Impossible de trouver les DNS - debian5 (Virtuel) en DMZ [Résolu]

[sananas]

bonjour,

Nous avons un serveur virtuel Debian5, depuis son redémarrage il ne trouve plus l'accès internet. Il marche très bien en localhost.
Mais même sens avoir touché la configuration DNS, il n'arrive pas à trouver le réseau.

C'est un serveur web apache 2. Son nom local est 'debian', son nom web 'web.nom.fr'
Notre domaine réseau s'appele 'jage'.

Son ip est xxx.xxx.xxx.121
passerelle xxx.xxx.xxx.125

les dns son ceux d'oléane : 195.2.0.20 & 195.2.0.50

voici ma configuration actuelle (elle n'a pas été faite par moi):
resolv.conf :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
# Dynamic resolv.conf(5) file for glibc resolver(3) generated by resolvconf(8)
#     DO NOT EDIT THIS FILE BY HAND -- YOUR CHANGES WILL BE OVERWRITTEN
domain jage
search nom.fr web.nom.fr[

nameserver xxx.xxx.xxx.121  (pas sur que ça est sa place là ?)
nameserver xxx.xxx.xxx.125  (pas sur que ça est sa place là ?)
nameserver 194.2.0.20
nameserver 194.2.0.50

hostname :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
debian

hosts :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
 
127.0.0.1 localhost debian.Jage debian.jage debian.Jage
127.0.1.1 debian.localdomain debian.Jage debian.orvitis.fr
xxx.xxx.xxx.121 web.nom.fr
 
# The following lines are desirable for IPv6 capable hosts
::1 localhost ip6-localhost ip6-loopback
fe00::0 ip6-localnet
ff00::0 ip6-mcastprefix
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters
ff02::3 ip6-allhosts

interfaces

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).
 
# The loopback network interface
auto lo
iface lo inet loopback
 
# The primary network interface
 
allow-hotplug eth0
iface eth0 inet static
address xxx.xxx.xxx.121
netmask 255.255.255.248
gateway xxx.xxx.xxx.125
 
auto eth0

Comme je n'ai pas d'accès exterieur vu que mes dns son hs, je ne peux pas faire de réinstall ou de reconfiguration autre qu'avec ce sur j'ai sur le serveur.
Même en le sortant de la DMZ et en prenant une ip de notre réseau avec nos propre dns, il ne le trouve pas.

Je m'arrache les cheveux depuis 2 jours, j'ai écumé les forums et les articles autour de network et debian, mais j'y arrive pas, je connais pas assez bien linux.
J'arrive pas à savoir, comment il me gère le truc ou s'il y a des programmes qui tourne en doublon et qui me bloque le truc...

Pour info, les dernières installation ayant été faites depuis le dernier démarrage concernait la mise en place de ftp et de postfix...
J'ai viré postfix et remis le sendmail d'origine parce qu'il me provoquait une erreur au démarrage, j'ai cru que c'était ça qui me bloquait la suite de la configuration network, mais rien n'y fait.

Si quelqu'un peu m'aider à reprendre cette config du début. Merci d'avance.

[Alek-C]

Premier point :

Citation:

Envoyé par sananas

Son ip est xxx.xxx.xxx.121
passerelle xxx.xxx.xxx.125

les dns son ceux d'oléane : 195.2.0.20 & 195.2.0.50
...
voici ma configuration actuelle (elle n'a pas été faite par moi):
resolv.conf :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

Si ton serveur ne fait pas office de serveur DNS, tu n'as pas à mettre son ip ici... idem pour l'ip de ta passerelle.

Deuxième point :

Citation:

Envoyé par sananas

Nous avons un serveur virtuel Debian5, depuis son redémarrage il ne trouve plus l'accès internet. Il marche très bien en localhost.
Mais même sens avoir touché la configuration DNS, il n'arrive pas à trouver le réseau.

Tu t'y connectes comment ? S'il en local sur ton poste ou sur une machine, est-ce que vous n'avez rien modifié au niveau de la configuration réseau de la machine qui l'héberge ?

Ca donne quoi si tu ping son ip ? Et l'ip de la passerelle ?

[sananas]

Citation:

Envoyé par Alek-C

Premier point :
Si ton serveur ne fait pas office de serveur DNS, tu n'as pas à mettre son ip ici... idem pour l'ip de ta passerelle.

C'est bien ce qu'il me semblait, ça sert à rien dans notre cas... mais bon ça règle pas mon problème.

Citation:

Envoyé par Alek-C

Deuxième point :
Tu t'y connectes comment ? S'il en local sur ton poste ou sur une machine, est-ce que vous n'avez rien modifié au niveau de la configuration réseau de la machine qui l'héberge ?

Ca donne quoi si tu ping son ip ? Et l'ip de la passerelle ?

Ben j'mis connais pas vraiment, disons que j'ai des notions et que je tatone beaucoup , notre administrateur réseau à foutu le camp et il le remplaceront pas, moi je suis développeur à la base donc dès que ça devient trop technique réseaux, je rame...

Bon, j'ai refais une verif, ça marche en local "LAN", je viens de découvrir les options du vmware... donc si je change ip et dns de mon serveur debian, j'ai bien une connexion web.

Depuis mon serveur Debian si je ping "xxx.xxx.xxx.121" j'ai une réponse, et l'appel à localhost (debian ou web.nom.fr) m'affiche bien mon site.
Par contre si je ping www.google.fr ou 194.2.0.20 pas de réponse.
En local du réseaux interne (autre dns Jage) je ping sur tout sauf sur xxx.xxx.xxx.121 (ip de debian).

J'ai l'impression qu'il aime pas la DMZ. Qu'est-ce qui pourrai bloquer, j'essaie de voir du côté du firewall, (j'y connais pas beaucoup plus) mais on y a pas fait de modif donc je vois pas trop ce qui pourrait bloquer.

[Alek-C]

Tu parles de DMZ : si ton serveur est dans la DMZ, c'est normal qu'il ne soit pas visible depuis le reste du réseau c'est à ça que sert une DMZ (entre autre).

Peux tu faire un ping de la passerelle (xxx.xxx.xxx.125) depuis ton serveur ?

Est-ce que le serveur est sur une VM ? Si oui, as-t-elle changée de machine physique ?

[sananas]

Citation:

Envoyé par Alek-C

Tu parles de DMZ : si ton serveur est dans la DMZ, c'est normal qu'il ne soit pas visible depuis le reste du réseau c'est à ça que sert une DMZ (entre autre).

Peux tu faire un ping de la passerelle (xxx.xxx.xxx.125) depuis ton serveur ?

Est-ce que le serveur est sur une VM ? Si oui, as-t-elle changée de machine physique ?

Oui, DMZ...
Ah bon pourquoi c'est pas visible du réseaux? si tu ouvres certains ports, tu dois quand même y avoir accès, parce quand ouvrant le port 80 j'avais pourtant bien accès à mon site quand je tapais directement l'ip http://xxx.xxx.xxx.121 depuis mon PC du bureau.
Oui mon serveur est sur une VM (vmware) et non nous n'avons pas changé de machine physique.
Par contre l'adresse MAC de la carte réseau debian (virtual) est configuré en dynamique... mais elle n'est pas utiliser dans le firewall ou ailleurs.
Notre firewall est un Netasq...

[Alek-C]

Cela reste une question de configuration, mais l'idée d'une DMZ est de séparer le(s) serveur(s) des postes afin que si la sécurité d'un serveur est compromise (ce qui arrive puisqu'ils sont par définition plus exposés), la sécurité du reste du réseau n'est pas compromise.
De même, si la sécurité d'un poste est compromise (monsieur dupond a apporté un virus sur sa clé usb), on préfère éviter que cela se propage aux serveurs.

Maintenant, il est évident que certains ports peuvent être ouverts en cas de besoin (et c'est souvent le cas aussi) Mais ça n'est pas pour ça que les ping seront autorisés à passer... Donc pour moi, cela peut être normal que le ping ne passe pas, et que, d'une manière générale, rien ne passe à part le port 80 s'il s'agit d'un serveur web.

Pour en revenir à ton problème, si j'ai bien compris:

1) tu as un serveur sous Debian sur lequel il y'a une VM (ip VM=xxx.xxx.xxx.121)
2) ce serveur est dans une DMZ
3) il y a une passerelle en : ip GW=xxx.xxx.xxx.125 pour l'accès à Internet
4) tu as 2 dns (ip DNS1=194.2.0.20 et ip DNS2=194.2.0.50) > remarque, tu as 195.2.0.20 dans ton premier post d'ailleurs
5) tu as un pc local (PC)

6) sur la VM, ping xxx.xxx.xxx.121 marche
7) sur la VM, tu as bien accès à http://web.nom.fr/ ou http://localhost/
8) sur PC, ping xxx.xxx.xxx.121 ne marche pas

Donc je réitère ma question :

Citation:

Peux tu faire un ping de la passerelle (xxx.xxx.xxx.125) depuis ton serveur ?

Même question pour ton PC (histoire de vérifier qu'elle répond au ping) ?

Sur ta VM et ton PC, peux-tu faire un ping vers les DNS ?

Que donne nslookup (sur ton PC et la VM) ?
Exemple :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
$ nslookup www.google.fr
Server:         127.0.0.1
Address:        127.0.0.1#53
 
Non-authoritative answer:
www.google.fr   canonical name = www.google.com.
www.google.com  canonical name = www.l.google.com.
Name:   www.l.google.com
Address: 209.85.143.99
Name:   www.l.google.com
Address: 209.85.143.104

[sananas]

Pour le dns c'est une faute de frappe dans le post, parce que mon ip serveur commence par 195... et le dns c'est 194... Ip de mon serveur Debian : 195.xxx.xxx.121

J'ai reprise les documents d'oléane pour mes ip, passerelle etc...
la passerelle n'est pas la bonne... xxx.xxx.xxx.125 c'est le firwall... Celui qui à fait la config de base a mis n'importe quoi...
J'ai modifié l'erreur, mais le problème est toujours identique. toujours pas possible de sortir ou de rentrer sur ce fichu debian

Bon, je vais tout reprendre à zéro, histoire qu'on se comprenne bien.... et je vais indiquer ma configuration complète réseaux...
C'est un beau bordel! normal que je m'arrache les cheveux!

Nous avons 2 plages IP public.
Oleane 1 : 217.xxx.xxx.0 /mask:255.255.255.248
IP serveur CITRIX 217.xxx.xxx.1
Site internet (AS400) 217.xxx.xxx.3 [nom.fr]
Gateway : 217.xxx.xxx.6
Firewall : 217.xxx.xxx.5
Broadcast : 217.xxx.xxx.7

Oleane 2 : 195.xxx.xxx.120 /mask:255.255.255.248
IP serveur Debian 195.xxx.xxx.1 [web.nom.fr]
Gateway : 195.xxx.xxx.126
Firewall : 195.xxx.xxx.125
Broadcast : 195.xxx.xxx.127

DNS Oleane (1&2): 194.2.0.20 - 194.2.0.50

Réseau Jage (interne): 172.xxx.xxx.20 /mask:255.255.240.0

IP serveur global et VM center Server (MS2003) 172.xxx.xxx.123
Gateway : 172.xxx.xxx.254
Firewall : 172.xxx.xxx.20
DNS : 172.xxx.xxx.131 - 172.xxx.xxx.134


Config firewall NETASQ:

Interface & routage
_pont (217.xxx.xxx.5 & 195.xxx.xxx.125)
|_ out (config NAT) [externe coché]
|_ dmz (Routeur principal : Gateway oleane1 217.xxx.xxx.6
IP 217.xxx.xxx.1 dmz
Réseau agence 1 in (Routeur IN :172.xxx.xxx.131)
Réseau agence 2 in (Routeur IN :172.xxx.xxx.131)
Réseau agence 3 in (Routeur IN :172.xxx.xxx.131)
_ in

NAT
out map Réseau agence 1 Any -> Firewall oleane1 217.xxx.xxx.5
out map Réseau agence 2 Any -> Firewall oleane1 217.xxx.xxx.5
out map Réseau agence 3 Any -> Firewall oleane1 217.xxx.xxx.5

Filtrage (logiquement les ports principaux 80,443 etc... mais tous ouvert pendant les tests)
auto any 195.xxx.xxx.121 any any
auto any any 195.xxx.xxx.121 any

Service DNS
Serveurs : DNS interne [172.xxx.xxx.131-172.xxx.xxx.134]
Proxies : Activé le DNS (coché)
mode transparent non-activé
Client autorisé : (network oleane1 217.xxx.xxx.0 /mask:255.255.255.248)

Pour répondre à tes questions :

1) Un serveur windows 2003 (machine physique) contient l'outil de gestion de serveurs virtuels, dans lequel un serveur Debian (machine virtuelle) à été créé est définit comme VM sur DMZ.

2) Logiquement oui! a moins qu'on est oublié quelque chose

3) C'est là ou ça se complique, on en a 2 voir 3 en faite.. et en plus j'ai fait une erreur de frappe :
GW1=217.xxx.xxx.6 (oleane)
GW2=195.xxx.xxx.126 (oleane) [anciennement xxx.xxx.xxx.125]
GW3=172.xxx.xxx.254 (interne)

4) J'ai 4 DNS (2 internes, 2 externe)
172.xxx.xxx.131 - 172.xxx.xxx.134
194.2.0.20 - 194.2.0.50

5) J'ai plein de PC locaux (200 postes environs réparti sur divers agences) mais un seul PC dans mon bureau (PC)

6) soit MS2003 pour la centrale de serveur virtuels et Debian la VM :
_sur la VM(Debian), ping xxx.xxx.xxx.121 marche
_sur MS2003, ping xxx.xxx.xxx.121 ne marche pas

7) sur la VM(Debian), j'ai bien accès à http://web.nom.fr/ ou http://localhost/

8) sur PC, ping 195.xxx.xxx.121 et http://web.nom.fr/ ne marche pas
sur MS2003, ping 195.xxx.xxx.121 et http://web.nom.fr/ ne marche pas

9) _sur la VM(Debian), ping 195.xxx.xxx.126 (ex passerelle xxx.xxx.xxx.125) ne marche pas.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
root@debian:~# ping 195.101.95.126 -c1
PING 195.101.95.126 (195.101.95.126) 56(84) bytes of data.
From 195.101.95.121 icmp_seq=1 Destination Host Unreachable

_sur MS2003, ping 195.xxx.xxx.126 marche
_sur PC, ping 195.xxx.xxx.126 marche

10) Je ne peux pas faire de "nslookup" la fonction n'est pas installée. J'ai sorti ma machine de la DMZ et les configurés comme une machine classique pour le télécharger, mais le gestionnaire d'installation n'arrive pas faire l'installer complète de dnstool. il ne trouve pas le sur le serveur debian.org... J'arrive pourtant à installer d'autre truc sans soucis...

11) Il n'y a pas de port bloqué sur le serveur Debian tout est ouvert, pas de firewall interne


PS : Je te remercie de t'intéresser à mon cas, merci beaucoup pour ton aide...

[sananas]

C'est ok! j'ai résolu mon problème.
C'était un problème de cluster sur les serveurs virtuels.
Mon serveur Debian ne démarrait pas sur le cluster dédier DMZ...
Du coup c'est comme s'il n'existait plus..
Il faut juste maintenant que je trouve l'option pour qu'il démarre automatiquement sur le bon...

Pfffff... Quelle prise de tête pour rien...

Merci pour tes réponses...

[Alek-C]

Mdr

Souvent, juste en posant des questions en vrac, ça force les gens à remettre à plat leur truc et des fois, ça permet de tomber sur le petit point qui fait blocage... Heureusement, parce que pour ce genre de truc à distance où il y a beaucoup d'infos à connaître, on peut difficilement faire grand chose

Enfin, l'essentiel c'est que ça marche pour toi, et puis tu vas maîtriser tout ça bientôt !

Bon courage !

[sananas]

Citation:

Envoyé par Alek-C

Mdr
Enfin, l'essentiel c'est que ça marche pour toi, et puis tu vas maîtriser tout ça bientôt !

C'est sur! j'ai apris des trucs et je comprends un peu mieux comment marche tout ça et comment fonctionne notre réseau...
Un mal pour un bien
Mais si ça pouvait ne pas arriver trop souvent... j'ai 4 jours de retard sur ma prog avec ça...

Merci encore...