Probleme de ping a travers une passerelle SME

Forum dédié à la distribution du même nom et que vous pourrez télécharger sur http://www.contribs.org. La nouvelle version de cette distribution se nomme SME Server

Modérateur: modos Ixus

Probleme de ping a travers une passerelle SME

Messagepar mickor » 23 Juin 2011 18:35

Bonjour,

L'AGENCE et le SIEGE de ma société sont reliés par un VPN IPSEC configuré sur des routeurs Matériels (solution mises en place en 2007 et qui a toujours donné satisfaction).
Au siège, le réseau est séparé du routeur par un serveur SME 7.5.1 en mode passerelle.

Aujourd'hui mes collègues en agence on besoin de pinguer un serveur sur mon réseau à travers le vpn.


Réseau AGENCE: X.Y.2.x

FireWall AGENCE
-patte LAN:X.Y.2.8
-patte WAN: IP fixe

Internet

FireWall SIEGE
-patte WAN: IP fixe
-patte LAN: X.Y.0.1

SME (passerelle)
-patte LAN firewall: X.Y.0.4
-patte LAN : X.Y.1.6

Réseau SIEGE: X.Y.1.x


Mon problème se situe au niveau du firewall du SME. si je le désactive le PING passe depuis le réseau de l'AGENCE sur le réseau du SIEGE.
Je retrouve bien les tentatives de PING dans le log iptables du SME, marquée denylog.
Pour info le PING passe sans problème depuis le SIEGE vers l'AGENCE.

Je suis en VPN donc logiquement en réseau, je suis donc concerné par les chaines INPUT et OUTPUT des iptables.
OUTPUT est en ACCEPT.
J'ai vérifié dans la chaine InboundICMP, echo-request, echo-reply, destination-unreachable, source-quench, time-exceeded et parameter-problem sont acceptés.

Merci si quelqu'un a une idée de paramétrage me permettant de ne pas filtrer le PING.

Michel
mickor
Quartier Maître
Quartier Maître
 
Messages: 11
Inscrit le: 01 Déc 2005 17:39

Re: Probleme de ping a travers une passerelle SME

Messagepar jdh » 23 Juin 2011 18:54

Comment pinguer une machine par delà un firewall effectuant du NAT ?
Je crois que cela n'est guère possible ! Puisque vers quelle machine envoyer un ping arrivé ?

Le réseau LAN est nécessairement natté par la SME puisque en server+gateway.
Il en résulte que, côté WAN, il n'y a des paquets avec ip source = ip WAN de SME.

Je peux imaginer que les lignes fournissent un accès Internet.
Il serait bien plus simple que, de chaque côté, le firewall gère ET l'accès à Internet ET le VPN.
Si le firewall gérait les 2, il n'y aurait pas de difficulté à permettre que chaque réseau se voient complètement.

Je crains que la solution soit une remise en cause des routeurs matériels ...
L'intelligence artificielle n'est rien à côté de la stupidité naturelle.
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Re: Probleme de ping a travers une passerelle SME

Messagepar unnilennium » 23 Juin 2011 20:41

le pronbleme est que tu as deux sous réseaux differents donc tu est avec un vpn qui doit être routé

de plus il faut configurer sme pour qu'il autorise le passage de ce reseau etranger à rentrer dans son lan ( voir reseau locaux dans le manager)

enfin suivant combien tu as de postes de chaque bord utiliser les meme masques ip, un vpn bridge avec openvpn aiderait certainement À faire ce que tu veux sans problème.


JP
Unnilennium / http://smeserver.pialasse.com
________________________

IRC: chat.freenode.net/6667 channel: #sme-fr

newsgroup: alt.e-smith.fr
____________________
unnilennium
Vice-Amiral
Vice-Amiral
 
Messages: 749
Inscrit le: 21 Sep 2004 10:30
Localisation: Québec, Qc, Canada

Re: Probleme de ping a travers une passerelle SME

Messagepar jdh » 23 Juin 2011 21:05

@unilenium : Il s'agit de possibilités que je ne connais pas ...

Il n'empêche que le problème est que la passerelle SME fasse du NAT.

Quelles sont les possibilités ?
- remplacement des 2 routeurs matériels par des SME en "server+gateway"; (il doit bien être possible de gérer un VPN site-à-site)
- remplacement des 2 routeurs matériels par des pfSense et reconfiguration de la SME en "server only" ;
- mise en place d'un firewall pfSense en bridge LAN-WAN et reconfiguration de la SME en "server only";

Je ne vois pas l'intérêt de permettre un accès VPN de PC de l'agence via la SME.
L'intelligence artificielle n'est rien à côté de la stupidité naturelle.
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Re: Probleme de ping a travers une passerelle SME

Messagepar mickor » 24 Juin 2011 11:52

Bonjour

Merci pour vos réponses.
Le Nat est une bonne explication, (pourquoi n'y ai-je pas pensé tout seul!).

Mais alors comment expliquer que depuis l'AGENCE on puisse pinguer la patte LAN du siège du SME en X.Y.1.6?

Michel
mickor
Quartier Maître
Quartier Maître
 
Messages: 11
Inscrit le: 01 Déc 2005 17:39

Re: Probleme de ping a travers une passerelle SME

Messagepar jdh » 24 Juin 2011 13:33

Eh, eh !

La SME en server+gateway dispose de ... 3 adresses ip : ip côté WAN, ip côté LAN et .. 127.0.0.1

Quand on pingue l'adresse WAN, on peut pinguer l'adresses LAN (si une route le permet).
Parce qu'en fait la réponse au ping est faite quelle que soit l'adresse pinguée avec un retour par la bonne interface.
(Sauf à quelques règles iptables bien senties ?)
L'intelligence artificielle n'est rien à côté de la stupidité naturelle.
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes


Retour vers E-Smith / SME Server

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron