Bonjour,
 
Suite a la migration de notre firewall, nous avons des problème pour la communication avec un de nos prestataires.
Du nat est mis en place, et je pense que je fais mal la configuration car transition de V8 vers V9 entre l'ancien et le nouveau netasq.
 
Ancienne config :
 

 
Nouvelle config :
 

 
 
J'arrive bien a pinger crl par exemple, par contre, lorsque je veux accéder au site web, ce n'est pas possible.

Bonjour,
 
En fait si je comprends bien les différents serveurs sont derrière le netasq, et ne sont pas joignables ? tu souhaites du nat pour permettre au traffic entrant de joindre ces serveurs ?  
 

A relire Tes nouvelles règles il me semble voir une incohérence :  
 
Ton objet "Firewall"  porte ton ip publique ? si tel est le cas je pense qu'il doit plutot être en source translatée et pas en destination.

la source before translation = mon lan
destination before translation = les sites à atteindre
destination after translation = IP du port sur le firewall
 
si jamais je met firewall lia en source, je ping plus, mais c'est en effet, ce que j'ai pu voir sur le net a priori sur pas mal d'endroit donc je pense que la la conf est mauvaise.
 
Demain je vais tenté de remettre l'ancien netasq et voir si ca fonctionne toujours ou pas, parce que c'est quand meme assez étrange comme phénomène je trouve au final !
 
Je vous tiens au courant.

Salut,
 
En destination c'est pas les serveurs qui doivent être renseignés ?
 
A+

je ne connais absolument pas le nat j'en ai fait pour ma box et l'interface est bien plus simple c'est source destination.
La il y en a 2 de chaque donc je ne comprends pas tout.

Je sais juste que la conf 1 fonctionne et la 2 non donc après je suis près à faire les tests que vous m'indiquez et modifier ce qu'il y a a modifier vu qu'aujourd'hui ce n'est pas fonctionnel ^^

mais actuellement le serveur est bien désigné en destination (pre translation)

Bonjour,
 
voici un exemple de règle de nat pour faire sortir N machines vers internet :
 

 
Comme tu le vois, l'objet source après translation est l'objet qui porte l'ip publique. Peut-être pourrais tu tester en mettant any en destination translatée ?

Si je fais ce que tu dis la j'ai pas de ping.
 
J'essaye de revenir avec l'ancien netasq tout en ayant le nouveau mais je me heurte a un autre probleme ca fait une boucle -_-
Je branche juste 1 cable sur le port lan avec une IP differente, et il me trouve une boucle je capte pas pourquoi....
 
faut que j'avance la dessus deja

Peut-être que tu n'as pas de règle de filtrage qui laisse passer icmp ? en tous cas je peux t'assurer que cette conf est fonctionnelle ^^ . Pour remettre l'ancien Netasq il faut que tu prennes un port dmz, que tu lui demandes de porter un ip qui est dans ton lan (pas la meme que ton nouveau) et que tu connectes le port dmz que tu as conf sur un switch de ton lan.  
 
Ce type de matériel est plutot efficace mais pas évident quand on est pas coutumier, ni par forum interposé Courage tu vas y arriver !  

Ce type de matériel me pose ENORMEMENT de probleme.
Ca c'est le plus petit.

Le plus gros qu'on a actuellement, c'est qu'on a un vlan machine , et le firewall gere la communication avec notre reseau informatique.

Tous les jours, on reboot le fw car le reseau informatique ne communique plus avec les machines. Suite au reboot, ca refonctionne.
Parfois le fait de faire un passall puis appliquer de nouveau le filtrage corrige le probleme.

La on sait pas quoi faire... plus aucun poste ne ping le reseau machine quand le problème se produit.

C'est un vlan classique le mtu etait a 1500 ou 1496 (je sais pas pourquoi) et le problème est le meme. Au niveau des regles de filtrage, c'est bien en open du lan vers machine et machine vers lan pourtant

Notre netasq est configurer en bridge donc pas de dmz ^^ (nouveau et ancien)

en gros le nouveau a pour ip lan .10 l'ancien j'ai mis .9
et j'ai pris un cable du nouveau que j'ai remis sur l'ancien la ou la conf est identique au niveau ip et configuration.

Pour faire simple :

Voila ce que j'ai fais. Quand je fais ca je vois sur les logs du switch qu'il détecte une boucle sur l'ancien, même si seulement le cable 1 est connecté.

Par contre, si je branche le netasq sur une prise murale a coté de moi, aucun problème (peut être le STP n'est pas aussi efficace sur ce switch la ? ).
La je me retrouve bloqué au final pour pouvoir tester xD le but étant d'avoir la connexion sous traitant sur l'ancien sans toucher à la prod.

ce que tu appelles "nouveau cable ancien 1" ça t'emmene vers quoi comme équipement ? tu l'as branché sur quel port du nouveau netasq ?

C est je prend un nouveau câble que je branche sur l ancien port 1.
 
Donc en gros aujourd'hui sur le nouveau j ai le LAN 1 de branche et c est tout et sur l ancien le 1 et 2

Je vais essayer de faire un plan un peu mieux tout à l heure cq pourra aider peut être
 
Mais en gris j ai juste pris le câble qui correspond à la destination que je veux atteindre avec un nat du nouveau pour le mettre sur l ancien la ou c était fonctionnel avant

Bon bé j'ai pas eu le temps de faire le schema explicatif les gens de l'atelier gueulent et les responsables en ont marre que ca fasse que bugger.
Apres quelque recherche sur le netasq nouveau on rencontre des buffer overflow qui sont générés je ne sais pas comment.  
Tu sais comment on peut régler ce problème ?
 
En gros si je me suis bien doccumenter, le netasq arrive plus à traiter les requêtes et donc il bloque tout à partir de ce moment la.  
Pourtant le CPU est ok, donc quelle est la partie qu'il faudrait optimiser ?  
Ou si tu peux me dire les élèments dont tu as besoin pour que tu puisses m'aider ?
 
MErci d'avance  (cela n'a rien a voir avec le soucis de nat bien evidement)

C'est jamais évident quand on a la pression ^^.
 
T'as des conf particulière sur ton netasq? Genre vpn? Dans tes règles de filtrage tu fais du déchiffrement de flux https (proxy ssl ) ? Sur stormshield il y a un mode diffusion restreinte ( de mémoire dans système > configuration , mais à vérifier) tu as cette option? Si oui , est-elle cochée ?
 
Si rien de tout ça il serait sans doute bon de faire un backup de ta conf , réinitialiser le netasq et recharger la conf, ou même.la refaire de zéro si pas trop de règles dessus .
 
Sinon si après tout ça tu as toujours le.problème je pense que tu seras bon pour voir avec la maintenance du netasq ^^

Rien concernant le VPN
 
En gros le netasq est utilisé pour :
 
routage intervlan et donc filtrage entre ces vlans la.
rien mis en place de plus complexe que ca.
j'irai voir pour le mode diffusion restreinte mais ca me dit rien.
 
bé le netasq a été refais a 0 déjà il y a peu vu qu'on a remplacer le u70 par un u30 pensant que le problème venait de la version de netasq (8 -> 9)
 
Et bien sur, on a pas de support

Tu me ferais un screen de tes règles de filtrage ? il a été refait mais rechargé depuis un backup ou refait à la main ?

tout refait a la main.
je peux faire ca oui si tu veux

Je regarde pas en détail mais déjà toutes les règles "pass" en mode "Firewall" c'est ignoble.
 
A mon avis faut que tu appelles qq'un qui connaisse le produit.

Bonjour,
 
Merci pour ta contribution.
Ce n'est pas envisageable malheureusement. J'ai déjà demandé au responsable de pouvoir faire venir quelqu'un mais ce n'est pas possible. Il me dit tu cherches et tu trouves pour faire vite ^^
 
Il m'a dit que firewall c'était la ou il y avait le moins d'inspection possible à priori et donc le moins de risque de blocage possible.
 
En gros la config est faite pour qu'uniquement le reseau public et lan soit vraiment protégés.
 
Je n'ai vraiment aucune connaissance sur le produit, je ne vais pas le cacher.
Le seul truc que je vois, c'est qu'on se retoruve avec un netasq qui bloque du trafic qu'on ne voudrait pas.  
Et sur le net chercher buffer overflow ne renvoit pas grand chose.  
Le monde de la securité netasq est vraiment petit sur google !
 
J'apprécierai donc un petit peu d'aide si c'est possible !
 
C'est surement pas best practice ce qu'on fait et j'en convien tout a fait. Mais je suis pas du tout fermé à tes propositions si jamais ^^
 
IPS_02 c'est ips par defaut sauf qu'on a desactive l'usurpation d'ip

J'ai pas suffisamment de tps en ce moment pour regarder un peu plus en détail ton problème.
 
Effectivement en mettant tout en firewall tu as le minimum d'inspection.
Mais du coup tu perds tout l’intérêt du produit.
 
Après j'ai bien compris que ta priorité c'est de faire en sorte que ça marche (ce qui est compréhensible) avant d'optimiser, splinter s'est proposé pour t'aider.
Y a combien de machines (pc et serveurs) derrière ce u30s ?

oui on perd l'intérêt du produit je suis d'accord mais la seule inspection réelle qu'on souhaite faire c'est le trafic public -> lan et inversement vu qu'on a une borne wifi avec le reseau public un peu plus open derriere.
 
Tout a fait c'esqt ma priorité surotut la ou la prod est impactée.
 
En nombre je sais pas trop te dire, mais ce qui est sur, c'est qu'on avait un U70 en version 8 avant, et même problème exactement.  
c'est a dire que ca marchote.
On dirait qu'a  un moment il est full et bloque tout, puis ca remarche si on reboot ou attend longtemps.
 
Mais niveau machine 10 environs oui et pc 20 autour

personne ?

Bon alors en effet ma régle de nat n'allait pas il fallait qu'elle soit dans source.
 
Mon problème réel, je m'en suis rendu compte en faisant un tracert.
Ca ne passait pas par la bonne route.
 
et la ca a fait tilt...
 
Je n'avais pas configuré le routage entre le lan et le reseau naté ^^  
problème de noob pour un noob il en fallait pas plus pour moi xD
 
Le problème des machines, c'est bien plus hard j'ai l'impression

Hello ,
 
désolé pour l'absence, grosse charge au travail en ce moment    . Donc ta règle de nat c'est réglé, concrètement quels autres problèmes rencontres-tu ?  toujours le buffer overflow ? je n'arrive pas à accéder a ton screenshot de tes règles de filtrage, mais comme dit plus haut, avoir un firewall et shooter l'ips c'est un peu dommage ^^ .  
 
Comme tu dis Netasq c'est un petit monde, mais il ne faut pas oublier que c'est du matos pro donc déjà bien ciblé, avec un support derrière et un réseau de prestataires qui fait que les gens ont rarement besoin de faire appel aux ressources du net, et c'est en plus un produit qui est en fin de carrière, au profit des nouveaux boitiers de la nouvelle entité Stormshield.

Hello, ça pourrait être chouette de mettre tes captures d'écran ailleurs que sur hostingpics parce qu'elles ne s'affichent plus.
 
Tu peux héberger tes captures sur HFR rehost.
 
La migration V8 -> V9 n'est pas du tout anodine. Le fonctionnement du parefeu est grandement modifié, la configuration également.
Dans l'idéal, quand on bascule un parefeu de V8 à V9, il vaut mieux repartir à 0 au niveau de la conf...
 
@+

Oui toujours ce soucis de buffer overflow et c est bien le seul problème à régler.
 
Comme expliquer nous n avons plus de support et la hiérarchie ne veut pas en payer ni payer un prestataire pour aider à résoudre ce problème.
 
Si jamais quelqu'un peut m aider ici tant mieux sinon be tant pis je peux comprendre aussi
 
La migration à été faite de 0 sur le v9 tout à été refait mais même en v8 le problème existait également

Je pense que ton boitier à un problème au niveau hardware, et je pense que nous avons fait le tour du problème. Tes chefs devraient comprendre que quand un équipement est défaillant on le remplace, équipement qui devient de toute manière obsolete par la fin du support . Même sans contrat de maintenance, pour moi l'achat d'un nouveau modèle risque de s'avérer inévitable à terme. Je t'aurais bien proposé de faire un rapport technique mais de toutes manières tu n'auras pas de support pour l'exploiter ce rapport donc ça ne donnera pas grand chose.

Le problème était identique avec un u70 donc j ai du mal à penser que ce serait hardware...

Tu peux me montrer via capture d'écran en quoi consiste ce message d'erreur de buffer overflow stp ?

Je rejoins splinter_five0 sur la maintenance, quand les responsables d'entreprises comprendront qu'en cas de panne d'un équipement crucial au sein d'un réseau informatique, ils perdront plus d'argent qu'en ayant souscrit au contrat de maintenance...

Enfin bref, on s'égare !

À mais moi je vous rejoins à tous les deux pour la mabtenabce.
C est pas comme si on avait un expert netasq en interne donc bon...
 
On bidouille un peu pour que ça réponse au besoin mais on sait très bien qu on est pas best practice.
Après concrètement aujourd hui notre but est de sécuriser en terme d isolement uniquement l accès public du LAN et inversement le reste non.
Donc la solution envisagé pour ça et qui sera mise en place du on résous pas ça ce sera de passer par le switch coeur de réseau l3 pour faire la communication intervlan

Bonjour,
 
Je ne suis pas un expert Netasq mais plutôt un utilisateur moyen.
 
Pour ma part, je pense qu'il est fort probable que vous ayez un soucis au niveau de la mémoire flash de votre u70 (problème récurent sur ce modèle).
 
j'ai 6 appliances de ce type et nous rencontrons encore ce soucis.    
 
 
 
Par contre je n'ai pas saisi votre dernier commentaire, vous voudriez changer votre FW par un switch L3 ?

C'est bien la première fois que j'entends parler d'un pb récurrent vis à vis de la flash des U70... Et pourtant, mes collègues et moi même en avons installé plusieurs dizaines de ces petites bêtes !
Le principal défaut hardware qu'on ait rencontré chez Netasq, c'était les alim faiblardes des F25/50/60.

Alors merci pour votre contribution.
 
Cependant, comme j'espère j'ai du l'écrire ^^ nous avons le probleme sur un U70 mais aussi un U30s donc je ne pense pas que ce soit un problème hardware sur ces 2 netasq...
 
Ils font plutot bien le travail en dehors de ca ^^
 
Enfin, le 70 est au placard la du cou maintenant et le 30 l'a remplacé mais même soucis

C'est donc un problème de configuration.

Absolument d accord

Très probablement oui (pardon j'avais pas compris non plus qu'on parlait de deux boitiers différents ^^ ) au niveau routage tu as quoi ?

juste le routage statique de notre sous traitant qui me posait le probleme du nat.
et en passerelle notre routeur de sortie.