[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [gulliver] passerelle openbsd {Complement d'info}


From nono <nonodeb at tele2 dot fr>
Subject Re: [gulliver] passerelle openbsd {Complement d'info}
Date Sun, 26 Aug 2007 23:40:51 +0200

Le dimanche 26 août 2007 à 14:57 +0200, chris a écrit :
> Le Vendredi 24 Août 2007 15:54, chris a écrit :
> > Bonjour a tous
> ..../....
> 
> au vu des questions posées je vous fourni un certains nombres d'informations 
> complémentaires dont un schéma du réseau (en pièce jointe 30ko).
> 
> Pour information, les diverses agences sont reliées au siège par un vpn 
> reposant sur internet et dans lequel transite les données et la téléphonie 
> à destination des postes téléphoniques Snom (configuration du sous réeau 
> snom inconnue).
> 
> Je travaille à mi temps pour le service informatique et je me trouve sur une 
> toute autre banche du vpn. Mon principale problème est de faire fonctionner 
> mon snom à travers ce vpn.
> 
> deux cas de figures peuvent se présenter :
>  1- les machines sont connectées au modem routeur :
>     - Elles ont accès à l'ensemble du réseau interne, 
>       et à internet à travers le proxy situé au siège.
>     - De mon coté je ne suis accessible que sur une seule 
>        et unique adresse 192.168.?.160 
>        (le ? car je ne me souviens jamais de ce chiffre).
> 2- les machines sont connectées après la passerelle BSD
>    - Elles ont accès à l'ensemble du réseau interne, 
>       et à internet à travers le proxy situé au siège.
>    - aucune machine n'est accessible depuis le reste du réseau
> 
> En l'etat actuel des choses, je ne peux pas utiliser le snom
> 
> 
> Mon sous réseau comprendra 5 machines :
>   - HP : portable sous Windows car obligatoire pour l'acces à la 
>     console de gestion de citrix
>   - Fuji : portable sous ubuntu pour la prise en main via vnc, 
>     la création de boite mail, le mail, et toute autre activité lié 
>     à la production
>   - La tablette PC : tablette sous XP tablette pour mon autre
>     mi-temps
>   - Serveur d'impression : futur machine faisant une passerelle 
>     entre le reseau pro et perso et mo donnant accès à mes 
>     deux imprimantes.
>   - Le téléphone Snom qui ne semble pas me permettre de 
>     configurer de route
> 
> J'espère que c'est plus clair

En reprenant le schéma et les différents courriels, je pense que le
problème à régler se trouve sur BSD pour l'autorisation du trafic de
l'extérieur vers le réseau 192.168.111.0/24 (via de la translation de
port). Pour snom, cela me semble plus délicat.

Pour HP
HP a pour adresse de routeur (le modem routeur 192.168.160.1), c'est OK.
HP peut donc sortir de son réseau 192.168.160.0/24 pour joindre :
- l'entreprise via le tunnel.
- Internet depuis l'entreprise via le proxy.

Pour BSD, en mettant sur vr0 une route par défaut via 192.168.160.1 (le
modem routeur), BSD devrait joindre l'entreprise et internet selon les
mêmes conditions que HP.

Les machines reliées au switch (fuji, snom, etc) doivent avoir une route
par défaut via 192.168.111.1 (rl0 BSD)
BSD, lui, doit effectuer la translation d'adresse. Ainsi, tout trafic
initialisé par l'une des machines depuis le réseau 192.168.111.0 /24
(que cela soit à destination de l'entreprise ou d'internet) devrait
fonctionner. Le trafic en retour devrait être autorisé par BSD (qui
maintient la table de translation d'adresse).

Maintenant, si l'initialisation d'une connexion est établie par une
machine de l'entreprise (ou par HP-test) pour atteindre l'une des
machines derrière BSD (fuji, snom, etc...du réseau 192.168.111.0/24), la
seule solution est d'effectuer la configuration de translation de port
sur BSD.

                                   _________
                                  |         |
----------------------------------|         |-------------------fuji
réseau                       192. |   B     |
192.168.160.0/24             168. |   S     |-------------------snom
ou                           160. |   D     |
réseau entreprise              1  |         |-------------------hp-test
ou internet                       |         |
                                  |         |-------------------etc..
                                  |_________|

admettons que tu veux autoriser ssh sur deux machines du réseau
192.168.111.0/24:

 trafic vers 192.168.160.1                    trafic vers fuji
 sur port 22                                  port 22
---------------------------->                 ------------------->


 trafic vers 192.168.160.1                    trafic vers hp-test
 sur port 12322                               port 22
---------------------------->                 ------------------->

 
admettons que tu aies deux serveurs web sur ton réseau
192.168.111.0/24:

 trafic vers 192.168.160.1                    trafic vers fuji
 sur port 80                                  port 80
---------------------------->                 ------------------->


 trafic vers 192.168.160.1                    trafic vers hptest
 sur port 8080                                port 8000
---------------------------->                 ------------------> 

etc...


Pour snom, je ne connais pas bien la téléphonie sur IP, ni le produit.
Si tu ne peux pas déclarer de route (adresse de routeur) dans snom, snom
ne pourra pas répondre car l'adresse IP source sera une adresse IP autre
que 192.168.111.x  
Ce sera un résau IP différent de celui de snom qui pour snom sera
injoignable car snom ne disposera pas de passerelle.


Pour l'instant, je pense que ton plus gros problème à résoudre sera
celui de snom. Pour les autres machines et la translation de port de
BSD, cela ne devrait pas être le plus difficile (à condition de disposer
des compétences sous BSD).   

nono



-- 
    .-".                                                  ."-.
   /  0o\           nono at jabber-fr dot net            /0o  \
  <` .\/ `>        http://zenith.noel.free.fr/         <` \/. `>
   (`  .)      http://www.linux-france.org/~jcnoel/      (.  `)
=== `=--= ============================================== =--=` ===

Attachment: signature.asc
Description: Ceci est une partie de message =?ISO-8859-1?Q?num=E9riquement?= =?ISO-8859-1?Q?_sign=E9e?=