PhenIXUS

[Franck78]

oui, c'est simplement IPCop derrière une box, un montage classique.

[ramkiller]

Dans cette config, si un PC est branché derrière le modem/routeur accède à un site web, et un autre PC est branché derrière Ipcop et accède au même site, je peux douter du fonctionnement !

A partir du moment où le modem/routeur dispose de l'ip publique, il n'y a aucune raison que l'ipcop cherche à l'obtenir avec pppoe ! J'en ai besoin pour le vpn site à site

Une config simple (et presque secure) est donc qu'Ipcop soit en adressage statique dans le réseau privé du routeur et que les renvois de flux utiles soit configuré sur le routeur. Les PC du LAN d'Ipcop auront naturellement accès aux machines du réseau WAN : aucune difficulté de routage puisque même réseau que l'ip WAN. Impossible : le routeur est prévue pour des privés. Il se met régulièrement à jour (sans possibilité de bloquer les maj) et perd les paramètres de forwarding une fois sur deux. J'en ai un seul à récreer pour la webcam quand ça plante au lieu des 50 de la boite.

Il restera que les matériels dans le réseau WAN = réseau privé du routeur ne seront pas filtré par un firewall. Tout à fait, mais comme précisé, pour la webcam et le NAS, je m'en fiche royalement, le risque est très faible et ne me dérange pas.

(Et la verrue d'une carte réseau vers le réseau privé n'aura plus lieu d'être !) Là j'ai pas de réponse

Comprenons nous bien : je sais pertinemment que vous avez raison pour la logique et la sécurité du réseau. Mais dans les solutions proposées, vous ne tenez pas compte des impératifs de mon entreprise.

Merci toutefois de vous intéresser à mon problème. Je reste preneur d'une solution qui correspond aux restrictions détaillées.

Cordialement

[jdh]

Le vpn site à site peut utiliser OpenVpn qui n'est pas gêné par la traversée de routeurs NAT (contrairement à Ipsec).

Votre problème majeur est la fiabilité de votre routeur -> voir le changement avec votre fournisseur !

[ramkiller]

Le vpn site à site peut utiliser OpenVpn qui n'est pas gêné par la traversée de routeurs NAT (contrairement à Ipsec).

Votre problème majeur est la fiabilité de votre routeur -> voir le changement avec votre fournisseur !

Exact. Sauf qu'il est impossible de changer de routeur chez cette opérateur, sinon plus de TV !!! Ceci dit, merci pour l'info pour OpenVPN, c'est bon à savoir.

[Franck78]

vu qu'on découvre au compte goutte les éléments essentiels....

En tout cas le provider est exceptionnel. Il impose un modem/routeur pourave géré par lui mais en même temps donne les éléments de login PPPOE !
Il gaspille donc une IP publique parce que si nous comprenons bien, il y en a une pour RED/IPCop et une autre pour le routeur.

Mais en fait non car il me semble avoir lu qu'elles étaient identiques les IP, ce qui implique forcément d'un des deux routeurs ne fonctionne pas.

Et il y aurait alors 2 flux distincts natés avec la même @ip publique via 2 matériels distincts ... ce qui interroge !

Même sans l'ajout de la carte wifi, ce montage est bancale. Ou un élément essentiel t'échappe ! Quand IPCop place l'ip publique dans le champ 'source' du paquet IP et balance ça au routeur du FAI, IPCop ne peut pas recevoir la réponse. Le paquet réponse retour IP est pour le routeur puisque l'IPop a en quelque sorte spoofé l'IP publique.....

Je sens que l'on va bientôt apprendre le routeur du FAI renvoie tout systématiquement sur IPCop/Red en s'ignorant. Mais à quoi bon placer des éléments dans cette 'dmz' alors ???

[ramkiller]

vu qu'on découvre au compte goutte les éléments essentiels.... Désolé pour la clarté, mais ce n'est pas facile de tout expliquer en même temps...

En tout cas le provider est exceptionnel. Il impose un modem/routeur pourave géré par lui mais en même temps donne les éléments de login PPPOE !
Non. Dans le cas de ces modems pour particuliers, il n'y a pas de login ppoe. Pour cela il faut un modem pro, et dans ce cas, il est impossible d'avoir la TV.

Il gaspille donc une IP publique parce que si nous comprenons bien, il y en a une pour RED/IPCop et une autre pour le routeur. Oui, sauf que, avec ce qu'il appelle la transparence ip, la'dresse est la même. D'après ce que je sais, la transparence ip transforme le modem en pont pour un élément du réseau, en se basant sur le hostname. Dans mon cas, la transparence est activée pour la machine Ipcop.

Mais en fait non car il me semble avoir lu qu'elles étaient identiques les IP, ce qui implique forcément d'un des deux routeurs ne fonctionne pas. Faux : la TV, le NAS et la webcam (ou tout autre élément comme téléphone ou tablette) fonctionne sur le modem, et le réseau de l'entreprise fonctionne derrière ipcop.

Et il y aurait alors 2 flux distincts natés avec la même @ip publique via 2 matériels distincts ... ce qui interroge !

Même sans l'ajout de la carte wifi, ce montage est bancale. Ou un élément essentiel t'échappe ! Quand IPCop place l'ip publique dans le champ 'source' du paquet IP et balance ça au routeur du FAI, IPCop ne peut pas recevoir la réponse. Le paquet réponse retour IP est pour le routeur puisque l'IPop a en quelque sorte spoofé l'IP publique.....

Je sens que l'on va bientôt apprendre le routeur du FAI renvoie tout systématiquement sur IPCop/Red en s'ignorant. Mais à quoi bon placer des éléments dans cette 'dmz' alors ??? Comme précisé en premier, c'est pour ne pas avoir une machine (ipcop) allumée 24/24, alors qu'un simple modem suffit... A la base du problème, une économie d'électricité.

[Franck78]

en se basant sur le hostname.

Cà c'est pour les humains Les décisions de routages sont faites avec des IP des mask, des nombres...
Ce que tu nommes transparence serait plutôt 'forward' vers une IP locale.

Depuis le début IPCop en PPPoe coince. En plus sans élément d'identification (IPCop adore chap). Mais admettons.

RED est donc 'sur internet', avec l'IP publique.
Tu veux atteindre un équipement serveur quelque-part sur internet (ta webcam) installée derrière un classique routeur qui fait du NAT

Rien de plus facile. Sauf que. Le routeur et IPCop ont la même IP publique. Et ton routeur renvoie tous, toujours, vers IPCop. Loop.

Tu veux utiliser l'IP privée attribuée par le routeur à la CAM.
De mémoire, IPCop routera l'ip privée comme une autre vers la passerelle par défaut qu'il connait. Ton routeur chez le FAI donc. Celui-ci appliquera les règles de bienséance du routage et voyant une destination 'ip privée' arriver depuis une IP publique (IPcop), il jettera directement le paquet IP. Perdu.

Tu peux faire un traceroute pour t'en assurer !


C'est pas une règle IPTables qu'il te faut. C'est 1/ vérifier que les quatre ports ethernet forment bien un switch. => Pas de vlan, de filtrage etc etc.
2/ donner un deuxième IP à RED, dans le réseau de la webcam.
3/ je ne sais pas.

Est-ce que IPCop à encore des 'alias' d'adressage IP pour RED. En gros,attribue l'ip publique et l'ip privée à RED.



note : je peux comprendre que le flux TV arrive (comme le téléphone) sur un autre circuit virtuel adsl par exemple et que le routeur sache quoi faire. Mais je vois pas à quoi sert une webcam à cet endroit du réseau.

[ramkiller]

Voilà une réflexion bien intéressante ! Effectivement, le traceroute me fait un magnifique loop ! Bien joué ! Il faudrait effectivement 2 ip à red, mais comment ?

Je vais tenter de réexpliquer les conditions obligatoires auxquelles je ne peux échapper.

1) Le modem est à mon domicile, qui fait usage également de bureau pour l'entreprise.
2) Comme toute famille normale, nous avons la TV Chez cet opérateur, cela signifie que nous devons utiliser sa box, et rien d'autre.
3) La box (comme je suppose une box orange ou free) fonctionne de façon standard, c'est à dire que tout est automatisée, plus ou moins sans réglages possibles. Le mieux que je puisse faire est d'assigner des ip statiques à l'équipement branché dessus, c'est tout. On ne peut pas bloquer les maj du firmware, pas de réservations dhcp par mac, pas de désactivation du firewall, quedalle.
4) L'ipcop étant programmé pour des dizaines de fonctions, forwarding, vpn,etc, je ne veux rien changer à cela.
5) Pour des raisons d'économie d'énergie, je souhaiterais tout éteindre la nuit. C'est d'ailleurs actuellement le cas, même le serveur 2012 se met en veille prolongée et démarre tout seul le lendemain matin. C'est la raison pour laquelle j'ai branché la webcam et le disque dur réseau sur le modem et pas ipcop. Et évidemment, j'ai oublié un détail important : ce n'est pas vraiment une webcam... C'est la caméra de sécurité du site... Donc à ne JAMAIS éteindre.

Du coup, pas facile de s'en sortir ! Merci beaucoup pour vos idées.

[jdh]

2 matériels avec la même ip publique (et les 2 font du PPPoE), ça me gêne (intellectuellement).

Le schéma simple et logique c'est

Internet : Fai <-> box <-> réseau privé 1
et dans le réseau privé, on met : TV + NAS + WebCam + Wan d'ipcop en static

On ajoute les renvois qu'il faut dans la box : il ne doit pas y en avoir 10 quand même, ou sinon on utilise des tranches.

Ca c'est un schéma naturel et propre.

[ramkiller]

2 matériels avec la même ip publique (et les 2 font du PPPoE), ça me gêne (intellectuellement).

Le schéma simple et logique c'est

Internet : Fai <-> box <-> réseau privé 1
et dans le réseau privé, on met : TV + NAS + WebCam + Wan d'ipcop en static

On ajoute les renvois qu'il faut dans la box : il ne doit pas y en avoir 10 quand même, ou sinon on utilise des tranches.

Ca c'est un schéma naturel et propre.

Si tu avais une box qui peut se réinitialiser à tout moment en effaçant tous tes réglages, tu n'aurais peut être pas une opinion aussi tranchée :/ Merci quand même...