PhenIXUS

[jibe]

"le disque sera plein un jour"

Le premier disque dur que j'ai eu entre les mains faisait 5 Mo (Non, non, il n'y a pas erreur : c'est bien un M, pas un T ni même un G !). Le remplir un jour ? Tu plaisantes ! On peut y mettre l’équivalent de 20 disquettes de 256 Ko !

D'ailleurs, le premier IBM36 que j'ai eu l'occasion d'approcher faisait ses sauvegardes sur un chargeur de 10 disquettes 8 pouces !

Qui a de l'expérience avec les répéteurs wifi ?

Personnellement, j'ai une assez bonne expérience de comment les éviter ou les supprimer Je hais toujours autant la wifi

[kornfr]

Bonjour,

J'ai donc un switch 3Com Baseline Switch 2924-PWR Plus avec la borne Wifi de branché dessus.
et j'ai un switch HP ProCurve 2510G a coté de l'IPCop

Je vais maintenant essayer de trouver comment on configure les 2 ports en VLAN.

Si vous avez un Howto deja tout fait ....

[fesch]

ReSalut

Il faut que tu:
- configures sur le Switch 1 un port donnée avec un VLAN différent du VLAN standard et connectes ici ton "blue" d'IpCOP
- configures le port qui relie le Switch 1 avec le Switch 2 comme "trunk"
- configures le port qui relie le Switch 2 avec le Switch 1 comme "trunk"
- configures sur le Switch 1 un port donnée avec un VLAN différent du VLAN standard et connectes ici ton AP WiFi


a+
Fesch

[kornfr]

Bonjour,

j'ai donc suivi vos instruction

Sur le switch HP ProCurve 2510G
le port 30 est sur le VLAN15 en Untagged : la patte bleu de l'ipcop est rélié dessus.
le port 19 est sur le DEFAULT_VLAN en Untagged et sur le VLAN15 en tagged : il est relie au switch 3Com

Sur le switch 3Com 2924-PWR Plus
le port 24 est sur le vlan par defaut en untagged et sur le VLAN15 en tagged: il est relié au switch HP
le port 12 est sur le VLAN15 en Untagged : la borne Wifi sera relié dessus

(j'ai activé le serveur DHCP sur l'ipcop blue), j'ai branché un PC sur le port 12 (donc sur le VLAN15), il récupère bien une adresse via le DHCP. et ca ping pas

il doit y avoir un problème....

Merci

[jdh]

Le choix VLAN est le 3ième choix à faire AMHA !


Il y a une démarche, step by step, à réaliser :
- une fois blue connecté au switch 1 et le switch 1 configuré sur le port : blue reçoit-il quoi que ce soit ? Si oui, bug !
- une fois configuré le switch 1 et le switch 2 : un PC connecté et configuré en statique voit-il la carte Blue ? Si non, bug !
- une fois le point d'accès connecté (à la place du pc de test) : Blue voit-il le point-accès ? Si non bug !

Il est ESSENTIEL de vérifier qu'AUCUN autre flux prévu n'arrive à la carte Blue !
Un tcpdump DOIT être réalisé pour vérifier cela ...

[kornfr]

Oupss j'ai reglé le soucis....

BOT étant active et non paramétré pour le blue, rien ne passe.

J'ai désactivé BOT et tout passe.

Il me reste donc plus-qu’à configurer BOT pour le BLUE

Bien sur le VLAN est l'option 3.
Mais n'ayant jamais fait de VLAN, je voulais aussi découvrir cette possibilité !

- une fois blue connecté au switch 1 et le switch 1 configuré sur le port : blue reçoit-il quoi que ce soit ? Si oui, bug !

zut, j'ai pas vérifié

- une fois configuré le switch 1 et le switch 2 : un PC connecté et configuré en statique voit-il la carte Blue ? Si non, bug !

les PC du Green arrivent à pinger l'ip de blue

- une fois le point d'accès connecté (à la place du pc de test) : Blue voit-il le point-accès ? Si non bug !

actuellement il voit le PC, donc je pense qu'il verra la borne AirPort.

[jdh]

Je n'ai pas précisé que le "step-by-step" ne concernait qu'ethernet et aucunement des PC de Green !

Bien sur BOT doit être configuré en fonction de ces tests : à priori tout ouvrir pour Blue, sans oublier la déclaration des ip sur Blue !

Il est ESSENTIEL de vérifier qu'il n'arrive AUCUN flux sur l'interface Blue si, par exemple, le point d'accès est éteint !
(test à réaliser avec un tcpdump adapté.)
S'il y a un flux quelconque, c'est que le VLAN est mal configuré !

[fesch]

Tout d'abord: Brovo pour le fait que cela fonctionne ...

... puis, je m'attache à ce qu'à dit jdh: il est impératif de tester et de vérifier! La théorie est très bonne, mais dans le domaine de la sécurité, c'est aussi et surtout la mise en œuvre qui compte.


a+
Fesch

[jibe]

Salut,

Merci d'utiliser les drapeaux exclusivement de la manière décrite dans
la charte
et donc de corriger le titre au plus vite en éditant le premier post.

Si un drapeau semblait manquer, merci de suggérer par MP à un administrateur de le rajouter,
en argumentant la demande (nous ne souhaitons pas trop multiplier les drapeaux, seuls ceux
dont l'utilité est bien réelle seront retenus).

Merci d'avoir fait rapidement la modification !

Je laisse ce post pour les besoins d'une discussion en cours entre modos, mais retirerai probablement cette remarque qui n'a plus lieu d'être ASAP.

[jdh]

Le drapeau [RESOLU] ne me semble pas convaincant !

Cela fonctionne peut-être ... mais la sécurité sensée être apportée est-elle présente ?
(Il n'est pire que se croire en sécurité et ... ne pas l'être !)

J'ai évoqué un test par tcpdump (-ln), au niveau d'ipcop, en écoutant la bonne interface (-i).
Le tcpdump doit être TOTALEMENT silencieux si le point d'accès est débranché.
Le tcpdump doit montrer du trafic uniquement d'adresse ip concernée et d'adresses MAC correspondantes à des machines en ip concernée.
Il ne doit pas y avoir de trace d'un broadcast à partir d'une adresse MAC correspondante à une ip distincte.

De plus, si Ipcop est serveur DHCP, les machines doivent avoir reçues leur ip depuis Blue (ipconfig /all).

Ces tests, décrit sommairement, ne sont pas instantanés : cela mérite un temps certain d'analyse ...