Netasq : Gérer plusieurs @IP sur une seule interface

Netasq : Gérer plusieurs @IP sur une seule interface - Sécurité - Systèmes & Réseaux Pro

Marsh Posté le 08-06-2012 à 12:11:17    

Bonjour à tous,
 
après des heures de recherche sur le net et de tests sur mon Netasq U250, je ne trouve pas la solution à mon problème :
gérer plusieurs adresses IP (données par mon FAI) sur une seule interface du Netasq (lien SDSL).
 
Voici le détail de mon problème :
mon FAI m'a donné une tranche d'IP publiques genre XXX.XXX.XXX.57 avec un masque en 29 (255.255.255.248).
Ce qui donne au final :
- les IP publiques 57, 58, 59, 60 et 61 libres et "utilisables" comme je le veux
- la 56 est l'adresse de réseau
- la 62 la passerelle
- la 63 l'adresse de broadcast
Jusque là, pas de problème, mais je n'arrive pas à utiliser toutes les IP utilisables, une seule fonctionne à la fois.
 
Je m'explique: quand je configure l'interface du netasq connecté au modem/routeur du FAI, je lui mets directement une adresse IP statique que je prends donc dans le pool, par exemple XXX.XXX.XXX.57 et je lui mets aussi le masque 255.255.255.248.
Tout fonctionne à peu près... avec cette seule adresse, mais pas les autres 58, 59....
Je précise que le routeur du FAI est en mode transparent donc il retransmet toutes les requêtes en direction des @IP publiques de la tranche qui m'est attribué.
 
Le but est d'utiliser les @IP pour rediriger par type de flux en interne:
- 57 -> mail
- 58 -> http/https (plusieurs site géré par des virtual host sur un seul serveur)
- 59 -> http/https (sur un autre serveur web)
etc...
 
En fait, mon interface SDSL configuréé comme j'ai dit plus fonctionne à moitié: tout flux sortant est bien translaté (NAT) et l'IP "sortante" utilisée est celle configurée sur l'interface du netasq, et seulement elle! par contre, impossible de configurer n'importe quelle redirection en interne, que ce soit sur l'interface 57 ou les autres.
Si je configure l'@IP 58 sur l'interface, je sors bien avec celle-ci sur internet. mais les autres sont inutilisables.
 
Dans la doc et sur des forums, j'ai retrouvé ce que j'ai configuré, et apparemment, le netasq gère tout seul les requêtes vers TOUTES les adresses IP de la plage... mais ce n'est pas le cas, ça ne marche pas chez moi.
Et lorsque je veux ajouter une autre @IP, par exemple la 58, sur l'interface SDSL en plus de la 57, le Netasq me sort une erreur: "Réseau déjà utilisé par une interface".
Par contre, grâce à l'@IP et le masque que je mets au Netasq, celui-ci me crée bien tout seul les objets "Routeur" (62) et "Network" (56) pour ce réseau sur l'interface SDSL.
 
Du coup, je ne comprends pas du tout comment configurer le netasq pour qu'il gère bien toutes les adresses IP publiques "utilisables".
Même si je crée des objets moi-même avec les IP publiques, cela ne fonctionne pas quand je les utilise aussi bien dans les règles "map", "bimap" ou "redirection" du NAT.
 
Si quelqu'un a un netasq et a déjà rencontré le soucis, peut-il m'aider svp ?
J'espère avoir été assez clair.
Merci d'avance pour votre aide.

Reply

Marsh Posté le 08-06-2012 à 12:11:17   

Reply

Marsh Posté le 12-06-2012 à 09:00:32    

Re-bonjour,
 
je vous mets 2 screens, un des mes règles NAT, et l'autre de comment j'ai config l'interface "SDSL".
Je précise pour le NAT que j'ai une ADSL à côté sur laquelle sort toute ma boîte depuis plus d'un an (surf), donc je ne pense pas que ce soit un problème de règles NAT, et que le flux SMTP sort justement bien par la SDSL, même si je ne peux "contrôler" l'@IP par laquelle ce flux sort.
 
Mes règles NAT:
http://img4.hostingpics.net/pics/880649ScreenShot001.png
 
Ma conf "SDSL" (toute simple, mais je ne peux rajouter d'autres IP du même sous-réseau, les autres @IP publiques quoi):
http://img4.hostingpics.net/pics/437401ScreenShot002.png
 
Vraiment personne ne connait du Netasq?
Merci d'avance  ;)

Reply

Marsh Posté le 12-06-2012 à 10:09:35    

Il me semble que ta règle NAT est pas bonne.
 
Essai comme ça pour la 18 :
 
Interface SDSL
Action redirection
Original Any
Destination IP_oleane_58
Port de destination (tonport)
Translaté (tonserveur)
Port Translaté (ton port)
 
Redis moi si ça fonctionne.


---------------
In my bed, but still_at_work.
Reply

Marsh Posté le 12-06-2012 à 11:52:48    

Ben j'avais déjà testé la règle que tu dis, mais comme ça ne marchait pas, j'essayais de faire du bimap.
 
Voici les règles que je viens de remettre :
http://img4.hostingpics.net/pics/799620ScreenShot001.png
 
En fait, même une simple redirection de port(s) me convient d'ailleurs tout à fait dans un premier temps (sans utiliser le bimap).
 
Les règles de redirection situées juste au dessus avec l'interface ADSL(Orange) fonctionnent très bien! c'est pourtant la même chose, c'est ça qui est fou!
il y a un truc au niveau de la config de l'interface SDSL elle-même, avec la gestion de la tranche d'IP publiques que je ne comprends pas.
Pour moi, tous les problèmes viennent de là, car avec l'interface ADSL, une seule IP publique est attribuée et là ça marche.

Reply

Marsh Posté le 12-06-2012 à 12:00:08    

Fais des screens de ta config SDSL please.


---------------
In my bed, but still_at_work.
Reply

Marsh Posté le 12-06-2012 à 12:49:51    

euh, bah à part le screen que j'ai déjà mis plus haut, y'a pas grand chose dans ma conf de l'interface SDSL...
Je mets quand même celui-ci en plus si ça peut aider :
http://img4.hostingpics.net/pics/580905confSDSL.png

Reply

Marsh Posté le 12-06-2012 à 13:57:50    

Je cale sur ton problème. Je laisse d'autres personnes te répondre.


---------------
In my bed, but still_at_work.
Reply

Marsh Posté le 12-06-2012 à 14:54:06    

Merci quand même pour ton aide, c'est cool de t'être penché sur mon pbm!  :)

Reply

Marsh Posté le 12-06-2012 à 18:47:32    

as tu regardé la doc sur ta version ?
D'aprés tes captures d'écran tu es en V8 ! as tu mis la V8.1.5.2 ?
j'ai le même cas que toi j'ai eu un pool d'ip mais je ne les utilises pas.
as tu regardé sur la base de connaise de netasq ? (faut un login et pass)
As tu redemarrer le netasq (parfois ça sert :) )
en tout cas ton probléme est interessant.
j'ai  2 U450 en HA et une SDSL 2Mo.


Message édité par skoizer le 12-06-2012 à 18:50:03

---------------
je veux tout, tout de suite, et gratuitement ! miladiou !
Reply

Marsh Posté le 15-06-2012 à 11:17:26    

Oui j'ai lu et relu les docs mais il n'y a rien sur cette conf particulière.
La doc dit juste qu'on peut mettre plusieurs IP sur une seule interface, mais comme je l'ai dit, ça ne marche pas quand j'essaye de lui mettre toute les IP publiques.
 
Je suis en 8.1.0 et je viens de télécharger la v8.1.5.2, que je vais passer dès que je peux, mais bon je n'attends rien de particulier, je ne pense pas que ça vient du firmware, mais oui, autant essayer avec le nouveau! J'essaie de le mettre à jour régulièrement en suivant de temps en temps mais là je n'avais pas fait gaff qu'il y en avait un nouveau de dispo. Merci.
 
Oui j'ai un login/pass et je viens de regarder sur la FAQ : rien sur mon problème! :-(
 
J'ai reboot plusieurs fois le netasq depuis le temps ou j'essaye de faire marcher ma config, sans plus de succès.
 
Si j'y arrive pas, je vais changer de produit en fin d'année (fin maintenance), voir même avant, car j'ai absolument besoin des mes IP publiques d'ici là! ça fait chier, finalement, le produit est pas mal je trouve, même s'il faut s'y mettre pour comprendre la philosophie du bousin, mais finalement, on peut faire une config aux petits oignons comme on dit! et puis c'est bien sécure (bon comme les autres produits similaires).

Reply

Marsh Posté le 15-06-2012 à 11:17:26   

Reply

Marsh Posté le 15-06-2012 à 11:41:47    

Avant d'envisager un changement de matériel, essai une migration en V9.


---------------
In my bed, but still_at_work.
Reply

Marsh Posté le 15-06-2012 à 15:39:19    

Pourquoi tu ne fais pas du Vlan sur une interface ?
Peux tu demander a ton fai de sortir l'ip XXX.XXX.XXX.57 sur le vlan 2
XXX.XXX.XXX.57 sur le vlan 3 etc...
de l'autre coté du netasq sur une interface tu définie sur le même port chaque vlan + ip !
ou si ton fai ne veut pas, si modem/routeur sdsl a plusieur sortie lan paramétre les !


---------------
je veux tout, tout de suite, et gratuitement ! miladiou !
Reply

Marsh Posté le 16-06-2012 à 22:47:26    

Bonjour,
 
Peux-tu poster un screenshot de ta politique de filtrage ?

Reply

Marsh Posté le 19-06-2012 à 17:57:16    

J'ai un peu avancé... même si ça ne marche toujours pas vraiment.
En fait, maintenant, j'arrive bien à "sortir" avec l'IP publique que je souhaite (57 à 60).
 
J'ai mis l'IP 61 pour le netasq, toujours avec le même masque qu'avant en 29.
 
Voici mes règles de filtrage:
http://img15.hostingpics.net/pics/543590FiltrageRules.png
 
Mon routage (routes statiques):
http://img15.hostingpics.net/pics/419875Routage.png
 
Et mon NAT maintenant:
http://img15.hostingpics.net/pics/355768NATRules.png
 
J'avoue ne pas trop comprendre. J'ai crée mes 4 objets (type machine) avec les IP publiques. Le netasq reconnait d'ailleurs bien qu'elles appartiennent au réseau de l'interface SDSL car elles prennent bien la couleur rouge.
 
Ce qui fait, apparemment, que j'arrive à "sortir" avec les IP que je veux, c'est la route statique que j'ai rajouté (avec le network_SDSL).
EDIT --> en fait non... c'est pas ça, si j'enlève cette route statique, ça fonctionne! (je sors avec l'IP que je veux) Je comprends pas pourquoi avant ça marchait pas...
 
Par contre, toujours impossible de me servir des IP publiques pour le flux "d'entrée".
 
Concernant mes règles de NAT, les redirection 13 à 16 (via SDSL) ne fonctionnent donc pas, mais les même redirections (17 à 21) sur l'interface ADSL Orange fonctionnent (comme avant quoi).
 
Pour le vlan, je ne suis pas très chaud, j'ai déjà des vlan dans mon réseau et je ne veux pas m'aventurer sur ce terrain.
La migration vers la v9 est d'après ce que j'ai vu un peu lourde et on perd toute nos règles... sachant que le netasq est en prod et que je n'ai pas d'autres firewall pour le remplacer le temps de la migration, je préfère pas la faire.


Message édité par albator_84 le 19-06-2012 à 18:21:08
Reply

Marsh Posté le 19-06-2012 à 19:10:03    

C'est bien un problème de routage.
Est ce que tu peux essayer de dupliquer les lignes 3, 4 et 22 de ta politique de filtrage et de forcer le routage des nouvelles lignes avec le Routeur_SDSL_OLEANE
 
Si cela ne fonctionne pas, essaye d'activer le load balancing et d'y paramétrer tes 2 lignes internet

Reply

Marsh Posté le 21-06-2012 à 10:02:24    

Je veux bien tester aucun souci, mais je ne vois pas comment tu veux que je fasse: dupliquer les règles de filtrage 3,4 et 22 ok, mais je mets quoi pour les copies? je ne comprends pas (désolé).
 
ces règles 3,4 et 22 sont des règles de flux "entrants". quand tu parles de copies, tu voudrais que j'autorise les flux http,https et smtp sur les IP publiques directement en plus (au lieu de "srvrpfw" )? si c'est ça dont tu parles, j'ai déjà fait mais ça ne marche pas plus.
 
je force bien le routage en sortie par mes règles de filtrage 37 et 39 pour utiliser la SDSL, et d'ailleurs ça marche car ma règle 26, qui est là pour mes tests, fonctionne bien elle aussi.
Je sors bien par la SDSL par le "portable-dmz" et j'arrive en changeant la règle 5 du NAT a donner l'IP publique "de sortie" comme je le veux (là c'est 60, mais si je mets 58 ça marche).

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed