PhenIXUS

[ghost-united]

Bonjour messieurs (et mesdames peut être),

Je suis toujours dans mon projet de fin d'étude sur IPCop et ayant réussi toute l'installation physique de mon entreprise en respectant leur demande, je me suis aventuré à un lab' informatique via des machine virtuelles.

J'ai donc 4 machines virtuelles :
- Un ipcop 2.0.3
- Un client Debian
- Un serveur Apache
- Un serveur Radius.

Voici un schéma.




Mon problème est le suivant :
Que ce soit sur ma machine physique ou sur mon client Debian, je n'arrive pas à accéder à la page de l'interface web.
J'utilise l'adresse https://10.0.0.149:8443 sur la rouge et https://10.0.1.1:8443 sur la verte.
Les ping fonctionnent très bien pour les adresses.
Les Telnets des ports indiquent ==> Unable to connect to remote host : Connection timed out.


J'utilise le système de paravirtualisation Proxmox

J'espère que vous pourrez m'aider.
Je vous remercie par avance.

[jdh]

La virtualisation complique la perception des phénomènes réseaux !
Dans la pratique professionnelle, on ne virtualise pas un firewall ni des serveurs situés dans des zones différentes !

La mise en oeuvre d'un tel schéma demande une bonne expertise ...
(Et l'expertise recommande de ne pas faire un tel schéma !)



Il y a quelques questions :
- d'où managez vous l'ensemble,
- comment prenez vous la main sur le Debian en Green,
- le Debian comporte une interface graphique et un navigateur,
- pourquoi essayer d'administrer en visant l'ip rouge (no intérêt).
- quelle est la config des bridges de l'hôte.

[ghost-united]

La virtualisation complique la perception des phénomènes réseaux !
Dans la pratique professionnelle, on ne virtualise pas un firewall ni des serveurs situés dans des zones différentes ==> effectivement j'ai bien appris cela,mais je dois présenter une maquette aux jurys.

La mise en oeuvre d'un tel schéma demande une bonne expertise ...
(Et l'expertise recommande de ne pas faire un tel schéma !) ==> Et que dois-je faire ?



Il y a quelques questions :
- d'où managez vous l'ensemble => Depuis l'ordinateur physique.

- comment prenez vous la main sur le Debian en Green => depuis la fenêtre proxmox.
- le Debian comporte une interface graphique et un navigateur, ==> Oui, xfce4.
- pourquoi essayer d'administrer en visant l'ip rouge (no intérêt). ==> Pour le test, je ne comprenais pas le problème j'ai donc testé.
- quelle est la config des bridges de l'hôte. ==> Je ne sais pas comment on trouve ceci.

[jdh]

Comme indiqué dans la doc d'Ipcop, après l'install par le cdrom, on manage depuis l'interface Green.

La config réseau de l'hôte Proxmox est, très normalement, dans /etc/network/interfaces.
Très logiquement, on devrait y trouver 3 interfaces (physiques) en manuel et 3 bridge correspondants à ces 3 interfaces.

[ghost-united]

Merci pour le chemin on y trouve donc :

L'interface loopback

L'interface Eth0 en manuel

iface vmbr0 inet static
address 10.0.0.150
netmask 255.255.255.0
gateway 10.0.0.2
bridge_port eth0
bridge_stp off
bridge_fd 0



iface vmbr1 inet static
address 10.0.1.1
netmask 255.255.255.0
bridge_port none
bridge_stp off
bridge_fd 0


Pareil pour vmbr2

D'après vous, le fait que je ne puisse pas accéder à l'interface web viendrait de la virtualisation.
Je pense que la virtualisation a un quand même bien vieilli pour réussir à supporter cela.
Surtout que ce n'est même pas du comportement réseau mais juste au moins accéder à la page.
encore le filtrage ne se ferai pas je pourrais comprendre votre théorie sur la virtualisation d'un parefeu.
mais la je n'ai même pas accès à cette page.


Je vous remercie de partager de votre temps pour m'aider, Oh moi, jeune étudiant néophyte

[Franck78]

Je pense que la virtualisation a un quand même bien vieilli pour réussir à supporter cela.

C'est effectivement un basique de chez basique : switch virtuel, cartes réseau virtuelles branchées dessus.

Relis bien la doc proxmox sur ce sujet parceque si les IP/mask debian/ipcop sont correctes, il ne reste pas grand chose.

ifconfig (et brctl ?) sur chaque VM te confirmera ce que tu as 'branché'.

[ghost-united]

Franck78 : Si les masques étaient faux, pourraient-ils se pinguer tous ensemble ?
Toutes les actions sont possibles sauf accéder à l'interface web.

j'ai regarder dans /etc/httpd/portgui.conf et c'est bien 8443 qui est affiché.

Je ne comprends pas vraiment d'où cela peut venir j'essaye la commande brctl.

Sur la machine physique

vmbr0 : ID on s'en fout ; no stp enabled ; eth0/tap102i0

vmbr1 : ID on s'en fout ; no stp enabled ; tap101i0/tap102i1

vmbr2 : ID on s'en fout ; no stp enabled ; tap102i2

Voilà ce que je trouve avec brctl show

[jdh]

Avant de regarder quoi que ce soit d'autre, les seuls éléments utiles sont la Debian en green et l'ipcop.

Est ce que Debian reçoit bien une ip (+ un masque + une gateway + un dns) ?
Est ce que Debian ping le firewall ?
Que se passe-t-il quand Debian tente l'admin https://green:8443 (tcpdump) ?

Est qu'Ipcop dispose d'un ip Red ? d'une passerelle ? d'un dns ?


Vous avez BIEN vérifié que les adresses ip de l'hôte ne sont pas utilisées par l'une ou l'autre des VM ?
Ce serait très ballot ...

[ghost-united]

Alors :


Est ce que Debian reçoit bien une ip (+ un masque + une gateway + un dns) ?
L'adresse est en dur actuellement afin de savoir les différentes adresses a pinger, les masques sont ok, les gateways aussi car ils arrivent à accéder toutes (sauf radius) jusqu'à internet quand je met les routes correspondante.

Le serveur Apache simulera l'accès a un site internet pendant mon jury final.


Est ce que Debian ping le firewall ? Debian ping l'interface verte (10.0.1.1) ainsi que l'interface rouge (10.0.0.149)

Que se passe-t-il quand Debian tente l'admin https://green:8443 (tcpdump) ? lorsque j'utilise Iceweasel pour taper : https://10.0.1.1:8443
voici la phrase que je reçois en retour : Iceweasel can't establish a connection to the server at 10.0.1.1:8443.

Si je retire https ainsi que le port, il me demande d'obtenir un certificat ... et j'arrive sur la page de mon Proxmox.

Est qu'Ipcop dispose d'un ip Red ? d'une passerelle ? d'un dns ?
il a une ip Rouge => 10.0.0.149
Le DNS est en local dans les fichiers hosts car on ne sort plus sur internet. (avant c'était 8.8.8.8 et les dns de mon FAI).


Vous avez BIEN vérifié que les adresses ip de l'hôte ne sont pas utilisées par l'une ou l'autre des VM ?
==> Je pense être certain qu'aucune autre machine ne posséde les mêmes adresses IP.

[jdh]

Vous avez BIEN vérifié que les adresses ip de l'hôte ne sont pas utilisées par l'une ou l'autre des VM ?
==> Je pense être certain qu'aucune autre machine ne posséde les mêmes adresses IP.

Avec le fichier /etc/network/interfaces (tronqué) que vous indiquez, je ne pense pas !
Puisque 10.0.1.1 est attribué à l'hôte ... et à Green d'Ipcop !