ISA Server 2004 et freebox

ISA Server 2004 et freebox - Réseaux - Réseaux grand public / SoHo

Marsh Posté le 21-09-2008 à 14:27:50    

Bonjour,
après avoir passé une bonne partie de la nuit dessus et la matinée également, je ne trouve toujours pas la réponse ...
J'ai une freebox sur laquelle j'ai désactivé le routeur (donc en bridge).
je souhaite remplacer un PC IPCop (qui a bien marché mais qui semble s'essouffler) par un ISA Server (merci msdnaa ^^)
 
Voilà grosso modo la topologie réseau :
Fbx <==> PC ISA <==> Switch {PC1, PC2, PCX }
 
Point de vue IP :
PC ISA : 2 cartes réseau, une carte connectée au switch LAN (172.16.1.250) et une carte branchée au port de la freebox (82.XX.XX.XX), DHCP.
PC1, PC2, PCX : les postes du LAN, clients DHCP, 172.16.1.100 => 172.16.1.200 (pour la plage IP).
 
J'ai choisi le modèle "bastion" d'ISA, c.à.d. une connexion réseau interne / réseau externe en spécifiant que pour l'interne, la plage d'IP était 172....
 
Je n'arrive, bien entendu, toujours pas à avoir internet (ce qui est quelque part handicapant).
Si je désactive la carte LAN sur le PC ISA, j'ai bien accès à internet.
 
D'un pc du LAN, je peux faire un ping sur la patte externe de mon ISA (82.XX...) et le ping répond (pour autant qu'il y ait la règle dans le FW pour autoriser le ping)
 
J'ai tenté d'installer le service DNS, en mettant dans les redirecteurs les DNS de Free, mais ça ne fait rien de plus.
Sur les pc du LAN, j'ai tenté avec et sans proxy, 172.16.1.250:8080 pour le proxy.
 
J'ai ss doute du louper un truc, mais je ne vois pas quoi. Quelqu'un peut m'aiguiller ?
Merci d'avance !


Message édité par NewsletTux le 21-09-2008 à 16:30:46

---------------
NewsletTux - outil de mailing list en PHP MySQL
Reply

Marsh Posté le 21-09-2008 à 14:27:50   

Reply

Marsh Posté le 21-09-2008 à 16:28:56    

tu t'es pas planté là "en spécifiant que pour l'internet, la plage d'ip était 172" ?
 
Après pour commencer utilise du SecureNAT pour ton lan interne plutôt que le proxy
Tu as bien une règle du style "autoriser internet" ?

Reply

Marsh Posté le 21-09-2008 à 16:33:01    

Hello, et merci de ta réponse,
désolé pour la faute de frappe : il fallait lire "pour l'interne, plage 172" l'interne = le LAN.
A force de taper internet  :pt1cable:  
(j'ai corrigé)
 
 
Il y a bien la règle par défaut en type NAT entre interne et externe, et j'ai mis, pour voir le le pb ne venait pas de là, une règle "autoriser" de "tous les réseaux" vers "tous les réseaux", qui est la règle contraire à celle par défaut. Je l'ai mise au dessus bien entendu  :) Mais ça ne résout pas le problème.
 
SecureNAT est natif à ISA ? JE vais me renseigner sur ce truc.


---------------
NewsletTux - outil de mailing list en PHP MySQL
Reply

Marsh Posté le 21-09-2008 à 16:39:55    

fait un tracert depuis le isa et depuis un pc du lan vers :
- la passerelle (pour le client, c'est le isa, pour le isa c'est le routeur chez free)
- une ip (style une ip de google)
- un dns

Reply

Marsh Posté le 21-09-2008 à 18:00:06    

Je fais ça ce soir.


---------------
NewsletTux - outil de mailing list en PHP MySQL
Reply

Marsh Posté le 21-09-2008 à 20:43:17    

J'ai une autre Q? en attendant de préparer l'autre réponse. Je n'ai vu nulle part spécifié ça, mais faut-il un AD avec DC ? Visiblement ce n'est pas obligatoire, autrement il me l'aurait signalé ... Avec un service DNS qui tourne ?
 
Je viens de constater que j'avais laissé mon 2003 membre du groupe de travail 'WORKGROUP' alors que mes pc clients sont dans 'MAISON', puisque le ping fonctionnait je ne pense pas que ça soit primordial, mais je vais rectifier ça tout de même.


---------------
NewsletTux - outil de mailing list en PHP MySQL
Reply

Marsh Posté le 21-09-2008 à 21:03:36    

Non, pas besoin d'AD pour ISA. (DC = domain controller donc ouais si ta un DC tu as AD :D)
 
Le service DNS peut tourner sans AD, tout dépend de sa finalité.
 
Pour le groupe de travail, osef si ils sont différent

Reply

Marsh Posté le 21-09-2008 à 21:11:57    

"osef", c'est ce que je me suis dit.
Pour le DNS : je pensais que qd un pc client recherchait "google.fr" p.ex. il fallait qu'ISA demande au service DNS, d'où mon hypothèse.
 
Euh il y a aussi leur système de déploiement du pare-feu client, je n'ai pas encore touché à ça.


---------------
NewsletTux - outil de mailing list en PHP MySQL
Reply

Marsh Posté le 21-09-2008 à 21:14:39    

Je ne sais pas si il faut un serveur dns (à vrai dire, à chaque fois que je déploie un ISA il y a déjà des serveurs DNS en place), peut être qu'il embarque un mini serveur relay dns interne comme le fait ICS inclu dans windows par exemple.
 
Pour le par feu client, pour l'instant ne t'en occupes pas. Il faut déjà que ça marche à la base :D

Reply

Marsh Posté le 21-09-2008 à 21:57:43    

que pourrai-je conclure des résultats du tracert, parce que en théorie, si je prends une IP de google, p.ex. 66.249.93.104 :
 
- ping depuis PC ISA : le premier noeud doit être ma freebox, IP publique, puis la passerelle de la freebox, puis X sauts dont je ne connais pas encore la nature
 
- ping depuis PC lan : le premier noeud doit être la patte "LAN" de mon ISA (172.16.1.250), le 2nd noeud la patte WAN (82.XXX) puis la passerelle de la freebox, puis les X sauts.


---------------
NewsletTux - outil de mailing list en PHP MySQL
Reply

Marsh Posté le 21-09-2008 à 21:57:43   

Reply

Marsh Posté le 21-09-2008 à 22:22:37    

ouais, c'est le cas ?

Reply

Marsh Posté le 22-09-2008 à 19:20:06    

Bon, je reviens un peu plus tard que prévu, mais j'ai effectué tellement de tests ... J'ai parfois envie de balancer ISA par la fenêtre.
 
ça ne marche toujours pas, et voilà où j'en suis.
 
Etape 1 : 2003 server avec 2 cartes réseau, l'une en IP fixe (IP LAN) : 172.16.1.254 et l'autre en DHCP, raccordée à la freebox (82.xx)
 
DHCP sur la carte LAN.
ISA Server SP3.
 
J'ai déjà mis un peu de temps à comprendre pourquoi avec ISA Server je n'arrivais pas à renouveller une adresse DHCP, c'est parce que le réseau 0.0.0.0 n'était pas considéré comme réseau interne... D'où le refus. Bon ça, c'est ok.
 
Alors pour les pings :
- depuis ISA : ping google.fr => marche pas
- depuis ISA : ping IP Web (p.ex. un DNS de Free) : OK
- depuis ISA : tracert passerelle (82....254) : OK, 1 saut
 
- depuis PC LAN, ping patte LAN d'ISA : OK (si tant est que le ping est accepté par ISA, grâce à une règle)
- depuis PC LAN, ping patte WAN d'ISA : OK
- depuis PC LAN, ping passerelle d'ISA : OK
- depuis PC LAN, tracert passerelle ISA (82...254) : 2 sauts : 172.16.1.254, 82....254
 
Je ne sais pas si c'est dans la config ou dans l'assignation des cartes que ça coince.
 
J'ai testé :
 
- PC client : IP 172.16.1.X (DHCP) + ss réseau, passerelle = 172.16.1.254 (=IP ISA), idem pour DNS
 
- PC Client :  IP 172.16.1.X (DHCP) + ss réseau, passerelle = 82.XX (patte WAN ISA), idem pour DNS
 
- PC ISA : carte LAN, IP (fixe) 172.16.1.254, passerelle 172.16.1.254, DNS idem
 
 
- PC ISA : carte LAN, IP (fixe) 172.16.1.254, passerelle 82.XX (patte WAN), DNS idem
 
- PC ISA : carte LAN, IP (fixe) 172.16.1.254, passerelle 82..254 (passerelle freebox), DNS idem
 
 
Rien ne marche.
 
Dans ISA, j'ai testé avec et sans ma règle "autoriser tout, pour tout le monde" voir si c'était un pb de règle : niet.
 
J'ai remarqué, en outre, que si je désactive la carte LAN, j'ai accès à internet sur le PC ISA.
 
Seulement si je fais un pont entre les cartes, bin ISA ne servira à rien ...
 
Carte LAN : intégrée à la mb, (Asus K8NE deluxe) carte WAN : carte 100 Mb PCI.
 
 
Merci pour tes éclaircissements...
 
 


---------------
NewsletTux - outil de mailing list en PHP MySQL
Reply

Marsh Posté le 22-09-2008 à 20:52:16    

ta juste un soucis de dns
 
sur isa : carte internet met en auto ou les dns de free
carte lan : rien (et pas de passerelle par défaut non plus ...)
 
sur client : dns de free pour commencer

Reply

Marsh Posté le 22-09-2008 à 20:55:05    

sur la carte WAN de l'ISA, tout est en auto.
 
carte LAN : il faut au moins l'IP et le masque, non ?
Pour les clients, donc faut que je modifie mon DHCP pouyr leur filer les DNS de Free ? Ok, je teste ce soir.


---------------
NewsletTux - outil de mailing list en PHP MySQL
Reply

Marsh Posté le 22-09-2008 à 20:57:24    

Ouais carte lan : ip et masque
 
pour les clients, soit tu utilises un serveur dns que tu as installé soit ceux de free. A voir mais dans ce cas il faut le configurer.

Reply

Marsh Posté le 22-09-2008 à 20:59:37    

si je peux éviter de me casser la tête avec un DNS @home, ça m'arrangerait ...


---------------
NewsletTux - outil de mailing list en PHP MySQL
Reply

Marsh Posté le 23-09-2008 à 07:31:22    

yipeeeeeeeeeeee ça marche !
 
Ce que j'ai mis dans le DHCP : passerelle 172.16.1.254, 82.xx (patte WAN de l'ISA), DNS primaire 172.16.1.254, secondaire 82.xx (patte WAN de l'ISA)
 
Reste à configurer le truc, mais a priori ya déjà du mieux ;)


Message édité par NewsletTux le 23-09-2008 à 07:32:50

---------------
NewsletTux - outil de mailing list en PHP MySQL
Reply

Marsh Posté le 23-09-2008 à 12:21:13    

bin en fait non. Je ne comprends pas, ça marchait, je pars je reviens, ça ne marche plus. Pourtant ya rien eu de fait ...


---------------
NewsletTux - outil de mailing list en PHP MySQL
Reply

Marsh Posté le 23-09-2008 à 17:18:23    

Bon, j'ai tout réinstallé proprement et ça remarche.
 
 
Sur le PC ISA je ping bien google.fr, mais pas depuis un PC du LAN, j'ai mis en route le service DNS avec un redirecteur vers les DNS deFree, et ça marche ... donc ça répond à ma question plus haut : il fuat le service DNS pour que les PC du LAN aient accès à internet.
 
Me reste plus qu'à proprement refaire les redirections de ports, j'avais essayé ce matin mais visiblement ça a foiré.


---------------
NewsletTux - outil de mailing list en PHP MySQL
Reply

Marsh Posté le 23-09-2008 à 19:04:23    

C'est bizarre, à 80% du temps c'est rapide, mais parfois, je mets 3h à actualiser une simple page ...
En fait ce sont des microcoupures, puisque MSN revient après ... Et je ne sais pas à quoi c'est du.


Message édité par NewsletTux le 23-09-2008 à 19:11:33

---------------
NewsletTux - outil de mailing list en PHP MySQL
Reply

Marsh Posté le 24-09-2008 à 15:02:07    

En fait l'erreur la plus fréquente sur ISA est celle-ci :
 

Citation :

un paquet non-SYN a ete refusé car il ete envoyé par une source qui ne dispose pas d'une connexion avec l'ordinateur isa server


mais c'est sur le protocole HTTP, sur le net les gens ont  ça avec le FTP ou le VPN, mais je n'ai pas utilisé l'un ou l'autre récemment.
 
EDIT : en fait je n'ai pas de VPN chez moi  :D


Message édité par NewsletTux le 24-09-2008 à 15:02:29

---------------
NewsletTux - outil de mailing list en PHP MySQL
Reply

Marsh Posté le 04-10-2008 à 19:59:23    

hello,
j'ai été absent 1 semaine et n'ai pu avancer sur ce sujet, mais je remonte parce que d'une, je suis rentré, et de 2, bin ça coince tjrs...


---------------
NewsletTux - outil de mailing list en PHP MySQL
Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed