Bonjour a tous,
 
Voici le réseau :
 

EDIT : NE REGARDEZ PAS CE DESSIN, IL N EST PAS TRES PARLANT !!!!!
          ALLER DIRECTEMENT SUR LES DESSINS QUI SONT UN PEU PLUS BAS.
 
Donc pour l'instant il manque le routeur cisco 2500 et le PIX.
(J'instal le routeur demain, pour le pix, on verra plutard)
 
Je doit donc faire du NAT sur le cisco 2500 afin que les gens du LAN2 puissent avoir une connection internet.
Connexion securisé par le PIX, mais on n'en est pas encore la.
 
J'aimerai avoir de l'aide de la part de ceux qui ont deja fait ca.
 
Y a t'il une procédure bien détaillé sur le net ?
 
Le but du jeu, c'est que tout les pc du LAN2 sortent sur le net avec un seul adresse IP publique.
(Donc translation de port mais la je n'ai vraiment aucune base).
 
Alors voila, j'attend votre soutient et j'espers que demain j'aurais plein de post d'aide pour mener a bien cette délicate mission.
 
Merci d'avance, et a bientot.
 
 

je comprens pas pourquoi tu veu faire du NAT pour le net ici ?!?
 
mise à par si tu désire faire des serveurs ftp/HTTP/SMTP ...
 
si c'est just pour le net configure les passerelles et le tour est joué ...
 
Zorh

En fait je vien d'apprendre un nouveau truc (qui a toute son importance) par mon chef :
 
Le LAN 2 ne doit pas aller sur le net en passant par le pix, il doit aller sur le net en passant par le 1721.  
(cette connexion est deja existante)
 
La connexion internet par le PIX est en fait une connexion destiné a faire un VPN.  
(connexion a créer et a configurer)
 
Cette derniere information ne fait que de me compliqer un peu plus la tache, et du coup j'aimerai avoir un peu plus d aide...
 
 
Merci pour ta reponse zorh

le Nat te servira pour les connections Input, je t'explique.
 
Ton Lan 192.168.1.0
Ton server FTP 192.168.1.254
 
Ton IP WAN 192.168.2.1
 
IP WAN distante 192.168.3.1
 
Ici 3.1 demande une connection au server FTP à 2.1 mais ici comment savoir quel PC est le server FTP ?
c'est ici que le NAT entre en jeu, le routeur avec une table NAT bien configuré saura que pour une demande en port 21 ( FTP ) il faudra faire un demande LAN à 1.254
 
tu c'est maintenant le principe du NAT (basique hein ?)
 
Zorh
 
EDIT: j'avait pas vu ta réponse
 
Dans ce cas je ne comprens pas tout ...
 
le 1721 est connecter directement au net alors ?

En fait, tous les postes du LAN 2 on comme passerelle le 1721, donc il passe par le LAN 1 qui lui est relié au net et est protégé par un firewall checkpoint.
 
Donc leur acces au net est comme ca.
 
Par contre, il veulent faire un VPN entre le LAN 2 et un autre site (via internet)
Mais pour cette connexion VPN, il ne doivent pas aller sur le net en passant par le 1721, mais en passant par le 2500.
 
Je ne sait pas si je suis tres claire, n'hesite pas a me poser d'autre questions.
 
Donc en gros, je ne vois pas pourquoi il faut faire du NAT, et j'aimerai avoir de l'aide concernant le VPN ou quelques tuto sur celui-ci.(Pas du fonctionnement, mon prof m'en a deja assez parlé, mais de la configuration)
 
Merci encore.

sur le pix y a un wizard extrement simple dans l'interface graphique pour faire le VPN.

donc si je comprens bien, le lan 2 n'aura pas le net mais aura aces à un site externe soit en intranet.
 
dans ce cas le lan deux aura comme passerrelle le 2500 et à toi de configuré le PIX en connection VPN par le net
 
le NAT ici aura le lieu effectivement il faudra établir une translation entre le port 80(HTTP) du LAN 2 et le port 1723(VPN) coté PIX ( net ).
 
je pense que c'est la réponse à ta question.
 
Zorh

bon sur ce je débauche à demain si tu n'as pas résolu ton problém.

 
Merci de ta reponse, je note ca.    
 
Sinon si vous avez un petit tuto sur translation de port + VPN pour cisco (sans interface graphique) je suis preneur.
 
Je n'ai pas la flemme de chercher, j'en ai trouvé quelques uns; mais si vous n'avez pas les memes...
 
Enfin bref si vous en avez postez les svp, meme si je l'ai deja, ca pourra toujours servir a quelqu'un pour le suite.    
 
Merci encore a vous
 
 

sur le pix y a rien à faire; le wizard VPN fera tout pour toi : les ACL; le tunnel IKE; le tunnel IPSec etc...
 
Par le mode console; c'est meme pas la peine, les commandes sont à gerber...

Petite precision, je croit bien que je doit faire le NAT et le VPN sur le routeur cisco 2500 et non sur le PIX.
 
Le PIX ne servirait que de firewall qui laisserai passer uniquement le VPN.
 
Pourquoi sur le cisco 2500 ? ==> pour je ne sait qu'elle raison mon chef m'a dit qu'on ne pourai prendre la main uniquement sur le cisco par la suite,  
et non sur le PIX...    
 
===> donc tout sur le 2500...
 
C'est pour ca que je disais que le PIX on verrai ca plutard dans mes premiers post.
 
Enfin bref, je suis degouté car vos solutions etaient tres bonnes...    
 
Merci quand meme les amis !    
 
Sinon, si avec les dernieres informations que je viens de vous donner, vous avez : des tuto, une experience vécu, ou tout ce qui peut m'etre utile,
je suis preneur !
 
Merci encore.
 
 

Salut
 
Bon , avant de pouvoir t'aider , il faudrait être plus clair , car là , en lisant tous les posts , y'a des trucs
que je ne pige pas .
 
Quel équipement est relié au NET directement ? (C2500 , C1721 , PIX506E)
As-tu un pool d'IP Public (genre un /29, /30 ..) ?  
 
Les morceaux que j'ai (semble-t-il plus ou moins) compris sont :
 
le LAN2 accède à Internet en passant par le LAN1. La passerelle du LAN2 est le C1721.
par contre pour accèder au NET le LAN1 passe par quoi ? Le C2500 ?
 
le PIX est connecté sur quel LAN (1 ou 2) ?
 
Tu parles d'une appliance comme Firewall ... c'est la passerelle du réseau général ??
 
Il y a trop d'inconnu pour répondre sans se tromper ! Il faut un peu éclairer nos cerveaux !
 
Sinon , ce que tu souhaites faire c'est :
 
Le LAN1 accède à Interne en passant par le LAN2
la passerelle du LAN1 c'est le C1721
la passerelle du LAN2 c'est le C2500
la passerelle du VPN c'est le PIX506E qui se trouverait dans la LAN2 !  
 
C'est bien çà ?
 
Un PIX c'est bien , mais çà a pas mal de limite , il serait preferable d'avoir des bons routeurs
genre C1800 , C2600 voir C2800 (la serie C3x00 ne servirait à rien ici) pour réaliser ton
projet , m'enfin , si tu n'as que çà , y'a toujours moyen , le C1721 sera bien plus performant
qu'un C2500 !
 
voili
 
@+
Raven

un PIX c'est pas un routeur. Celui qui se sert d'un PIX comme un routeur n'a rien compris. Donc si tu veux faire du routage, un routeur avec IOS Firewall est plus approprié.

salut, merci de ta reponse r4ven !
 
Donc je vais essayer de t'eclaircir un peu :
 

 
 
 

 
J'avoue quand regardant bien mon 1er dessin, c'etait pas tres parlant...
 
J'espers que c'est deux petits dessins vont te faire comprendre un peu comment est foutu mon reseau.
 
N'hesite pas a reposer des questions si ce n'est pas tres claire.
 
Merci encore et a bientot
 
 

dans ton cas le routeur 2500 ne sert à rien.
 
Tu mets une adresse du lan 2 sur une interface interne du PIX, et sur les postes du LAN 2, route par défaut qui va vers le 1721; et une route statique vers le site distant VPN avec comme prochain saut l'adresse interne du PIX. Et c'est le PIX qui fait le VPN.

merci de ta reponse dreamer18.
 

 
Ca je savais deja...
 
Le probleme c'est que pour je ne sait quel raison, nous ne pourrons plus acceder au PIX a distance par la suite alors que nous pourrons acceder au 2500.
 
Donc voila, ont ma demander de faire du NAT et un VPN avec le 2500 et d'utiliser le PIX uniquement comme firewall.
 
D'autres avis pour faire un VPN ?
Du NAT ?
 
Merci encore  

je comprends pas trop pourquoi vouloir absolument passer par un routeur, sachant que ça ammène de la complexité au niveau infrastructure et adressage (pour etre honnete, je trouve meme ça completement débile).
 
Peux-tu me dire quel est le problème avec le PIX ? Si c'est un problème d'accès à l'interface d'admin, poste un sh ver et un sh run ici.

Re
 
Bon , tes dessins sont bcp plus comprehensible. Neanmoins , Dreamer18 a raison .
Le PIX de base filtre tout et refuse les connexions entrantes (c'est un firewall), c'est donc
pour celà que tu ne peux surement plus avoir accès à distance.
 
Donc, tu as 3 choix :
 
1) Tu appliques la solutions de Dreamer18
 - Routeur C1721 comme passerelle LAN2
 - Routes statiques des pools distants vers le PIX
 - Le PIX est directement connecté à Internet (via un modem Ethernet par exemple)
 
2) Solution avec C2500
 - Routeur C1721 comme passerelle LAN2
 - Routes statiques ou dynamiques des pools distants vers C2500
 - Le Routeur C2500 termine les VPN et est relié directement à Internet
 
3) Solution mixte (surement ce que tu souhaites avoir mais inutile)
 - Routeur C1721 comme passerelle LAN2
 - Routes statiques ou dynamiques des pools distants vers C2500
 - Le routeur C2500 termine les VPN et est relié au PIX
 - Le PIX est relié à Internet , fait du NAT et PAT vers le C2500 (port 1723 par exemple)
 
Honnetement , la meilleur solution reste la 2 , un routage dynamique permettant une gestion
plus facile , et l'avantage avec Cisco , c'est que tu peux faire de l'EIGRP.
 
voilà
 
@+
Raven

Merci pour toutes vos reponses !
 
Comme tu l'a dit raven, ce que je souhaite faire c'est ta solution 3 (mixte).
 
Elle est donc inutile ?
Je pensais que le PIX amenerai un niveau de securité en plus    
 
J'ai le PIX et le routeur sur les bras, donc si c'est d'un point de vue : "ce que ca apporte" / prix, ne vous inquiétez pas pour ca.
Si ca apporte quelque choses ou vraiment rien, dite le moi svp ... (confirmation?)
 
Merci encore pour toutes vos reponses

Bonjour
 
Donc , c'est ma 3ème explication qui t'interesse.
 
Concernant cette solution , le PIX n'a que peu d'interet , puisque tu l'utilises comme FireWall. Il faut
savoir qu'un routeur Cisco utilisant un IOS Firewall fera la même chose qu'un PIX. Plus le routeur
sera puissant plus tu pourras monter de Tunnel.
 
Dans ton cas , le C2500 sera limité , il s'agit d'une très vielle serie de routeur. Aussi c'est surtout
lui qui sera "inutile". Tu ne pourras pas terminer de VPN dessus (sauf des Tunnels sans cryptage).
 
De ce fait , il est preferable d'utiliser le PIX pour terminer les tunnels.
 
M'enfin , si tu veux vraiment utiliser ton C2500 , tu devras modifier un peu ta config et te retrouver avec
un LAN3 (entre le C2500 et le PIX).
 
Donc , tu il faut faire comme suit :
 
- Avoir 2 accès à Internet distinct (donc 2 abonnements , 1 abo doit avoir une IP Fixe)
- Le firewall Checkpoint est relié à Internet (Abonnement 1 sans IP Fixe)
- Le LAN1 (172.16.x.x/16) utilise comme passerelle le firewall Checkpoint.
- Le C1721 fait office de passerelle entre le LAN1 et la LAN2
 - Des routes statiques ou dynamiques sont redirigées vers le C2500
- Le LAN2 (192.1.90.x/24) utilise comme passerelle le C1721
- Le C2500 fait office de passerelle entre le LAN2 et le LAN3
 - Des routes statiques ou dynamiques sont redirigées vers le C1721
 - Des routes statiques ou dynamiques sont redirigées vers le PIX506E
- Le LAN3 (10.0.0.x/30) ne sert qu'à relier le C2500 au PIX506E
- Le PIX506E est relié à Internet (Abonnement 2 avec IP Fixe)
 - Des routes statiques ou dynamiques sont redirigées vers le C2500
- Les VPNs se terminent sur le PIX506E.
 
Si tu veux que les VPNs se terminent sur le C2500
- PAT des ports utilises pour le VPN (à définir en fonction du type de VPN retenu) du PIX506E vers le C2500
- Les VPNs se terminent sur le C2500
- Un NAT (pour la parano ?) peut être configuré sur le C2500 entre l'interface relié au LAN3 et l'interface relié au LAN2
 
M'enfin , je trouve que c'est LOURD comme solution.
 
Dans tous les cas , les utilisateurs du LAN2 accèdant aux sites distants devront passer par le C1721, puisque c'est
leur routeur de passerelle, si tu ne souhaites pas qu'ils l'utilisent , tu devras mettre en place des routes statiques
sur tous les postes devant avoir accès aux sites distants (je ne te raconte pas le boulot et l'éfficacité du truc).
 
Je pense t'avoir répondu
 
Bonne journée
 
@+
Raven

Bonjour a tous et merci de vos reponses.
 
Alors voila, j'ai d'autres infos :
 
Donc le PIX ne seras pas geré par nous mais par une autre societe qui fera le VPN + config firewall. (ca c'est fait)
 
Je doit donc configurer le 2500 juste pour faire du NAT.
 
Explication simplifié :
 

 
Donc voila, maintenant je sais réellement ce que je doit faire.
 
J'aimerai donc avoir de l'aide sur les commandes pour faire cette translation d'adresse.  
(ma plage d'IP du LAN 2=> un autre plage d'IP)
 
Merci a vous tous pour vos reponses constructives.
 
 

Re (je passe en coup de vent)
 
Pour ton histoire de NAT, il suffit d'utiliser les commandes :
"ip nat"
 
Voici quelques liens qui t'aideront :
 
http://www.cisco.com/en/US/tech/tk [...] 4422.shtml
http://www.cisco.com/en/US/tech/tk [...] 3f31.shtml
http://www.cisco.com/en/US/product [...] 7d163.html
 
@+
Raven

Merci enormement, tes liens mon beucoup aidé.    
 
Bon maintenant j'ai un nouveau probleme, enfin je crois.
 
Voici le show run :
 

version 12.0
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
service udp-small-servers
service tcp-small-servers
!
hostname CG_NAT_MDPH
!
enable secret XXXXXXXXXXXXXXX
enable password XXXXXXXXX
!
ip subnet-zero
!
interface Ethernet0
 ip address 192.1.90.254 255.255.255.0
 no ip directed-broadcast
 ip nat inside
!
interface Ethernet1
 ip address 192.168.179.254 255.255.255.0
 no ip directed-broadcast
 ip nat outside
!
interface Serial0
 no ip address
 no ip directed-broadcast
!
interface Serial1
 no ip address
 no ip directed-broadcast
!
ip nat pool natMDPH 192.168.179.2 192.168.179.200 netmask 255.255.255.0
ip nat inside source list 10 pool natMDPH
ip classless
!
access-list 10 permit 192.1.90.0 0.0.0.255
!
line con 0
 transport input none
line aux 0
 transport input all
line vty 0 4
 password cisco
 login
!
end
 
Donc voila quand je fait un show ip nat translation voila ca qu'il me dit :
 
Pro Inside global      Inside local       Outside local      Outside global
--- 192.168.179.2      192.168.179.254    ---                ---
 
Si quelqu'un a une remarque ou une idée, je suis preneur !
 
Je pense que l'adresse Inside global ne doit pas etre dans le meme reseau que l'adresse Inside local... sinon j vois pas l'interet du nat...    
 
Je remercie d'avance mes futures sauveurs...
 
 

inside global c'est l'adresse publique. Inside local sont les adresses privées.

Merci de ta reponse dreamer18    
 
seulement dans mon cas je doit translater une ip privé en une autre ip privé
 
Donc voila, j'arive maintenant a avoir ce que je voulai, ping de 192.1.90.20 vers 192.168.179.10 :
 
04:44:45: NAT*: s=192.1.90.20->192.168.179.3, d=192.168.179.10 [51968]
04:44:45: NAT*: s=192.168.179.10, d=192.168.179.3->192.1.90.20 [17560]
04:44:46: NAT*: s=192.1.90.20->192.168.179.3, d=192.168.179.10 [52224]
04:44:46: NAT*: s=192.168.179.10, d=192.168.179.3->192.1.90.20 [17561]
04:44:47: NAT*: s=192.1.90.20->192.168.179.3, d=192.168.179.10 [52480]
04:44:47: NAT*: s=192.168.179.10, d=192.168.179.3->192.1.90.20 [17562]
04:44:48: NAT*: s=192.1.90.20->192.168.179.3, d=192.168.179.10 [52736]
04:44:48: NAT*: s=192.168.179.10, d=192.168.179.3->192.1.90.20 [17563]
 
MAIS j'ai un probleme ( sh ip nat translation) :
 
Pro Inside global      Inside local       Outside local      Outside global
--- 192.168.179.2      192.168.179.254    ---                ---
--- 192.168.179.3      192.1.90.20        ---                ---
 
Mon probleme c'est que l'interface 192.168.179.254 translate en 192.168.179.2 (ce qui est inutile)
 
Donc j'aimerai savoir comment faire pour que cet interface ne se translate pas !
 
Merci encore a tous.  

Bon beh en fait c'est bon...                
 
apres une petit reboot du routeur.    
 
CG_NAT_MDPH>
00:26:49: NAT*: s=192.1.90.20->192.168.179.2, d=192.168.179.10 [17408]
00:26:49: NAT*: s=192.168.179.10, d=192.168.179.2->192.1.90.20 [16089]
00:26:50: NAT*: s=192.1.90.20->192.168.179.2, d=192.168.179.10 [17664]
00:26:50: NAT*: s=192.168.179.10, d=192.168.179.2->192.1.90.20 [16090]
00:26:51: NAT*: s=192.1.90.20->192.168.179.2, d=192.168.179.10 [17920]
00:26:51: NAT*: s=192.168.179.10, d=192.168.179.2->192.1.90.20 [16091]
00:26:52: NAT*: s=192.1.90.20->192.168.179.2, d=192.168.179.10 [18176]
00:26:52: NAT*: s=192.168.179.10, d=192.168.179.2->192.1.90.20 [16092]
 
Pro Inside global      Inside local       Outside local      Outside global
--- 192.168.179.2      192.1.90.20        ---                ---
 
Merci a tous pour votre aide, maintenant je cherche a savoir comment faire un script pour ajouter une route statique sur tous les pc du lan mais je vais poster ca dans la categorie software...enfin je pense...
 
A bientot,  

pour ajouter des routes sur des PCs, on peut le faire via une option de DHCP