Discussion :

[abe63]

Bonsoir à tous,

Je rencontre un problème de communication entre des machines en DMZ sur un routeur R1 et des machines utilisant un routeur R2 comme gateway. La configuration de mon réseau est la suivante :

DMZ (192.168.20.0) <----> R1 (DMZ:192.168.20.1/24; LAN: 192.168.1.1/24; IP ALIAS : 192.168.0.1/24) <----> switch <----> R2 (LAN: 192.168.0.2/24)

Pour que les machines ayant pour gateway R2 puissent accéder à la DMZ de R1, j'ai ajouté une route statique sur R2 qui redirige 192.168.20.* vers 192.168.0.1 (R1).

Malheureusement le firewall de R2 me bloque (pas de problème lorsque celui-ci est désactivé). Le firewall de R2 me génère des TCP RST indiquant semble t-il qu'il n'a pas reçu le TCP SYNC (comme si il utilisait une route triangulaire). Je ne comprend pas comme cela est possible ...

Quelqu'un a t-il une idée ?

Merci

PS : Je ne veut pas autoriser les routes triangulaires pour éviter de me rendre vulnérable à certaines attaques DoS. Les 2 routeurs sont des ZyWall 70 (ZyXell)
PS2 : Un lien intéressant sur ce type de configuration : http://www.zyxeltech.de/SNoteZW5_362/faq/fw_faq.htm#16

Je tiens à préciser que toutes les machines utilisant R2 comme gateway sont connectées au switch ainsi que les ports LAN de R2 et R1

[Cybher]

salut,

as tu la possibilité de sniffer le flux?

tel que je le vois : pour que ton pc atteigne la dmz -> passerelle Routeur2, puis table de routage passerelle routeur 1, table de routage il atteint la DMZ. Sur le retour, il atteint R1 qui retransmet directement à ton PC
Donc cela ne repasse pas par le 2eme routeur donc interprétation d'une attaque

peux tu vérifier si c'est bien cela qui se passe?

[abe63]

Je pense que c'est en effet ce qu'il se passe. Afin de le vérifier, j'ai installé WireShark (ethereal) sur le pc du LAN ayant R2 comme gateway (IP: 192.168.0.4), voici les flux obtenu lors d'une tentative d'accès à un répertoire partagé (Windows) de la machine en DMZ :

192.168.0.4 -> 192.168.20.6:445 TCP [SYN] (Destination: ZyxelCom_bb... (R2))
192.168.0.4 -> 192.168.20.6:339 TCP [SYN] (Destination: ZyxelCom_bb... (R2))
192.168.20.6 -> 192.168.0.4 TCP [SYN,ACK] (Source: ZyxelCom_7c... (R1))
...

Ainsi, comme semble l'indiquer l'article de ZyXell, R2 n'ayant pas reçu le SYN,ACK (car envoyé directement par R1) va déclencher le TCP RST

Ainsi, quelques millisecondes après les trames précédentes :

192.168.0.4 -> 192.168.20.6 TCP [RST]

Cependant, ayant attribué l'IP 192.168.1.1/24 au LAN de R1 je pensais qu'il ne transférerais pas directement au PC de destination même avec l'IP alias 192.168.0.1/24 (cf article)

J'avoue que je ne sais pas trop comment faire ... une idée Cybher ?

[Cybher]

salut,

Je pense que tu as mis l'alias sur le mauvais routeur

Si tu mets 192.168.1.2 par exemple sur R2
ton PC cherche à joindre ta DMZ, ta passerelle est le routeur
avec la route il arrive sur R1 pour joindre la machine de ta DMZ
retour sur R1, je pense qu'il faut rajouter une route sur R1 pour lui dire que pour joindre 192.168.0.0 il faut passer par la passerelle 192.168.1.2

Je n'ai jamais utilisé les alias mais je ferais plus quelque chose dans ce genre

A tester (peut etre qu'il y a une bétise dans mon raisonnement)




dans ton cas actuel, puisque tu peux sortir de ton routeur avec 192.168.0.1, c'est normal qu'il ne passe pas par R2

[abe63]

Merci pour ta réponse Cybher ,

Ton idée est en effet très intéressante, je pense que tu as raison. D'ailleurs si on regarde le schéma dans l'article, il est en effet différent du mien, l'IP alias est sur le routeur R2 (par analogie à mon architecture).

Mon erreur vient du fait que toutes mes machines sur le LAN (de R1 comme de R2) sont en 192.168.0.x. Étant donné que c'est une architecture de production (notre activité étant assez critique, il est difficile d'interrompre les communications). Je n'ai donc pas voulu modifier l'IP d'aucune machine et j'ai détourné le raisonnement de l'article ZyXell, sans voir que le point essentiel (que R1 ne puisse pas répondre directement) n'était en fait pas réalisé !

Je vais essayer de tester ta solution cet après-midi, je te tiens au courant

PS : C'est sympa Monster ?

[Cybher]

Mon erreur vient du fait que toutes mes machines sur le LAN (de R1 comme de R2) sont en 192.168.0.x.

ok, ce n'était pas forcément très clair au début.
Donc toutes tes machines sont dans le même sous-réseau mais n'ont pas forcément la même passerelle?
tu fais en gros du partage de charge sur tes 2 liaisons?
mais tu mets l'adresse du routeur en direct? n'as tu pas une adresse virtuelle pour gérer les cas de panne par exemple?

[abe63]

En fait je ne fais pas de balancement de charge au niveau NAT, et je n'ai donc pas d'adresse virtuelle.
Nos clients disposent d'une adresse d'accès principale (lien 1) et d'adresses de secours (liens 2 et 3) pour pallier aux différentes pannes possibles (lien, routeur, hébergeur, machine, etc ...). La machine de secours est donc un réplicat de celle dans la DMZ de R1 mais directement sur le LAN de R2

J'ai ajouté en fichier attaché un petit schéma

Je n'ai pas encore fait le test que tu m'as proposé, je vais voir si c'est possible aujourd'hui ...

[Cybher]

ok
bon courage
tiens nous au courant

[abe63]

Bon, je ne vais pas pouvoir tester cette solution dans l'immédiat dans la mesure ou elle m'oblige à changer les IP des machines en gateway sur R2 (sinon j'aurais toujours le même problème). Ce changement pourrait poser problème, dans la mesure ou de nombreuses machines communiquent entre les deux sites. J'ai donc dans un premier temps déplacé ma machine depuis la DMZ vers le LAN et je pense tester cette solution après les fêtes.

Un grand merci à toi Cybher