Bonjour,
 
Je bosse dans une asso et parce qu'il en fallait un pour cela, je m'occupe des ordis et du réseau. Depuis quelques semaines, nous avons des pertes de réseau (d'une page web à l'autre, en imprimant sur la laser du réseau,...) mais j'ai atteint mes limites de compétences, je suis sec, je ne trouve pas, je n'ai plus d'idée.
 
Le pb est assez spécifique et je ne crois ni au Père Noël ni à une soluce clés en mains. Mais au point où j'en suis, un regard neuf et une piste, c'est tout ce que j'espère.
 
Merci de lire ce long post et merci de vos réponses.
 

 
On a 2 bureaux et 2 point d'accès radio (Lucent/Proxim AP-2000), un dans chaque bureau, avec chacun 2 réseaux, un pour les ordis, un second noté WDS pour la communication point d'accès à point d'accès. Le firmware de ces bornes a plus d'un an, il est stable et il n'y a eu aucune modification de configuration depuis 18 mois (du reste, la dernière modification de configuration ne concernait que l'inscription MAC d'une nouvelle carte Wifi).
 
On a un firewall FortiGate qui est aussi le serveur DHCP, la passerelle internet et qui est relié au reste du réseau filaire (switch, serveurs, imprimante).
 
Le symptôme, c'est qu'en Wifi, la passerelle devient parfois injoignable (entre zéro et 10 fois par jour quand même) pour pc2 et pc1 (Wifi uniquement). Un petit ipconfig /renew dit que le serveur DHCP est injoignable. Pendant ce temps, pc1 est toujours connecté en filaire... Le firewall répond au ping en filaire, on s'y connecte, il n'y a pas d'attaque, pas de connexion parasite, pas de flux saturant, rien, tout semble normal. Les points d'accès répondent à un outil de découverte réseau Lucent, ils ne semblent pas plantés, leur "uptime" s'incrémente...
 
Le remède, c'est un reboot du firewall qui résoud tout (vachement pratique entre les 2 bureaux...).
 

• Je ne crois pas trop au piratage du réseau, encore qu'en la matière, la modestie soit de mise. Tout est protégé par des gros mots de passe, il y a blocage des devices au bout de 3 erreurs, je ne vois rien de douteux en log... et puis il y a 3 réseaux faciles à pirater dans les bureaux d'à côté !    

• J'ai pensé à une panne hardware mais le firewall continue de bien marcher en filaire et la borne ap1 est aussi connectée en filaire. J'ai interverti les câbles, j'ai changé les câbles, j'ai échangé ap1 et ap2 (cas de la carte réseau de l'un qui partirait en sucette). Ai-je fait le tour ?

• J'ai pensé à un pb software : la dernière manip de configuration du firewall date d'il y plus de 6 mois (bien antérieur au pb, j'ai quand même rechargé ma sauvegarde, par acquis de conscience mais sans succès), j'ai uploadé le dernier firmware des points d'accès, sans succès.

Le dernier point qu'il me resterait à valider, c'est... plus chiant. On n'a pas renouvelé la maintenance du firewall, trop chère pour notre budget et comme un con, juste avant la date d'échéance, j'ai bien sûr uploadé le dernier firmware sans conserver le firmware (n-1). Sans maintenance, bernique pour faire quoi que ce soit mais je n'y crois qu'à moitié, il n'y a aucune mention de ce pb dans les release notes des versions suivantes.
 
Voilà, je crois avoir tout dit alors si vous avez une idée avant que j'aille tenter de justifier à mon chef 700 €HT de maintenance du firewall qui ne résoudront sans doute même pas le pb,... ça me sauverait de la colère de mes collègues, de la fureur de mon chef qui déchirera sans doute ma fiche de congés et ma demande d'augmentation, voire même de ce week-end que je passe à essayer de comprendre. Merci !
 
 
 

Bonjour,
un petit conseil essaye de restreindre l'architecture du réseau pour localiser plus facilement le problème.
Je m'explique, utilise des adresses IP fixes pour les PC connectés à l'AP2 ainsi on saura si le firewall/serveur DHCP est en tord.
Lorsque le problème survient, PC2 peut t-il pinguer AP2 puis AP 1 ?
Regarde aussi au niveau de la gestion de l'économie d'énergie des PC (si c'est des interfaces Wifi USB)
 
Déjà avec ces étapes tu pourras savoir si :
- le lien Wifi est en cause
- le serveur DHCP est buggué

autre chose,
PC1 est connecté par Wifi et par Ethernet RJ45 ?
il y a t-il des logs du Firewall renseignant les paquets dropés ?

 
Merci de ta réponse.
- J'ai repris une illustration existante mais j'arrive à mettre en évidence le pb avec le simple trio firewall/ap1/pc1, même en IP fixe (même en IP dynamique, l'adresse est conservée après le pb, c'est juste la passerelle qui disparait).
- Le lien wifi est OK ("excellent" dixit XP), je vais vérifier mes pings et je te dis mais le ScanTool de Lucent voit bien les bornes, lui.
- le serveur DHCP continue de fontionner, en filaire.
 
Je vais tout revérifier mais le lien rouge que j'indique sur le schéma me semble bien le seul lien rompu de mon réseau.

un ping depuis PC2 vers AP1 et un second depuis PC2 vers PC1 (ou le firewall) validera ou non ton hypothèse.

 
Oui, pas forcément simultanément, mais oui et le RJ45 fonctionne après plantage.
 
Je ne sais pas forcément lire ce type de logs mais je vais aller voir, éventuellement configurer le fw pour qu'il trace ce truc.

 
Je vois ça dès que ça replante (c'est la première fois que je suis pressé que ça replante !).
En tous cas, encore merci de ton aide.

Une autre question quelle est la référence du Firewall Fortigate ?
en regardant les datasheets du modèle fortigate50a, on peut l'administrer par ssh ce qui supposerait qu'un Linux ou *BSD tournerait dessus.  

 
Désolé de ne pas encore répondre aux questions ci-dessus mais comme un fait exprès, ça n'a pas encore planté.    
 
Je ne sais si je vais avoir les trames droppées; j'ai essayé de configurer les logs proprement mais je suis limité à la taille de la mémoire du fw. Comme tu l'imagines, une asso, ça n'a pas de serveur de logs et ce genre de choses.
 
Le Fortigate est un 60 (non R). L'OS du Fortigate est un Linux mais un Linux rendu "propriétaire". D'ailleurs, ça va mal pour FortiNet car ils ont piqué plein de code libre pour en faire du code proprio, ça s'est vu et ils ont actuellement un procès en cours. J'ai dû voir passer la news en avril, ça m'arrangerait bien qu'ils soient obligés de filer les MàJ de l'OS gratos, tiens...  

Donc c'est en bonne voie  
Concernant les logs, si tu réussis à mettre la main sur une machine Linux, tu peux essayer d'utiliser Syslog pour rappatrier les logs du firewall (s'il possède un daemon syslog)

J'ai pas tout lu (désolé ) mais en passant tout le monde en IP fixe, ça donne quoi ?

 
Ça vient de planter, j'étais pc1 en Wifi, tout seul sur le réseau. Je ne peux plus pinguer le fw.
 
J'ai mis en route pc2, DHCP non joignable, IP attribuée par Windows. Je passe en IP fixe valable. Je pingue ap2, ap1 et pc1, je ne peux pas pinguer le fw. Normal et cohérent avec ce que j'ai déjà vu.
 
Sur pc1, je peux pinguer ap1, ap2 mais bizarrement pas pc2 (j'ai essayé plusieurs fois !).
 
Je branche le câble RJ45 sur pc1 et je désactive le Wifi. Le fw m'attribue une nouvelle IP (le bail est cohérent), je peux pinguer le fw mais rien d'autre.
 
Je réactive le wifi, sur pc1, pour voir... j'ai une IP automatique foireuse. Je passe en IP fixe. Je ne pingue toujours pas ap1, ap2 ou pc2 (j'imagine qu'il choisit le mauvais réseau... le réseau filaire). Je débranche alors le RJ45 et là je pingue ap1 et ap2 mais toujours pas pc2.
 

 
Sur secteur, seuls les DD et l'écran s'éteignent, jamais le PC. Et les cartes réseaux sont des miniPCI internes.
 

 
Walou ! Ça va dépasser mes compétences, ça... Je suis un poireau, moi, en réseau. Alors en Linux...
 

 
Je comprends, moi à ta place, j'aurais lâché l'affaire   . Mais si tu lis le dernier truc, y'a de l'IP fixe...
 
 
Maintenant, je vais voir les logs du fw et je reviens. A+

c'est bizarre d'après ces symptômes je penche plutôt pour un routage foireux.
Le chemin à parcourir de PC1 vers PC2 est inconnu.
Autre chose si tu connectes PC1 sur AP1 en shuntant le firewall, le problème persiste ?

 
J'ai pas touché aux tables de routage. Je dois faire quoi pour explorer ça ?
 

 
C'est ce qui se passe si je suis en Wifi avec le RJ45 débranché, non ? Ben sur mon dernier test, pc2 pingue pas pc1 mais pas l'inverse, ce qui me laisse coi.
Et au quotidien, ça merde quand même un peu; les utilisateurs d'ap2 s'aperçoivent plus souvent que le réseau est par terre avec Word qu'avec IE (l'imprimante par défaut est la laser réseau, ce qui ralentit infiniment le démarrage de Word).
 
Quant aux logs, j'ai foiré. Mais les prochaines, elles seront bonnes !    
 
Si tu penches pour un pb de routage, je vais noter ma config et faire un retour aux valeurs usine demain matin. Après tout, il n'y a que 25 adresses MAC et une cinquantaine de copie d'écran, c'est pas la mer à boire... mais ce Fortigate, il nous aura créé plus de galères qu'il n'aura résolu de problèmes    
 
Merci encore.

je voulais dire de connecter PC1 à AP1 à l'aide d'un câble RJ45 (l'ethernet par câble est plus fiable que par les ondes hertiezenne )
Le but pour l'instant est d'isoler le Firewall pour voir si c'est l'origine du problème.

 
Tout fonctionne bien depuis 5 jours maintenant. Je n'ai pas resetté le fw aux valeurs usine comme je m'y préparais, bien que j'aie fait la soixantaine de copies d'écran nécessaire (ça me fera au moins une bonne doc en cas de crash !), j'ai simplement supprimé la seule règle de routage statique qui trainait là (pas moi qui l'y ai mise et elle m'a semblé imbitable...   ). Et j'ai aussi bien chiadé les logs maintenant.
 
Donc victoire sans gloire, je n'ai toujours pas compris ce qui se passait mais ton impression était la bonne, jlighty : routage foireux manifestement. Je ne vois que l'oubli de la séquence download des paramètres/upgrade firmware/upload des paramètres pour expliquer le foirage. Merci en tous cas de m'avoir "routé" vers la soluce.