[Résolu] Adresses IP, problème métaphysique...

[moldar]

Bonjour !!

Je viens de recevoir une nouvelle classe C pour héberger mes sites Web.
Hé oh surprise, ces sites ne sont pas accessibles (même depuis leur IP !!!!) depuis l'extérieur.
Est-ce que vous avez une idée de la cause de ceci, sachant que :
- le serveur web est dans la DMZ, et j'arrive à accéder à ces sites via leur IP depuis le réseau IN du firewall (Netasq F100)
- j'arrive à accéder à ces sites depuis le "IN" à partir de leur nom de domaine en configurant comme DNS principaux et secondaires les DNS d'oléane et pas les miens (j'ai deux serveurs DNS).
- il n'y a aucun problème au niveau du firewall (j'ai crée un groupe "web" pour tous mes sites y compris ceux situés sur une autre plage d'adresse, qui fonctionne très bien quant à elle).

Question subsidiaire : que se passe-t-il si je mets une adresse IP qui ne m'appartient pas à un de mes serveurs web ?

Merci beaucoup !!

 

[redbaron-x66]

C'est pas sur les serveurs qu'ils faut mettre tes adresses IP, mais sur ton Netasq. C'est le netask qui est sur l'internet, pas les serveurs.
Les serveurs doivent avoir une adresse ip privée.
Sur le netask tu dois activer le routage NAT avec un pool d'adresse réseau : dans ce pool d'adresse tu mets les IPs que tu as reçu.
Réponse à ta question subsidiaire : Il ne faut JAMAIS utiliser d'adresse publiques qui ne t'appartient pas. Les adresses IP publiques sont uniques et doivent le rester.

 

[moldar]

Merci.

En fait le serveur web est dans la DMZ et chaque site web a une adresse ip publique (d'ailleur je vois pas pourquoi tu dis qu'ils doivent avoir une ip privée :??. Ce que tu me dis c'est de rentrer les adresses publiques dans le netasq et les natter une à une vers une ip privée du réseau c'est ça ? Mais ça change quoi concrètement de faire comme ça ?
Il n'y a aucun problème de routage au niveau du netasq.

Question subsidiaire : je sais c'est mal, mais concrètement qu'est-ce qu'il se passe ?

 

[redbaron-x66]

Ils doivent avoir une ip privée parcequ'ils sont dans une DMZ, derriere un routeur firewall, donc sur ton réseau privé et pas sur Internet.

Peut-être pourrais-tu nous en dire plus sur ta config réseau (emplacement des serveurs, routeurs, firewall et modems les uns par rapport aux autres. Quelle est la configuration IP de tout ce petit monde, sans oublier les masques de sous réseau, adresses de passerelles et DNS utilisés).
Les éventuelles règles de redirection que tu as mises en place, etc.
Je suis pose que tu as des noms de domaines qui sont enregistrés auprès de ? (fournisseur de noms de domaine de ton choix). Ces noms de domaines sont associés avec des IPs (tes IPs de classe C).

 

[moldar]

J'espère que tu te rends compte que ta question amène la réponse la plus longue du monde. Néanmoins je vais tâcher de faire court :
- Config réseau : firewall/routeur Netasq dont la patte DMZ mène au réseau "publique" 1 (celui-ci contient un serveur web, un serveur de messagerie, les deux serveurs DNS, etc.) où tout marche parfaitement. Dans ce réseau "publique" 1 se trouve un routeur qui mène au réseau "publique" 2, celui là même qui contient le serveur web que je tente en vain de faire fonctionner.
- Au niveau masque, passerelle tout est ok, tout se petit monde communique sans problème.
- Les règles de redirection, bah yen a pas, les serveurs ont des ip publiques donc pas besoin.
Les noms de domaine j'en ai 200, ils sont actuellement associés aux sites web et aux domaines "mail" des serveurs du réseau "publique" 1 (je le répète, tout fonctionne dans ce réseau).

 

[redbaron-x66]

En fait, c'est plutôt ta question qui entraine la réponse la plus longue du monde

 

[redbaron-x66]

Internet-------Netasq------réseau privé
|
|---- Serveurs web
| } publique1
|---- Serveurs DNS
|
|
routeur2---serveurWeb }publique2

Comme ça?

 

[redbaron-x66]

Ecartons les problèmes de résolutions de noms DNS pour l'instant ; rien ne prouve qu'il y en ai.
Pour ta config IP c'est ok, je comprend mieux maintenant pourquoi tu utilises cette solution.

Bon, t'as un problème de ping.
ça marche en interne, mais pas en externe.
Donc t'as forcement un problème de routage:
Ton routeur 2 connait-il le chemin à suivre pour retourner ver internet? Il faut qu'il ait l'adresse du netasq comme passerelle.

 

[moldar]

[citation=31212,0,7][nom]redbaron-x66 a écrit[/nom]Internet-------Netasq------réseau privé
|
|---- Serveurs web
| } publique1
|---- Serveurs DNS
|
|
routeur2---serveurWeb }publique2

Comme ça?[/citation]

J'ai envie de chialer tellement il est beau ton schéma !!
C'est exactement ça.

 

[moldar]

[citation=31213,0,8][nom]redbaron-x66 a écrit[/nom]Ecartons les problèmes de résolutions de noms DNS pour l'instant.
Ta un problème de ping.
ça marche en interne, mais pas en externe.
T'as forcement un problème de routage:

Ton routeur 2 connait-il le chemin à suivre pour retourner ver internet? Il faut qu'il ait l'adresse du netasq comme passerelle.[/citation]

Au passage, merci pour ton implication dans ce prob.
Donc en l'occurrence, le routeur en question est un windows 2003 server et il a effectivement accès au net (il a bien l'ip du netasq comme passerelle).

 

[redbaron-x66]

Donc Le serveur Web qui est derrière le routeur 2 à également accès à internet sans problème.

 

[redbaron-x66]

Donc y'a pas de problèmes de routage puisque les trames envoyées par ton serveur Web lui reviennent correctement.

T'es sûre que ton netasq laisse passer les requêtes en provenance d'internet et en direction des adresses du réseau publique 2?
Ca fonctionne quand la demande est initiée en interne, mais apparement pas quand la requête provient de l'exterieur.

 

[moldar]

Bah en fait...non, le serveur web n'a pas accès au net , mais jme suis dit que c'était pas grave du fait que j'avais accès au site hébergé par ce serveur web depuis l'interface IN.
Je t'explique : sur le réseau 1 on a un domaine NT avec deux serveurs DNS.
Sur le réseau 2 on a un domaine AD 2003 avec un controleur de domaine (configuré pour fonctionner avec les DNS du réseau 1) et le fameux serveur web (qui appartient à AD donc qui doit avoir obligatoirement comme DNS l'ip du DC, donc je sais pas encore comment je vais faire pour qu'il utilise les DNS du réseau 1, mais c'est une autre histoire...). Eh bien tu le croiras ou non aucune de ces deux machines n'a accès au net (que ce soit par nom de domaine ou par adresse ip), et ce problème ne vient pas du firewall (qui ping le serveur web !!)... donc si t'as une idée

Donc j'en fini par me demander si les nouvelles IP publiques que j'ai achetées avaient bien été routées par oleane vers notre routeur (d'où la question : "que ce passe-t-il si on utilise des ip publiques qu'on ne possède pas?").

 

[redbaron-x66]

C'est pas parceque tu ping depuis le firewall que ton firewall est correctement configuré : Tu peux pinger depuis le firewall mais pas forcément à travers le firewall (d'ailleurs c'est un peu toute l'utilité du machin).
C'est bizarre que ton DC 2003 n'accède pas à internet : C'est bien lui qui fait office de routeur2 ? Ou bien est-ce un autre server windows 2003 ?

Pour ton DNS 2003, fait attention, il faut que tu le règles comme étant client de son propre service DNS.
Tu peux ensuite le configurer de manière à forwarder toutes les requêtes ne concernant pas la zone qu'il gère vers un autre DNS ==> le DNS du réseau 1.
(avec la mmc DNS)

 

[moldar]

[citation=31222,0,14][nom]redbaron-x66 a écrit[/nom]C'est pas parceque tu ping depuis le firewall que ton firewall est correctement configuré : Tu peux pinger depuis le firewall mais pas forcément à travers le firewall (d'ailleurs c'est un peu toute l'utilité du machin).[/citation]
Tout à fait d'accord, mais j'ai configuré un groupe de sécurité "web" dans lequel je met toutes mes ip "web" et jusque là ça marchait rtès bien avec les anciennes ip.

C'est bizarre que ton DC 2003 n'accède pas à internet : C'est bien lui qui fait office de routeur2 ? Ou bien est-ce un autre server windows 2003 ?

Non c'est un autre serveur windows 2003 qui fait office de routeur, et ce serveur a bien accès au net. Le DC est au même niveau que le serveur Web. Ya rien de spécial à configurer au niveau du service "routage et accès distant" pour qu'il gère correctement les trames http si ?

Pour ton DNS 2003, fait attention, il faut que tu le règles comme étant client de son propre service DNS.
Tu peux ensuite le configurer de manière à forwarder toutes les requêtes ne concernant pas la zone qu'il gère vers un autre DNS ==> le DNS du réseau 1.
(avec la mmc DNS)

Alors ça ça m'interesse à mort !! Tu peux me dire la procédure pour faire tout ça ?

Merci !!!

 

[redbaron-x66]

Il est bien possible qu'Oléane ait déconné sur ce coup.
Tu peux peut-être faire un tracert ou un pathping de tes IPs depuis un poste sur internet :
Logiquement, si tu t'arrête sur un routeur Oléane, c'est qu'ils n'ont pas effectué le routage vers ta passerelle.
Si tu arrives jusqu'à ta passerelle, alors c'est ta config qui est mauvaise.

[citation=31223,0,15][nom]moldar a écrit[/nom]
Alors ça ça m'interesse à mort !! Tu peux me dire la procédure pour faire tout ça ?[/citation]

Outils d'administration + DNS + qqpart ds les propriétés du serveur DNS y'a un onglet "forwarder" ou redirecteur

 

[moldar]

Quand je fais un traceroute vers une de ces fameuse ip depuis chez moi, effectivement une boucle apparait entre deux routeurs (ils se renvoient la requêtes indéfiniment) : le 81.54.80.129 et le 81.54.80.130 (déja est-ce des routeurs oleane ? Ensuite étant donné que mes ips ne sont pas directement accessibles depuis l'extérieurs via icmp, ça se trouve, ce bouclage est normal).

En ce qui concerne les DNS, il y a deux endroits où le terme de redirection/transfert de zone est abordé :
1) directement en ouvrant la console DNS, en faisant un clic droit sur le serveur> propriétés > redirecteur (les redirecteurs sont des serveurs qui peuvent résoudre des requêtes DNS auxquelles ce serveur ne peut pas répondre). Il faut alors choisir un domaine DNS (par défaut, "tous les autres domaines DNS" est déja crée) et l'ip du redirecteur associé.
2) en double cliquant sur le serveur, dans le dossier zone de recherches directes, dans les propriétés de "mondomaine.local", on trouve un onglet transfert de zone (un transfert de zone envoie une copie de la zone aux serveurs demandeurs)(que j'ai complété avec les fameux DNS, peutêtre à tort d'ailleur...)
Comme ça, vite fait je dirais que je me suis gourré et qu'il fallait prendre 1) au lieu de 2)

 

[redbaron-x66]

- Désactive les restrictions sur l'icmp le temps du test, mais je ne pense pas que cela change quoi que ce soit.
- 1) ou 2) possible. mais quoiqu'il arrive ton DC admin directory 2003 doit ê DNS de lui même (dans sa config IP il doit pointer sur sa propre adresse et pas sur celle d'un autre).

 

[moldar]

[citation=31241,0,18][nom]redbaron-x66 a écrit[/nom]- Désactive les restrictions sur l'icmp le temps du test, mais je ne pense pas que cela change quoi que ce soit.[/citation]

Oué effectivement, ça change rien, oléane doit me contacter, je te tiens au courant...

- 1) ou 2) possible. mais quoiqu'il arrive ton DC admin directory 2003 doit ê DNS de lui même (dans sa config IP il doit pointer sur sa propre adresse et pas sur celle d'un autre).

C'est bon à savoir !!
Merci encore !!

Au passage ya d'autres astuces de ce style à connaitre ?(notamment concernant DHCP, je n'en n'avais pas besoin alors je l'ai supprimé, j'ai bien fait ou ce service est indispensable sur un DC 2003 ?)

 

[kaoutar69]

je veux savoir comment partager une connexion internet sur un réseau local?