Discussion :

[grinder59]

Bonjour,

je dois installer un boitier Firewall/routeur entre mon modem/routeur (ligne spécialisée) et mon mon réseau interne.

Apparemment je dois demander une ip fixe supplémentaire à mon FAI. Est-ce vrai? Comment le Fai peut il affecter cette Ip fixe à mon boitier? via l'adresse MAC ?

Merci de votre aide

[2Eurocents]

Bonjour

je dois installer un boitier Firewall/routeur entre mon modem/routeur (ligne spécialisée) et mon mon réseau interne.

Apparemment je dois demander une ip fixe supplémentaire à mon FAI.

Est-ce vrai?

Cela dépend des modems/routeurs.
Mais quand même, pour 95% des modèles, c'est faux. La plupart des firewalls routeurs accèptent une adresse dynamique sur leur patte externe.

Quel est le modèle que tu envisages ?

Comment le Fai peut il affecter cette Ip fixe à mon boitier? via l'adresse MAC ?

En général, une IP fixe (terme impropre car il s'agit alors d'une IP dynamique constante) est attribuée à une machine selon son adresse MAC (cas des serveurs DHCP dans un LAN).

Dans le cas de certains FAI (distributeurs de Box en ADSL dégroupé), c'est le modem qui possède une MAC et se fait envoyer l'IP "fixe".

Dans les autres cas, les FAI mettent en place une infrastructure différente où le mécanisme d'identification de l'utilisateur repose sur le couple "login/password", voire "N° de ligne". Cette identification effectuée, l'IP est affectée soit dans un pool dynamique, soit sur une IP-Fixe si l'utilisateur en a fait la demande. L'adresse MAC n'a alors plus d'importance.


En conclusion : le FAI se débrouille pour avoir un identifiant unique (MAC du modem ou "login/password/N°Ligne") qui lui permette d'affecter l'adresse IP quel que soit le matériel de l'utilisateur chez lui. Si le FAI avait à gérer les changements dans la conf. de l'utilisateur, ce serait le bazar

[grinder59]

Merci de ton aide,

en fait je n'ai pas accès à la configuration du modem du FAI (et je ne pourrai pas y avoir accès), donc pour faire du vpn, il me faut un autre boitier.

L'idée c'est que le modem du FAI fournisse l'accès à internet et que l'autre boitier que je dois installer monte le VPN avec les autres sites.

Dans ce cas, comment configurer tout ce bordel ? Je matrise les éléments individuellement (NAT, VPN) mais je n'arrive pas à les lier ensemble pour définir ce que je dois faire (routage des paquets d'un boitier à l'autre ? via IP fixe ?).

Merci encore

[2Eurocents]

La plupart des routeurs VPN grand-public ou semi-pro (gamme dite SO-HO) acceptent de fonctionner avec un adressage IP dynamique.

Par contre, afin de pouvoir se joindre mutuellement et établir le "tunnel" VPN, ces boîtiers ont besoin d'un invariant. Cet invariant ne pouvant pas être l'IP si elle est dynamique, ils acceptent que ce soit le nom DNS obtenu par l'intermédiaire de services tels que DynDNS.

Je t'invite donc à vérifier la doc de ton routeur-VPN pour vérifier ce point.

[grinder59]

logique pour que les routeurs puissent se retrouver, une ip fixe est nécessaire.

mais comme c'est mon matériel (zywall 5), le FAI va-t-il utiliser l'adresse MAC pour m'affecter cette IP?

[2Eurocents]

mais comme c'est mon matériel (zywall 5), le FAI va-t-il utiliser l'adresse MAC pour m'affecter cette IP?

Comme je l'ai dit dans mon premier message, le FAI n'a généralement pas à connaître ton matériel. S'il devait gérer ton IP selon la MAC de ton routeur/firewall/VPN, il serait marron à chaque changement de configuration chez toi (mise à jour, panne, changement, ...).

Donc, non, le FAI n'utilisera pas l'adresse MAC de ton zywall

[grinder59]

OK, désolé de ne pas t'avoir compris tout de suite...
mais dans ce cas, peut-il adresser une IP fixe à mon Zywall sachant que ce n'est pas ce Zywall qui fournit la connexion internet et si oui comment? je n'arrive pas à comprendre suir quoi se base le FAI pour " dire " :

"Je donne cette ip fixe à ce matériel"

[2Eurocents]

mais dans ce cas, peut-il adresser une IP fixe à mon Zywall sachant que ce n'est pas ce Zywall qui fournit la connexion internet et si oui comment? je n'arrive pas à comprendre suir quoi se base le FAI pour " dire " :

"Je donne cette ip fixe à ce matériel"

Un FAI ne donne pas d'IP fixe à ton matériel. Il ne connait pas ton matériel et ne veut rien en savoir : moins il en sait, moins il risque d'avoir de problème ou de te couper le service si tu changes.

Pour les IP, il en existe de trois sortes :

• - IP dynamiques : ce sont des IP totalement dynamiques, fournies par un serveur DHCP et qui peuvent changer périodiquement, à échéance d'un bail d'attribution.
  - IP dynamiques constantes : ce sont des IP dynamiques fournies par un serveur DHCP, mais qui, par un mécanisme ad-hoc, sont constantes, c'est à dire qu'elles gardent la même valeur d'un bail à l'autre. On les appelle souvent, à tort, des IP fixes.
  - IP fixes (les vraies) : ce sont des IP qui ne sont pas fournies par un serveur. Elles sont fixées à la configuration de la connexion réseau et ne changent plus

Un FAI attribue toujours des IP dynamiques, qu'elles soient variables ou constantes.

Pour attribuer une IP dynamique constante, comme je l'explique dans mon premier message, le FAI a deux solutions :

• - Tu utilises le modem qu'il t'a fourni, qui possède une adresse MAC, et qui est connecté DIRECTEMENT sur son réseau (FAI = FT ou bien situation de dégroupé), et dans ce cas, le FAI fait la relation MAC du modem <-> Adresse IP et te fournit toujours la même adresse.
  - Tu utilises n'importe quel modem, ou bien tu es dans une situation qui ne permet pas de remonter la MAC du modem FAI à ses serveurs. Dans ce cas, le FAI fait la relation "login/password/N°Ligne_abonné" <-> Adresse IP et te fournit toujours la même adresse.

Ce qu'il faut voir, c'est que le FAI offre une IP au modem, lequel la relaie à ton routeur. Il ne communique pas directement avec le routeur.

[grinder59]

OK, en effet j'utilisais à tort le terme d'IP fixe au lieu IP dynamique constante. J'ai compris le mécanisme d'attribution des IP.

Dernière confirmation :

Dans mon cas, voici l'architecture :
Internet - modem routeur (administration par moi interdite par le FAI) - routeur / firewall / vpn - réseau local

Comme tu le vois mon routeur firewall ne fais pas modem, il n'est pas connecté directement à Internet, n'a pas de login/MPD/n°ligne.

le modem/routeur du FAI a une ip constante, mais j'en veux une aussi pour mon routeur/firewall/vpn.

Dans ce cas, comme je le comprends, c'est le modem/routeur du FAI qui attribue l'IP constante à mon matos. Mais par quel mécanisme ? ou plutôt comment le lien entre l'ip constante fournie par le FAI et mon matos est-il fait ? j'ai besoin de ce lien puisque c'est ce boitier qui va gérer le VPN...

Merci de ton aide mais surtout de ta patience...

[2Eurocents]

Dans mon cas, voici l'architecture :
Internet - modem routeur (administration par moi interdite par le FAI) - routeur / firewall / vpn - réseau local

Comme tu le vois mon routeur firewall ne fais pas modem, il n'est pas connecté directement à Internet, n'a pas de login/MPD/n°ligne.

le modem/routeur du FAI a une ip constante, mais j'en veux une aussi pour mon routeur/firewall/vpn.

Dans ce cas, comme je le comprends, c'est le modem/routeur du FAI qui attribue l'IP constante à mon matos. Mais par quel mécanisme ? ou plutôt comment le lien entre l'ip constante fournie par le FAI et mon matos est-il fait ? j'ai besoin de ce lien puisque c'est ce boitier qui va gérer le VPN...

Aïe ...

Dans ce que tu as décrit, il y a une grosse difficulté que je cerne mieux maintenant que tu as précisé ton problème.

En effet, si le modem fournit par ton FAI fait routeur, tu vas te trouver confronté à de gros soucis, car cascader deux routeurs, l'un derrière l'autre est sources de problèmes, notamment lorsqu'il s'agit de modèles SO-HO utilisant en interne des classes d'adresses IP Privées. En pratique, cela n'est effectivement faisable que lorsque l'on dispose de plusieurs adresses IP publiques (qui seront utilisées sur le tronçon entre les deux routeurs). C'est effectivement ce qui as du motiver ta remarque dans ton premier post sur la demande d'une nouvelle IP fixe à ton FAI.


Maintenant, sans nouvelle IP publique fixe, il est très probable que le FAI propose une méthode de configuration du routeur intégré au Modem. Le contraire serait étonnant car il t'empêcherait de faire ce que tu veux de ton réseau interne.

Dans le cas qui est le tien, ton modem se fait attribuer l'IP par le FAI. C'est l'IP publique, qui sort sur Internet.
Il relaie cette IP à son module de routage. Si cet ensemble modem/routeur est bien fait, il intègre un mini-serveur DHCP. Ce DHCP distribue, en interne, des adresses IP non routables (classe 10.x.y.z ou 172.16.x.y ou 192.168.x.y) et le module de routage fait la correspondances entre les IP internes et l'IP externe.

Lorsque tu branches ton boitier à l'intérieur de ton réseau, tu as le choix :

• - tu lui fixe une adresse IP. Il a alors une IP fixe (réellement). Cependant, si cette IP est dans la classe qu'attribue le DHCP, il peut y avoir conflit, un jour, et tu dois accéder à la configuration du routeur du modem FAI pour exclure cette adresse de la plage utilisée par le DHCP. De plus, il te faut absolument pouvoir modifier le routage du modem du FAI pour autoriser le trafic entrant du VPN (depuis des IP publiques connues ou sur des ports connus) vers ton zywall.
  - tu le laisse en adressage dynamique. Dans ce cas, soit il change d'IP comme de chemise, en fonction des machines connectées et des expirations de baux. Tu seras alors bien embêté car en pratique ton boitier VPN sera injoignable.
  - tu le laisse en adressage dynamique ET tu accède à la configuration du routeur du FAI. Tu peux alors lier l'adresse IP privée de ton choix à l'adresse MAC externe de ton boitier zywall pour qu'elle soit constante. Il te faut aussi modifier les règles de routage du modem/routeur du FAI pour autoriser le trafic VPN entrant (comme dans le premier cas).

Il existe une autre solution qui a ma préférence : si TOUT ton réseau interne est derrière le second routeur (le zywall), tu peux alors tenter de désactiver le routage du modem/routeur du FAI. Il faudrait pouvoir désactiver tout le routage/DHCP de façon à ce que le modem/routeur présente l'IP publique donnée par le FAI au zywall, au lieu de s'intercaler entre celle-ci et la plage d'adresse privées qu'il fournit habituellement.


Pour en revenir au cas où tu demandes une IP supplémentaire à ton FAI, la situation devient :

• - Ton modem/routeur reçoit une IP dynamique (constante) du FAI.
  - Il distribue, en interne, des adresses IP privées (pour d'autres machines que le zywall, éventuellement)
  - tu attribues, en dur (donc en vraie IP fixe), l'adresse IP supplémentaire que te vends ton FAI, le tout sur la patte externe du zywall
  - tu dois alors modifier le routage sur le routeur du FAI pour transmettre le trafic VPN d'internet au zywall ... En effet, il faut, dans ce cas, que le modem/routeur du FAI accepte le trafic ordinaire à destination de ton réseau ET le trafic VPN à transmettre à ton zywall. Ces deux trafics étant à destinations d'IP différentes ...

Comme tu le vois, le noeud du problème, dans un tel enchainement, c'est de pouvoir accéder à la configuration du dispositif amont (le routeur du FAI). Je suis persuadé que l'appareil du FAI dispose d'options de configuration, même si certaines d'entre elles sont verrouillées.

J'espère ne pas t'avoir semé en route, mais ton problème s'il est courant, est loin d'être simple à résoudre.

Bon courage.

[grinder59]

aïe les noeuds au cerveau !!!!!

bon apparemment, il existe une solution à ce problème en combinant tes réponses à ce que m'a répondu un techos zyxel. Je livre ci dessous cette solution, pour qu'elle soit évaluée et qu'elle puisse servir à d'autres (si je décrit avec un Zywall en Firewal/VPN, ça doit être sensiblement la même chose avec d'autres boites).

Et apparemment pas besoin d'autre IP constante...

Le routeur du FAI ne supporte pas le VPN et j'ai n'ai accès à sa configuration que via leur hotline.

Le zywall comporte 2 interfaces réseau : 1 WAN sur laquelle sera connectée le modem routeur, 1 LAN sur laquelle sera connecté le switch qui distribue le réseau vers mes postes clients

donc :

sur le modem/routeur du FAI :
1. donner une adresse de type 192.168.x.x avec une classe d'adresse différente de toutes celles que j'ai sur les autres réseaux qui seront vpn-isés.
2. activer le IPSec Passthrough
3. rediriger tous les ports vers mon Zywall l'adresse IP WAN du Zywall.

sur le Zywall :
1. dans le champs My adress IP : donner une ip dans la classe de celle du modem/routeur
2. dans le champs Local Id Type, indiquer IP et mettre en content l'adresse IP publique du modem/routeur
3. créer les règles du VPN

J'ai pas encore testé mais j'ai bon espoir...

N'hésite pas à commenter, rectifier, contredire...

[2Eurocents]

j'ai n'ai accès à sa configuration que via leur hotline.

Soit c'est suicidaire de leur part (tous les clients appellent à chaque évolution de réseau), soit il gagnent leur business comme ça en facturant leur hotline très cher ... mais bon, passons ...

sur le modem/routeur du FAI :
1. donner une adresse de type 192.168.x.x avec une classe d'adresse différente de toutes celles que j'ai sur les autres réseaux qui seront vpn-isés.
2. activer le IPSec Passthrough
3. rediriger tous les ports vers mon Zywall l'adresse IP WAN du Zywall.

sur le Zywall :
1. dans le champs My adress IP : donner une ip dans la classe de celle du modem/routeur
2. dans le champs Local Id Type, indiquer IP et mettre en content l'adresse IP publique du modem/routeur
3. créer les règles du VPN

S'il n'y a pas de machine dans l'espace entre les deux routeurs, ce type de solution est fonctionnel.

Son principal inconvénient est de rendre le routeur amont, celui du FAI, injoignable depuis le réseau interne (derrière le zywall). En fait, les IP en 192.168.x.y étant non-routables, il y a une zone inaccessible entre les deux routeurs. Eux discutent entre eux, et le zywall relaie le trafic de l'intérieur au modem grâce au choix de deux classes d'IP différentes.

Maintenant, cet inconvénient est supportable puisque tu ne peux déjà pas accéder au routeur du FAI autrement que par la hotline

Bon courage pour le test.

[grinder59]

Non en plus j'ai une hotline sans surcout. Mais comme il s'agit d'une ligne à débit garanti avec un temps de rétablissement de service, ils ne veulent pas que je touche à leur config. Et en plus ils n'assurent pas le VPN (alors que le matériel le fait lui). Bon, je dévoile, il s'agit de Nordnet...

En effet, il n'y a pas de machine dans le segment routeur/boitier VPN. En fait ce que je faisais avant avec une boite, je vais le faire maintenant avec 2 boites... quelle progression !!! Enfin bref.

J'ai oublié de préciser que côté Zywall, il faut configurer l'IP de l'interface LAN dans la classe du sous-réseau déservi.

Dès que j'aurais le matos, je fais les teste et je poste le résultat...

A nouveau merci pour ton aide !!!