Scénario:
- Abonnement: MY PME OFFICE L + Option: IP Fixe
- Centro Business PSB4212N
FW Version: 7.10.10
WAN Connection: WAN-VDSL-PPP
WAN Mode & Profile: VDSL2, Profile 17a, PTM Mode
- ZyXEL ZyWALL USG 300
FW Version: 3.30(AQE.7)C0
--------------------------------------------------------------------------------
Bonjour, j'avais un abonnement Business Internet Light + IP Fixe + PME Office 4* avec modem bridge ZyXEL P870 avec une Multi-ligne ISDN et un router/pare-feu ZyWALL USG 300 pour gérer tout le reste (VPN's, Connexion PPPoE, etc.). La Bluewin TV était sur un autre router Centro Grande et sur une deuxième ligne.
Actuellement, je viens de migrer en "ALL IP" avec My PME Office L + IP Fixe, et j'ai seulement un Centro Business pour gérer la téléphonie par IP, Bluewin TV, Connexion PPPoE, etc. Le seul problème c'est que je n'arrive pas à mettre le pare-feu ZyWALL USG 300 pour gérer les VPNS et avoir accès à l'IP du Centro Business (192.168.1.1) pour d'autres raisons. Le mode bridge ou PPPoE Passtrough marche pour les VPNS et pour gérer la connexion PPPoE mais plus d'accès sur le router Centro Business (192.168.1.1).
J'ai alors vu qu'on peut créer un DMZ, c'est-à-dire, activer l' IP passthrough (Local security gateway) sur LAN1. J'ai essayer de le faire mais sans succès, sur le ZyWALL USG 300, sur le port WAN j'ai paramétré avec les configs suivantes (selon l'aide de l'hotline Swisscom et la documentation):
WAN Interface (ge7)
IP: 172.31.255.6
SUBNET MASK: 255.255.255.252
GATEWAY: 172.31.255.5
DNS1: 195.186.1.162
DNS2: 195.186.4.162
--------------------------------------------------------------------------------
LAN Interface (ge1)
IP: 192.168.10.1
SUBNET MASK: 255.255.255.0
DHCP: 192.168.10.33 - 192.168.10.50
--------------------------------------------------------------------------------
Avec cette config je n'arrive pas à voir (ping) le Centro Business sur l'IP 192.168.1.1 ni avoir Internet sur un PC Client dans la subnet 192.168.10.0/24. Par contre, si je branche directement le câble du LAN1 (côté Centro Business) vers une carte réseau d'un PC et si je rentre les mêmes configs que pour le port WAN, c'est-à-dire:
IP: 172.31.255.6
SUBNET MASK: 255.255.255.252
GATEWAY: 172.31.255.5
DNS1: 195.186.1.162
DNS2: 195.186.4.162
J'ai l'Internet qui marche et j'arrive à faire un ping sur 192.168.1.1, donc tout marche comme je le désire, mais ça ne régle pas mon problème avec le ZyWALL USG 300.
Pouvez-vous m'aider svp ?
Merci d'avance pour votre réponse,
Meilleures Salutations.
Bonjour @Suissinho
Vous n'êtes pas le seul à être un peu coincé avec le Centro Business lorsqu'il est en mode IP Passtrhough.
Il y a un message intéressant par >> ici << !
Je n'ai pour l'heure pas de réponse à ce problème...
Bonne journée à tous
Bonjour Xtreme66 , pour votre cas, Il faut avoir un abonnement: MY PME OFFICE + Option: IP Fixe il me semble, mais mon problème est plus complexe, je viens d'avoir les techniciens de Swisscom connectés à distance mais ils n'ont pas encore trouvés la solution...
Avant de passer en All IP, je me fais un peu la main sur ce Centro Business couplé à un Zywall USG 40. Comme je suis encore avec un Business Internet Light + IP Fixe + PME Office ****.
Actuellement, le Centro Business est en local, pas d'accès internet. La ligne est disponible que les week-end.
Ceci étant dit, en utilisant vos paramètres, je constate que je peux faire un ping et un tracert sur le Centro Business (192.168.1.1) depuis un PC(192.168.110.XXX) qui est derrière le Zywall USG 40(192.168.110.2).
Lan1 (Centro Business) -> Wan (Zywall USG 40)
NB: je n'ai pour l'heure pas pu tester, pour les raisons déjà évoquées, si l'accès internet est possible pour le réseau derrière le Zywall USG 40.
Bonne soirée à tous
Merci Xtreme66 , mais si vous n'avez pas activer l'option dans le Centro Business "IP passthrough (Local security gateway) sur LAN1" vous ne pouvez pas avoir fait le même test que moi... ou alors montrez-moi les configs sur le port WAN du ZyWALL et les configs du Centro Business dans "Paramètres > Router".
On m'a parlé que pour mon cas, il faut créer un routage statique dans le ZyWALL vers le port WAN avec l'IP de Swisscom mais je ne sais pas encore comment faire...Je cherche toujours...
Merci,
Salutations
Suisso a écrit : vous n'avez pas activer l'option dans le Centro Business "IP passthrough (Local security gateway) sur LAN1" vous ne pouvez pas avoir fait le même test que moi...
Cette option est naturellement activée ("IP passthrough (Local security gateway) sur LAN1").
Dans l'appareil (Centro Business), l'IP du Zywall USG 40 est en statique ( IP : 172.31.255.6).
Pour votre routage statique, peut-être que ce document pourra vous aider.
Je vous fais un printscreen dès que j'ai un moment....
Avec cette configuration, j'accède depuis mon PC au Centro Business (192.168.1.1)
Il me reste à vérifier si l'accès à internet est possible avec cette configuration. On verra tout ça en fin de semaine.
Merci beaucoup pour ces infos, il faudra que je re-test sérieusement!
Pouvez-vous m'envoyer des printscreens dans les paramètres suivants de votre ZyWALL USG40 svp:
- "Configuration > Routage > Règles de routage"
- "Configuration > Routage > Routage statique"
- "Configuration > Pare-feu"
- "Configuration > Interface > Ethernet > lan1"
Merci d'avance,
Meilleures Salutations.
Bonsoir,
Je suis parti d'une configuration de base au niveau du Zywall, donc après un hard reset. Idem pour le Centro Business.
Aucune modification n'a été apportée au niveau des règles de routage, routage statique, ou pare-feu.
Au niveau du lan1, j'ai simplement modifié l'adresse IP du lan 1 et de sa plage.
Pour le Wan, les modifications sont celles disponibles plus haut.
J'ai ajouté mon user/pass pour l'accès au wan1_ppp pour l'accès au serveur swisscom avec l'information de l'IP fixe.
Au niveau du Centro Business, j'ai ajouté en l'IP du Zywall USG 40 en IP statique.
Pour le reste, je dois avoir la ligne VDSL2 pour vérifier que tout fonctionne.
J'espère que vous pourrez trouver la solution...
Salut,
une solution peut-être :
Tu garde ta configuration Centro Business, port LAN 1 en mode IP Passthrough vers le port WAN de ton USG.
Ceci te donnera une IP publique sur ton USG et tu aura donc ta gestion VPN.
Sur ton USG 300, si tu as des port ethernet de libre coté LAN, prend un port, met le dans la Zone DMZ.
Ensuite tu le configure avec ces paramètres sur l'interface ethernet DMZ :
IP 192.168.1.2 (bien sur si tu l'utilise pas pour autre chose, et il faut qu'elle soit hors du DHCP du routeur Swisscom)
Mask 255.255.255.0
Pas de DHCP.
Une fois fait tu vas dans Configuration => Routing => Static route => ajouter
Tu met ça :
tu met un cable ethernet entre ton port DMZ et un des 3 ports restant du Centro business, et tu devrai pouvoir pinger ton histoire.
Si ça ne marche pas, change simplement dans configuration => interface => port role tu met ton port (P1-5) dans la meme Zone que toi (LAN1 si ton réseau perso est dans LAN1).
Teste et redit moi
Jim
Bonjour Jim1926 , merci pour ta réponse.
J'ai testé comme t'as dit mais j'ai réussis à faire plus simple.
Je laisse mes configs et la solution:
Centro Business PSB4212N
IPv4 settings:
-------------------------------------------------------------------------------
Source | Status | Enable | IP address | Subnet mask
-------------------------------------------------------------------------------
Static | Enabled | true | 192.168.1.1 | 255.255.255.0
-------------------------------------------------------------------------------
Main FW Version: 7.10.10
xDSL Version: A2pv6C038q.d24j
-------------------------------------------------------------------------------
LAN IPv4: 192.168.1.1
LAN IPv6: fe80::ea74:e6ff:fe70:e955
WAN Connection: WAN-VDSL-PPP
WAN Mode & Profile: VDSL2, Profile 17a, PTM Mode, Showtime
-------------------------------------------------------------------------------
routing:
arp:
ZyWALL USG 300
Interface Properties
Interface Type: external
Interface Name: ge7
Zone: WAN
IP Adress Assignment
Use Fixe IP Address:
IP Address: 172.31.255.6
Subnet Mask: 255.255.255.252
Gateway: 172.31.255.5
Interface Properties
Interface Type: internal
Interface Name: ge1
Zone: LAN1
IP Adress Assignment
IP Address: 192.168.10.1
Subnet Mask: 255.255.255.0
Le problème que j'avais était le suivant ( .pdf 😞
Un petit schéma:
Meilleures Salutations
@Suisso Merci pour ton retour,
Je n'avais pas compris ce qu'était l'IP passtrough. Du coup ma solution n'était pas adaptée.
C'est une drole de solution que Swisscom propose... Avec leur histoire tu n'as donc aucune IP publique sur ton USG.
Je comprends maintenant pourquoi ça ne fonctionnait pas et ça pourrai m'aider.
Impec c'est bon a savoir.
Salutations
@Xtreme66 De Rien 🙂
@Jim1926 Exactement, ce n'est pas une vrai DMZ, donc je n'avais pas l'IP Publique sur le WAN, comme auparavant on pouvait le faire sur les Netopia (Motorola) avec la fonction "Transparence IP". Selon les infos que j'ai eu, pour avoir accès à la fonction "DMZ Publique" avec le Centro Business il faut au minimum une range de 4 IP's Fixes ( 20.–/mois ) . Infos ici.
Pour le moment, la solution de l'IP Passthrough avec 1 IP Fixe me convient :smileyvery-happy:
J'ai enfin pu tester la configuration que j'ai décrite précédemment (Centro Business (IP Passtrough) + Zywall USG 40), tout fonctionne parfaitement. La connexion internet fonctionne parfaitement pour tous les utilisateurs.
J'ai une petite question aux utilisateurs de Zywall USG et à @Suisso, avec votre Zywall, avez-vous déjà effectué le test GRC ? ShieldsUP!
Habituellement, tous les ports sont Stealth avec mes anciens Zywall, mais dans le cas de Zywall USG 40, le port 1 est Closed et non pas Stealth.
Port : 1
Name: tcpmux
Purpose: TCP Port Service Multiplexer
Et chez vous ?
@+
@Xtreme66 voici mes résultats:
Juste pour compléter, j'ai fait des scan's avec NMAP:
Nmap scan report for XXX.XXX.XXX.XXX.static.wline.lns.sme.cust.swisscom.ch (XXX.XXX.XXX.XXX)
PORT STATE SERVICE
53/tcp open domain
------------------------------------------------------------
Nmap scan report for 172.31.255.5
PORT STATE SERVICE
22/tcp open ssh
53/tcp open domain
------------------------------------------------------------
Nmap scan report for 172.31.255.6
PORT STATE SERVICE
22/tcp open ssh
53/tcp open domain
80/tcp open http
443/tcp open https
------------------------------------------------------------
Nmap scan report for 192.168.1.1
PORT STATE SERVICE
53/tcp open domain
80/tcp open http
443/tcp open https
------------------------------------------------------------
Nmap scan report for 192.168.10.1
PORT STATE SERVICE
22/tcp open ssh
53/tcp open domain
80/tcp open http
443/tcp open https
------------------------------------------------------------
Meilleures Salutations :smileyhappy:
Merci pour ton message !
J'utilise aussi le test sur ce site Pentest-tools mais c'est basé sur Nmap.
Excellente fin de journée
@+
Salut à tous,
Bonne nouvelle, depuis la version du firmware 4.25, le Zywall USG 40 dispose de l'option DHCP 60 en indiquant la valeur 100008,0001,ZYXEL il peut être utilisé en aval d'un pont.
Configuration > Network > Interface > Ethernet > WAN1 > Show Advanced Settings
Source : Pare-feu USG et Centro Business
:smileyhappy: