Discussion :

[enquetedidées]

Bonjour,

Travaillant sur une architecture réseau je suis confronté au probléme suivant :
lorsque j'effectue un tracert entre une VM linux et un routeur j'obtiens l'adresse du premier équipement (switch cisco) et celle du routeur final. Les autres équipement entre ne transmettent à priori par d'ICMP (d'ou les étoiles).

Les équipements entre la VM et mon routeur final sont les suivants :
VM -> switch -> firewall 1 -> switch OSPF -> firewall 2 -> routeur
Entre FW2 et le routeur est établi un VPN site to site.
l'adresse IP de la VM est natée au niveau du FW1.

J'ai tout d'abord pensé qu'il s'agissait d'un blocage des FW mais je n'ai pas pu trouver d'ou cela pouvait venir. En me documentant sur le net (site Cisco notamment) j'ai pu comprendre qu'une des sources les plus répandu de ce type de problème était une erreur d'architecture IP par laquelle le TTL (=0!) de la sonde était recopié dans le message ICMP, mais je n'ai pas trouvé de solution ou de moyen pour identifier cet erreur.

Auriez-vous des idées ?
Merci par avance,
Raphaël

[Invité]

Salut,

les réponses aux traceroutes s'effectuant avec des "ICMP TTL Exceeded", les * signifient que :
- l'équipement sensé répondre n'est pas autorisé à émettre de tels paquets,
- l'équipement est " buggy"

Le cas que tu cites fait partie des "bugs" qui peuvent survenir (une réponse avec un TTL trop faible qui fait que le paquet est droppé dans le chemin de retour). Il faut avoir accès aux équipements intermédiaires ou aux fichiers logs, et pourquoi pas les compléter avec une trace à l'analyseur pour bien comprendre.

Le cas des VPN et autres Tunnels de toutes sortes est particulier. Prenons la topologie suivante où R1, R2 et R3 permettent de construire un VPN entre les réseaux 1 et 2 :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
 +----+   +----+   +----+
 | R1 |---| R2 |---| R3 |
 +----+   +----+   +----+
    |                 |
    |<------VPN------>|
    |                 |
réseau 1          réseau 2

Si on lance un traceroute depuis une machine du réseau 1 vers une machine du réseau 2, ce trafic sera vu par R1 comme étant éligible pour être encapsulé dans le VPN. Et dans ce cas de figure, le traceroute donnera les deux routeurs extrémités du VPN, à savoir R1 et R3. Le routeur R2 sera transparent pour le traceroute.

Si on voulait connaître la structure exacte du VPN, il faudrait lancer le traceroute depuis R1 en prenant comme source l'adresse IP de R1 qui définit l'extrémité locale du tunnel.

Dans le cas de ta topologie, difficile de dire avec exactitude ce qui se passe... Le VPN ne serait-il pas construit entre FW1 et FW2 ?

Steph

[ram-0000]

Les équipements entre la VM et mon routeur final sont les suivants :
VM -> switch -> firewall 1 -> switch OSPF -> firewall 2 -> routeur
Entre FW2 et le routeur est établi un VPN site to site.
l'adresse IP de la VM est natée au niveau du FW1.

Et le 1er switch apparait dans le traceroute, c'est un switch en mode routeur alors parce que sinon, il n' a aucune raison de parler.

Un switch OSPF ? Un routeur alors qui fait du routage en utilisant l'algorithme OSPF.

Un switch, c'est du niveau 2 avec des adresses MAC. Un routeur, c'est du niveau 3 avec des adresses IP et du routage.

Je reconnait qu'il est facile de se tromper. Maintenant, les switch (pas ceux à 10€ de chez Carrefour) sont souvent hybrides et il font du niveau 2 et/ou 3. Il n'empêche que sur des explications comme cela, autant donner les bons termes

[enquetedidées]

Merci pour vos réponses
Effectivement ce sont des switch-routeurs (Cisco model 3760)

Le VPN n'est pas établi entre les deux FW. IP_Steph, dans le cas de ta topologie est-ce que R2 apparaitrait avec des * en faisant un trace route ?

J'ai des infos supplémentaires. J'ai modifié la config du FW1 en autorisant le décrément TTL dans une régle de politique (bon j'avoue ne pas avoir trop bien compris pourquoi ça ne le faisait pas automatiquement, par sécurité ?) et en modifiant le taux maximum des messages ICMP unreachables (initialement fixé à 1). Au passage j'utilise ASDM pour la config.

Maintenant j'arrive à voir FW1 lorsque je fais un tracert

Mais problème, FW2 résiste tjrs à l'envahisseur et d'ailleurs l'équipement (un routeur donc) entre les 2 FW aussi et ça en appliquant les même régles que pour FW1. Pourtant je n'ai pas l'impression que FW1 filtre les messages ICMP...

Merci pour tout,
Raphaël

[ram-0000]

Souvent (très souvent même), les firewall ne décrémentent pas le TTL justement pour ne pas apparaitre dans un traceroute, c'est une configuration classique.

C'est un équipement de sécurité, pas la peine de donner des indications comme quoi il est sur le réseau.

Comme le firewall est un équipement de sécurité, il y a aussi souvent une règle de filtrage qui concerne ICMP qui coupe tout le trafic ICMP ou au moins le trafic à destination ou émis par le firewall.

Je suppose aussi que les ports SSH et/ou HTTP/HTTPS d'administration ne sont ouverts qu'à destination de certaines machines d'administration parfaitement identifiées.

Un firewall n'est pas évident pour apprendre et ou comprendre le réseau ou la topologie car justement, il cache un maximum de choses.

[Invité]

dans le cas de ta topologie est-ce que R2 apparaitrait avec des * en faisant un trace route ?

Si le ping est envoyé depuis une machine du réseau 1, non, R2 n'apparaîtra pas dans le traceroute.

Mais problème, FW2 résiste tjrs à l'envahisseur et d'ailleurs l'équipement (un routeur donc) entre les 2 FW aussi et ça en appliquant les même régles que pour FW1. Pourtant je n'ai pas l'impression que FW1 filtre les messages ICMP...

Si tu accès au Cisco OSPF, regardes ce que donne un traceroute depuis cet équipement vers l'adresse IP de FW2 qui est connectée au routeur extrémité du VPN.

Steph