Centro Business PSB4212N (passthrough IP) + ZyWALL USG 300

Bonjour @Suissinho

Vous n’êtes pas le seul à être un peu coincé avec le Centro Business lorsqu’il est en mode IP Passtrhough.

Il y a un message intéressant par >> ici <<!

Je n’ai pour l’heure pas de réponse à ce problème…

Bonne journée à tous

@Suissinho

Avant de passer en All IP, je me fais un peu la main sur ce Centro Business couplé à un Zywall USG 40. Comme je suis encore avec un Business Internet Light + IP Fixe + PME Office ****.

Actuellement, le Centro Business est en local, pas d’accès internet. La ligne est disponible que les week-end.

Ceci étant dit, en utilisant vos paramètres, je constate que je peux faire un ping et un tracert sur le Centro Business (192.168.1.1) depuis un PC(192.168.110.XXX) qui est derrière le Zywall USG 40(192.168.110.2).

Lan1 (Centro Business) -> Wan (Zywall USG 40)

NB: je n’ai pour l’heure pas pu tester, pour les raisons déjà évoquées, si l’accès internet est possible pour le réseau derrière le Zywall USG 40.

Bonne soirée à tous

Merci Xtreme66, mais si vous n’avez pas activer l’option dans le Centro Business “IP passthrough (Local security gateway) sur LAN1” vous ne pouvez pas avoir fait le même test que moi… ou alors montrez-moi les configs sur le port WAN du ZyWALL et les configs du Centro Business dans “Paramètres > Router”.

On m’a parlé que pour mon cas, il faut créer un routage statique dans le ZyWALL vers le port WAN avec l’IP de Swisscom mais je ne sais pas encore comment faire…Je cherche toujours…

Merci,

Salutations

---

Suisso a écrit: vous n’avez pas activer l’option dans le Centro Business “IP passthrough (Local security gateway) sur LAN1” vous ne pouvez pas avoir fait le même test que moi…

---

Cette option est naturellement activée (“IP passthrough (Local security gateway) sur LAN1”).

Dans l’appareil (Centro Business), l’IP du Zywall USG 40 est en statique ( IP: 172.31.255.6).

Pour votre routage statique, peut-être que ce document pourra vous aider.

Je vous fais un printscreen dès que j’ai un moment….

Avec cette configuration, j’accède depuis mon PC au Centro Business (192.168.1.1)

Il me reste à vérifier si l’accès à internet est possible avec cette configuration. On verra tout ça en fin de semaine.

Merci beaucoup pour ces infos, il faudra que je re-test sérieusement!

Pouvez-vous m’envoyer des printscreens dans les paramètres suivants de votre ZyWALL USG40 svp:

- “Configuration > Routage > Règles de routage”

- “Configuration > Routage > Routage statique”

- “Configuration > Pare-feu”

- “Configuration > Interface > Ethernet > lan1”

Merci d’avance,

Meilleures Salutations.

Bonsoir,

Je suis parti d’une configuration de base au niveau du Zywall, donc après un hard reset. Idem pour le Centro Business.

Aucune modification n’a été apportée au niveau des règles de routage, routage statique, ou pare-feu.

Au niveau du lan1, j’ai simplement modifié l’adresse IP du lan 1 et de sa plage.

Pour le Wan, les modifications sont celles disponibles plus haut.

J’ai ajouté mon user/pass pour l’accès au wan1_ppp pour l’accès au serveur swisscom avec l’information de l’IP fixe.

Au niveau du Centro Business, j’ai ajouté en l’IP du Zywall USG 40 en IP statique.

Pour le reste, je dois avoir la ligne VDSL2 pour vérifier que tout fonctionne.

J’espère que vous pourrez trouver la solution…

@Suissinho

Salut,

une solution peut-être:

Tu garde ta configuration Centro Business, port LAN 1 en mode IP Passthrough vers le port WAN de ton USG.
Ceci te donnera une IP publique sur ton USG et tu aura donc ta gestion VPN.

Sur ton USG 300, si tu as des port ethernet de libre coté LAN, prend un port, met le dans la Zone DMZ.
Ensuite tu le configure avec ces paramètres sur l’interface ethernet DMZ:

IP 192.168.1.2 (bien sur si tu l’utilise pas pour autre chose, et il faut qu’elle soit hors du DHCP du routeur Swisscom)
Mask 255.255.255.0
Pas de DHCP.

Une fois fait tu vas dans Configuration => Routing => Static route => ajouter

Tu met ça:

tu met un cable ethernet entre ton port DMZ et un des 3 ports restant du Centro business, et tu devrai pouvoir pinger ton histoire.

Si ça ne marche pas, change simplement dans configuration => interface => port role tu met ton port (P1-5) dans la meme Zone que toi (LAN1 si ton réseau perso est dans LAN1).

Teste et redit moi

Jim

Bonjour Jim1926, merci pour ta réponse.

J’ai testé comme t’as dit mais j’ai réussis à faire plus simple.

Je laisse mes configs et la solution:

Centro Business PSB4212N

IPv4 settings:
---—————————————————————————-
Source | Status | Enable | IP address | Subnet mask
---—————————————————————————-
Static | Enabled | true | 192.168.1.1 | 255.255.255.0
---—————————————————————————-

Main FW Version: 7.10.10
xDSL Version: A2pv6C038q.d24j

---—————————————————————————-

LAN IPv4: 192.168.1.1
LAN IPv6: fe80::ea74:e6ff:fe70:e955
WAN Connection: WAN-VDSL-PPP
WAN Mode & Profile: VDSL2, Profile 17a, PTM Mode, Showtime

---—————————————————————————-

routing:

arp:

**

**

ZyWALL USG 300

**

**

Interface Properties

Interface Type: external
Interface Name: ge7
Zone: WAN

IP Adress Assignment
Use Fixe IP Address:
IP Address: 172.31.255.6

Subnet Mask: 255.255.255.252Gateway: 172.31.255.5

Interface Properties

Interface Type: internal
Interface Name: ge1
Zone: LAN1

IP Adress Assignment

IP Address: 192.168.10.1
Subnet Mask: 255.255.255.0

**

**

Le problème que j’avais était le suivant ( .pdf

Avant la version du Firmware 2.20 le SNAT fonctionnait par la Policy Route. A partir de la version 2.20 une nouvelle fonction “ Default SNAT ” est implémentée, avec cette nouvelle fonction les Policy route pour SNAT ne sont plus nécessaires. Après une mise à jour du Firmware toutes les interfaces de l’USG sont par défaut définies avec le type “ general ”. Afin d’utiliser le “ Default SNAT ” les interfaces doivent êtres modifiés vers le type “ internal ” ou “ external ”. Toutes les interfaces qui appartiennent au réseau local (Zone LAN, DMZ, WLAN, etc.) doivent êtres définis avec le type “ internal ” et toutes les interfaces qui ce connectent par-exemple à l’Internet (Zone WAN) doivent êtres définis avec la type “ external ”. Le “ Default SNAT ” passe seulement entre une interface “ internal ” vers une interface “ external ”.

Un petit schéma:

Meilleures Salutations

@Suisso

Merci pour ce retour d’informations bien détaillé et complet!

Parfait

@Suisso Merci pour ton retour,

Je n’avais pas compris ce qu’était l’IP passtrough. Du coup ma solution n’était pas adaptée.
C’est une drole de solution que Swisscom propose… Avec leur histoire tu n’as donc aucune IP publique sur ton USG.

Je comprends maintenant pourquoi ça ne fonctionnait pas et ça pourrai m’aider.

Impec c’est bon a savoir.

Salutations

@Xtreme66 De Rien

@Jim1926 Exactement, ce n’est pas une vrai DMZ, donc je n’avais pas l’IP Publique sur le WAN, comme auparavant on pouvait le faire sur les Netopia (Motorola) avec la fonction “Transparence IP”. Selon les infos que j’ai eu, pour avoir accès à la fonction “DMZ Publique” avec le Centro Business il faut au minimum une range de 4 IP’s Fixes ( 20.–/mois ). Infos ici.

Pour le moment, la solution de l’IP Passthrough avec 1 IP Fixe me convient:smileyvery-happy:

@Suisso

J’ai enfin pu tester la configuration que j’ai décrite précédemment (Centro Business (IP Passtrough) + Zywall USG 40), tout fonctionne parfaitement. La connexion internet fonctionne parfaitement pour tous les utilisateurs.

J’ai une petite question aux utilisateurs de Zywall USG et à @Suisso, avec votre Zywall, avez-vous déjà effectué le test GRC? ShieldsUP!

Habituellement, tous les ports sont Stealth avec mes anciens Zywall, mais dans le cas de Zywall USG 40, le port 1 est Closed et non pas Stealth.

Port: 1

Name: tcpmux

Purpose: TCP Port Service Multiplexer

Et chez vous?

@+

@Xtreme66 voici mes résultats:

Juste pour compléter, j’ai fait des scan’s avec NMAP :

Rapport d’analyse Nmap pour XXX.XXX.XXX.XXX.static.wline.lns.sme.cust.swisscom.ch (XXX.XXX.XXX.XXX)

SERVICE DE L’ÉTAT DU PORT
53/tcp domaine ouvert

---————————————————————- ———–

Rapport d’analyse Nmap pour 172.31.255.5

SERVICE DE L’ÉTAT DU PORT
22/tcp ouvert ssh
53/tcp domaine ouvert

---————————————————————- ———–

Rapport d’analyse Nmap pour 172.31.255.6

SERVICE DE L’ÉTAT DU PORT
22/tcp ouvert ssh
53/tcp domaine ouvert
80/tcp ouvert http
443/tcp ouvert https

---————————————————————- ———–

Rapport d’analyse Nmap pour 192.168.1.1

SERVICE DE L’ÉTAT DU PORT
53/tcp domaine ouvert
80/tcp ouvert http
443/tcp ouvert https

---————————————————————- ———–

Rapport d’analyse Nmap pour 192.168.10.1

SERVICE DE L’ÉTAT DU PORT
22/tcp ouvert ssh
53/tcp domaine ouvert
80/tcp ouvert http
443/tcp ouvert https

---————————————————————- ———–

Meilleures Salutations:smileyhappy:

@Suisso

Merci pour ton message!

J’utilise aussi le test sur ce site Pentest-tools mais c’est basé sur Nmap.

Excellente fin de journée

@+

Salut à tous,

Bonne nouvelle, depuis la version du firmware 4.25, le Zywall USG 40 dispose de l’option DHCP 60 en indiquant la valeur 100008,0001,ZYXEL il peut être utilisé en aval d’un pont.

Configuration > Network > Interface > Ethernet > WAN1 > Show Advanced Settings

Source: Pare-feu USG et Centro Business