Je cherche le port manquant ? help me... - Windows & Software
Marsh Posté le 02-03-2005 à 19:40:46
ba en gros, une machine dans la DMZ est comme directement connecté a internet
Marsh Posté le 02-03-2005 à 19:46:28
Z_cool a écrit : ba en gros, une machine dans la DMZ est comme directement connecté a internet |
Donc parfeu obligatoire ! C'est comme si le routeur, n'existait pas en fet ?
Marsh Posté le 02-03-2005 à 19:49:15
Z_cool a écrit : ba oui |
Question : Le serveur est étient pour une raison X, sachant qu'il faisait office de DMZ; il n'y aucun risque pour les autres machines ?
Marsh Posté le 02-03-2005 à 19:50:39
non, seul les machine identifié comme dans la DMZ (generallement par IP) sont visible depuis internet
Marsh Posté le 02-03-2005 à 19:50:45
tous depend comment est configure ton serveur mais si c'esttonserveur qui sert de routeur, a priori non ...
Marsh Posté le 02-03-2005 à 20:31:49
airtache a écrit : tous depend comment est configure ton serveur mais si c'esttonserveur qui sert de routeur, a priori non ... |
le schéma réseaux est le suivant :
Y-a til un risque, si le serveur est coupé ? le définis la DMZ dans la configuration du routeur ?
merc
@+
Marsh Posté le 02-03-2005 à 20:34:39
airtache a écrit : dsl mais ton schema ne s'affiche pas ... |
j'ai le schèma sous les yeux ! ca fonctionne
Marsh Posté le 02-03-2005 à 20:41:09
sous firefox on ne le voit pas mais sous ie oui
mais sinon le dmz est seulement ton serveur??
et ton routeur est ta freebox ...
ci c'est le cas ton autre poste ne risque rien vu que la freebox en routeur le protege des attaques internet
Marsh Posté le 02-03-2005 à 20:43:14
airtache a écrit : sous firefox on ne le voit pas mais sous ie oui |
non, du tout ! Je suis sur le câble et mon routeur est un Netgeau RP614v2 ! http://interface.netgear-forum.com/RP614v3/ La config de la DMZ se fait dedans ! Et le serveur sera uniquement la DMZ
merci de ta réponse
@+
Marsh Posté le 02-03-2005 à 20:49:08
ReplyMarsh Posté le 02-03-2005 à 20:49:28
airtache a écrit : de rien ... |
Tu me confirme que c'est bon, que je ne risque rien. C'était un question, sorry
Marsh Posté le 02-03-2005 à 20:52:39
vu qu'il n'y a que ton serveur qui est configurer en dmz, ton routeur fait son travaille pour ton autre poste...
mais protege bien ton serveur car risque d'attaque, met la totale antivirus, firewall, parefeu.......
Marsh Posté le 02-03-2005 à 20:57:20
airtache a écrit : vu qu'il n'y a que ton serveur qui est configurer en dmz, ton routeur fait son travaille pour ton autre poste... |
ok, merci pour tes réponse, je vais faire tous ça
Marsh Posté le 03-03-2005 à 16:37:29
verifi aussi que ton serveur dans la DMZ ne doit pas etre capable de contacter l ordinateur qui est dans le LAN.
par contre, l ordi qui est dans le LAN doit pouvoir contacter celui qui est dans la DMZ
Marsh Posté le 03-03-2005 à 16:52:21
Z_cool a écrit : verifi aussi que ton serveur dans la DMZ ne doit pas etre capable de contacter l ordinateur qui est dans le LAN. |
je suppose que c'est des paramètrage à faire au niveau du parfeu ?
Marsh Posté le 03-03-2005 à 21:53:45
Pour plus d'efficacité tu pourrais mettre ton par feu au milieu (genre un routeur fire wall) et puis tu définirais les règles particulières qui protègeraient à la fois ton LAN et la DMZ. Mais je sais pas quel type de esrveur tu as (WEB....?). Il te faudrais quand même un bon routeur fire wall qui se paramètre aisément avec des fonctionnalités assez évolués quand même. Mais bon c'est un budget en plus.
airtache a écrit : sous firefox on ne le voit pas mais sous ie oui |
J'suis sous fire fox et no problème
Marsh Posté le 03-03-2005 à 22:11:35
yfaitbeau a écrit : Pour plus d'efficacité tu pourrais mettre ton par feu au milieu (genre un routeur fire wall) et puis tu définirais les règles particulières qui protègeraient à la fois ton LAN et la DMZ. Mais je sais pas quel type de esrveur tu as (WEB....?). Il te faudrais quand même un bon routeur fire wall qui se paramètre aisément avec des fonctionnalités assez évolués quand même. Mais bon c'est un budget en plus. |
Comme dans le schèma que j'ai pu présenter dans les posts précedents, j'ai un routeur NETGEAR ! C'est à partir de lui que je définis la DMZ ! La DMZ sera relié physiquement à l'autre machine par l'intermédiaire de ce routeur...
Mon serveur sera dans un premier temps un serveur VPN et un serveur FTP dans un second ! Je suis obligé d'activer la DMZ pour faire du VPN, puisque mon routeur n'as pas l'air de laisser passer les protocoles en plus des port 1720 et 1723 !
Marsh Posté le 06-03-2005 à 16:27:37
airtache a écrit : sous firefox on ne le voit pas mais sous ie oui |
J'ai firefox, et je vois le schema...
Donc, rien a voir
Marsh Posté le 06-03-2005 à 17:13:51
Va sur google, et renseigne toi vraiment sur ce qu'est une DMZ ..
Tu verras, une fois que tu auras bien compris le truc, presques toutes tes questions seront résolues.
Parce que le concept me semble bien flou pour toi (et certains autre aussi)
Pour faire simple, pour ce que tu veux faire, ta passerelle doit faire office de firewall.
Sur le firewall, tu dois configurer les flux qui ont le droit d'aller du net vers la DMZ (ton serveur en l'occurence, vu qu'il est tout seul), ceux de la DMZ vers le réseau Interne. En configuration pas trop poussée, tous les flux d'une zone de sécurité de niveau 0 (interne) vers une zone de sécu supérieure (DMZ ou internet) doivent ^etre acceptés, donc pas de configuration (mais tu peux qd meme, si tu veux chipoter a mort, genre empecher des spywares et autres relays a spam de se servir de ta connec)
Maintenant, l'interet d'un FW logiciel sur une machine en DMZ derriere un FW hard ......
Marsh Posté le 06-03-2005 à 17:16:26
oui, c'est flou c'est pour ça que je posais la question merci de ta réponse ! d'allieu il n'es toujours pas en DMZ le serveur tant que je n'aurais pas plus d'info...
Marsh Posté le 06-03-2005 à 17:25:57
trictrac a écrit : Va sur google, et renseigne toi vraiment sur ce qu'est une DMZ .. |
Sauf que ca c'est pas vraiment valable pour les routeurs soho comme son netgear, qui déjà n'ont qu'une seule patte lan, et sont donc dans l'impossibilités de gérer les echanges entres les différents PC du LAN.
Dans ces trucs ce qui est souvent appelé un peu abusivement "DMZ" c'est juste la possibilité de mettre un hote du réseau comme hote par défaut pour ce qui arrive depuis le net et sans restriction en sortie.
Marsh Posté le 06-03-2005 à 17:30:06
ok, ok .. alors au temps pour moi
(mais la, c'est quand meme plus qu'abusif comme appelation .. )
Marsh Posté le 12-03-2005 à 21:11:06
Salut,
Je remonte le sujet, maintenant que je viens d'isoler le problème ! Si je mets le serveur en DMZ, ca passe trés trés bien ! Je peux me connecter en VPN sur mon serveur. Donc ce n'es pas un problème de d'authentication entre le client et le serveur ! Je passe en LDAP.
J'aurais voulu savoir s'il y avait d'autres port que le 1723 à translater et surtout savoir ce que signifie RIP-1, RIP2B et RIP2M. Je supose que c'est les protocoles mais je sais pas à quoi ils servent et si je dois les activer pour me connecter...?
Routeur : RP614v2
Serveur : Windows2kSrv
Merci pour vos réponses !
@+
cvb
Merci pour vos réponses !
@+
cvb
ps : Routeur > NETGEAR RP614V2
Marsh Posté le 13-03-2005 à 12:44:48
http://www.routage.org/rip1.html
Pour la partie explication.
Eux question ? c un vpn autentified ou passtrue sur ce routeur ?
car s'il est passtrue le port 500 est ouvert s'il y' a VPN sur ton serveur Win?
Marsh Posté le 13-03-2005 à 13:45:59
wonee a écrit : http://www.routage.org/rip1.html |
c'est un Routeur avec VPN passtrue ! J'ai translaté le port 500 vers le serveur windows; c'est pas ce j'aurais du faire ?
Marsh Posté le 13-03-2005 à 14:01:24
cvb a écrit : c'est un Routeur avec VPN passtrue ! J'ai translaté le port 500 vers le serveur windows; c'est pas ce j'aurais du faire ? |
C'est ce qu'il faut faire. Ca ne sert à rien de faire de la DMZ juste pour un serveur VPN. Autant router juste les ports nécessaire.
Le port dépend du protocol que tu utilises.
PPTP, L2TP, VPN Cisco ?
SI c'est du Windows server c'est soit du PPTP, soit du L2TP.
Les ports à ouvrir sont
PPTP (port 1723 en TCP)
L2TP port 1701 en TCP
Pour les deux il te faut un routeur VPN Passthrough
Marsh Posté le 13-03-2005 à 14:09:16
Jef34 a écrit : C'est ce qu'il faut faire. Ca ne sert à rien de faire de la DMZ juste pour un serveur VPN. Autant router juste les ports nécessaire. |
j'utilise un routeur NETGEAR (VPN passetrought) ! Je m'authentifie en PPTP donc j'ai translaté le 1723 ! Ca ne fonctionne pas...j'ai erreur 678 !
J'avais mis le serveur en DMZ pour voir si ca venait pas de la connexion ou d'allieur ! Je pense que ca vient de la config du routeur ou d'un port qui n'es pas translaté ! Le serveur c'est un 2000 Serveur avec un AD ! J'ai translaté le LDAP et certains autres...
Faut-il que translate d'autre port pour m'authentifier à travers un AD ?
merci de vos réponses !
@+
Marsh Posté le 13-03-2005 à 14:24:14
Non, tu ne translates que le port VPN.
Ton client transmet ses infos de login par le protocol VPN PPTP et donc n'a pas besoin d'un autre port pour s'autentifier.
C'est le service RRAS qui a besoin de requeter ton AD.
Donc si ton AD et ton serveur RRAS étaient séparés par un firewall il aurait fallu ouvrir des ports, ce n'est pas le cas.
Tu n'as besoin d'ouvrir que le 1723 en TCP, mais en présisant à ton routeur qu'il sagit du protocol VPN PPTP sinon ca déconne. En fait pour activer le passtrough il faut vraiment que ton routeur sache tu tu fais passer du VPN.
Donc ne te contente pas de router le port 1723, il faut que tu actives le VPN Passtrough (en tout cas c'est comme ça pour les 3Com)
Marsh Posté le 13-03-2005 à 14:33:14
Jef34 a écrit : Non, tu ne translates que le port VPN. |
par défaut, mon routeur, es déjà en VPN passe trought ! En local ca fonctionne trés bien, et j'ai sniffé le réseaux ! ils parlent du port 1218, kesako ?
Marsh Posté le 13-03-2005 à 16:55:06
T'as toujours pas dit quel type de VPN tu utilises, c'est bien du PPTP ?
Si oui y'a que le 1723 a router.
Regarde plutot dans les options de VPN passtrough de ton routeur (c'est toujours un peu la merde avec des routeurs soho).
Marsh Posté le 13-03-2005 à 17:02:55
El Pollo Diablo a écrit : T'as toujours pas dit quel type de VPN tu utilises, c'est bien du PPTP ? |
oui, c'est bien du PPTP ! j'ai translaté, j'ai routé, j'ai viré le parfeu du routeur, désactiver les parfeu sur les machines et toujours rien ! J'ai deux types d'erreur : 678 et 800 ! je vais chercher ce que veux dire soho, merci
@+
Marsh Posté le 13-03-2005 à 17:06:46
soho : small office/homme office, les petits routeurs basiques comme ton netgear quoi.
Marsh Posté le 02-03-2005 à 19:22:57
Salut,
Je remonte le sujet, maintenant que je viens d'isoler le problème ! Si je mets le serveur en DMZ, ca passe trés trés bien ! Je peux me connecter en VPN sur mon serveur. Donc ce n'es pas un problème de d'authentication entre le client et le serveur ! Je passe en LDAP.
J'aurais voulu savoir s'il y avait d'autres port que le 1723 à translater et surtout savoir ce que signifie RIP-1, RIP2B et RIP2M. Je supose que c'est les protocoles mais je sais pas à quoi ils servent et si je dois les activer pour me connecter...?
Routeur : RP614v2
Serveur : Windows2kSrv
Merci pour vos réponses !
@+
cvb
Merci pour vos réponses !
@+
cvb
ps : Routeur > NETGEAR RP614V2
Message édité par cvb le 13-03-2005 à 12:41:16