur un serveur qui se trouve sur Internet. Du coup, les deux connexions étant sortantes, la plupart de Firewalls sont d'accord.

A noter qu'en termes de sécurité, toute le session transite chez un troisième larron dont on ne sait pas grand chose...

La doc du produit sur le site me laisse penser que çà fonctionne ainsi, d'autant que le soft supporterait même la prise de main à distance sur un Smartphone (youps !)

A+,
Pascal

[unnilennium]

SibSib,
a l'extérieur ou sur le LAN par exemple : http://www.uvnc.com/addons/repeater.html

maintenant n'ayant pas lu la doc de ce logiciel précis je te fais confiance sur L'endroit ou est le répéteur.

reste à notre amis a bien lire la doc et comprendre comment c'est configuré et prévu de tourner .

[manu59]

Merci unnilennium pour ces réponses :
- en ce qui concerne l'antivirus je n'ai pas le choix, je l'ai viré, n'ayant pas les codes de désactivation je ne pouvais même pas le désactiver temporairement...donc...
- J'ai cherché de la doc sur ntrsupport mais il n'y a pas grand chose sur la config d'un client...apparemment rien à faire, sauf que : du coté de la société de télémaintenance qui utilise ce serveur de jonction, ils prétendent qu'il y a des ports à ouvrir, moi j'ai des doutes : surtout lorsqu'il m'a parlé de 21 et 25, je ne vois pas leur utilité. Le technicien de l'autre coté n'est qu'un simple utilisateur du serveur de jonction et plutôt qualifié pour dépanner le logiciel pour lequel nous payons une télémaintenance.

Aujourd'hui j'ai effectué un autre essai en ayant retiré les entrées du registre pour kaspersky et désactivé dansguardian et le résultat est négatif.

Je suis perplexe car je n'ai pas de solution au problème pour le moment.

Merci pour vos coseils, je reste ouvert à toute proposition et si j'avance je ne manquerai pas d'en faire part à la communauté

[Titofe]

Moi non plus je n'aime pas ce produit.
On travaille avec deux société qui utilise NTRsupport, seul le port 80(http) du serveur en question est ouvert le temps de la maintenance et seul le NTRsupport qu'il me donne avec un code fonctionne, les autres où il suffit juste de cliqué ne marche jamais.
D'après mes souvenir, je n'ai jamais eu besoins de désactivé notre anti-virus.

Cdt,

[sibsib]

Hello,

manu59, je suppose que la solution de télémaintenance est indépendante du logiciel 'télémaintenu', non ?

Si c'est le cas, et si la politique de ta boite te le permet (vérifies plutôt deux fois qu'une !), idéalement, j'utiliserais un ordi portable qui n'a rien à voir avec ta boite, et je demanderais une télémaintenance sur un accès ADSL banalisé - pas celui du boulot -(genre le portable seul derrière la box). Si çà marche, je promènerais ce portable 'neutre' au boulot, à différents points significatifs, histoire de voir quels morceaux de l'infra peuvent jouer. Et, une fois ceci compris, j'essayerais avec le matos de la boite (histoire d'exclure une éventuelle interaction avec un reste de Kaspery).

Évidemment, avec le post de titofe, je ne suis quand même pas super confiant...

Mais, encore une fois,attention à ce que tu peux faire et ne pas faire.

A+,
Pascal

[Titofe]

Je confirme que je n'arrête pas l'anti-virus et nous aussi on utilise la suite Kaspersky.
Je me suis jamais pencher sur le fonctionnement de NTRsupport, mais si je me souviens bien, le prestataire qu'il l'utilise le plus chez nous voudrais qu'on ouvre plus de ports pour son fonctionnement, mais pour ma part il en est pas question.

[bertr@nd]

Bonjour à tous,

J'utilise NTRsupport depuis quelques temps, il n'est pas nécessaire d'ouvrir de port spécifique pour l'utilisation. La connexion peut se faire de plusieurs façons :
-soit un service résident est pré-installé par le service de télé-maintenance et alors l'utilisateur demandant assistance n'a rien à faire.
-ou l'utilisateur demande assistance en cliquant sur un lien (téléchargement d'un activex ou d'un exécutable suivant navigateur...) et l'utilisateur doit donné un accord pour ouvrir l'accès au PC.

En tout cas ce qui est sûre, car je l'utilise pour assister des clients, c'est qu'il n'est pas nécessaire d'ouvrir des ports spécifique (pas de pb avec les box,routeurs, pare-feu...pour l'instant), par contre un proxy ou un pare-feu applicatif pourrait peut-être gêner...
Il faudrait savoir à quel moment ça bloque exactement ? avoir plus d'éléments sur l'infra...

@+

[manu59]

Bonsoir à tous et merci d'avoir prêté attention à ce sujet.
Je vais conclure et clore de post en vous annonçant que j'ai tout résolu :
Avant d'en donner la raison, vous n'êtes pas sans savoir qu'un PC, qu'il soit à la maison ou dans un bureau fait l'objet de toute les convoitises, et de toutes les utilisations, ceci pour introduire ce qui va suivre... sans oublier qu'il faut prendre les affirmations des utilisateurs avec méfiance ...

J'ai tout d'abord testé la télémaintenance sur un poste bidon équipé de rien, c'est à dire une config minimale, ceci afin de mettre hors de cause la SME et la config de la box ... résultat, ça marche.
Ensuite on passe au poste, qui soit dit en passant n'avait pas été bricolé
Là je veux surfer sur une page quelconque et je m'aperçois que certains onglets ne s'affichent pas correctement....la faute au javascript (mal interprété ?).
Bref, sur ce poste je réinstall XP, je réactive etc. Et là, miracle ! la même page s'affiche avec les onglets de navigation en plus ! Alors qu'auparavant j'avais "X" manip' afin que le javascript soit interprété ....

En conclusion, le pauvre kaspersky n'y était pour rien, en revanche j'ai (un peu) trop fait confiance au collègue qui m'affirmait que la config n'avait pas bougé d'un poil

Au final, les ports sont refermés car nul besoin d'en ouvrir pour avoir accès à cette télémaintenance. Il me reste encore un poste à refaire dès que j'ai un peu de disponibilité.

Voilà tout.
Je tiens à tous vous remercier pour vos conseils avisés

[Titofe]

Afin de clarifier mes propos (je viens de me relire ), tous notre réseau passe par un proxy, donc quand je parle d'ouverture de port 80 (http), je veux dire que le serveur en question le temps de la télémaintenance ne passe plus par le proxy et donc sur le firewall (pfSence) j'ouvre le port 80 (http) de Lan (serveur) vers Wan pendant tous ce temps.

Cdt,

[manu59]

Merci pour la précision