Discussions par mots clés : routage
Ajouter un badge au post
Perte de l'interface admin Stormshield SN160
Posée par Frédéric Brodar dans Open Community dans Fonctionnalités et système
Bonjour,
Configuration :
Stormshield SN160
Après un changement dans l'interface administrateur pour une configuration en mode Routeur DHCP, je ne peux plus me connecter via l'interface administrateur :
https://10.0.0.254/admin/
Merci pour votre aide.
Ajouter un badge au post
Débogage du trajet d'un paquet traversant un Stormshield
Posée par Bruno Tréguier dans Open Community dans Trucs et Astuces
Bonjour,
Je souhaiterais savoir quelles techniques vous utilisez pour arriver à tracer le trajet d'un paquet au travers d'une appliance, de l'nterface d'entrée, à l'interface de sortie (en passant par les étapes de filtrage/NAT et les décisions de routage).
La raison de ma question est la suivante: j'ai un paquet (un SYN/ACK en réponse à un SYN) que je vois entrer (via un tcpdump), mais pas ressortir par l'interface vers laquelle il aurait dû être envoyé. Pour autant, les logs de filtrage montrent bien une action "pass"...
Donc pour l'instant, à ma disposition j'ai:
- tcpdump
- les logs
Et puis c'est tout. ;-)
Je suis preneur d'autres idées qui pourraient me permettre d'arriver à tracer ce paquet récalcitrant...
L'appliance est un Stormshield SN910, pour info.
Merci ! :-)
Bruno
Ajouter un badge au post
Mise en place d'une solution de convergence
Posée par Nicolas P dans Open Community dans Matériels et performances
Bonjour,
pour des raisons de cybersécurité, je suis en train de mettre en place 2 SN910 en coupure de 2 LAN. Les interconnexions entre ces 2 LAN sont des liens optiques avec chacun 2 VLAN taggés.
Ma 1ère et principale contrainte est de ne pas toucher aux confs des équipements réseaux du LAN2, et j'ai toute liberté sur les équipements du LAN1.
Dans un premier temps j'avais configuré les 2 SN910 en mode bridge et tout fonctionnait nominalement. Hors lors de la perte d'un équipement réseau d'une part ou d'autre du FW les flux ne sont pas reroutés. en effet je me suis aperçu que les SN910 ne font pas de remontée d'état des ports. Autrement dit, vu du LAN1, pour les flux qui transitent via le premier FW (celui de gauche); si il y a coupure de l'interco coté LAN2 de ce FW, mon LAN enverra toujours vers ce FW et le trafic n'arrivera pas à destination.
J'ai ensuite mis en place du routage entre mes 2 FW via un lien en parallèle du lien HA.
Là tout fonctionne en cas de...
Voir la suiteAjouter un badge au post
gateway différente pour office 365
Posée par Julien Auger dans Open Community dans Trucs et Astuces
Bonjour,
J'utilise deux sorties web différentes sur un SN210, une adsl et une 4G.
La sortie web par défaut se fait sur la 4G mais je souhaiterais mettre le flux vers la messagerie office 365 sur l'adsl (et accessoirement windows update en+)
J'ai créé une règle spécifique vers un objet FQDN (cdg-efz.ms-acdc.office.com dans mon cas) mais celui-ci pointe vers de multiple IP et la règle ne s'applique donc pas à chaque fois.
J'ai une multitude d'adresse ici : https://docs.microsoft.com/fr-fr/office365/enterprise/urls-and-ip-address-ranges#skype-for-business-online-and-microsoft-teams
mais aucune ne correspond au flux constaté sur mon infra lors de l'utilisation d'outlook...
Une idée pour améliorer ?
Bonne journée
Julien
Ajouter un badge au post
Lien MPLS et routage
Posée par Anonyme dans Open Community dans Administration
Bonjour,
Nous venons de relier nos deux sites distants par une liaison MPLS.
Ces deux sites sont équipés de parefeu Stormshield SNS et ont leur propre sortie Internet.
Je dois configurer sur chaque site une table de routage sur le pare-feu pour diriger les flux en fonction du sous-réseau :
Site A :
routage du sous-réseau local 192.168.0.0/24 vers sous-réseau 192.168.4.0/24 en passant par passerelle "Routeur site A VPN FAI" (192.168.0.XXX)
routage du sous-réseau local 192.168.0.0/24 vers 0.0.0.0/0.0.0.0 en passant par "Routeur site A Internet FAI"
Site B :
routage du sous-réseau local 192.168.4.0/24 vers sous-réseau 192.168.0.0/24 en passant par passerelle "Routeur site B VPN FAI" (192.168.4.YYY)
routage du sous-réseau local 192.168.4.0/24 vers 0.0.0.0/0.0.0.0 en passant par "Routeur site B Internet FAI"
J'ai essayé d'utiliser les routes statiques (avec ou sans routes de retour) et le routage par régle de filtrage.
La dernière solution me permet de voir du trafic mais le lien MPLS...
Ajouter un badge au post
Admin From et ajout d'une route statique
Posée par Anonyme dans Open Community dans Administration
Bonjour,
Je souhaite administrer un Arkoon FAST 360 PS-4 version 6.0/12 depuis mon poste de travail et j'ai donc renseigné la plage réseau dans le "Admin From" de Minarkconf sans préciser l'interface d'entrée.
Cependant, pour que cela fonctionne, il faut absolument ajouter une route statique sur le pare-feu pour que les flux d'admin repasse par la même interface.
Mon PC a l'IP 10.44.202.221 et l'interface eth0 de l'Arkoon par laquelle je souhaite l'administrer 172.20.6.32.
Sans la route statique, voici le tcpdump sur l'interface d'entrée des flux d'admin :
root@constantine:/root> tcpdump -n -i eth0 host 10.44.202.221
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
10:53:51.733430 IP 10.44.202.221.49709 > 172.20.6.32.822: S 3766689029:3766689029(0) win 8192 <mss 1460,nop,wscale 8,nop,nop,sackOK>
10:53:51.736643 arp who-has 10.44.202.221 tell 172.20.6.32
10:53:52.736673 arp...
Ajouter un badge au post
Option forwarding Stormshield v50
Posée par Anonyme dans Open Community dans Fonctionnalités et système
Bonjour à tous,
J'ai mis en place la topologie suivante "réseau-1 " <--> "stormshield" <--> "resau distant",
je veux que le stomshield fasse office de routeur afin de permettre aux clients du réseau-1 d'atteindre le réseau distant.
Le réseau distant est atteignable depuis la stormshield mais je n'arrive pas à activer l'option forwarding pour que stormshield fasse suivre les paquets du reseau-1.
Quelqu'un pourrait me suggerer une solution à ce probleme ?
Cordialement
Ajouter un badge au post
Routage par FQDN de destination : Est il possible d'utiliser des wildcard ?
Posée par Anonyme dans Open Community dans Fonctionnalités et système
Bonjour,
Je souhaite faire du routage par FQDN de destination dans mes SN500 sous firmware V 3
çà fonctionne très bine pour un FQDN unique
J'ai besoin de le faire pour tous les sous domaines d'un FQDN "parent".
J'ai tenté de saisir un objet FQDN avec une wildcard (ex "*.domaineparent.com"), mais le parefeu, sous FW Stormshield 3.0.3, refuse de créer cet objet.
Quelqu'un aurait'il une solution ?
Merci
Ajouter un badge au post
Routage selon port
Posée par Anonyme dans Open Community dans Administration
Bonjour à tous
je possède un Stormshield SN300 avec deux connexions internet
Je souhaiterais faire une règle de sortie / routage me permettant d'utiliser 1 connexion spécifique selon le port utilisée. Ex utiliser la connexion2 si la destination est sur le port 80
J'ai beau chercher je ne trouve pas comment faire... je pensais que c'était dans routage mais à priori non. Ou alors je m'y prend mal
Merci d'avance de vos retours
Ajouter un badge au post
flux internet à travers un tunnel IPSec
Posée par Anonyme dans Open Community dans Administration
Bonjour et bonne année à tous,
je viens vers vous car j'ai une question concernant les fonctionnalitées Ipsec de mon stormshield.Voici l'etat des lieux:
J'ai réalisé l'interconnection entre notre site principale et une agence en utilisant un tunnel ip sec. Pour infos sur le site principal nous avons un stromshield U-250s-A en version 2.1.2 et dans l'agence j'ai mis derriere la livebox un routeur TP-link TL-ER604W. La tunnel ipsec monte parfaitement et l'interconnection des réseaux est ok puisque un poste en agence peut prendre la main sur un de nos postes et je ping les machines de l'agence depuis le site principal. Par contre je souhaiterais faire passer le flux internet de l'agence par connection internet du stormshield au siege.J'ai tenté pas mal de choses mais rien n'y fait.
Pourriez-vous m'éclairer sur la marche à suivre pour réaliser cela. Le paramétrage se fait il sur le stormshield qui est à l'initiative du tunnel ipsec ou bien sur le TP-link.
Pour infos j'ai voulu...
Voir la suite