Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1509 connectés 

  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Réseaux

  Paramétrage routage Netasq

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Paramétrage routage Netasq

n°136626
pg27700
Posté le 29-12-2015 à 18:29:35  profilanswer
 

Bonjour,
 
Configuration réseau actuelle :
Switche HP stackés (3)
Réseau local 192.168.1.0/24
Netasq U250S-A en firewall (192.168.1.1) sur une fibre Orange
 
J'ai configuré un deuxième Vlan dans notre entreprise (Vlan10)
Le switche stacké sert de routeur pour les deux Vlan (192.168.1.0 et 192.168.10.0)
Je ping sans problème chaque vlan de n'importe quelle machine du réseau  
Par contre je bloque sur la création du routage sur le Netasq pour permettre aux membres du Vlan10 de sortir sur internet
J'ai créé une route statique du groupe 192.168.10.0/24 vers la passerelle du switche (192.168.1.2) et une route statique sur le switche 0.0.0.0 vers la passerelle 192.168.1.1
J'ai une borne Wifi sur le Vlan10 en ip fixe qui distribue bien aux clients les adresses de mon serveur DHCP Windows lui aussi sur le Vlan10 (autre carte réseau sur le Vlan1)
Mais rien n'y fait, pas de connexion internet.
 
Sur un site Lab Test, avec le même principe, pas de souci. J'ai entré la route statique dans ma LiveBox orange Pro et les deux Vlans se parlent et vont sur internet.
 
Si quelqu'un a une idée :)
 
Merci.

mood
Publicité
Posté le 29-12-2015 à 18:29:35  profilanswer
 

n°136628
splinter_f​ive0
Posté le 29-12-2015 à 19:11:29  profilanswer
 

Bonsoir,
 
sinon il y a aussi un truc simple qui pourrait fonctionner : tu prends une interface libre du netasq, tu lui donnes une adresse ip qui correspond au reseau de ton vlan , tu cables ton interface netasq sur ton vlan et tu crées une règle de filtrage dans le netasq qui autorise ton interface à sortir sur le net. et pour finir tu dis a ton dhcp de donner en passerelle l'adresse ip de la deuxieme interface du netasq. Bon on va dire que c'est un plan B, c'est juste pas très conventionnel :p
 
Pour ta route statique je comprends pas pourquoi tu routes vers ton switch, c'est lui qui est routeur, donc qui reçoit l'interface de sortie vers internet ?

n°136631
Gimea
So, get rid of noise.
Posté le 29-12-2015 à 22:14:14  profilanswer
 

Qd tu crées une route sur le Netasq vers 192.168.10.0/24 via 192.168.1.2, tu définies bien la bonne interface (IN probablement) ?
 
Si la OUT du Netasq a une IP publique, est ce que tu NAT bien le 192.168.10.0/24 sur la OUT ?
 
Au niveau du filtrage le 192.168.10.0/24 a bien le droit de sortir ?

n°136643
pg27700
Posté le 30-12-2015 à 10:35:08  profilanswer
 

Gimea a écrit :

Qd tu crées une route sur le Netasq vers 192.168.10.0/24 via 192.168.1.2, tu définies bien la bonne interface (IN probablement) ?
 
Si la OUT du Netasq a une IP publique, est ce que tu NAT bien le 192.168.10.0/24 sur la OUT ?
 
Au niveau du filtrage le 192.168.10.0/24 a bien le droit de sortir ?


Bonjour Gimea,
 
Pour le premier, oui 192.168.10.0/24 via 192.168.1.2 est bien sur l'interface IN avec le symbole bouclier
La Out a bien une IP Publique, je n'ai pas natté cet objet sur la Out et pas de filtrage non plus. Ce matériel étant récent chez nous et la formation succincte, je vais d'abord me renseigner sur la manière de faire.
Donc je m'y mets et test tout ça :)
Et te tiens au courant
Merci

n°136644
splinter_f​ive0
Posté le 30-12-2015 à 10:39:09  profilanswer
 

Fais toi payer une formation stormshield administrateur, c'est cool :) .  
 

n°136645
pg27700
Posté le 30-12-2015 à 10:39:59  profilanswer
 

splinter_five0 a écrit :

Bonsoir,
 
sinon il y a aussi un truc simple qui pourrait fonctionner : tu prends une interface libre du netasq, tu lui donnes une adresse ip qui correspond au reseau de ton vlan , tu cables ton interface netasq sur ton vlan et tu crées une règle de filtrage dans le netasq qui autorise ton interface à sortir sur le net. et pour finir tu dis a ton dhcp de donner en passerelle l'adresse ip de la deuxieme interface du netasq. Bon on va dire que c'est un plan B, c'est juste pas très conventionnel :p
 
Pour ta route statique je comprends pas pourquoi tu routes vers ton switch, c'est lui qui est routeur, donc qui reçoit l'interface de sortie vers internet ?


Bonjour,
 
J'avais pensé à cette possibilité mais si je créé 15 Vlan je vais manquer de ports :)
Pour la route statique, c'est pour que le switche fasse la passerelle sur chaque Vlan et que chaque Vlan puisse se voir aussi en interne.
Mais ta solution semble cohérente, je la garde sous le coude ;)
Merci.

n°136658
Gimea
So, get rid of noise.
Posté le 30-12-2015 à 13:46:09  profilanswer
 

Si t'as pas fais de translation sur la OUT pour le vlan10, c'est pour ça que ça fonctionne pas.
 
Rajoute juste une règle de translation pour ce réseau. T'en as déjà forcement une pour le vlan1.  
 
Et autorise également le vlan10 à sortir dans le filtrage, car tout ce qui n'est pas explicitement autorisé est forcément bloqué.

n°136668
splinter_f​ive0
Posté le 30-12-2015 à 17:46:06  profilanswer
 

tout depend comment il a fait sa règle, si il a mis any@network_in normalement ça sort, reste a voir la translation d'adresse, de toutes façons je pense que dans ce cas la route statique n'a aucun intérêt puisqu'il y a un trunk sur le switch d'après notre ami. Il faut aussi que les machines sur vlan10 aient la bonne passerelle ...  
 
 

n°136680
Gimea
So, get rid of noise.
Posté le 30-12-2015 à 21:35:51  profilanswer
 

Son switch est un switch niveau 3 si j'ai bien compris.
Il faut bien la route statique sur le netasq et sur le switch.
 
Il ne parle pas de trunk (au sens Cisco). le Netasq est surement sur un port en access dans le vlan1.
 
Concernant le filtrage, network_in va correspondre au réseau de l'int. IN et donc 192.168.1.0 /24.
 
Apres c'est sur s'il a any / any / any ca fonctionne forcement niveau filtrage mais c'est pas la peine d'avoir un FW.
 
Mais sans translation du 192.168.10.0 /24 sur la OUT ça ne peut pas marcher (vers Internet).

n°136687
pg27700
Posté le 01-01-2016 à 18:10:36  profilanswer
 

Gimea a écrit :

Son switch est un switch niveau 3 si j'ai bien compris.
Il faut bien la route statique sur le netasq et sur le switch.
 
Il ne parle pas de trunk (au sens Cisco). le Netasq est surement sur un port en access dans le vlan1.
 
Concernant le filtrage, network_in va correspondre au réseau de l'int. IN et donc 192.168.1.0 /24.
 
Apres c'est sur s'il a any / any / any ca fonctionne forcement niveau filtrage mais c'est pas la peine d'avoir un FW.
 
Mais sans translation du 192.168.10.0 /24 sur la OUT ça ne peut pas marcher (vers Internet).


Bonjour et Bonne Année :)
 
Concernant mon problème et grâce à vos différentes remarques judicieuses et utiles, cela semble résolu :
 
J'ai connecté le port 3 Lan du Netasq à mon switche hp A5120-EI en topologie IRF (3 membres) et mis le port sur le vlan10 en access
J'ai créé une route sur le Netasq sur mon objet réseau wifi (car c'est un réseau wifi dédié à la base que je souhaitais créer) (objet défini sur le réseau 192.168.10.0/24) vers l'interface dmz1 (mon port 3 du netasq)
J'ai créé une règle de filtrage, source reseau_wifi sur interface dmz1, destination Internet, port Any, IPS + filtrage url
Puis enfin, j'ai créé une règle Nat, trafic original, source reseau_wifi, destination Internet interface Out, Port dest. Any, trafic après translation, source Firewall_Out, destination Any
 
La passerelle devient l'adresse ip attribuée à l'interface dmz1 (192.168.10.1) et plus celle du switche (192.168.10.2)
Mon serveur dhcp est sur le vlan10 et 1 et distribue donc les plages 192.168.1.0 sur le vlan1 et 192.168.10.0 sur le vlan10
Mes deux bornes wifi sont sur le vlan10
Internet passe sur le vlan10
 
Merci pour votre participation.
 
Question du nouvel an : peut-on mettre en Trunk une connexion fibre entre deux switches sans mettre le bazar ?
 
Encore Bonne Année :)

mood
Publicité
Posté le 01-01-2016 à 18:10:36  profilanswer
 

n°136691
Gimea
So, get rid of noise.
Posté le 01-01-2016 à 19:55:23  profilanswer
 

Meme si ça marche, c'est assez degueu d'un point de vu archi et sécu ce que tu as fais.

n°136694
pg27700
Posté le 01-01-2016 à 23:56:38  profilanswer
 

Gimea a écrit :

Meme si ça marche, c'est assez degueu d'un point de vu archi et sécu ce que tu as fais.


Commentaire assez facile et léger, pour la sécu dis-moi quel est le problème ?

n°136697
splinter_f​ive0
Posté le 02-01-2016 à 15:04:22  profilanswer
 

Je vois pas non plus quel problème ça pose, ça fonctionne, le netasq est prévu pour ça donc ...

n°136698
Gimea
So, get rid of noise.
Posté le 02-01-2016 à 15:51:21  profilanswer
 

Si je me base sur la description initiale :
 
Un switch L3 qui route entre les VLANs. Un FW Netasq qui assure la protection du LAN.
Le souhait de faire le routage avec le switch L3 et la proba future de rajouter des VLANs.
Pas de souhait d'isoler avec un équipement de filtrage L7 (le Netasq) le VLAN10 du reste du LAN, type DMZ.
 
Et finalement ce n'est pas ce qui a été fait.
 
Si tu rajoutes des vlans ? Certains routés par le SW d'autre par le FW mais sans logique ?
Qd ça va p-e tomber panne ?
 
Et puis niveau secu le vlan10 qui a un accès à Internet vers any ports ... ?
 
D'un point de vu des perfs et si on part du principe qu'un U250 c'est déjà une machine relativement onéreuse si on compte l'achat plus les maintenances annuelles. Ou p-e est elle en location ?
Mais c'est pas un produit pour une PME des 15 postes. Quel est la taille du LAN derrière ? Pas mal de PC et de serveurs ? Donc il faut un peu que ça tourne, non ?
 
Mais si y a juste qqs PCs, un U250 est il justifié ?
 
Derrière le LAN a p-e besoin de perf. Mais le FW avec l'IPS activé doit avoir un débit en routage considérablement moindre que le switch.
De plus l'IPS est souvent pointilleux et nécessite des réglages.
 
Si ça se trouve il y a tjrs sur le SW l'interface L3 pour le vlan10 (192.168.10.2).
Ce VLAN peut également être routé par le SW donc.
 
La description du résultat donne l'impression que c'est "tombé en marche".
 
Je ne vois pas ce que mon commentaire avait de facile et léger. Ce n'est que mon avis.
 
Après on est d'accord que si ça  marche et que ça te convient, tu peux laisser comme ça.
Ça conviendrait pas à tout le monde, c'est tout.


Message édité par Gimea le 02-01-2016 à 15:54:38
n°136702
splinter_f​ive0
Posté le 02-01-2016 à 17:04:43  profilanswer
 

Je suis pas complétement d'accord avec toi :
 
- Tu nous dit que le fw avec ips activé doit avoir un débit en routage moindre que le switch : tu as des chiffres à ce sujet ?
-L'ips est souvent pointilleux et necessite des réglages : tu as plutôt raison, cependant le matériel est déjà en place, on peut donc supposer que les politiques ips (incoming et outgoing ) sont déjà configurées, donc pas vraiment de problème côté sécu si bien fait dès le départ.  
 
Concernant le fait que ce vlan soit sur une dmz, elle n'a de dmz que le nom puisqu'il applique une politique de filtrage url / ips . Néanmoins je te rejoins sur le fait qu'il parait hasardeux de laisser sortir sur tous les ports, il serait peut-être plus juste de limiter strictement aux ports nécessaires sur ce lan ( http et https ? ) .  
 
Donc pour moi il n'y a pas de grosses erreurs dans sa config.
 
En tous cas c'est intéressant d'avoir des sujets avec des participations comme la tienne et je pense que PG27700 peut te remercier car tu as surement apporté beaucoup d'informations à son problème .  :)

n°136835
pg27700
Posté le 08-01-2016 à 18:43:14  profilanswer
 

splinter_five0 a écrit :

Je suis pas complétement d'accord avec toi :
 
- Tu nous dit que le fw avec ips activé doit avoir un débit en routage moindre que le switch : tu as des chiffres à ce sujet ?
-L'ips est souvent pointilleux et necessite des réglages : tu as plutôt raison, cependant le matériel est déjà en place, on peut donc supposer que les politiques ips (incoming et outgoing ) sont déjà configurées, donc pas vraiment de problème côté sécu si bien fait dès le départ.  
 
Concernant le fait que ce vlan soit sur une dmz, elle n'a de dmz que le nom puisqu'il applique une politique de filtrage url / ips . Néanmoins je te rejoins sur le fait qu'il parait hasardeux de laisser sortir sur tous les ports, il serait peut-être plus juste de limiter strictement aux ports nécessaires sur ce lan ( http et https ? ) .  
 
Donc pour moi il n'y a pas de grosses erreurs dans sa config.
 
En tous cas c'est intéressant d'avoir des sujets avec des participations comme la tienne et je pense que PG27700 peut te remercier car tu as surement apporté beaucoup d'informations à son problème .  :)


 
Bonjour,
 
Je vous ai remercié tous les deux dans mon message précédent et suis conscient que ce paramétrage est temporaire et améliorable, c'est vrai.
Alors, merci encore à toi Gimea pour tes precieuses remarques et ne m'en veut pas de m'être un peu emporté (l'âge sûrement :))


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Réseaux

  Paramétrage routage Netasq

 

Sujets relatifs
Ajout licence netasqBesoin d'aide pour un routage statique
Pare-feu Netasq U120 HS ?Choix hardware pour routage/firewalling
routage vpnQuestion routage
Demande d'aide : table de routagePare-Feu Netasq - Phase 2 failed VPN IPSEC
Netasq Probleme connexion PPTP 
Plus de sujets relatifs à : Paramétrage routage Netasq


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR