Bonjour à tous,

Je me suis procuré un juniper 520m (routeur vpn).

Dans la doc on sait se connecter sur une interface webui qui à l'adresse 192.168.1.1/24 mais cela m'est impossible.

Je sais me connecter au cli via un cable usb->rj45. Pas de problème pour cela, depuis cette interface je sais utiliser la commande ping.

J'essaie donc de me pinguer sur le reseau mon adresse 192.168.0.85. Le ping ne donne rien... Savez-vous ce que je pourrais faire pour y arriver ?

Voici le resultat de la commande get int

SSG520-> get int

A - Active, I - Inactive, U - Up, D - Down, R - Ready

Interfaces in vsys Root:
Name           IP Address                        Zone        MAC            VLAN State VSD
eth0/0         192.168.1.1/24                    Trust       001d.b50e.5b00    -   U   -
eth0/1         0.0.0.0/0                         DMZ         001d.b50e.5b05    -   D   -
eth0/2         0.0.0.0/0                         Untrust     001d.b50e.5b06    -   D   -
eth0/3         0.0.0.0/0                         HA          001d.b50e.5b07    -   D   -
eth3/0         0.0.0.0/0                         Null        001d.b50e.5b08    -   D   -
eth3/1         0.0.0.0/0                         Null        001d.b50e.5b09    -   D   -
eth3/2         0.0.0.0/0                         Null        001d.b50e.5b0a    -   D   -
eth3/3         0.0.0.0/0                         Null        001d.b50e.5b0b    -   D   -
vlan1          0.0.0.0/0                         VLAN        001d.b50e.5b0f    1   D   -
null           0.0.0.0/0                         Null        N/A               -   U   -

Merci

-
Edité par Don_raftapss 19 novembre 2021 à 20:50:06

Bonsoir,

D'avance: je n'y connais rien à Juniper.

Normalement, ICMP devrait retourner un message d'erreur qui permet de savoir où se situe à peu près le problème. Je miserais sur un truc du genre "network unreachable".

Quelle est la table de routage?

Vu le nom des zones, eth0/0 serait l'interface sur le réseau interne (on parle aussi d'interface LAN) et eth0/2 celle sur le réseau externe (interface WAN). Pour info, HA c'est pour faire de la haute disponibilité.

Pour l'instant ton routeur est sur le réseau 192.168.1.0/24, et il y a fort à parier (à voir la table de routage) qu'il ne peut communiquer qu'avec des hôtes de ce réseau vu qu'il serait censé être la passerelle pour les hôte de ce réseau. Ce qui explique pourquoi tu ne peux pas te connecter à l'interface web (encore faut-il vérifier que le serveur web tourne) depuis ton hôte sur le réseau 192.168.0.0/24.

C'est pas le genre d'équipement que je conseillerai pour apprendre les réseaux.

-
Edité par KoaTao 19 novembre 2021 à 22:13:12

Merci de ta réponse.

Voici le résultat de la commande get route pour avoir la table de routage.

SSG520-> get route


IPv4 Dest-Routes for <untrust-vr> (0 entries)
--------------------------------------------------------------------------------          ------
H: Host C: Connected S: Static A: Auto-Exported
I: Imported R: RIP/RIPng P: Permanent D: Auto-Discovered
N: NHRP
iB: IBGP eB: EBGP O: OSPF/OSPFv3 E1: OSPF external type 1
E2: OSPF/OSPFv3 external type 2 trailing B: backup route


IPv4 Dest-Routes for <trust-vr> (2 entries)
--------------------------------------------------------------------------------          ------
         ID          IP-Prefix      Interface         Gateway   P Pref    Mtr               Vsys
--------------------------------------------------------------------------------          ------
*         2     192.168.1.1/32         eth0/0         0.0.0.0   H    0      0               Root
*         1     192.168.1.0/24         eth0/0         0.0.0.0   C    0      0               Root

Le résultat du ping de ma passerelle:

SSG520-> ping 192.168.0.1
Type escape sequence to abort

Sending 5, 100-byte ICMP Echos to 192.168.0.1, timeout is 1 seconds
ip 192.168.0.1 is unreachable in vr trust-vr

Success Rate is 0 percent.

Si je comprend bien mon pc n'est pas dans le bon range d'adresse. Du coups je change mon adresse en 192.168.1.10. Mais cela ne fonctionne pas non plus.

Je me tourne donc vers "Es que le serveur web tourne?" Je cherche sur le web comment le savoir.

J'ai conscience de la difficulté du basarre Mais cette équipement fais Firewall et routeur vpn. Ce que j'ai besoin pour héberger les sources de mon projet.

Don_raftapss a écrit:

Si je comprend bien mon pc n'est pas dans le bon range d'adresse. Du coups je change mon adresse en 192.168.1.10. Mais cela ne fonctionne pas non plus.

«Ça ne fonctionne pas» ne nous donne aucune information. T'as changé l'adresse comment exactement? Comment l'hôte est connecté au routeur?

Pourquoi persistes-tu à essayer de communiquer avec un hôte du réseau 192.168.0.0/24 alors que la table de routage indique clairement que le routeur ne sait pas communiquer avec?

J'ai conscience de la difficulté du basarre

Le problème, ce n'est pas le matériel. Ça m'a l'air d'être assez standard et ressemble à ce qu'on peut trouver chez Cisco. Cependant, c'est du matériel destiné aux entreprises et donc à être installé et configuré par des professionnels. Je vais être direct, mais le problème c'est ton manque de connaissances (tu te verrais apprendre à conduire sur une voiture de course?). Tu ne comprends pas comment IP fonctionne alors qu'IP est la base de TCP/IP. Je vois mal comment ensuite tu vas pouvoir correctement configurer le pare-feu et monter des liens IPSec.

Suis un cours sur TCP/IP, une fois assimilé, tu devrais commencer à comprendre ce que tu fais.

Je me tourne donc vers "Es que le serveur web tourne?" Je cherche sur le web comment le savoir.

Avec quel OS tourne ton routeur?

Je vais pas chipotter avec un truc aussi théorique je vais allé au cours du soir télécom niveaux bachelier (j'ai déjà un en informatique industriel).

J'ai changer mon ip sur la carte réseau je me suis mis une ip fixe et j'ai mis 192.168.1.55. Je me souviens d'un cour de réseau de base, ou tu devais caculer les ip. Mais jm'en souviens plus du coup j'ai mis 55.

Le routeur tourne sur un  netscreen Os

Don_raftapss a écrit:

Je vais pas chipotter avec un truc aussi théorique je vais allé au cours du soir télécom niveaux bachelier (j'ai déjà un en informatique industriel).

On parle de configuration d'adresse et de routage sur un routeur, ça me semble plus pratique que théorique.

Sur ce site, il y a un cours qui je pense sera suffisant surtout si tu as déjà quelques notions.

Don_raftapss a écrit:

J'ai changer mon ip sur la carte réseau je me suis mis une ip fixe et j'ai mis 192.168.1.55. Je me souviens d'un cour de réseau de base, ou tu devais caculer les ip. Mais jm'en souviens plus du coup j'ai mis 55.

Ok, changé comment? Concrètement la manip c'était quoi? Et comment tu as connecté le deux? directement le PC à l'interface eth0/0 avec un câble?

Don_raftapss a écrit:

Le routeur tourne sur un  netscreen Os

Sur ScreenOS, il semblerait qu'on peut savoir si un service de gestion est activé pour une interface en regardant la conf de l'interface.

-> get int eth0/0

-
Edité par KoaTao 20 novembre 2021 à 13:36:01

J'ai réussi a m'y connecter

J'ai changer le range d'adresse carte réseau -> propriété -> ipv4. 

Le problème venait du fait que ça ne va pas sur chrome...... go internet explorer

Maintenant je voudrais pouvoir m'y connecter sans changer mon range d'adresse (plus d'internet).

Je ne sais pas si je dois le mettre en DHCP ou ip statique.

Car je suppose que si je veux m'y connecter je dois mettre le routeur dans mon range d'adresse.

Le but de l'installation est de mettre le routeur avec un serveur de données et mon serveur hyperviseur dans le même local voici la liste de mon matos?

Commutateur intelligent gigabit à 18 port LGS318 : Le routeur de mon FAI se connecte en direct dessus. Et je distribue des câble partout pour le net, mon routeur est connecté dessus. D'ailleurs c'est un switch manageable via le net (je vois pas l'utilité mais bon si j'ai besoin j'ai).

Serveur de données : Connecté via e3/0 sur le routeur (Pas d'interface détecté au branchement).

SSG520-> get int e3/0
Interface ethernet3/0:
  description ethernet3/0
  number 8, if_info 262080, if_index 0
  link up, phy-link up/full-duplex, admin status up
  status change:11, last change:11/20/2021 20:39:04
  vsys Root, zone Null, vr untrust-vr
  admin mtu 0, operating mtu 1500, default mtu 1500
  *ip 0.0.0.0/0   mac 001d.b50e.5b08
  pmtu-v4 disabled
  ping disabled, telnet disabled, SSH disabled, SNMP disabled
  web disabled, ident-reset disabled, SSL disabled

  NHRP disabled
  bandwidth: physical 100000kbps, configured egress [gbw 0kbps mbw 0kbps]
             configured ingress mbw 0kbps, current bw 0kbps
             total allocated gbw 0kbps

Serveur hyperviseur : Pas encore connectée mais il le sera sur le port e3/1

Mon routeur firewall vpn: Le fameux routeur qui connecte au switch sur son interface e0/0 par câble pour le management. 

Voici la table de routage get route

SSG520-> get route


IPv4 Dest-Routes for <untrust-vr> (0 entries)
--------------------------------------------------------------------------------                                          ------
H: Host C: Connected S: Static A: Auto-Exported
I: Imported R: RIP/RIPng P: Permanent D: Auto-Discovered
N: NHRP
iB: IBGP eB: EBGP O: OSPF/OSPFv3 E1: OSPF external type 1
E2: OSPF/OSPFv3 external type 2 trailing B: backup route


IPv4 Dest-Routes for <trust-vr> (2 entries)
--------------------------------------------------------------------------------                                          ------
         ID          IP-Prefix      Interface         Gateway   P Pref    Mtr                                               Vsys
--------------------------------------------------------------------------------                                          ------
*         2     192.168.1.1/32         eth0/0         0.0.0.0   H    0      0                                               Root
*         1     192.168.1.0/24         eth0/0         0.0.0.0   C    0      0                                               Root

D'ailleur je ne comprend pas très bien pourquoi e0/0 à deux ip différente?

Je voudrais depuis mon ordinateur qui n'est pas dans le local et que l'ip est donné via DHCP depuis mon routeur du FAI, me connecter à mon serveur de donnée dans le réseau vpn. Je voudrais par la suite pouvoir me connecter depuis l'extérieur à mon hyperviseur et lancer une application qui pourrait utilisée des données sensible (Multiremote) et non dévoilable sur le net je suppose protocole IPsec.

Le management du matos je le fait pour le moment via SSH.

J'aurais aussi une base de données hébergée sur mon serveur pour faire fonctionnée une application Mobile.

Pense-tu que j'ai le matos qu'il faut?

Vers quel genre de cours je devrais me pencher pour faire allé tout ça

-
Edité par Don_raftapss 20 novembre 2021 à 20:33:08

Bonjour,

Mauvaise nouvelle pour toi: Juniper 520m est obsolète depuis une dizaine d'année et ScreenOS depuis encore plus longtemps. Le VPN avec oublie, son chiffrement sera bidon, et même niveau sécurité, je me reposerai pas dessus. En même temps, tu aurais pu te demander pourquoi on te donne gratuitement ce genre d'équipement de sécurité Par contre tu peux toujours l'utiliser comme routeur. Bien qu'il est peut-être vulnérable à des attaques de type DoS.

Sinon, concernant l'architecture que tu veux, il y a plusieurs solutions, avec un switch manageable (qui gère les VLAN), un routeur et un hyperviseur, tu peux faire ce que tu veux. Tu peux très bien créer un serveur VPN avec OpenVPN dans une VM sur l'hyperviseur.

Ce que je ferais:

                                                    VLAN autres 
                                                      |
[Routeur FAI] ---- [Firewall] ---- [Routeur] ==== [Switch]
                                                      |

                                                    VLAN serveurs

Tu connectes l'interface de la zone Untrust au firewall et celle de la zone trust (voir peut-être créer d'autres zones) aux VLAN. Par contre ça demande de comrpendre ce qu'est un VLAN et comment ça se configure.

Sinon tu peux simplement faire:

                                     Switch
                                       |
[Routeur FAI] ---- [Firewall] ---- [Routeur] ---- Serveur de données
                                       |
                                  Hyperviseur

Après, tout dépend de ce que tu peux faire sur le routeur. Interface virtuelle? Bind? Bridge?

Ou alors abandonner l'idée de l'auto-hébergement et passer par des services cloud comme AWS ou des hébergeurs.

Tu peux regarder les cours sur TCP/IP sur ce site, plus sérieux il existe fun-mooc.fr. Pour apprendre à utiliser du Juniper, faut chercher (des cours en anglais probablement, on simplement s'appuyer sur la doc et la base de connaissance de Juniper). Sinon, tu peux faire suivre des cours sur Cisco, pas les mêmes produits, OSes ou interfaces mais si tu as saisie comment leur équipement fonctionne tu ne devrais pas être perdu ensuite.

Bon courage.

PS: eth0/0 n'a pas deux adresses différentes, tu regardes la table de routage là. D'ailleurs x.y.z.0/24 est une adresse de réseau.

-
Edité par KoaTao 21 novembre 2021 à 12:34:07

C'est un modem de chez VOO, c'est un FAI Belge le modèle c'est Technicolor TC7210.V.

Je dispose d'un Switch manageable et qui gère les VLANS j'ai un amis un qui me propose une topologie de ce genre.

                                                     VLAN  VLAN
                                                      |    |
[Routeur FAI]----[Firewall en trunk]----[Routeur]===[Switch]
                                                      |    |
                                                     VLAN  VLAN
                                                          

C'est la même topologie que tu m'as proposé + trunk, mais peut-être c'est obligatoire pour ce genre de topologie. Je pense que je vais me tourné vers cette solution vu que mon switch en est capable. D'après ce que j'ai compris je n'aurais plus de wifi car c'est le routeur firewall qui gérera l'adressage IP. Je pense rajouté un controlleur wifi ou alors une autre solution plus efficace existe?

-
Edité par Don_raftapss 23 novembre 2021 à 8:14:57

Ok, je suppose que tu n'as accès qu'à une interface de gestion web pour le routeur alors...

Un contrôleur, c'est utile lorsque tu es en mode infrastructure et que tu veux avoir plusieurs point d'accès. Un simple point d'accès WiFi dans le VLAN voulu suffirait à remplacer celui de ta box.