none
Pb d’accès distant a un 2eme réseau local RRS feed

  • Question

  • Bonjour a tous.

    description du problème :

    nous avons des PC isolés gérants des processus industriels de  configuration semblable comprenant des automates programmables (éléments sensibles a ne pas exposer sur internet).

    Le PC a un accès internet a travers une box  qui génère un réseau local 192.168.1.xx  Certains composants (genre camera)  sont raccordés sur ce réseau pour une visibilité su internet.

    Un 2eme réseau local est créé par une carte réseau ajoutée sur le PC pour les dispositifs "sensibles"  Cette carte génère un réseau de type 192.168.10.xx

    Afin d’accéder a distance a ce réseau un modem (RTC) est placé sur une ligne téléphonique en liste rouge et interfacé comme  "connexion entrante" sur ce PC.

    La configuration de cette "connexion entrante" définie une plage de 2 adresses ( c'est le minimum autorisé) sur ce 2 eme réseau local (exemple 192.138.10.200 & 201) alors que les dispositifs sensibles sont dans la plage 192.168.10.101 a 120) et que la carte elle même a été définie a l'adresse 192.168.10.100

    L’accès aux périphériques  sensibles est donc réservée aux connexions par réseau téléphonique et en aucun cas par internet. (règle de sécurité oblige)

    tout allait bien avec des PC sous XP ou Seven. 

    le problème survient avec la 1er PC que nous avons placé sous Windows 8.1

    avec ce système d'exploitation configuré comme habituellement, il s’avère impossible d’accéder aux périphériques sensibles du reseau 2 depuis la connexion téléphonique habituelle.

    L’accès PC est seulement possible.

    Y a t-il une modification de sécurité sous 8.1 qui expliquerait cette difficulté ?

    si oui .. comment ouvrir cet accès a ce 2 eme réseau pour poursuivre l'exploitation que nous utilisions jusque la ?

    nota important : en local depuis ce PC l’intégralité des 2 réseaux est visible et accessible.

    merci d'avance a ceux qui proposeront des solutions 

    vendredi 20 mars 2015 09:42

Toutes les réponses

  • Bonjour,

    Si je résume : tu as des PC qui disposent de 2 cartes réseau :

    • une carte réseau sur un LAN en 192.168.1.0/24, connecté à Internet
    • une carte réseau sur un LAN en 192.168.10.0/24, connecté à des périphériques sensibles

    Le PC en question a un modem RTC branché dessus, et configuré pour accepter des connexions entrantes.

    Ensuite, depuis l'extérieur, tu te connectes via la connexion RTC à ce PC pour accéder aux périphériques sensibles.

    La première question est : comment te connectes-tu sur ces périphériques (protocole ? port ? application ?)

    La seconde question est : comment t'authentifies-tu sur ces périphériques (authentification Web, NTLM/Kerberos, authentification propriétaire constructeur) ?

    Enfin, t'es-tu assuré que la machine Windows 8.1 dispose des mêmes paramètres de pare-feu que les machines XP/Windows 7 ?


    Cordialement,

    Sylvain

    Blog : http://sylvaincoudeville.fr

    vendredi 20 mars 2015 10:15
  • bonjour et merci pour ton aide.

    quelque soit le port .. même avec un port 80 banal  ce periph n'est pas visible.

    On utilise superscan sur le PC local et sur les 2 réseaux tous les periph sont visibles.

    une fois connecté depuis le PC Client en rtc seul le PC client est visible.

    il n'y a pas de précaution particulière sauf l'identification Windows .. Faut être utilisateur déclaré et habilité a utiliser l’accès rtc ( paramétrage de la connexion entrante)

    j'ai comparé entre un Seven et ce 8.1 mais parfois les définitions sont légèrement différentes ..

    J'ai même éssa yé de ne pas lancer le service pare feu .. mais aucune connexion n'est possible en rtc le PC ne répond plus

    vendredi 20 mars 2015 10:39
  • Il faudrait que tu puisse nous fournir les photos d'écran des pages de configuration de ta connexion Entrante afin de voir les paramètres qui pouraient gêner (tu peux masquer les numéros de téléphone et login utilisateur afin de rendre les screenshots anonymes).

    Cordialement,

    Sylvain

    Blog : http://sylvaincoudeville.fr

    vendredi 20 mars 2015 10:51
  • comment passer les jpeg .. ? as-tu un email pour ça ?

    vendredi 20 mars 2015 12:47
  • désolé, je maitrise mal ce forum

    mais voici les 2 principales ..

    si tu en veux d'autres ..  y a qu'a demander .. ;-)

    vendredi 20 mars 2015 13:00
  • Merci pour les screenshots.

    J'ai produit une configuration équivalente (sans modem RTC, mais ce n'est pas ça qui pose le problème) et je n'ai pas eu de problème à joindre mes 2 LAN.

    Par contre, dans les propriétés IP entrantes j'avais mis "Attribuer les adresse IP automatiquement via DHCP".

    Peux-tu essayer avec ce paramétrage ?


    Cordialement,

    Sylvain

    Blog : http://sylvaincoudeville.fr

    vendredi 20 mars 2015 13:47
  • Essai realisé, mais cela n'a pas fonctionné.

    On était pas situé sur l'un ou l'autre des réseaux locaux. 

    je précise que ce ne sont pas des serveurs mais de simples win 8.1 pro.

    pas de dhcp. c'est pour cela que l'on configure la connexion entrante sur le bon réseau.

    vendredi 20 mars 2015 14:40
  • Peux réaliser les tests suivants stp :

    Avec la machine Windows 8 :

    • Depuis la machine appelante : tracert IP-EQUIPEMENT
    • Depuis l'équipement (si possible) : tracert IP-APPELANTE

    Ensuite, avec une machine Windows 7 :

    • Depuis la machine appelante : tracert IP-EQUIPEMENT
    • Depuis l'équipement (si possible) : tracert IP-APPELANTE

    Cela permettra de comparer les routes prises par les paquets et trouver où cela bloque

    Merci


    Cordialement,

    Sylvain

    Blog : http://sylvaincoudeville.fr

    vendredi 20 mars 2015 15:08
  • ok, je vais faire mais il me semble qu'il n'y a pas de probleme de routage IP WAN.

    sauf erreur, tracert ne travaille que sur le coté WAN .. ?

    D'ailleurs le modem ne connait pas de routage IP WAN

    seulement coté lan. On accède bien par rtc au serveur visé (même si ce n'est qu'un pro appelons le serveur a cette occasion par opposition a client)

    on a accès au serveur  qui dispose d'un serveur web sur localhost par exemple ou a l'adresse de la carte lan (192.168.10.100)  (ou 51 puisque en fait c'est la vraie adresse réseau) depuis la connexion modem. Sauf aux periph externes

    vendredi 20 mars 2015 15:21
  • tracert est une commande de diagnostic IP. Elle fonctionne aussi bien en WAN, qu'en LAN, VPN etc..

    Le but est de déterminer les itinéraires pris par les paquets sur une config qui fonctionne et une qui ne fonctionne pas afin de les comparer.


    Cordialement,

    Sylvain

    Blog : http://sylvaincoudeville.fr

    vendredi 20 mars 2015 15:28
  • je connais pas assez   ..

    stp, peux tu m'indiquer un exemple de commande  ? je vois pas comment ecrire "IP-Equpement"

    merci

    vendredi 20 mars 2015 15:47
  • Heu... oui.

    Si l'IP de l'équipement sur lequel tu veux te connecter est 192.168.10.122 : tracert 192.168.10.122

    Si l'IP appelante est 192.168.51.12 : tracert 192.168.51.12

    Le but est tester la communication entre le poste qui appelle le modem, et l'équipement de destination.

    Il te faut donc connaitre leurs ip respectives, et lancer les commandes tracert depuis une ligne de commande.


    Cordialement,

    Sylvain

    Blog : http://sylvaincoudeville.fr

    vendredi 20 mars 2015 15:56
  • voici le resultat :

    le 1er avec Win 7

    le 2eme avec 8.1

    Ici avec Win 8.1

    entre les essais j'ai reparametré la connexion entrante avec les IP definies

    ce fut le meme resultat

    vendredi 20 mars 2015 16:49
  • pardon. c'est l'inverse :

    l'adresse 169 est pour win 7

    les adresses 99 sont pour win 8.1 en time out

    c'est bien sous connexion modem. depuis le PC appelant.

    L'inverse ne m'est pas possible. 

    crdt

    • Modifié aladin95 vendredi 20 mars 2015 16:52
    vendredi 20 mars 2015 16:51
  • Merci.

    La machine appelante est-elle la même dans les 2 cas ?

    Si non, je pense que le problème est sur la machine appelante.

    Si oui, le problème est effectivement sur la machine Windows 8.

    Peux-tu, dans le cas Windows 7 et Windows 8 nous envoyer le retour des commandes suivantes faites sur les machines appelantes :

    ipconfig /all
    route print

    Merci


    Cordialement,

    Sylvain

    Blog : http://sylvaincoudeville.fr

    vendredi 20 mars 2015 16:57
  • j'ai appelé les 2 sites depuis la même machine (XP)

    L'ipconfig et le route de la machine appelante une fois connectée je suppose 

    et ce pour chaque site visé ?

    vendredi 20 mars 2015 17:02
  • Oui, effectivement.

    Merci


    Cordialement,

    Sylvain

    Blog : http://sylvaincoudeville.fr

    vendredi 20 mars 2015 17:04
  • voici pour Win 7

    les 2 cdes dans la foulée

    vendredi 20 mars 2015 17:16
  • voici pour W 8.1

    et pour w 8.1

    cordlt

    vendredi 20 mars 2015 17:18
  • Bonjour,

    Je laisses mes confrères sur ce forum donner leur avis aussi, car là, je sèche.

    Mais en attendant, question bête : pourquoi ne pas utiliser un VPN via Internet ?

    Cela est tout autant sécurisé :

    • Il faut connaitre l'IP publique
    • Il faut 1 login + mdp
    • On peut même restreindre par IP appelante pour verrouiller
    • Suivant le VPN utilisé, on peut même faire de l'authentification par certificat

    L'avantage d'un VPN, est que c'est le routeur/firewall qui va gérer le routage, ce qui évite de demander à un poste de travail de faire ce job (qu'il ne fait pas tout le temps bien d'ailleurs).


    Cordialement,

    Sylvain

    Blog : http://sylvaincoudeville.fr

    lundi 23 mars 2015 10:50
  • Bonjour et merci pour ton implication.

    Je ne maîtrise pas suffisamment le sujet VPN.

    - Nous sommes en IP dynamique avec dyndns.

    - Peut-on faire cohabiter vpn et acces internet "normal" sous controle Windows ? 

    - Peut-on avoir 2 ou plusieurs clients vpn avec IP differentes ? si l'on considere nos PC locaux ( ex celui sous w8.1) comme "server" 

    Voila déjà les 1 eres questions que je me pose.

    cordialement 

    Claude

    lundi 23 mars 2015 13:28
  • Effectivement, tu ne travailles pas dans de super conditions : il faut harceler ton patron pour augmenter le budget de ton SI ! :)

    Pour faire du VPN "correctement", il faut le faire via un routeur.

    Je crois savoir que tu utilises une Box opérateur (type livebox) : il faudrait passer à quelque chose plus pro:

    • 1 accès Internet avec IP fixe
    • 1 routeur/firewall de type Fortigate (ou Zyxel, ou Cisco pour les plus téméraires)

    Ensuite la partie VPN ne se gèrera plus côté Windows, mais côté routeur/firewall.

    Du coup, ton Windows XP qui se connecte de l'extérieur établira une connexion avec le routeur/firewall. C'est le routeur/firewall qui lui affectera une IP et lui donnera l'autorisation d'accéder à telle ou telle ressource.

    Mais là on rentre un peu plus dans un job pour ton admin réseau.

    Pour faire simple, voici une image qui illustre comment cela présente (le schéma est simple car il n'y a qu'un LAN, mais on peut le complexifier avec plusieurs VLAN, des DMZ etc.) : http://docs-legacy.fortinet.com/cb/html/FOS_Cookbook/IPSec/images/cb_ipsecvpn_wiz.105.1.1.png


    Cordialement,

    Sylvain

    Blog : http://sylvaincoudeville.fr


    lundi 23 mars 2015 17:12