Serveur ftp derrière 9box-router et 2ème router

[Teatimerelax]

Bonjour à tous.

J'ai un soucis pour faire fonctionner un serveur ftp, derrière une 9box et un deuxième router qu'on appellera RTR.

J'ai déjà ouvert un compte dyndns.
J'ai ouvert dans le pare-feu de windows le port 21 pour un traffic depuis l'internet sur le pc (serveur).

Le réseau est construit sur les ip suivantes:

Internet (84...)<->(84...)9box(...1.1)<->(...1.2)RTR(...0.1)<->(...0.4)pc

La 9Box
Adresse wan: 84.xx.yyy.zzz
Adresse local: 192.168.1.1
Elle est en mode standard monoposte, pas de redirection possible du port 21, j'imagine que tout va vers le RTR.
Les références dyndns sont rentrées dans la page adhoc.
Par défaut, la table de réservation a enregistré l'adresse du RTR (...1.2) qui est également la plage de début et de fin du dhcp.
Je mets rien dans la table de routage qui sert parait-il à pas grand chose.

Le RTR
Adresse wan: 192.168.1.2
Adresse local: 192.168.0.1
Les références dyndns sont rentrées dans la page adhoc. Je sais pas si c'est utile ou même néfaste. En tout cas, je peux pas les supprimer, juste mettre en disable.
J'ai une page virtuals servers où il y a rien de cocher.
J'ai une page Custom virtual servers où est notifié la redirection du port 21 vers le pc "serveur".

Le PC
Adresse local: 192.168.0.4
Pare-feu ouvert pour les flux du port 21 depuis l'internet.
Sur filezilla server, compte filezilla client créé et qui fonctionne en local, mais pas depuis l'extérieur.

Si je mets l'adresse wan de la 9box (84.xx.yyy.zzz), filezilla client n'aboutit pas.
Si je mets l'adresse wan de la 9box dans IE7, il affiche la page d'interrogation de mot de passe adminitrateur de la box.
Si je mets l'adresse local du serveur (...0.4) , filezilla client marche en mode non-passif, mais pas en mode passif. Ce qui me convient tout à fait.

Questions :
1) Dois-je passer obligatoirement en mode bridge (et reporter le compte 9telecom sur le RTR) ou en mode expert multiposte (et rediriger le port 21 vers le RTR, ou je peux rester en mode standard monoposte?
2) Les références dyndns doivent-elles être indiqué sur la 9box, le RTR ou les deux? Dois-je disable celle du RTR si néfaste ou je peux laisser renseigné ?
3) Faut il rediriger le port 21 vers le RTR si je peux conserver le mode standard (sachant que tout va de la 9Box vers le RTR ? et dans le mode Expert, j'imagine que oui si je l'utilise?
4) Quelle adresse dois-je mettre dans IE7 ou dans filezilla pour faire fonctionner le serveur (même adresse que celle à donner à dyndns.org j'imagine) ?
5) Dois je obligatoirement passer en mode passif pour une interrogation depuis le net ? parceque dans ce cas, pour l'instant le serveur ne marcherait pas en interrogation depuis le réseau local.
6) Puis-je paramétrer le pare-feu avec une autorisation limité au rézeau local pr le port 21, puisque tout passe par le RTR in finé?

Merci d'avance pour vos lumières

[Louis-Guillaume Morand]

c'est quoi ces FAI qui donnent pas d'IP fixe....

la 9box doit rester en en mode passerelle comme si elle etait invisible, surtout si tu geres tout avec un routeur derriere et c'est je pense ce que tu appelles ton mode monoposte

Citation:

3) Faut il rediriger le port 21 vers le RTR si je peux conserver le mode standard (sachant que tout va de la 9Box vers le RTR ? et dans le mode Expert, j'imagine que oui si je l'utilise?

si tu actives le mode routeur de ta box alors oui faudra rerouter le port 21 sur le RTR. petit conseil: evite le port 21 pour le FTP meme si c'est le standard. t'eviteras ainsi les scans automatiques à la recherche de stros.

Citation:

4) Quelle adresse dois-je mettre dans IE7 ou dans filezilla pour faire fonctionner le serveur (même adresse que celle à donner à dyndns.org j'imagine) ?

la question se pose pas. si tu veux un ftp accesible depuis l'exterieur, alors la seule solution c'est l'adresse IP de ta box (88.xxx) mais un dyndns devrait parfaitement marcher si t'arrives à mettre à jour le dyndns tous les jours.

Citation:

5) Dois je obligatoirement passer en mode passif pour une interrogation depuis le net ? parceque dans ce cas, pour l'instant le serveur ne marcherait pas en interrogation depuis le réseau local.

le mode passif est le mode par défaut des clients et serveurs FTP. tu dois tenter de toujours garder les parametres par défaut.

Citation:

6) Puis-je paramétrer le pare-feu avec une autorisation limité au rézeau local pr le port 21, puisque tout passe par le RTR in finé?

tu devrais tenter sans le firewall XP (t'as pas un firewall sur ton routeur?) puis ensuite, tu autorise soit le port 21, soit le serveur FTP. car en fait, le port 21 est utilisé pour intérrogé mais normalement c'est le port 20 qui sert pour le transfert de données.


ps: au prochain multipost du même problème, je supprimes les deux posts au lieu d'un seul ==> http://club.developpez.com/regles/

[Teatimerelax]

Oui désolé pour le multiposte, mais ce n'est pas volontaire, je sais même pas comment cela s'est produit (ca m'ennuie un peu), d'ailleur j'ai cherché à supprimer le poste le plus ancien des deux (pas évident:meme minute, mais en fonction de l'insertion ds la liste des sujets) avec le bouton délestage.

Pour le mode monoposte, ce n'est pas le bridge, c'est un mode standard chez 9Box où le début et la fin du dhcp résulte en une seule et même adresse, celle du RTR connecté à la boxe. Ici c'est 192.168.1.2 et c'est également l'adresse grisée qui est notée dans la table de réservation.

Je vais donc opter pour le mode standard (ou forcer le passif sinon) de zilla.
Je vais tâcher de conserver la boxe en router (mode expert multiposte) et rediriger les ports 20 et 21 vers le RTR pour les tests, apres j'en prendrai d'autres.
Le pare-feu à priori, ca doit être bon. Par contre je le trouve pas sur le router, à moins que ce ne soit les virtuals servers? Router de marque nexland, racheter par sisco ou autre, mais qui n'existe plus aujourd'hui.
Au hasard, j'enlèverai momentannément le pare-feu XP pr les tests.

Par contre tu n'as pas répondu à toutes mes questiosn avec précisions:
- Par exemple, dois je enregistrer le compte dyndns aussi dans RTR ou seulement dans la Boxe?
- Dois-je aussi rediriger les ports 20 et 21 sur le RTR, comme sur la Boxe?

Merci déjà pour tes indications.

[Louis-Guillaume Morand]

Citation:

Par contre tu n'as pas répondu à toutes mes questiosn avec précisions:
- Par exemple, dois je enregistrer le compte dyndns aussi dans RTR ou seulement dans la Boxe?

désolé je suis en IP fixe donc j'ai aucune idée de comment ca marche. pour moi c'etait un executable sur le pc qui envoit un paquet sur le site dyndns et donc zero configuration à faire...mais comme j'ai jamais utilisé, je ne saurais dire

Citation:

- Dois-je aussi rediriger les ports 20 et 21 sur le RTR, comme sur la Boxe?

Il se peut que juste le port 21 suffise, les clients FTP s'adaptent (mais ne respectent pas la specification). Maintenant dès que tu as quelque chose, un élément en mode "routeur", alors tu dois soit faire une adresse par defaut ou tout est rebalancer (je sais que mon routeur ne le fait pas mais sur les routeurs cisco, on peut le definir normalement), soit definir le routage manuellement. donc
si box en mode routeur => tu dois router le port 21 (on verra apres pour le 20) vers l'ip du routeur. sur le routeur, tu route le port 21 vers le PC
sur le PC normalement t'as pas grand chose à faire.

de base, pour faire les tests, tu peux, depuis le pc
- installer un client ftp et tenter de te connecter sur 127.0.0.1
- si ca marche, te connecter sur l'ip du PC (avec un peu de chance ca balancera sur le routeur avant de te renvoyer le paquet
- si ca marche te connecter sur l'ip exterieur du FAI
- si ca marche sur le nom dyndns

[Teatimerelax]

RE Bonjour,

Merci pour ta réponse rapide déjà.

un dyndns, c simple : c juste un nom à la place d'une ip suceptible de changer. un compte est ouvert chez dyndns.org par exemple avec un nom qui ne change pas lui et que l'on peut communiquer aux clients du serveur et ensuite fo rentrer ces réference dans l'espace dédié sur le router.
Alors comme j'ai deux router l'un apres l'autre, ben je me posais la question de savoir si les deux doivent avoir le compte référencé.
Eh oui. Telle est la question. Il parait que le deuxième router RTR n'en asp as besoin, mais je sais pas prkoi je doute.

J'ai redirigé les ports 20 et 21 sur les deux routers, boxe vers RTR et RTR vers serveur, mais ca marche pas.
J'ai meme ouvert le traffic ftp sur le RTR. Sur la boxe on peut pas acceder à ce type de reglage, tout comme les ports, puisque derrière c un seul poste ou router (le RRT), tout doit y être transféré je suppose.

J'ai disable le compte dyndns sur le RTR, mais ca change rien.

Et ca marche pas.

J'essaie de me renseinger sur la table de routage de la Boxe, tt l emonde dit que cela sert à rien, mais la doc de 9 dit que c pour rediriger vers d'autes réseau, hors mon deuxième router peut être perçu comme un réso.
Donc j'ai essayé les reglages selon ce que je comprends de la doc, mais il indique une erreur : "this entry is on the same subnet with Lan ip".
Je comprends que le masque de sous réseau est pareil et que cela le gène (je pe me tromper),mais le masque pour la Boxe et pour le RTR est identique en effet, avec 255.255.255.0. alors... je cherche.

Si j'aboutis pas, je vais essayer le mode routage expert multipostes, mais je vois pas en quoi cela arrangera les chose, cela m'obligera surtout à redirigé les ports 20 et 21 de la Boxe vers le RTR.

Donc la solution finale, que je souhaitais ne pas utiliser semble bien d'être l'utilisation de la boxe en bridge tout simplement et de centraliser les reglages sur le RTR uniquement. Seulement, je trouve que cela affaiblit la sécurité du réseau. Si j'ai pas le choix j'adopterai cette solution qui est simple à paramétrer et qui marche.

Voilà où j'en suis.

Sinon le ftp marche depuis un ordi du lan. Donc le RTR et leparfeu sont bien configurés pr cela déjà.
Evidemment, avec l'ip extérieure ou le nom du dyndns cela n'aboutit pas.

hum j'en ai pas fini avec ce serveur gr

[Louis-Guillaume Morand]

on va limiter le SMS hein parce qu'après moi je lis plus

Citation:

un dyndns, c simple : c juste un nom à la place d'une ip suceptible de changer. un compte est ouvert chez dyndns.org par exemple avec un nom qui ne change pas lui et que l'on peut communiquer aux clients du serveur e

ca je sais quand meme

Citation:

fo rentrer ces réference dans l'espace dédié sur le router.

ca je savais pas et je vois pas pourquoi d'ailleurs. j'ai pas d'espace dyndns sur mon routeur

edit: en fait je viens de trouver l'espace dyndns de mon routeur mais il est désactivé maintenant, moi je sais que si j'utilisais dyndns je devrais renseigner dans le routeur car ma box est en passerelle. dans le cas contraire, je ne sais vraiment pas :/

Citation:

Eh oui. Telle est la question. Il parait que le deuxième router RTR n'en asp as besoin, mais je sais pas prkoi je doute.

je vois pas en quoi il a besoin. un DNS c'est un rapport entre un domaine visible du net et une ip visible et seule ta box est visible donc cest que ta box qui est interessante. ce qu'il y a derriere, n'a aucune importance

Citation:

J'ai meme ouvert le traffic ftp sur le RTR. Sur la boxe on peut pas acceder à ce type de reglage, tout comme les ports, puisque derrière c un seul poste ou router (le RRT), tout doit y être transféré je suppose.

parfois ca se fait en ligne sur le site Web (cf Free). le plus simple c'est vraiment de la laisser en mode monoposte et je t'assure que ca correspond à une passerelle transparente.

Citation:

hors mon deuxième router peut être perçu comme un réso.

nop. pour ta box, ton routeur est un PC, rien d'autre.

Citation:

Donc j'ai essayé les reglages selon ce que je comprends de la doc, mais il indique une erreur : "this entry is on the same subnet with Lan ip".
Je comprends que le masque de sous réseau est pareil et que cela le gène (je pe me tromper),mais le masque pour la Boxe et pour le RTR est identique en effet, avec 255.255.255.0. alors... je cherche.

là j'ai rien compris où sont faites les manips. je pense pas qu'elles soient utiles

Citation:

Si j'aboutis pas, je vais essayer le mode routage expert multipostes, mais je vois pas en quoi cela arrangera les chose, cela m'obligera surtout à redirigé les ports 20 et 21 de la Boxe vers le RTR.

donc tu es bien en monoposte et sinon tu as 100% compris le truc

Citation:

Donc la solution finale, que je souhaitais ne pas utiliser semble bien d'être l'utilisation de la boxe en bridge tout simplement et de centraliser les reglages sur le RTR uniquement.

solution qui doit marcher (et qui d'ailleurs semblait marcher à moitié dans ton premier post donc c'est la voie à suivre.

Citation:

Seulement, je trouve que cela affaiblit la sécurité du réseau. Si j'ai pas le choix j'adopterai cette solution qui est simple à paramétrer et qui marche.

oui parce que ca renvoi tout sur ton routeur mais si lui se charge de la securité et que tu n'as aucun pc entre internet et ton routeur, ca change pas grand chose. à la limite j'aurais plus confiance en ton routeur que dans une boiboite

Citation:

Sinon le ftp marche depuis un ordi du lan. Donc le RTR et leparfeu sont bien configurés pr cela déjà.

oki donc là si les deux pcs sont reliés au routeur et pas entre eux, ca veut dire que le probleme vient de la boiboite.

Citation:

Evidemment, avec l'ip extérieure ou le nom du dyndns cela n'aboutit pas.

quand l'ip exterieure marchera, le dyndns marchera aussi. donc pour tes tests, continue avec seulement l'ip exterieure, le dyndns c'est un bonus pour plus tard