A voir également:
- Configuration cisco 837 redirection
- Ethernet n'a pas de configuration ip valide - Guide
- Configuration chromecast - Guide
- Panneau de configuration - Guide
- Retablir configuration usine chromecast - Guide
- Terminer la configuration du compte google play - Forum Gmail
8 réponses
Salut,
Je ne connais pas de tête ce que tu peux faire avec un 837 mais le principe à suivre est le suivant:
1. tu mets en place une règle de nat sur le routeur derrière lequel se trouve ta machine de vidéo-surveillance.
En gros, tu nat l'ip publique de ce routeur sur le port xxx vers l'ip de la machine de surveillance, ce qui revient donc à faire une redirection du port xxx sur l'ip publique vers la machine ayant une ip privée..
2. tu mets en place une access-list sur l'interface wan de ce routeur autorisant l'accès depuis l'extérieur sur le port xxx.
3. tu mets en place une access-list sur l'interface lan du routeur pour autoriser la machine de video-surveillance à sortir (et donc répondre aux requêtes qui lui arriveront depuis l'extérieur).
Vérifie l'IOS de ton routeur et assure toi que celui-ci supporte les commande "nat" ! Plus d'infos sur le site de cisco..
hope this help ;o)
a+
Je ne connais pas de tête ce que tu peux faire avec un 837 mais le principe à suivre est le suivant:
1. tu mets en place une règle de nat sur le routeur derrière lequel se trouve ta machine de vidéo-surveillance.
En gros, tu nat l'ip publique de ce routeur sur le port xxx vers l'ip de la machine de surveillance, ce qui revient donc à faire une redirection du port xxx sur l'ip publique vers la machine ayant une ip privée..
2. tu mets en place une access-list sur l'interface wan de ce routeur autorisant l'accès depuis l'extérieur sur le port xxx.
3. tu mets en place une access-list sur l'interface lan du routeur pour autoriser la machine de video-surveillance à sortir (et donc répondre aux requêtes qui lui arriveront depuis l'extérieur).
Vérifie l'IOS de ton routeur et assure toi que celui-ci supporte les commande "nat" ! Plus d'infos sur le site de cisco..
hope this help ;o)
a+
brupala
Messages postés
109475
Date d'inscription
lundi 16 juillet 2001
Statut
Membre
Dernière intervention
29 avril 2024
13 627
8 janv. 2007 à 12:16
8 janv. 2007 à 12:16
Salut,
bah,
dans tous les cas , je pense qu'un 837 fait de la nat.
par contre,
si le routeur est utilisé uniquement pour le vpn, je pense que tu n'as pas le DROIT d'ouvrir ton réseau local à un connexion internet.
si le réseau local utilise ce routeur également pour l'accès internet (directement, sans passer par le vpn ipsec) là OK, mais sinon, non, tu vas compromettre gravement la sécurité du réseau en ouvrant le réseau local sur l'extérieur.
sinon, un petite commande
ip nat inside source static ....
ça doit le faire.
bah,
dans tous les cas , je pense qu'un 837 fait de la nat.
par contre,
si le routeur est utilisé uniquement pour le vpn, je pense que tu n'as pas le DROIT d'ouvrir ton réseau local à un connexion internet.
si le réseau local utilise ce routeur également pour l'accès internet (directement, sans passer par le vpn ipsec) là OK, mais sinon, non, tu vas compromettre gravement la sécurité du réseau en ouvrant le réseau local sur l'extérieur.
sinon, un petite commande
ip nat inside source static ....
ça doit le faire.
yo,
Pour rappel, la question est:
"Sachant que la machine de surveillance apprtient au réseau local, comment peut on accéder de l'exterieur (internet) à la machine de surveillance"
de ce fait, ma réponse adresse son besoin. Si tu veux parler sécurité il est vrai que pour ma part je n'ouvrirais pas de ports de l'extérieur vers mon réseau local.
Je privilégierais la mise en place d'une DMZ derrière un routeur et j'y déplacerais le serveur de vidéo-surveillance. Ensuite j'ouvrirais les ports requis dans mon routeur pour rendre le service sur la mahcine de vidéo-surveillance joignable depuis internet.
Ici je ne crois pas que cela fasse partie des éléments donnés dans la description du problème..
Par contre, il peut être également intéressant d'utiliser un vpn client si le routeur en question le supporte. Même si le serveur de vidéo surveillance se trouve dans le réseau local, un vpn client présente l'avantage d'établir une connexion sécurisée car cryptée, et l'accès est autorisé seulement aux personnes ayant le vpn client, et étant capable de s'identifier correctement.
encore une fois, tout dépend de ce qu'il veut faire....
a+
Pour rappel, la question est:
"Sachant que la machine de surveillance apprtient au réseau local, comment peut on accéder de l'exterieur (internet) à la machine de surveillance"
de ce fait, ma réponse adresse son besoin. Si tu veux parler sécurité il est vrai que pour ma part je n'ouvrirais pas de ports de l'extérieur vers mon réseau local.
Je privilégierais la mise en place d'une DMZ derrière un routeur et j'y déplacerais le serveur de vidéo-surveillance. Ensuite j'ouvrirais les ports requis dans mon routeur pour rendre le service sur la mahcine de vidéo-surveillance joignable depuis internet.
Ici je ne crois pas que cela fasse partie des éléments donnés dans la description du problème..
Par contre, il peut être également intéressant d'utiliser un vpn client si le routeur en question le supporte. Même si le serveur de vidéo surveillance se trouve dans le réseau local, un vpn client présente l'avantage d'établir une connexion sécurisée car cryptée, et l'accès est autorisé seulement aux personnes ayant le vpn client, et étant capable de s'identifier correctement.
encore une fois, tout dépend de ce qu'il veut faire....
a+
yassine_res
Messages postés
2
Date d'inscription
lundi 8 janvier 2007
Statut
Membre
Dernière intervention
16 janvier 2007
8 janv. 2007 à 17:21
8 janv. 2007 à 17:21
Alors mes amis, je suis pas tres fort en réseau
sinon je pense que ça était clair ce que vous m 'aviez proposé
l'@ip lan du routeur : 192.168.0.1
l'@ip wan du routeur : 192.217.245.170
l'@ip lan de la machine : 192.168.0.90
je récapitule:
je dois mettre en place une règle de NAT sur le routeur dèrriere lequel se trouve la machine de video surveillance :
ip nat inside source static tcp 192.168.0.90 80 192.217.245.170 80
Ensuite, je mets en place une access list sur l'interface Wan (192.217.245.170) de ce routeur autorisant l'accès depuis l'exterieur sur le port 80
access list 1 permit 192.217.245.171....................
Et je mets en place une autre access list sur l'interface Lan (192.168.0.1) du routeur autorisant la machine de video surveillance à sortir (et donc repondre au requettes qui lui arriveront depuis l'exterieur)
access list 1 permit ip 192.168.0.1 0.0.0.255 any
Surtout n'hésitez pas à corriger mes commandes, j suis pas du tout sure !!!
Est ce que je suis sur la bonne voie ?
Merci d'avance.
Yassine.
sinon je pense que ça était clair ce que vous m 'aviez proposé
l'@ip lan du routeur : 192.168.0.1
l'@ip wan du routeur : 192.217.245.170
l'@ip lan de la machine : 192.168.0.90
je récapitule:
je dois mettre en place une règle de NAT sur le routeur dèrriere lequel se trouve la machine de video surveillance :
ip nat inside source static tcp 192.168.0.90 80 192.217.245.170 80
Ensuite, je mets en place une access list sur l'interface Wan (192.217.245.170) de ce routeur autorisant l'accès depuis l'exterieur sur le port 80
access list 1 permit 192.217.245.171....................
Et je mets en place une autre access list sur l'interface Lan (192.168.0.1) du routeur autorisant la machine de video surveillance à sortir (et donc repondre au requettes qui lui arriveront depuis l'exterieur)
access list 1 permit ip 192.168.0.1 0.0.0.255 any
Surtout n'hésitez pas à corriger mes commandes, j suis pas du tout sure !!!
Est ce que je suis sur la bonne voie ?
Merci d'avance.
Yassine.
Salut,
L'idée est là mais il y a quelques erreurs.
tout d'abord si tu veux utiliser des access-list "étendues" alors le numéro de l'access-list doit être supérieure à 99.
Ensuite, tu dois utiliser des access-list différentes pour le WAN et le LAN.
En gros, tu dois avoir qqch du style:
ip nat inside source static tcp 192.168.0.90 80 192.217.245.170 80
***** A mettre sur l'interface WAN *****
access-list 100 remark --- Filtering rules on the WAN | Start ---
access list 100 permit ip any host 192.217.245.171 eq 80
access-list 100 permit ip host IP_REMOTE_VPN_GATEWAY host 192.217.245.171
access-list 100 deny ip any any
access-list 100 remark --- Filtering rules on the WAN | End ---
***** A mettre sur l'interface LAN *****
access-list 101 remark --- Filtering rules on the LAN | Start ---
access list 101 permit ip 192.168.0.0 0.0.0.255 any
access-list 101 remark --- Filtering rules on the LAN | End ---
NB: suivant l'IOS que tu utilises il est possible que les commandes "access-list xxx remark" ne passe pas ;o)
**** Routage ****
Ensuite il faut que tu vérifies les routes car il est possible que ton routeur soit configuré pour que tout le traffic passe par le vpn par défaut. Cela posera problème si tu essaies de joindre ton serveur depuis l'extérieur car les réponses de ton serveur passeront par un autre chemin et sortiront avec une autre adresse IP publique. Comme tu cherches à joindre ton serveur via du tcp, cela ne marchera pas.
Il faut donc que tu tunes finement le routage en fonction de tes besoins..
hope this help ;o)
L'idée est là mais il y a quelques erreurs.
tout d'abord si tu veux utiliser des access-list "étendues" alors le numéro de l'access-list doit être supérieure à 99.
Ensuite, tu dois utiliser des access-list différentes pour le WAN et le LAN.
En gros, tu dois avoir qqch du style:
ip nat inside source static tcp 192.168.0.90 80 192.217.245.170 80
***** A mettre sur l'interface WAN *****
access-list 100 remark --- Filtering rules on the WAN | Start ---
access list 100 permit ip any host 192.217.245.171 eq 80
access-list 100 permit ip host IP_REMOTE_VPN_GATEWAY host 192.217.245.171
access-list 100 deny ip any any
access-list 100 remark --- Filtering rules on the WAN | End ---
***** A mettre sur l'interface LAN *****
access-list 101 remark --- Filtering rules on the LAN | Start ---
access list 101 permit ip 192.168.0.0 0.0.0.255 any
access-list 101 remark --- Filtering rules on the LAN | End ---
NB: suivant l'IOS que tu utilises il est possible que les commandes "access-list xxx remark" ne passe pas ;o)
**** Routage ****
Ensuite il faut que tu vérifies les routes car il est possible que ton routeur soit configuré pour que tout le traffic passe par le vpn par défaut. Cela posera problème si tu essaies de joindre ton serveur depuis l'extérieur car les réponses de ton serveur passeront par un autre chemin et sortiront avec une autre adresse IP publique. Comme tu cherches à joindre ton serveur via du tcp, cela ne marchera pas.
Il faut donc que tu tunes finement le routage en fonction de tes besoins..
hope this help ;o)
brupala
Messages postés
109475
Date d'inscription
lundi 16 juillet 2001
Statut
Membre
Dernière intervention
29 avril 2024
13 627
8 janv. 2007 à 20:15
8 janv. 2007 à 20:15
pour le forwarding nat statique, ça va,
mais pour les access-list on ne peut pas se prononcer, tout dépend de ce qui est déjà en place.
ton access-list 1 risque de te bloquer tout le traffic.
mais ça va dans la bonne voie.
mais pour les access-list on ne peut pas se prononcer, tout dépend de ce qui est déjà en place.
ton access-list 1 risque de te bloquer tout le traffic.
mais ça va dans la bonne voie.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
brupala
Messages postés
109475
Date d'inscription
lundi 16 juillet 2001
Statut
Membre
Dernière intervention
29 avril 2024
13 627
9 janv. 2007 à 12:10
9 janv. 2007 à 12:10
Yassine,
s'il te plait, sois sérieux (se),
ça fait 2 fois que je supprime le listing de ta configuration.
ne postes pas ta config avec les mots de passe telnet et le clés ipsec prépartagées en clair, tu cours à la catastrophe.
Il te faut effacer toutes ces informations confidentielles avent de montrer ta configuration au monde entier.
s'il te plait, sois sérieux (se),
ça fait 2 fois que je supprime le listing de ta configuration.
ne postes pas ta config avec les mots de passe telnet et le clés ipsec prépartagées en clair, tu cours à la catastrophe.
Il te faut effacer toutes ces informations confidentielles avent de montrer ta configuration au monde entier.
Sorry,
Merci beaucoup BRUBALA
Vraiment j'arrive pas à croire ce que je viens de faire!!!
en fait c'est la première fois que je participe ds un forum
C'est tres pro de ta part de supprimer mon listing
j'essayerai de le poster en effacant ce qu'il faut effacer
ohh : j'arrive plu à pinger sur mon routeur!!!!!
il se peut que j'ai été dejà piraté!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Merci beaucoup BRUBALA
Vraiment j'arrive pas à croire ce que je viens de faire!!!
en fait c'est la première fois que je participe ds un forum
C'est tres pro de ta part de supprimer mon listing
j'essayerai de le poster en effacant ce qu'il faut effacer
ohh : j'arrive plu à pinger sur mon routeur!!!!!
il se peut que j'ai été dejà piraté!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
brupala
Messages postés
109475
Date d'inscription
lundi 16 juillet 2001
Statut
Membre
Dernière intervention
29 avril 2024
13 627
9 janv. 2007 à 17:30
9 janv. 2007 à 17:30
commences déjà par changer le mot de passe telnet si l'administrateur te le permet !!!
par contre le login ppp chap, tu ne peux pas et la clé prépartagée il faut la changer sur les 2 bouts du vpn.
essaies de mettre une access-list aussi pour l'accès telnet.
regardes aussi la commande password-encryption qui est désactivée, certainement, tu ferais bien de l'activer.
par contre le login ppp chap, tu ne peux pas et la clé prépartagée il faut la changer sur les 2 bouts du vpn.
essaies de mettre une access-list aussi pour l'accès telnet.
regardes aussi la commande password-encryption qui est désactivée, certainement, tu ferais bien de l'activer.
Salut,
En effet c'est pas très "secure" de balancer la conf intégrale de son routeur surtout si le service d'encryption des password n'est pas activé... anyway, t'inquiète pas je ne vais pas essayer de prendre la main sur ton routeur ;o)
A la vue de la conf, je confirme que le vpn ne sert qu'à joindre le réseau 192.168.0.0/24 et que donc tu sors bien sur internet depuis ce site via la connexion adsl.
Par rapport à ta demande il faut donc que tu mettes en place l'access-list "WAN" sur l'interface Dialer1. D'autre part si tu as une IP fixe ça vaudrait la peine de la fixer dans l'interface Dialer1 plutôt que de laisser "ip address negociated".
Ensuite reste à mettre en place le NAT. Comme tu as déjà des règles de NAT existantes, il faudra faire attention à ce que tu fais pour ne pas perdre la main sur des machines et/ou ton routeur.
a+
En effet c'est pas très "secure" de balancer la conf intégrale de son routeur surtout si le service d'encryption des password n'est pas activé... anyway, t'inquiète pas je ne vais pas essayer de prendre la main sur ton routeur ;o)
A la vue de la conf, je confirme que le vpn ne sert qu'à joindre le réseau 192.168.0.0/24 et que donc tu sors bien sur internet depuis ce site via la connexion adsl.
Par rapport à ta demande il faut donc que tu mettes en place l'access-list "WAN" sur l'interface Dialer1. D'autre part si tu as une IP fixe ça vaudrait la peine de la fixer dans l'interface Dialer1 plutôt que de laisser "ip address negociated".
Ensuite reste à mettre en place le NAT. Comme tu as déjà des règles de NAT existantes, il faudra faire attention à ce que tu fais pour ne pas perdre la main sur des machines et/ou ton routeur.
a+
brupala
Messages postés
109475
Date d'inscription
lundi 16 juillet 2001
Statut
Membre
Dernière intervention
29 avril 2024
13 627
>
Fred
10 janv. 2007 à 15:51
10 janv. 2007 à 15:51
Attends,
tu vois sa config ?
tu l'as enregistrée ?
tu vois sa config ?
tu l'as enregistrée ?
raziki
>
brupala
Messages postés
109475
Date d'inscription
lundi 16 juillet 2001
Statut
Membre
Dernière intervention
29 avril 2024
11 nov. 2008 à 01:19
11 nov. 2008 à 01:19
bonjour,
je suis debuttant en configuration des routeur cisco, j ai un routeur adsl switch (routeur cisco 877) et je veux faire le portforwarding mais je n'arrive pas à le faire.
j ai une adresse fixe = 196.xx.yy.zz 255.255.255.248
adresse local = 192.168.212.19 255.255.255.0 (adresse ip de vlan 1 (vlan par defaut))
adresse de mon serveur ssh = 192.168.212.20 255.255.255.0
-quand j'utilise le port forwarding il n'aboutit pas : ip nat inside source static tcp 192.168.212.20 22 196.xx.yy.zz 22
je ne sais pas quoi faire surtout que c'est un routeur modem et je ne peux pas assigner une adresse ip à des interfaces de ce derinier mais juste au vlan.
j'allais oublier le vlan que j'utilise est le vlan 1 (vlan par defaut) auquel j ai affecté 2 adresses ip :
ip address 192.168.212.19 255.255.255.0 secondery (adresse local)
ip address 196.xx.yy.zz 255.255.255.248 (adresse fix)
j'utilise l'adresse fix pour me connecter au routeur de l'exterieur (via internet) et ca marche mais pas le port forwarding
quelqu'un peut m'aider
Merci d'avace
je suis debuttant en configuration des routeur cisco, j ai un routeur adsl switch (routeur cisco 877) et je veux faire le portforwarding mais je n'arrive pas à le faire.
j ai une adresse fixe = 196.xx.yy.zz 255.255.255.248
adresse local = 192.168.212.19 255.255.255.0 (adresse ip de vlan 1 (vlan par defaut))
adresse de mon serveur ssh = 192.168.212.20 255.255.255.0
-quand j'utilise le port forwarding il n'aboutit pas : ip nat inside source static tcp 192.168.212.20 22 196.xx.yy.zz 22
je ne sais pas quoi faire surtout que c'est un routeur modem et je ne peux pas assigner une adresse ip à des interfaces de ce derinier mais juste au vlan.
j'allais oublier le vlan que j'utilise est le vlan 1 (vlan par defaut) auquel j ai affecté 2 adresses ip :
ip address 192.168.212.19 255.255.255.0 secondery (adresse local)
ip address 196.xx.yy.zz 255.255.255.248 (adresse fix)
j'utilise l'adresse fix pour me connecter au routeur de l'exterieur (via internet) et ca marche mais pas le port forwarding
quelqu'un peut m'aider
Merci d'avace
brupala
Messages postés
109475
Date d'inscription
lundi 16 juillet 2001
Statut
Membre
Dernière intervention
29 avril 2024
13 627
>
raziki
12 nov. 2008 à 00:18
12 nov. 2008 à 00:18
Salut ,
un routeur ne peut router qu'entre 2 interfaces différentes : là, en aucun cas il ne peut router entre le réseau 196 .... et le 192.168.212.0 : ils sont tous les deux reliés au vlan 1 ?
ton routeur est relié à l'adsl ?
tu devrais mettre le réseau 192.168.212.0/24 dans le vlan 2 pour faire fonctionner un peu mieux .
un routeur ne peut router qu'entre 2 interfaces différentes : là, en aucun cas il ne peut router entre le réseau 196 .... et le 192.168.212.0 : ils sont tous les deux reliés au vlan 1 ?
ton routeur est relié à l'adsl ?
tu devrais mettre le réseau 192.168.212.0/24 dans le vlan 2 pour faire fonctionner un peu mieux .
Bonjour à tous,
Étant donné que vous avez l'air calé en cisco, je vous expose mon problème :)
Je possède un routeur CISCO 871 relié à un modem Linksys sur mon réseau et je cherche à pouvoir rediriger le port 22 (SSH) de mon routeur pour y accéder de l'extérieur.
Conf du routeur :
LAN : 192.168.1.254
WAN : 192.168.10.1
@ du modem : 192.168.10.254
Pour l instant je ne peux accéder au routeur en ssh quand local et j'ai bien rediriger le port depuis du modem vers le routeur.
J'ai tenté un commande de ce type :
ip nat inside source static tcp 192.168.1.254 22 interface FastEthernet4 22
Mais rien n'y fait :s
Merci de votre aide
Étant donné que vous avez l'air calé en cisco, je vous expose mon problème :)
Je possède un routeur CISCO 871 relié à un modem Linksys sur mon réseau et je cherche à pouvoir rediriger le port 22 (SSH) de mon routeur pour y accéder de l'extérieur.
Conf du routeur :
LAN : 192.168.1.254
WAN : 192.168.10.1
@ du modem : 192.168.10.254
Pour l instant je ne peux accéder au routeur en ssh quand local et j'ai bien rediriger le port depuis du modem vers le routeur.
J'ai tenté un commande de ce type :
ip nat inside source static tcp 192.168.1.254 22 interface FastEthernet4 22
Mais rien n'y fait :s
Merci de votre aide
brupala
Messages postés
109475
Date d'inscription
lundi 16 juillet 2001
Statut
Membre
Dernière intervention
29 avril 2024
13 627
1 déc. 2008 à 00:09
1 déc. 2008 à 00:09
Salut,
tu devrais poser ta question dans une nouvelle discussion si ça n'est pas déjà fait .
cependant:
tu routeur a une adresse ip wan privée, ce qui signifie que ton "modem" linsys n'est pas un modem mais un routeur nat , c'est donc dans celui ci qu'il faut forwarder le port 22 vers ton routeur, pas dans le routeur lui même .
Aussi,
il faut éviter d'avoir 2 nats succcessifs empilés (quoique rien n'indique que tu fasses du nat sur le cisco) .
mais enfin, la configuration est donc à faire dans le linksys , pas dans le cisco (quoique ce soit la même famille) .
tu devrais poser ta question dans une nouvelle discussion si ça n'est pas déjà fait .
cependant:
tu routeur a une adresse ip wan privée, ce qui signifie que ton "modem" linsys n'est pas un modem mais un routeur nat , c'est donc dans celui ci qu'il faut forwarder le port 22 vers ton routeur, pas dans le routeur lui même .
Aussi,
il faut éviter d'avoir 2 nats succcessifs empilés (quoique rien n'indique que tu fasses du nat sur le cisco) .
mais enfin, la configuration est donc à faire dans le linksys , pas dans le cisco (quoique ce soit la même famille) .
