J'ai un problème intermittent sur mon petit LAN, au niveau de mon PC
passerelle.
Ce PC (sous W2000 Pro) a deux cartes réseaux définissant un segment
"interne" (mon LAN client), et un segment "externe" reliant le PC à un
routeur (Netgear RP614) suivi d'une N9ufBox (ADSL).
Le segment interne utilise un adressage IP fixe, toutes les stations
définissant le PC passerelle comme passerelle par défaut et comme proxy
Internet (il fait tourner un soft de serveur proxy). Ce segment utilise
NetBIOS/TCP/IP pour la facilité des voisinages réseau Windows. Le PC
passerelle est le maître NetBIOS (BrowseMaster).
Le segment externe utilise un adressage automatique (serveur DHCP du
routeur) et NetBIOS est désactivé sur ce segment. Les deux segments ne sont
reliés que par le PC passerelle.
Problème (intermittent):
============== >
Le routage entre les deux segments ne se fait pas correctement. Par
intermittence le segment externe (donc le routeur) n'est plus accessible
depuis le LAN et même depuis le PC passerelle (pas de ping, page HTML
d'administration du routeur inaccessible), alors même que la connexion est
établie (la carte a son IP assignée et on accède à Internet).
Tout se passe comme si les trames IP au niveau de la passerelle partaient
préférentiellement sur le segment interne.
J'ai essayé de jouer sur la métrique des deux cartes réseau, c'est la cata :
si les métriques sont différentes, alors le PC passerelle ne voit plus qu'un
seul segment ! Ca me paraît anormal, il devrait seulement y avoir priorité
au segment externe.
Une solution temporaire consiste après le boot à désactiver puis réactiver
la carte réseau côté interne. Il semble alors que le routage soit redéfini
comme voulu, tout fonctionne, on a même accès à la config du routeur depuis
toute station du LAN côté interne.
Mais évidemment au premier reboot c'est fini.
Autre solution, fixer la métrique de la passerelle par défaut pour la carte
réseau côté interne à 200 (selon les RFC, le serveur DHCP donne à celle de
l'ISP pour la carte externe une métrique de 100).
Cette solution a fonctionné jusqu'à ce que le PC passerelle soit rebooté,
elle a alors cessé de fonctionner. Actuellement, le segment externe est donc
de nouveau isolé. Pourtant les utilitaires du PC passerelle qui se
connectent directement à Internet (HTTP) sans utiliser le serveur proxy y
accèdent sans problème.
========= >
Le problème global est donc : par quel paramétrage conserver simultanément
l'adressage mixte et une liaison entièrement fonctionnelle entre les deux
segments du réseau ?
Infos complémentaires :
============== >
Le serveur proxy ne route pas l'ICMP,
donc les pings doivent passer par le
routage IP interne, et les softs utilisant HTTP installés sur le PC
passerelle n'utilisent pas le serveur proxy, donc se connectent directement
côté externe.
Par ailleurs, le LAN est entièrement en classe C, les deux segments étant
sur le même sous-réseau, et il n'y a pas d'erreur possible de recouvrement
de plages d'IP, j'ai fait gaffe.
J'ai un problème intermittent sur mon petit LAN, au niveau de mon PC
passerelle.
Ce PC (sous W2000 Pro) a deux cartes réseaux définissant un segment
"interne" (mon LAN client), et un segment "externe" reliant le PC à un
routeur (Netgear RP614) suivi d'une N9ufBox (ADSL).
Le segment interne utilise un adressage IP fixe, toutes les stations
définissant le PC passerelle comme passerelle par défaut et comme proxy
Internet (il fait tourner un soft de serveur proxy). Ce segment utilise
NetBIOS/TCP/IP pour la facilité des voisinages réseau Windows. Le PC
passerelle est le maître NetBIOS (BrowseMaster).
Le segment externe utilise un adressage automatique (serveur DHCP du
routeur) et NetBIOS est désactivé sur ce segment. Les deux segments ne sont
reliés que par le PC passerelle.
Problème (intermittent):
============== >
Le routage entre les deux segments ne se fait pas correctement. Par
intermittence le segment externe (donc le routeur) n'est plus accessible
depuis le LAN et même depuis le PC passerelle (pas de ping, page HTML
d'administration du routeur inaccessible), alors même que la connexion est
établie (la carte a son IP assignée et on accède à Internet).
Tout se passe comme si les trames IP au niveau de la passerelle partaient
préférentiellement sur le segment interne.
J'ai essayé de jouer sur la métrique des deux cartes réseau, c'est la cata :
si les métriques sont différentes, alors le PC passerelle ne voit plus qu'un
seul segment ! Ca me paraît anormal, il devrait seulement y avoir priorité
au segment externe.
Une solution temporaire consiste après le boot à désactiver puis réactiver
la carte réseau côté interne. Il semble alors que le routage soit redéfini
comme voulu, tout fonctionne, on a même accès à la config du routeur depuis
toute station du LAN côté interne.
Mais évidemment au premier reboot c'est fini.
Autre solution, fixer la métrique de la passerelle par défaut pour la carte
réseau côté interne à 200 (selon les RFC, le serveur DHCP donne à celle de
l'ISP pour la carte externe une métrique de 100).
Cette solution a fonctionné jusqu'à ce que le PC passerelle soit rebooté,
elle a alors cessé de fonctionner. Actuellement, le segment externe est donc
de nouveau isolé. Pourtant les utilitaires du PC passerelle qui se
connectent directement à Internet (HTTP) sans utiliser le serveur proxy y
accèdent sans problème.
========= >
Le problème global est donc : par quel paramétrage conserver simultanément
l'adressage mixte et une liaison entièrement fonctionnelle entre les deux
segments du réseau ?
Infos complémentaires :
============== >
Le serveur proxy ne route pas l'ICMP,
donc les pings doivent passer par le
routage IP interne, et les softs utilisant HTTP installés sur le PC
passerelle n'utilisent pas le serveur proxy, donc se connectent directement
côté externe.
Par ailleurs, le LAN est entièrement en classe C, les deux segments étant
sur le même sous-réseau, et il n'y a pas d'erreur possible de recouvrement
de plages d'IP, j'ai fait gaffe.
J'ai un problème intermittent sur mon petit LAN, au niveau de mon PC
passerelle.
Ce PC (sous W2000 Pro) a deux cartes réseaux définissant un segment
"interne" (mon LAN client), et un segment "externe" reliant le PC à un
routeur (Netgear RP614) suivi d'une N9ufBox (ADSL).
Le segment interne utilise un adressage IP fixe, toutes les stations
définissant le PC passerelle comme passerelle par défaut et comme proxy
Internet (il fait tourner un soft de serveur proxy). Ce segment utilise
NetBIOS/TCP/IP pour la facilité des voisinages réseau Windows. Le PC
passerelle est le maître NetBIOS (BrowseMaster).
Le segment externe utilise un adressage automatique (serveur DHCP du
routeur) et NetBIOS est désactivé sur ce segment. Les deux segments ne sont
reliés que par le PC passerelle.
Problème (intermittent):
============== >
Le routage entre les deux segments ne se fait pas correctement. Par
intermittence le segment externe (donc le routeur) n'est plus accessible
depuis le LAN et même depuis le PC passerelle (pas de ping, page HTML
d'administration du routeur inaccessible), alors même que la connexion est
établie (la carte a son IP assignée et on accède à Internet).
Tout se passe comme si les trames IP au niveau de la passerelle partaient
préférentiellement sur le segment interne.
J'ai essayé de jouer sur la métrique des deux cartes réseau, c'est la cata :
si les métriques sont différentes, alors le PC passerelle ne voit plus qu'un
seul segment ! Ca me paraît anormal, il devrait seulement y avoir priorité
au segment externe.
Une solution temporaire consiste après le boot à désactiver puis réactiver
la carte réseau côté interne. Il semble alors que le routage soit redéfini
comme voulu, tout fonctionne, on a même accès à la config du routeur depuis
toute station du LAN côté interne.
Mais évidemment au premier reboot c'est fini.
Autre solution, fixer la métrique de la passerelle par défaut pour la carte
réseau côté interne à 200 (selon les RFC, le serveur DHCP donne à celle de
l'ISP pour la carte externe une métrique de 100).
Cette solution a fonctionné jusqu'à ce que le PC passerelle soit rebooté,
elle a alors cessé de fonctionner. Actuellement, le segment externe est donc
de nouveau isolé. Pourtant les utilitaires du PC passerelle qui se
connectent directement à Internet (HTTP) sans utiliser le serveur proxy y
accèdent sans problème.
========= >
Le problème global est donc : par quel paramétrage conserver simultanément
l'adressage mixte et une liaison entièrement fonctionnelle entre les deux
segments du réseau ?
Infos complémentaires :
============== >
Le serveur proxy ne route pas l'ICMP,
donc les pings doivent passer par le
routage IP interne, et les softs utilisant HTTP installés sur le PC
passerelle n'utilisent pas le serveur proxy, donc se connectent directement
côté externe.
Par ailleurs, le LAN est entièrement en classe C, les deux segments étant
sur le même sous-réseau, et il n'y a pas d'erreur possible de recouvrement
de plages d'IP, j'ai fait gaffe.
Salut,
Cet article est crossposté dans news:fr.comp.reseaux.ethernet et
news:fr.comp.reseaux.ip avec suivi positionné dans ce dernier car il me
semble plus adapté au sujet.
La citation quasi-intégrale de l'article original est motivée par le
changement de forum afin que les lecteurs de fr.comp.reseaux.ip puissent
se faire une idée complète du problème tel qu'il a été posé.
Ma réponse se trouve assez bas dans le message.
Patrick 'Zener' Brunet wrote:
J'ai un problème intermittent sur mon petit LAN, au niveau de mon PC
passerelle.
Ce PC (sous W2000 Pro) a deux cartes réseaux définissant un segment
"interne" (mon LAN client), et un segment "externe" reliant le PC à un
routeur (Netgear RP614) suivi d'une N9ufBox (ADSL).
Le segment interne utilise un adressage IP fixe, toutes les stations
définissant le PC passerelle comme passerelle par défaut et comme proxy
Internet (il fait tourner un soft de serveur proxy). Ce segment utilise
NetBIOS/TCP/IP pour la facilité des voisinages réseau Windows. Le PC
passerelle est le maître NetBIOS (BrowseMaster).
Le segment externe utilise un adressage automatique (serveur DHCP du
routeur) et NetBIOS est désactivé sur ce segment. Les deux segments ne
sont
reliés que par le PC passerelle.
Problème (intermittent):
============== > >
Le routage entre les deux segments ne se fait pas correctement. Par
intermittence le segment externe (donc le routeur) n'est plus accessible
depuis le LAN et même depuis le PC passerelle (pas de ping, page HTML
d'administration du routeur inaccessible), alors même que la connexion
est
établie (la carte a son IP assignée et on accède à Internet).
Tout se passe comme si les trames IP au niveau de la passerelle
partaient
préférentiellement sur le segment interne.
J'ai essayé de jouer sur la métrique des deux cartes réseau, c'est la
cata :
si les métriques sont différentes, alors le PC passerelle ne voit plus
qu'un
seul segment ! Ca me paraît anormal, il devrait seulement y avoir
priorité
au segment externe.
Une solution temporaire consiste après le boot à désactiver puis
réactiver
la carte réseau côté interne. Il semble alors que le routage soit
redéfini
comme voulu, tout fonctionne, on a même accès à la config du routeur
depuis
toute station du LAN côté interne.
Mais évidemment au premier reboot c'est fini.
Autre solution, fixer la métrique de la passerelle par défaut pour la
carte
réseau côté interne à 200 (selon les RFC, le serveur DHCP donne à celle
de
l'ISP pour la carte externe une métrique de 100).
Cette solution a fonctionné jusqu'à ce que le PC passerelle soit
rebooté,
elle a alors cessé de fonctionner. Actuellement, le segment externe est
donc
de nouveau isolé. Pourtant les utilitaires du PC passerelle qui se
connectent directement à Internet (HTTP) sans utiliser le serveur proxy
y
accèdent sans problème.
========= > >
Le problème global est donc : par quel paramétrage conserver
simultanément
l'adressage mixte et une liaison entièrement fonctionnelle entre les
deux
segments du réseau ?
Infos complémentaires :
============== > >
Le serveur proxy ne route pas l'ICMP,
Un proxy ne route rien du tout. C'est une passerelle applicative, pas un
routeur. Ou alors ce n'est pas seulement un proxy. D'ailleurs, quel
logiciel de proxy utilises-tu ? Utilises-tu aussi le partage de
connexion internet (ICS) de Windows ?
donc les pings doivent passer par le
routage IP interne, et les softs utilisant HTTP installés sur le PC
passerelle n'utilisent pas le serveur proxy, donc se connectent
directement
côté externe.
Par ailleurs, le LAN est entièrement en classe C, les deux segments
étant
sur le même sous-réseau, et il n'y a pas d'erreur possible de
recouvrement
de plages d'IP, j'ai fait gaffe.
Je ne suis pas sûr d'avoir tout compris, mais cette dernière phrase
m'inquiète et ça pourrait expliquer pas mal de choses. Peux-tu indiquer
quels sont les adresses et masques de sous-réseau des deux segments,
l'adresse interne du routeur et les adresses interne et externe de la
passerelle afin de lever toute ambiguïté sur ta configuration d'adressage
?
Salut,
Cet article est crossposté dans news:fr.comp.reseaux.ethernet et
news:fr.comp.reseaux.ip avec suivi positionné dans ce dernier car il me
semble plus adapté au sujet.
La citation quasi-intégrale de l'article original est motivée par le
changement de forum afin que les lecteurs de fr.comp.reseaux.ip puissent
se faire une idée complète du problème tel qu'il a été posé.
Ma réponse se trouve assez bas dans le message.
Patrick 'Zener' Brunet wrote:
J'ai un problème intermittent sur mon petit LAN, au niveau de mon PC
passerelle.
Ce PC (sous W2000 Pro) a deux cartes réseaux définissant un segment
"interne" (mon LAN client), et un segment "externe" reliant le PC à un
routeur (Netgear RP614) suivi d'une N9ufBox (ADSL).
Le segment interne utilise un adressage IP fixe, toutes les stations
définissant le PC passerelle comme passerelle par défaut et comme proxy
Internet (il fait tourner un soft de serveur proxy). Ce segment utilise
NetBIOS/TCP/IP pour la facilité des voisinages réseau Windows. Le PC
passerelle est le maître NetBIOS (BrowseMaster).
Le segment externe utilise un adressage automatique (serveur DHCP du
routeur) et NetBIOS est désactivé sur ce segment. Les deux segments ne
sont
reliés que par le PC passerelle.
Problème (intermittent):
============== > >
Le routage entre les deux segments ne se fait pas correctement. Par
intermittence le segment externe (donc le routeur) n'est plus accessible
depuis le LAN et même depuis le PC passerelle (pas de ping, page HTML
d'administration du routeur inaccessible), alors même que la connexion
est
établie (la carte a son IP assignée et on accède à Internet).
Tout se passe comme si les trames IP au niveau de la passerelle
partaient
préférentiellement sur le segment interne.
J'ai essayé de jouer sur la métrique des deux cartes réseau, c'est la
cata :
si les métriques sont différentes, alors le PC passerelle ne voit plus
qu'un
seul segment ! Ca me paraît anormal, il devrait seulement y avoir
priorité
au segment externe.
Une solution temporaire consiste après le boot à désactiver puis
réactiver
la carte réseau côté interne. Il semble alors que le routage soit
redéfini
comme voulu, tout fonctionne, on a même accès à la config du routeur
depuis
toute station du LAN côté interne.
Mais évidemment au premier reboot c'est fini.
Autre solution, fixer la métrique de la passerelle par défaut pour la
carte
réseau côté interne à 200 (selon les RFC, le serveur DHCP donne à celle
de
l'ISP pour la carte externe une métrique de 100).
Cette solution a fonctionné jusqu'à ce que le PC passerelle soit
rebooté,
elle a alors cessé de fonctionner. Actuellement, le segment externe est
donc
de nouveau isolé. Pourtant les utilitaires du PC passerelle qui se
connectent directement à Internet (HTTP) sans utiliser le serveur proxy
y
accèdent sans problème.
========= > >
Le problème global est donc : par quel paramétrage conserver
simultanément
l'adressage mixte et une liaison entièrement fonctionnelle entre les
deux
segments du réseau ?
Infos complémentaires :
============== > >
Le serveur proxy ne route pas l'ICMP,
Un proxy ne route rien du tout. C'est une passerelle applicative, pas un
routeur. Ou alors ce n'est pas seulement un proxy. D'ailleurs, quel
logiciel de proxy utilises-tu ? Utilises-tu aussi le partage de
connexion internet (ICS) de Windows ?
donc les pings doivent passer par le
routage IP interne, et les softs utilisant HTTP installés sur le PC
passerelle n'utilisent pas le serveur proxy, donc se connectent
directement
côté externe.
Par ailleurs, le LAN est entièrement en classe C, les deux segments
étant
sur le même sous-réseau, et il n'y a pas d'erreur possible de
recouvrement
de plages d'IP, j'ai fait gaffe.
Je ne suis pas sûr d'avoir tout compris, mais cette dernière phrase
m'inquiète et ça pourrait expliquer pas mal de choses. Peux-tu indiquer
quels sont les adresses et masques de sous-réseau des deux segments,
l'adresse interne du routeur et les adresses interne et externe de la
passerelle afin de lever toute ambiguïté sur ta configuration d'adressage
?
Salut,
Cet article est crossposté dans news:fr.comp.reseaux.ethernet et
news:fr.comp.reseaux.ip avec suivi positionné dans ce dernier car il me
semble plus adapté au sujet.
La citation quasi-intégrale de l'article original est motivée par le
changement de forum afin que les lecteurs de fr.comp.reseaux.ip puissent
se faire une idée complète du problème tel qu'il a été posé.
Ma réponse se trouve assez bas dans le message.
Patrick 'Zener' Brunet wrote:
J'ai un problème intermittent sur mon petit LAN, au niveau de mon PC
passerelle.
Ce PC (sous W2000 Pro) a deux cartes réseaux définissant un segment
"interne" (mon LAN client), et un segment "externe" reliant le PC à un
routeur (Netgear RP614) suivi d'une N9ufBox (ADSL).
Le segment interne utilise un adressage IP fixe, toutes les stations
définissant le PC passerelle comme passerelle par défaut et comme proxy
Internet (il fait tourner un soft de serveur proxy). Ce segment utilise
NetBIOS/TCP/IP pour la facilité des voisinages réseau Windows. Le PC
passerelle est le maître NetBIOS (BrowseMaster).
Le segment externe utilise un adressage automatique (serveur DHCP du
routeur) et NetBIOS est désactivé sur ce segment. Les deux segments ne
sont
reliés que par le PC passerelle.
Problème (intermittent):
============== > >
Le routage entre les deux segments ne se fait pas correctement. Par
intermittence le segment externe (donc le routeur) n'est plus accessible
depuis le LAN et même depuis le PC passerelle (pas de ping, page HTML
d'administration du routeur inaccessible), alors même que la connexion
est
établie (la carte a son IP assignée et on accède à Internet).
Tout se passe comme si les trames IP au niveau de la passerelle
partaient
préférentiellement sur le segment interne.
J'ai essayé de jouer sur la métrique des deux cartes réseau, c'est la
cata :
si les métriques sont différentes, alors le PC passerelle ne voit plus
qu'un
seul segment ! Ca me paraît anormal, il devrait seulement y avoir
priorité
au segment externe.
Une solution temporaire consiste après le boot à désactiver puis
réactiver
la carte réseau côté interne. Il semble alors que le routage soit
redéfini
comme voulu, tout fonctionne, on a même accès à la config du routeur
depuis
toute station du LAN côté interne.
Mais évidemment au premier reboot c'est fini.
Autre solution, fixer la métrique de la passerelle par défaut pour la
carte
réseau côté interne à 200 (selon les RFC, le serveur DHCP donne à celle
de
l'ISP pour la carte externe une métrique de 100).
Cette solution a fonctionné jusqu'à ce que le PC passerelle soit
rebooté,
elle a alors cessé de fonctionner. Actuellement, le segment externe est
donc
de nouveau isolé. Pourtant les utilitaires du PC passerelle qui se
connectent directement à Internet (HTTP) sans utiliser le serveur proxy
y
accèdent sans problème.
========= > >
Le problème global est donc : par quel paramétrage conserver
simultanément
l'adressage mixte et une liaison entièrement fonctionnelle entre les
deux
segments du réseau ?
Infos complémentaires :
============== > >
Le serveur proxy ne route pas l'ICMP,
Un proxy ne route rien du tout. C'est une passerelle applicative, pas un
routeur. Ou alors ce n'est pas seulement un proxy. D'ailleurs, quel
logiciel de proxy utilises-tu ? Utilises-tu aussi le partage de
connexion internet (ICS) de Windows ?
donc les pings doivent passer par le
routage IP interne, et les softs utilisant HTTP installés sur le PC
passerelle n'utilisent pas le serveur proxy, donc se connectent
directement
côté externe.
Par ailleurs, le LAN est entièrement en classe C, les deux segments
étant
sur le même sous-réseau, et il n'y a pas d'erreur possible de
recouvrement
de plages d'IP, j'ai fait gaffe.
Je ne suis pas sûr d'avoir tout compris, mais cette dernière phrase
m'inquiète et ça pourrait expliquer pas mal de choses. Peux-tu indiquer
quels sont les adresses et masques de sous-réseau des deux segments,
l'adresse interne du routeur et les adresses interne et externe de la
passerelle afin de lever toute ambiguïté sur ta configuration d'adressage
?
Le logiciel est FreeProxy v.3.81 de Hand Crafted Software. Il offre un
service de proxies assez fourni (HTTP & HTTPS, FTP, POP & SMTP, NNTP,
SOCKS), mais donc il ne *fournit pas de proxy* ICMP comme la plupart des
softs de ce genre que j'ai pu trouver (en freeware et qui marchent).
Donc il n'y a pas de partage de connexion (ICS), les stations du LAN sont
configurées pour utiliser les services du proxy, avec son IP et des ports
spécifiques, ces services retransmettant ensuite sur les ports adéquats aux
serveurs des différents ISP auxquels je suis abonné.
Donc l'ensemble du LAN (segments interne et externe) est dans la plage
192.168.0.# avec un masque 255.255.255.0
Le routeur est 192.168.0.100
Le DHCP travaille dans la plage 192.168.0.10 à 99
(je réserve 1 à 9 pour une DMZ future)
et ainsi le PC passerelle côté externe obtient l'IP 192.168.0.10
et spécifie 192.168.0.100 comme passerelle par défaut
Côté interne, il a l'IP fixe 192.168.0.101
et les autres stations utilisent des IP fixes à partir de 192.168.0.102
et spécifient 192.168.0.101 comme passerelle par défaut.
Le logiciel est FreeProxy v.3.81 de Hand Crafted Software. Il offre un
service de proxies assez fourni (HTTP & HTTPS, FTP, POP & SMTP, NNTP,
SOCKS), mais donc il ne *fournit pas de proxy* ICMP comme la plupart des
softs de ce genre que j'ai pu trouver (en freeware et qui marchent).
Donc il n'y a pas de partage de connexion (ICS), les stations du LAN sont
configurées pour utiliser les services du proxy, avec son IP et des ports
spécifiques, ces services retransmettant ensuite sur les ports adéquats aux
serveurs des différents ISP auxquels je suis abonné.
Donc l'ensemble du LAN (segments interne et externe) est dans la plage
192.168.0.# avec un masque 255.255.255.0
Le routeur est 192.168.0.100
Le DHCP travaille dans la plage 192.168.0.10 à 99
(je réserve 1 à 9 pour une DMZ future)
et ainsi le PC passerelle côté externe obtient l'IP 192.168.0.10
et spécifie 192.168.0.100 comme passerelle par défaut
Côté interne, il a l'IP fixe 192.168.0.101
et les autres stations utilisent des IP fixes à partir de 192.168.0.102
et spécifient 192.168.0.101 comme passerelle par défaut.
Le logiciel est FreeProxy v.3.81 de Hand Crafted Software. Il offre un
service de proxies assez fourni (HTTP & HTTPS, FTP, POP & SMTP, NNTP,
SOCKS), mais donc il ne *fournit pas de proxy* ICMP comme la plupart des
softs de ce genre que j'ai pu trouver (en freeware et qui marchent).
Donc il n'y a pas de partage de connexion (ICS), les stations du LAN sont
configurées pour utiliser les services du proxy, avec son IP et des ports
spécifiques, ces services retransmettant ensuite sur les ports adéquats aux
serveurs des différents ISP auxquels je suis abonné.
Donc l'ensemble du LAN (segments interne et externe) est dans la plage
192.168.0.# avec un masque 255.255.255.0
Le routeur est 192.168.0.100
Le DHCP travaille dans la plage 192.168.0.10 à 99
(je réserve 1 à 9 pour une DMZ future)
et ainsi le PC passerelle côté externe obtient l'IP 192.168.0.10
et spécifie 192.168.0.100 comme passerelle par défaut
Côté interne, il a l'IP fixe 192.168.0.101
et les autres stations utilisent des IP fixes à partir de 192.168.0.102
et spécifient 192.168.0.101 comme passerelle par défaut.
[Cette fois, je taille dans la citation][Moi aussi]
Patrick 'Zener' Brunet wrote:Donc l'ensemble du LAN (segments interne et externe) est dans la plage
192.168.0.# avec un masque 255.255.255.0
Voilà le problème : chaque segment ethernet doit avoir un sous-réseau IP
distinct. Autrement, le PC passerelle se retrouve avec dans sa table de
routage deux interfaces de sortie différentes pour les mêmes
destinations 192.168.0.x et c'est plouf-plouf une chance sur deux que ça
parte sur la bonne.Le routeur est 192.168.0.100
Le DHCP travaille dans la plage 192.168.0.10 à 99
(je réserve 1 à 9 pour une DMZ future)
et ainsi le PC passerelle côté externe obtient l'IP 192.168.0.10
et spécifie 192.168.0.100 comme passerelle par défaut
Côté interne, il a l'IP fixe 192.168.0.101
et les autres stations utilisent des IP fixes à partir de 192.168.0.102
et spécifient 192.168.0.101 comme passerelle par défaut.
Dans la mesure où le PC passerelle ne fait pas routeur, cette adresse de
"passerelle" par défaut ne sert à rien. En effet, "passerelle" signifie
ici "routeur".
Inutile d'aller plus loin. Il *faut* modifier le sous-réseau IP d'un des
segments ethernet pour supprimer le conflit d'aiguillage.
Ma préférence va à la modification du segment passerelle-routeur en
autre chose que 192.168.0.x (192.168.1.x par exemple). D'une part, elle
ne contient que deux machines dont une en DHCP donc ça fait moins de
travail : il suffit de reconfigurer le routeur. D'autre part, si un jour
tu souhaites pour une raison ou pour une autre activer le partage de
connexion IP sur la passerelle (c'est-à-dire que celle-ci se comporte
comme un routeur NAT), par défaut le réseau intérieur devra avoir
l'adressage 192.168.0.x avec 192.168.0.1 pour la passerelle. Et c'est un
peu hasardeux à modifier.
Je t'aurais aussi suggéré de mettre tout le monde dans un unique segment
puisqu'un proxy, contrairement à un routeur, n'a pas besoin d'être situé
en coupure entre deux réseaux. Un seul segment, un seul sous-réseau IP.
Mais ce ne serait plus cohérent avec la future DMZ dont tu as parlé.
[Cette fois, je taille dans la citation]
[Moi aussi]
Patrick 'Zener' Brunet wrote:
Donc l'ensemble du LAN (segments interne et externe) est dans la plage
192.168.0.# avec un masque 255.255.255.0
Voilà le problème : chaque segment ethernet doit avoir un sous-réseau IP
distinct. Autrement, le PC passerelle se retrouve avec dans sa table de
routage deux interfaces de sortie différentes pour les mêmes
destinations 192.168.0.x et c'est plouf-plouf une chance sur deux que ça
parte sur la bonne.
Le routeur est 192.168.0.100
Le DHCP travaille dans la plage 192.168.0.10 à 99
(je réserve 1 à 9 pour une DMZ future)
et ainsi le PC passerelle côté externe obtient l'IP 192.168.0.10
et spécifie 192.168.0.100 comme passerelle par défaut
Côté interne, il a l'IP fixe 192.168.0.101
et les autres stations utilisent des IP fixes à partir de 192.168.0.102
et spécifient 192.168.0.101 comme passerelle par défaut.
Dans la mesure où le PC passerelle ne fait pas routeur, cette adresse de
"passerelle" par défaut ne sert à rien. En effet, "passerelle" signifie
ici "routeur".
Inutile d'aller plus loin. Il *faut* modifier le sous-réseau IP d'un des
segments ethernet pour supprimer le conflit d'aiguillage.
Ma préférence va à la modification du segment passerelle-routeur en
autre chose que 192.168.0.x (192.168.1.x par exemple). D'une part, elle
ne contient que deux machines dont une en DHCP donc ça fait moins de
travail : il suffit de reconfigurer le routeur. D'autre part, si un jour
tu souhaites pour une raison ou pour une autre activer le partage de
connexion IP sur la passerelle (c'est-à-dire que celle-ci se comporte
comme un routeur NAT), par défaut le réseau intérieur devra avoir
l'adressage 192.168.0.x avec 192.168.0.1 pour la passerelle. Et c'est un
peu hasardeux à modifier.
Je t'aurais aussi suggéré de mettre tout le monde dans un unique segment
puisqu'un proxy, contrairement à un routeur, n'a pas besoin d'être situé
en coupure entre deux réseaux. Un seul segment, un seul sous-réseau IP.
Mais ce ne serait plus cohérent avec la future DMZ dont tu as parlé.
[Cette fois, je taille dans la citation][Moi aussi]
Patrick 'Zener' Brunet wrote:Donc l'ensemble du LAN (segments interne et externe) est dans la plage
192.168.0.# avec un masque 255.255.255.0
Voilà le problème : chaque segment ethernet doit avoir un sous-réseau IP
distinct. Autrement, le PC passerelle se retrouve avec dans sa table de
routage deux interfaces de sortie différentes pour les mêmes
destinations 192.168.0.x et c'est plouf-plouf une chance sur deux que ça
parte sur la bonne.Le routeur est 192.168.0.100
Le DHCP travaille dans la plage 192.168.0.10 à 99
(je réserve 1 à 9 pour une DMZ future)
et ainsi le PC passerelle côté externe obtient l'IP 192.168.0.10
et spécifie 192.168.0.100 comme passerelle par défaut
Côté interne, il a l'IP fixe 192.168.0.101
et les autres stations utilisent des IP fixes à partir de 192.168.0.102
et spécifient 192.168.0.101 comme passerelle par défaut.
Dans la mesure où le PC passerelle ne fait pas routeur, cette adresse de
"passerelle" par défaut ne sert à rien. En effet, "passerelle" signifie
ici "routeur".
Inutile d'aller plus loin. Il *faut* modifier le sous-réseau IP d'un des
segments ethernet pour supprimer le conflit d'aiguillage.
Ma préférence va à la modification du segment passerelle-routeur en
autre chose que 192.168.0.x (192.168.1.x par exemple). D'une part, elle
ne contient que deux machines dont une en DHCP donc ça fait moins de
travail : il suffit de reconfigurer le routeur. D'autre part, si un jour
tu souhaites pour une raison ou pour une autre activer le partage de
connexion IP sur la passerelle (c'est-à-dire que celle-ci se comporte
comme un routeur NAT), par défaut le réseau intérieur devra avoir
l'adressage 192.168.0.x avec 192.168.0.1 pour la passerelle. Et c'est un
peu hasardeux à modifier.
Je t'aurais aussi suggéré de mettre tout le monde dans un unique segment
puisqu'un proxy, contrairement à un routeur, n'a pas besoin d'être situé
en coupure entre deux réseaux. Un seul segment, un seul sous-réseau IP.
Mais ce ne serait plus cohérent avec la future DMZ dont tu as parlé.
Inutile d'aller plus loin. Il *faut* modifier le sous-réseau IP d'un des
segments ethernet pour supprimer le conflit d'aiguillage.
Il me semble bien que j'avais cette situation au début, et que je l'ai
changée parce que les stations ne voyaient pas le segment externe. Ca devait
être pour une autre raison.
D'autre part, si un jour
tu souhaites pour une raison ou pour une autre activer le partage de
connexion IP sur la passerelle (c'est-à-dire que celle-ci se comporte
comme un routeur NAT), par défaut le réseau intérieur devra avoir
l'adressage 192.168.0.x avec 192.168.0.1 pour la passerelle. Et c'est un
peu hasardeux à modifier.
J'en déduis que l'ICS impose(rait) que la passerelle soit à l'IP #.#.#.1 ?
Un peu dommage.
Dans mon cas j'ai choisi 100 comme frontière parce que ça me donnait un
critère simple pour identifier les machines hors segment interne. J'ai prévu
des firewalls internes allégés parce que sous Windows, le moindre petit soft
à la noix a envie de se connecter à Internet tout le temps.
Je comptais bien aussi permettre à une machine invitée sur le LAN de
bénéficier du serveur DHCP et du NetBIOS en même temps, mais là ça me paraît
compromis, en séparant les deux segments il faudra renoncer à l'un des deux.
Je ne crois pas qu'il soit possible (ou alors ça serait assez fun) :
- d'être sur le segment externe physiquement et au niveau des IP, et de
faire des échanges NetBIOS avec le segment interne, le protocole n'étant pas
installé côté externe du PC passerelle,
- ou au contraire d'être sur le segment interne physiquement mais avec une
IP du sous-réseau externe obtenue du serveur DHCP à travers le PC
passerelle.
Le but était d'accorder à une telle machine invitée des facilités de
voisinage, mais une confiance limitée.
A ce propos, en lisant d'autres threads, je me rends compte que je ne suis
pas sûr que mon routeur soit capable de router vers des machines en DMZ des
paquets sortants.
De ce fait il faudra bien qu'elles figurent sur le segment
externe et donc soient en liaison directe avec le PC passerelle pour pouvoir
les administrer. Ce qui implique un firewall logiciel très restrictif à ce
niveau (en cas de compromission d'une de ces machines).
Je vais reconfigurer mon installation en ce sens et je posterai un petit mot
pour confirmer que ça a marché.
Inutile d'aller plus loin. Il *faut* modifier le sous-réseau IP d'un des
segments ethernet pour supprimer le conflit d'aiguillage.
Il me semble bien que j'avais cette situation au début, et que je l'ai
changée parce que les stations ne voyaient pas le segment externe. Ca devait
être pour une autre raison.
D'autre part, si un jour
tu souhaites pour une raison ou pour une autre activer le partage de
connexion IP sur la passerelle (c'est-à-dire que celle-ci se comporte
comme un routeur NAT), par défaut le réseau intérieur devra avoir
l'adressage 192.168.0.x avec 192.168.0.1 pour la passerelle. Et c'est un
peu hasardeux à modifier.
J'en déduis que l'ICS impose(rait) que la passerelle soit à l'IP #.#.#.1 ?
Un peu dommage.
Dans mon cas j'ai choisi 100 comme frontière parce que ça me donnait un
critère simple pour identifier les machines hors segment interne. J'ai prévu
des firewalls internes allégés parce que sous Windows, le moindre petit soft
à la noix a envie de se connecter à Internet tout le temps.
Je comptais bien aussi permettre à une machine invitée sur le LAN de
bénéficier du serveur DHCP et du NetBIOS en même temps, mais là ça me paraît
compromis, en séparant les deux segments il faudra renoncer à l'un des deux.
Je ne crois pas qu'il soit possible (ou alors ça serait assez fun) :
- d'être sur le segment externe physiquement et au niveau des IP, et de
faire des échanges NetBIOS avec le segment interne, le protocole n'étant pas
installé côté externe du PC passerelle,
- ou au contraire d'être sur le segment interne physiquement mais avec une
IP du sous-réseau externe obtenue du serveur DHCP à travers le PC
passerelle.
Le but était d'accorder à une telle machine invitée des facilités de
voisinage, mais une confiance limitée.
A ce propos, en lisant d'autres threads, je me rends compte que je ne suis
pas sûr que mon routeur soit capable de router vers des machines en DMZ des
paquets sortants.
De ce fait il faudra bien qu'elles figurent sur le segment
externe et donc soient en liaison directe avec le PC passerelle pour pouvoir
les administrer. Ce qui implique un firewall logiciel très restrictif à ce
niveau (en cas de compromission d'une de ces machines).
Je vais reconfigurer mon installation en ce sens et je posterai un petit mot
pour confirmer que ça a marché.
Inutile d'aller plus loin. Il *faut* modifier le sous-réseau IP d'un des
segments ethernet pour supprimer le conflit d'aiguillage.
Il me semble bien que j'avais cette situation au début, et que je l'ai
changée parce que les stations ne voyaient pas le segment externe. Ca devait
être pour une autre raison.
D'autre part, si un jour
tu souhaites pour une raison ou pour une autre activer le partage de
connexion IP sur la passerelle (c'est-à-dire que celle-ci se comporte
comme un routeur NAT), par défaut le réseau intérieur devra avoir
l'adressage 192.168.0.x avec 192.168.0.1 pour la passerelle. Et c'est un
peu hasardeux à modifier.
J'en déduis que l'ICS impose(rait) que la passerelle soit à l'IP #.#.#.1 ?
Un peu dommage.
Dans mon cas j'ai choisi 100 comme frontière parce que ça me donnait un
critère simple pour identifier les machines hors segment interne. J'ai prévu
des firewalls internes allégés parce que sous Windows, le moindre petit soft
à la noix a envie de se connecter à Internet tout le temps.
Je comptais bien aussi permettre à une machine invitée sur le LAN de
bénéficier du serveur DHCP et du NetBIOS en même temps, mais là ça me paraît
compromis, en séparant les deux segments il faudra renoncer à l'un des deux.
Je ne crois pas qu'il soit possible (ou alors ça serait assez fun) :
- d'être sur le segment externe physiquement et au niveau des IP, et de
faire des échanges NetBIOS avec le segment interne, le protocole n'étant pas
installé côté externe du PC passerelle,
- ou au contraire d'être sur le segment interne physiquement mais avec une
IP du sous-réseau externe obtenue du serveur DHCP à travers le PC
passerelle.
Le but était d'accorder à une telle machine invitée des facilités de
voisinage, mais une confiance limitée.
A ce propos, en lisant d'autres threads, je me rends compte que je ne suis
pas sûr que mon routeur soit capable de router vers des machines en DMZ des
paquets sortants.
De ce fait il faudra bien qu'elles figurent sur le segment
externe et donc soient en liaison directe avec le PC passerelle pour pouvoir
les administrer. Ce qui implique un firewall logiciel très restrictif à ce
niveau (en cas de compromission d'une de ces machines).
Je vais reconfigurer mon installation en ce sens et je posterai un petit mot
pour confirmer que ça a marché.
Patrick 'Zener' Brunet wrote:Inutile d'aller plus loin. Il *faut* modifier le sous-réseau IP d'un des
segments ethernet pour supprimer le conflit d'aiguillage.
[...]
Je vais reconfigurer mon installation en ce sens et je posterai un petit
mot
pour confirmer que ça a marché.
OK. En lisant "solution" dans le titre, j'ai cru que le problème était
déjà résolu.
Le but était d'accorder à une telle machine invitée des facilités de
voisinage, mais une confiance limitée.
Dans ce cas le segment externe me paraît une bonne position. En aucun
cas je ne laisserais une machine à la "confiance limitée" communiquer en
Netbios avec les stations de mon LAN.
Quel type de communication comptes-tu accorder à une telle machine ?
Accès internet seulement ou davantage ?
A ce propos, en lisant d'autres threads, je me rends compte que je ne
suis
pas sûr que mon routeur soit capable de router vers des machines en DMZ
des
paquets sortants.
Je ne vois pas ce que tu veux dire :- Un exemple pour illustrer,
peut-être ?
De ce fait il faudra bien qu'elles figurent sur le segment
externe et donc soient en liaison directe avec le PC passerelle pour
pouvoir
les administrer. Ce qui implique un firewall logiciel très restrictif à
ce
niveau (en cas de compromission d'une de ces machines).
De toute façon, c'est impératif si tu comptes installer des machines à
"confiance limitée" sur le segment externe, ne serait-ce que pour
protéger le PC proxy lui-même.
Patrick 'Zener' Brunet wrote:
Inutile d'aller plus loin. Il *faut* modifier le sous-réseau IP d'un des
segments ethernet pour supprimer le conflit d'aiguillage.
[...]
Je vais reconfigurer mon installation en ce sens et je posterai un petit
mot
pour confirmer que ça a marché.
OK. En lisant "solution" dans le titre, j'ai cru que le problème était
déjà résolu.
Le but était d'accorder à une telle machine invitée des facilités de
voisinage, mais une confiance limitée.
Dans ce cas le segment externe me paraît une bonne position. En aucun
cas je ne laisserais une machine à la "confiance limitée" communiquer en
Netbios avec les stations de mon LAN.
Quel type de communication comptes-tu accorder à une telle machine ?
Accès internet seulement ou davantage ?
A ce propos, en lisant d'autres threads, je me rends compte que je ne
suis
pas sûr que mon routeur soit capable de router vers des machines en DMZ
des
paquets sortants.
Je ne vois pas ce que tu veux dire :- Un exemple pour illustrer,
peut-être ?
De ce fait il faudra bien qu'elles figurent sur le segment
externe et donc soient en liaison directe avec le PC passerelle pour
pouvoir
les administrer. Ce qui implique un firewall logiciel très restrictif à
ce
niveau (en cas de compromission d'une de ces machines).
De toute façon, c'est impératif si tu comptes installer des machines à
"confiance limitée" sur le segment externe, ne serait-ce que pour
protéger le PC proxy lui-même.
Patrick 'Zener' Brunet wrote:Inutile d'aller plus loin. Il *faut* modifier le sous-réseau IP d'un des
segments ethernet pour supprimer le conflit d'aiguillage.
[...]
Je vais reconfigurer mon installation en ce sens et je posterai un petit
mot
pour confirmer que ça a marché.
OK. En lisant "solution" dans le titre, j'ai cru que le problème était
déjà résolu.
Le but était d'accorder à une telle machine invitée des facilités de
voisinage, mais une confiance limitée.
Dans ce cas le segment externe me paraît une bonne position. En aucun
cas je ne laisserais une machine à la "confiance limitée" communiquer en
Netbios avec les stations de mon LAN.
Quel type de communication comptes-tu accorder à une telle machine ?
Accès internet seulement ou davantage ?
A ce propos, en lisant d'autres threads, je me rends compte que je ne
suis
pas sûr que mon routeur soit capable de router vers des machines en DMZ
des
paquets sortants.
Je ne vois pas ce que tu veux dire :- Un exemple pour illustrer,
peut-être ?
De ce fait il faudra bien qu'elles figurent sur le segment
externe et donc soient en liaison directe avec le PC passerelle pour
pouvoir
les administrer. Ce qui implique un firewall logiciel très restrictif à
ce
niveau (en cas de compromission d'une de ces machines).
De toute façon, c'est impératif si tu comptes installer des machines à
"confiance limitée" sur le segment externe, ne serait-ce que pour
protéger le PC proxy lui-même.
J'en déduis que l'ICS impose(rait) que la passerelle soit à l'IP
#.#.#.1 ?
L'adresse de la passerelle ICS sur le segment interne est fixée à
192.168.0.1 et les adresses des stations sur ce segment doivent être de
la forme 192.168.0.x avec le masque 255.255.255.0.
J'en déduis que l'ICS impose(rait) que la passerelle soit à l'IP
#.#.#.1 ?
L'adresse de la passerelle ICS sur le segment interne est fixée à
192.168.0.1 et les adresses des stations sur ce segment doivent être de
la forme 192.168.0.x avec le masque 255.255.255.0.
J'en déduis que l'ICS impose(rait) que la passerelle soit à l'IP
#.#.#.1 ?
L'adresse de la passerelle ICS sur le segment interne est fixée à
192.168.0.1 et les adresses des stations sur ce segment doivent être de
la forme 192.168.0.x avec le masque 255.255.255.0.
wrote:
<...>
Pas d'ac.
Ma passerelle est un XP-SP2 home en 10.x.y.248/24 sur l'eth interne et
ça fonctionne nickel, y compris la numérotation automatique. Il faut
juste une IP fixe (sinon c'est moins facile pour configurer les autres
postes ;-)) et penser à ouvrir sur le FW les ports utilisés sur cette
carte.
Le seul soucis que j'ai est le service de gestion d'accès distant qui a
ses humeurs (et qui oublie parfois de numéroter :-()
Pascal@plouf wrote:
<...>
Pas d'ac.
Ma passerelle est un XP-SP2 home en 10.x.y.248/24 sur l'eth interne et
ça fonctionne nickel, y compris la numérotation automatique. Il faut
juste une IP fixe (sinon c'est moins facile pour configurer les autres
postes ;-)) et penser à ouvrir sur le FW les ports utilisés sur cette
carte.
Le seul soucis que j'ai est le service de gestion d'accès distant qui a
ses humeurs (et qui oublie parfois de numéroter :-()
wrote:
<...>
Pas d'ac.
Ma passerelle est un XP-SP2 home en 10.x.y.248/24 sur l'eth interne et
ça fonctionne nickel, y compris la numérotation automatique. Il faut
juste une IP fixe (sinon c'est moins facile pour configurer les autres
postes ;-)) et penser à ouvrir sur le FW les ports utilisés sur cette
carte.
Le seul soucis que j'ai est le service de gestion d'accès distant qui a
ses humeurs (et qui oublie parfois de numéroter :-()
wrote:L'adresse de la passerelle ICS sur le segment interne est fixée à
192.168.0.1 et les adresses des stations sur ce segment doivent être
de la forme 192.168.0.x avec le masque 255.255.255.0.
Pas d'ac.
Ma passerelle est un XP-SP2 home en 10.x.y.248/24 sur l'eth interne et
ça fonctionne nickel, y compris la numérotation automatique.
Il faut
juste une IP fixe (sinon c'est moins facile pour configurer les autres
postes ;-))
Pascal@plouf wrote:
L'adresse de la passerelle ICS sur le segment interne est fixée à
192.168.0.1 et les adresses des stations sur ce segment doivent être
de la forme 192.168.0.x avec le masque 255.255.255.0.
Pas d'ac.
Ma passerelle est un XP-SP2 home en 10.x.y.248/24 sur l'eth interne et
ça fonctionne nickel, y compris la numérotation automatique.
Il faut
juste une IP fixe (sinon c'est moins facile pour configurer les autres
postes ;-))
wrote:L'adresse de la passerelle ICS sur le segment interne est fixée à
192.168.0.1 et les adresses des stations sur ce segment doivent être
de la forme 192.168.0.x avec le masque 255.255.255.0.
Pas d'ac.
Ma passerelle est un XP-SP2 home en 10.x.y.248/24 sur l'eth interne et
ça fonctionne nickel, y compris la numérotation automatique.
Il faut
juste une IP fixe (sinon c'est moins facile pour configurer les autres
postes ;-))
OK. En lisant "solution" dans le titre, j'ai cru que le problème était
déjà résolu.
Ben en fait c'est toi qui m'avais donné la solution.
Je confirme donc que ça marche, et que les deux bidouilles cross-proxy
évoquées ne marchent pas du tout.
Donc il y a 2 bonnes nouvelles et 2 mauvaises :
- m1) comme tu l'expliques, le PC Proxy (je le nomme aussi comme ça dans ma
doc, j'avais mis passerelle en pensant que ça serait plus clair) transmet le
protocole TCP/IP mais pas les autres X/IP, notamment ICMP, ce qui fait que
ping et tracert ne sont pas utilisables - c'est ce qui m'avait conduit à
modifier la première configuration.
- m2) dans la mesure où il me faudra bien connaître un moyen d'adresser une
machine du segment externe pour l'administrer, sans NetBIOS pour avoir un
nom, il me faudra bien une IP fixe, et donc je n'utiliserai pas trop le
DHCP.
Le but était d'accorder à une telle machine invitée des facilités de
voisinage, mais une confiance limitée.
Dans ce cas le segment externe me paraît une bonne position. En aucun
cas je ne laisserais une machine à la "confiance limitée" communiquer en
Netbios avec les stations de mon LAN.
Quel type de communication comptes-tu accorder à une telle machine ?
Accès internet seulement ou davantage ?
Il s'agit typiquement du portable d'un collègue de passage, normalement bien
configuré, mais sait-on jamais.
Je voudrais en fait lui permettre de partager l'un de ses répertoires au
sens de NetBIOS pour des transferts de fichiers, éventuellement d'accéder à
des ressources du LAN telles qu'une imprimante ou le proxy HTTP.
Le tout bien sûr limité par des contraintes de login et cloisonné par les
firewalls internes des stations.
Dans cette config :
{Internet}------[Routeur]------[Proxy]------[Station]
[DynDNS] => ------[Serveur en DMZ]
Il s'agirait pour la Station d'accéder au Serveur par son nom externe, comme
un client issu d'Internet. Il faudrait pour ça que le Routeur réfléchisse
les paquets concernés (à moins de passer par un proxy externe).
Sinon il faudrait peut-être en fait que le Serveur expose aussi une seconde
IP fixe (ou une seconde carte réseau ?) pour un accès d'administration,
avec un solide firewall sur la machine qui se trouve raccordée par là.
C'est ce que je voulais dire par :De ce fait il faudra bien qu'elles figurent sur le segment
externe et donc soient en liaison directe avec le PC passerelle pour pouvoir
les administrer. Ce qui implique un firewall logiciel très restrictif à ce
niveau (en cas de compromission d'une de ces machines).
De toute façon, c'est impératif si tu comptes installer des machines à
"confiance limitée" sur le segment externe, ne serait-ce que pour
protéger le PC proxy lui-même.
Alors là en fait je distinguais les machines "invitées avec confiance
limitée" des machines de la DMZ pour lesquelles par définition c'est
confiance zéro.
Mais je crois que le problème disparaît puisque les machines invitées
devront être du côté interne pour pouvoir échanger avec les autres (je me
vois mal imposer à ces collègues d'installer un serveur FTP sur leur machine
pour être acceptés et seulement sous le préau !). Donc IP fixe côté interne
avec sévères restrictions.
Et là je me rends compte que pour une machine invitée, ça fait beaucoup de
choses à configurer : l'IP fixe et surtout les proxies HTTP & HTTPS. Et je
crois bien qu'on ne peut pas facilement swapper entre deux configurations. A
moins de faire de l'import-export partiel de base de registres. Grrrrrr !
OK. En lisant "solution" dans le titre, j'ai cru que le problème était
déjà résolu.
Ben en fait c'est toi qui m'avais donné la solution.
Je confirme donc que ça marche, et que les deux bidouilles cross-proxy
évoquées ne marchent pas du tout.
Donc il y a 2 bonnes nouvelles et 2 mauvaises :
- m1) comme tu l'expliques, le PC Proxy (je le nomme aussi comme ça dans ma
doc, j'avais mis passerelle en pensant que ça serait plus clair) transmet le
protocole TCP/IP mais pas les autres X/IP, notamment ICMP, ce qui fait que
ping et tracert ne sont pas utilisables - c'est ce qui m'avait conduit à
modifier la première configuration.
- m2) dans la mesure où il me faudra bien connaître un moyen d'adresser une
machine du segment externe pour l'administrer, sans NetBIOS pour avoir un
nom, il me faudra bien une IP fixe, et donc je n'utiliserai pas trop le
DHCP.
Le but était d'accorder à une telle machine invitée des facilités de
voisinage, mais une confiance limitée.
Dans ce cas le segment externe me paraît une bonne position. En aucun
cas je ne laisserais une machine à la "confiance limitée" communiquer en
Netbios avec les stations de mon LAN.
Quel type de communication comptes-tu accorder à une telle machine ?
Accès internet seulement ou davantage ?
Il s'agit typiquement du portable d'un collègue de passage, normalement bien
configuré, mais sait-on jamais.
Je voudrais en fait lui permettre de partager l'un de ses répertoires au
sens de NetBIOS pour des transferts de fichiers, éventuellement d'accéder à
des ressources du LAN telles qu'une imprimante ou le proxy HTTP.
Le tout bien sûr limité par des contraintes de login et cloisonné par les
firewalls internes des stations.
Dans cette config :
{Internet}------[Routeur]------[Proxy]------[Station]
[DynDNS] => ------[Serveur en DMZ]
Il s'agirait pour la Station d'accéder au Serveur par son nom externe, comme
un client issu d'Internet. Il faudrait pour ça que le Routeur réfléchisse
les paquets concernés (à moins de passer par un proxy externe).
Sinon il faudrait peut-être en fait que le Serveur expose aussi une seconde
IP fixe (ou une seconde carte réseau ?) pour un accès d'administration,
avec un solide firewall sur la machine qui se trouve raccordée par là.
C'est ce que je voulais dire par :
De ce fait il faudra bien qu'elles figurent sur le segment
externe et donc soient en liaison directe avec le PC passerelle pour pouvoir
les administrer. Ce qui implique un firewall logiciel très restrictif à ce
niveau (en cas de compromission d'une de ces machines).
De toute façon, c'est impératif si tu comptes installer des machines à
"confiance limitée" sur le segment externe, ne serait-ce que pour
protéger le PC proxy lui-même.
Alors là en fait je distinguais les machines "invitées avec confiance
limitée" des machines de la DMZ pour lesquelles par définition c'est
confiance zéro.
Mais je crois que le problème disparaît puisque les machines invitées
devront être du côté interne pour pouvoir échanger avec les autres (je me
vois mal imposer à ces collègues d'installer un serveur FTP sur leur machine
pour être acceptés et seulement sous le préau !). Donc IP fixe côté interne
avec sévères restrictions.
Et là je me rends compte que pour une machine invitée, ça fait beaucoup de
choses à configurer : l'IP fixe et surtout les proxies HTTP & HTTPS. Et je
crois bien qu'on ne peut pas facilement swapper entre deux configurations. A
moins de faire de l'import-export partiel de base de registres. Grrrrrr !
OK. En lisant "solution" dans le titre, j'ai cru que le problème était
déjà résolu.
Ben en fait c'est toi qui m'avais donné la solution.
Je confirme donc que ça marche, et que les deux bidouilles cross-proxy
évoquées ne marchent pas du tout.
Donc il y a 2 bonnes nouvelles et 2 mauvaises :
- m1) comme tu l'expliques, le PC Proxy (je le nomme aussi comme ça dans ma
doc, j'avais mis passerelle en pensant que ça serait plus clair) transmet le
protocole TCP/IP mais pas les autres X/IP, notamment ICMP, ce qui fait que
ping et tracert ne sont pas utilisables - c'est ce qui m'avait conduit à
modifier la première configuration.
- m2) dans la mesure où il me faudra bien connaître un moyen d'adresser une
machine du segment externe pour l'administrer, sans NetBIOS pour avoir un
nom, il me faudra bien une IP fixe, et donc je n'utiliserai pas trop le
DHCP.
Le but était d'accorder à une telle machine invitée des facilités de
voisinage, mais une confiance limitée.
Dans ce cas le segment externe me paraît une bonne position. En aucun
cas je ne laisserais une machine à la "confiance limitée" communiquer en
Netbios avec les stations de mon LAN.
Quel type de communication comptes-tu accorder à une telle machine ?
Accès internet seulement ou davantage ?
Il s'agit typiquement du portable d'un collègue de passage, normalement bien
configuré, mais sait-on jamais.
Je voudrais en fait lui permettre de partager l'un de ses répertoires au
sens de NetBIOS pour des transferts de fichiers, éventuellement d'accéder à
des ressources du LAN telles qu'une imprimante ou le proxy HTTP.
Le tout bien sûr limité par des contraintes de login et cloisonné par les
firewalls internes des stations.
Dans cette config :
{Internet}------[Routeur]------[Proxy]------[Station]
[DynDNS] => ------[Serveur en DMZ]
Il s'agirait pour la Station d'accéder au Serveur par son nom externe, comme
un client issu d'Internet. Il faudrait pour ça que le Routeur réfléchisse
les paquets concernés (à moins de passer par un proxy externe).
Sinon il faudrait peut-être en fait que le Serveur expose aussi une seconde
IP fixe (ou une seconde carte réseau ?) pour un accès d'administration,
avec un solide firewall sur la machine qui se trouve raccordée par là.
C'est ce que je voulais dire par :De ce fait il faudra bien qu'elles figurent sur le segment
externe et donc soient en liaison directe avec le PC passerelle pour pouvoir
les administrer. Ce qui implique un firewall logiciel très restrictif à ce
niveau (en cas de compromission d'une de ces machines).
De toute façon, c'est impératif si tu comptes installer des machines à
"confiance limitée" sur le segment externe, ne serait-ce que pour
protéger le PC proxy lui-même.
Alors là en fait je distinguais les machines "invitées avec confiance
limitée" des machines de la DMZ pour lesquelles par définition c'est
confiance zéro.
Mais je crois que le problème disparaît puisque les machines invitées
devront être du côté interne pour pouvoir échanger avec les autres (je me
vois mal imposer à ces collègues d'installer un serveur FTP sur leur machine
pour être acceptés et seulement sous le préau !). Donc IP fixe côté interne
avec sévères restrictions.
Et là je me rends compte que pour une machine invitée, ça fait beaucoup de
choses à configurer : l'IP fixe et surtout les proxies HTTP & HTTPS. Et je
crois bien qu'on ne peut pas facilement swapper entre deux configurations. A
moins de faire de l'import-export partiel de base de registres. Grrrrrr !
