[PB] Entre Passerelle Linux et Windows 2000 SRV


#1

Bonjour à tous !!

Voilà, je suis dans une entreprise qui à ouvert une filiale récemment.
Faute de moyen, nous utilisons le même Active Directory(AD) sous Windows 2K SRV pour l’entreprise X et sa filiale Y. Du coup pour éviter toute conflit d’un logiciel en réseau utilisé indépendemment dans l’entreprise X et au sein de la filiale Y, j’ai mis en place une passerelle :

Où eth0 : @réseau : 192.168.1.0/24
Et eth1 : @réseau : 192.168.1.32/27

J’ai paramêtré ma passerelle comme suit : création de /etc/init.d/router :

[code]#! /bin/sh

#####################

Script “iptables - ROUTEUR”

#####################

start/stop/restart router:

    red="\033[01;31m"
    whi="\033[0m"

    router_start() {
    echo "[DEMARRAGE DU ROUTEUR]"
    echo "/ SEPARATION DES RESEAUX /"
    iptables -A FORWARD -j ACCEPT
    iptables -A INPUT  -i eth1 -p tcp --dport 53 -j ACCEPT
    echo 1 > /proc/sys/net/ipv4/ip_forward

    echo "/ Activation du masquerading /"
    iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

    echo "/ AJOUT DE LA ROUTE PAR DEFAUT/"
    route add default gw 192.168.1.1
    echo -e $red"[ROUTEUR ACTIVE]"
    echo -e "$whi"
    }

    router_stop() {
    iptables -F FORWARD
    iptables -F INPUT
    iptables -t nat -F POSTROUTING
    route del default gw 192.168.1.1
    echo 0 > /proc/sys/net/ipv4/ip_forward
    echo -e $red"[ROUTEUR DESACTIVE]"
    echo -e "$whi"
    }

    router_restart() {
    router_stop
    sleep 2
    router_start
    }

    case "$1" in
    'start')
    router_start
    ;;
    'stop')
    router_stop
    ;;
    'restart')
    router_restart
    ;;
    *)
    echo "Usage:router {start|stop|restart}"
    esac[/code]

Tout passe sans prob.
J’ai installé bind sur la passerelle qui fait esclave du DNS de l’AD.

[code]# nslookup

domain
Server: 127.0.0.1
Address: 127.0.0.1#53

Name: domain
Address: 192.168.1.2

192.168.1.2
Server: 127.0.0.1
Address: 127.0.0.1#53

2.1.168.192.in-addr.arpa name = nomsrv.domain.[/code]

Et idem depuis les postes clients.

MAIS !!!

Je ne peux pas mettre les postes de la filiale Y (donc derrière la passerelle) sous le domaine. Il me dit que l’enregistrement A est erroné ou la correspondance IP/Domaine ne se fait pas…
Je ne comprends pas…

Quelqu’un pourrait-il m’aider ?
Merci d’avance !!!


#2

Tout ça m’a l’air un peu confus. Avec les serveurs Windows d’ailleurs, c’est un peu toujours le bordel :blush:

Bon, déjà, ça, c’est ridicule :

iptables -A FORWARD -j ACCEPT
iptables -A INPUT  -i eth1 -p tcp --dport 53 -j ACCEPT

Les politiques sont par défaut à tout accepter, donc ces deux lignes sont superflues, à moins d’avoir fait un

ou qqch du genre avant.

Ensuite, pourquoi ne pas donner au clients l’adresse d’un serveur DNS de l’AD puisque tu fais quand même du masquerading ? Ce serait bien plus simple que de faire un cache de DNS, surtout avec Bind (pas très simple à configurer).
Et puis, sinon, je te conseillerais de le faire avec un serveur plus simple et destiné à ça. Dnsmasq par exemple.


#3

J’ai testé en renseignant les clients avec comme serveur DNS le serveur AD.

Maintenant, j’ai effectué quasi la même config avec un serveur 2003, et tout passe nickel…


#4

ton découpage 192.168.1.0/24 192.168.1.32/27 me gène.
L’utilisation de deux franges 192.168.1.0/24 192.168.2.0/24 me semblerait plus censée, non ?


#5

Excuse moi pour l’attente de la réponse…

Au départ c’est ce que j’avais fait, mais ça ne change rien au problème…


#6

tu as essayé sans le masquerading ?
par ailleurs, les remarques de ifmy concernant le dns etant tout à fait justifiées, tu devrais essayer sans le masq, sans relai dns, et en prenant des franges distinctes.
Je ne comprends pas l’interet de ta passerelle: je ne vois pas ce qui peux poser problême dans tes progiciels…


#7

L’intérêt de cette la passerelle est la suivante :
l’entreprise où je bosse a créé une filiale en octobre dernier et du coup à mis en place le même logiciel réseau pour sa filiale. Du coup lorsque les utilisateurs accède à ce logiciel réseau ils voient les deux sources et il ne faut pas. Voilà l’intérêt de ma passerelle. :confused:


#8

Dans ce cas, configures la juste en routeur passif, avec tout en accept dans ton iptables, regardes si ca fonctionne comme si la passerelle n’etait pas là, et ajustes juste ensuite pour bloquer l’accés mutuel aux 2 ressources du progiciel.
Simplifies au max, il sera temps de corriger aprés.