-353 Membres 1370 Contributions

Open Community

Discussions par mots clés : routage

Non résolue

Débogage du trajet d'un paquet traversant un Stormshield

Posée par Bruno Tréguier dans Trucs et Astuces

Bonjour,

Je souhaiterais savoir quelles techniques vous utilisez pour arriver à tracer le trajet d'un paquet au travers d'une appliance, de l'nterface d'entrée, à l'interface de sortie (en passant par les étapes de filtrage/NAT et les décisions de routage).

La raison de ma question est la suivante: j'ai un paquet (un SYN/ACK en réponse à un SYN) que je vois entrer (via un tcpdump), mais pas ressortir par l'interface vers laquelle il aurait dû être envoyé. Pour autant, les logs de filtrage montrent bien une action "pass"...

Donc pour l'instant, à ma disposition j'ai:

- tcpdump

- les logs

Et puis c'est tout. ;-)

Je suis preneur d'autres idées qui pourraient me permettre d'arriver à tracer ce paquet récalcitrant...

L'appliance est un Stormshield SN910, pour info.

Merci ! :-)

Bruno

Non résolue

Mise en place d'une solution de convergence

Posée par Nicolas P dans Matériels et performances

Bonjour,

 

pour des raisons de cybersécurité, je suis en train de mettre en place 2 SN910 en coupure de 2 LAN. Les interconnexions entre ces 2 LAN sont des liens optiques avec chacun 2 VLAN taggés.

Ma 1ère et principale contrainte est de ne pas toucher aux confs des équipements réseaux du LAN2, et j'ai toute liberté sur les équipements du LAN1.

Dans un premier temps j'avais configuré les 2 SN910 en mode bridge et tout fonctionnait nominalement. Hors lors de la perte d'un équipement réseau d'une part ou d'autre du FW les flux ne sont pas reroutés. en effet je me suis aperçu que les SN910 ne font pas de remontée d'état des ports. Autrement dit, vu du LAN1, pour les flux qui transitent via le premier FW (celui de gauche); si il y a coupure de l'interco coté LAN2 de ce FW, mon LAN enverra toujours vers ce FW et le trafic n'arrivera pas à destination.

J'ai ensuite mis en place du routage entre mes 2 FW via un lien en parallèle du lien HA.

Là tout fonctionne en cas de...

Voir la suite
Résolue

gateway différente pour office 365

Posée par Julien Auger dans Trucs et Astuces

Bonjour,

J'utilise deux sorties web différentes sur un SN210, une adsl et une 4G.

La sortie web par défaut se fait sur la 4G mais je souhaiterais mettre le flux vers la messagerie office 365 sur l'adsl (et accessoirement windows update en+)

J'ai créé une règle spécifique vers un objet FQDN (cdg-efz.ms-acdc.office.com dans mon cas) mais celui-ci pointe vers de multiple IP et la règle ne s'applique donc pas à chaque fois.

J'ai une multitude d'adresse ici : https://docs.microsoft.com/fr-fr/office365/enterprise/urls-and-ip-address-ranges#skype-for-business-online-and-microsoft-teams

mais aucune ne correspond au flux constaté sur mon infra lors de l'utilisation d'outlook...

Une idée pour améliorer ?

 

Bonne journée

 

Julien

Non résolue

Lien MPLS et routage

Posée par Anonyme dans Administration

Bonjour,

Nous venons de relier nos deux sites distants par une liaison MPLS.
Ces deux sites sont équipés de parefeu Stormshield SNS et ont leur propre sortie Internet.
Je dois configurer sur chaque site une table de routage sur le pare-feu pour diriger les flux en fonction du sous-réseau :

Site A :
routage du sous-réseau local 192.168.0.0/24 vers sous-réseau 192.168.4.0/24 en passant par passerelle "Routeur site A VPN FAI" (192.168.0.XXX)
routage du sous-réseau local 192.168.0.0/24 vers 0.0.0.0/0.0.0.0 en passant par "Routeur site A Internet FAI"

Site B :
routage du sous-réseau local 192.168.4.0/24 vers sous-réseau 192.168.0.0/24 en passant par passerelle "Routeur site B VPN FAI" (192.168.4.YYY)
routage du sous-réseau local 192.168.4.0/24 vers 0.0.0.0/0.0.0.0 en passant par "Routeur site B Internet FAI"

J'ai essayé d'utiliser les routes statiques (avec ou sans routes de retour) et le routage par régle de filtrage.
La dernière solution me permet de voir du trafic mais le lien MPLS...

Voir la suite
Résolue

Admin From et ajout d'une route statique

Posée par Anonyme dans Administration

Bonjour,

Je souhaite administrer un Arkoon FAST 360 PS-4 version 6.0/12 depuis mon poste de travail et j'ai donc renseigné la plage réseau dans le "Admin From" de Minarkconf sans préciser l'interface d'entrée.

Cependant, pour que cela fonctionne, il faut absolument ajouter une route statique sur le pare-feu pour que les flux d'admin repasse par la même interface.

Mon PC a l'IP 10.44.202.221 et l'interface eth0 de l'Arkoon par laquelle je souhaite l'administrer 172.20.6.32.

Sans la route statique, voici le tcpdump sur l'interface d'entrée des flux d'admin :

root@constantine:/root> tcpdump -n -i eth0 host 10.44.202.221
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
10:53:51.733430 IP 10.44.202.221.49709 > 172.20.6.32.822: S 3766689029:3766689029(0) win 8192 <mss 1460,nop,wscale 8,nop,nop,sackOK>
10:53:51.736643 arp who-has 10.44.202.221 tell 172.20.6.32
10:53:52.736673 arp...

Voir la suite
Résolue

Option forwarding Stormshield v50

Posée par Anonyme dans Fonctionnalités et système

Bonjour à tous,

J'ai mis en place la topologie suivante "réseau-1 " <--> "stormshield" <--> "resau distant", 
je veux que le stomshield fasse office de routeur afin de permettre aux clients du réseau-1 d'atteindre le réseau distant.

Le réseau distant est atteignable depuis la stormshield mais je n'arrive pas à activer l'option forwarding pour que stormshield fasse suivre les paquets du reseau-1.

Quelqu'un pourrait me suggerer une solution à ce probleme ?

Cordialement

Résolue

Routage par FQDN de destination : Est il possible d'utiliser des wildcard ?

Posée par Anonyme dans Fonctionnalités et système

Bonjour,

Je souhaite faire du routage par FQDN de destination dans mes SN500 sous firmware V 3

çà fonctionne très bine pour un FQDN unique

J'ai besoin de le faire pour tous les sous domaines d'un FQDN "parent".

J'ai tenté de saisir un objet FQDN avec une wildcard (ex "*.domaineparent.com"), mais le parefeu, sous FW Stormshield 3.0.3, refuse de créer cet objet.

Quelqu'un aurait'il une solution ?

Merci

Résolue

Routage selon port

Posée par Anonyme dans Administration

Bonjour à tous

 

je possède un Stormshield SN300 avec deux connexions internet

 

Je souhaiterais faire une règle de sortie / routage me permettant d'utiliser 1 connexion spécifique selon le port utilisée. Ex utiliser la connexion2 si la destination est sur le port 80

 

J'ai beau chercher je ne trouve pas comment faire... je pensais que c'était dans routage mais à priori non. Ou alors je m'y prend mal

 

Merci d'avance de vos retours

Résolue

flux internet à travers un tunnel IPSec

Posée par Anonyme dans Administration

Bonjour et bonne année à tous,

je viens vers vous car j'ai une question concernant les fonctionnalitées Ipsec de mon stormshield.Voici l'etat des lieux:

J'ai réalisé l'interconnection entre notre site principale et une agence en utilisant un tunnel ip sec. Pour infos sur le site principal nous avons un stromshield U-250s-A en version 2.1.2 et dans l'agence j'ai mis derriere la livebox un routeur TP-link TL-ER604W. La tunnel ipsec monte parfaitement et l'interconnection des réseaux est ok puisque un poste en agence peut prendre la main sur un de nos postes et je ping les machines de l'agence depuis le site principal. Par contre je souhaiterais faire passer le flux internet de l'agence par connection internet du stormshield au siege.J'ai tenté pas mal de choses mais rien n'y fait.

Pourriez-vous m'éclairer sur la marche à suivre pour réaliser cela. Le paramétrage se fait il sur le stormshield qui est à l'initiative du tunnel ipsec ou bien sur le TP-link.

Pour infos j'ai voulu...

Voir la suite
Messages d'alerte