Re: [FRnOG] [TECH] Checkpoint R77.20 - route statique par DHCP - RFC3442
Le 06/11/2019 à 20:48, Michel Py a écrit : Frederic Dumas a écrit : Quelqu'un pourrait-il m'aider à encoder l'annonce d'une route statique au format RFC3442 dans le "DHCP Custom option" du Checkpoint ? Malheureusement je ne connais rien au Checkpoint, mais j'utilise cette option (121) et çà marche impec avec des clients Windows. J'injecte une dizaine de préfixes de tailles différentes avec l'option 121, quand on fait "route print" sur le client on les voit bien. Mon serveur DHCP est M$ serveur. J'ai configuré l'option 121 avec le GUI. J'avoue que je suis un peu perplexe sur 4 choses : 1. Dans RFC3442, (extrait plus bas) dans Destination 2 il n'y a pas de champ "Len", pas de "n", ce qui voudrait dire que tous les préfixes sont de la même longueur. Est-ce qu'il y a une version plus récente de RFC3442 ? En regardant avec Wireshark : 2. Mon client (Windows) dans le DHCP Inform demande l'option 249 : Private / classless static route (Microsoft). Visiblement, Microsoft a une version propriétaire de l'option 121. 3. Le paquet de retour DHCP Ack retourne l'option 249 avec les préfixes que j'ai configurés pour l'option 121 dans le serveur. Je n'ai pas de configuration pour l'option 249. 4. A relier à 1: le format est différent de ce que RFC3442 décrit : pour chaque préfixe, il y a un champ "Len" avec une valeur "n" qui correspond au préfixe en question, ce RFC3442 no propose pas. Si tes clients DHCP sont Windows, tu devrais essayer de configurer l'option 249 sur ton Checkpoint. J'utilise l'option 249 pour les clients Windows en lieu et place de la 121 (dnsmasq sous Linux). -- Daniel TOOTAi Networks --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Checkpoint R77.20 - route statique par DHCP - RFC3442
> Frederic Dumas a écrit : > Quelqu'un pourrait-il m'aider à encoder l'annonce d'une route statique > au format RFC3442 dans le "DHCP Custom option" du Checkpoint ? Malheureusement je ne connais rien au Checkpoint, mais j'utilise cette option (121) et çà marche impec avec des clients Windows. J'injecte une dizaine de préfixes de tailles différentes avec l'option 121, quand on fait "route print" sur le client on les voit bien. Mon serveur DHCP est M$ serveur. J'ai configuré l'option 121 avec le GUI. J'avoue que je suis un peu perplexe sur 4 choses : 1. Dans RFC3442, (extrait plus bas) dans Destination 2 il n'y a pas de champ "Len", pas de "n", ce qui voudrait dire que tous les préfixes sont de la même longueur. Est-ce qu'il y a une version plus récente de RFC3442 ? En regardant avec Wireshark : 2. Mon client (Windows) dans le DHCP Inform demande l'option 249 : Private / classless static route (Microsoft). Visiblement, Microsoft a une version propriétaire de l'option 121. 3. Le paquet de retour DHCP Ack retourne l'option 249 avec les préfixes que j'ai configurés pour l'option 121 dans le serveur. Je n'ai pas de configuration pour l'option 249. 4. A relier à 1: le format est différent de ce que RFC3442 décrit : pour chaque préfixe, il y a un champ "Len" avec une valeur "n" qui correspond au préfixe en question, ce RFC3442 no propose pas. Si tes clients DHCP sont Windows, tu devrais essayer de configurer l'option 249 sur ton Checkpoint. Michel. Classless Route Option Format The code for this option is 121, and its minimum length is 5 bytes. This option can contain one or more static routes, each of which consists of a destination descriptor and the IP address of the router that should be used to reach that destination. Code Len Destination 1Router 1 +-+---++-++++++ | 121 | n | d1 | ... | dN | r1 | r2 | r3 | r4 | +-+---++-++++++ Destination 2 Router 2 ++-++++++ | d1 | ... | dN | r1 | r2 | r3 | r4 | ++-++++++ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Checkpoint R77.20 - route statique par DHCP - RFC3442
Réponse courte: Quelqu'un pourrait-il m'aider à encoder l'annonce d'une route statique au format RFC3442 dans le "DHCP Custom option" du Checkpoint ? Réponse normale: Bonjour David, Bonjour Radu, Le 06/11/2019 à 12:04, David Ponzone a écrit : Sinon, si les PC du LAN voit la passerelle en question, le Checkpoint la voit aussi, donc pourquoi tu mets juste pas une route statique dans le Checkpoint vers ce sous-réseau avec la passerelle en question comme next-hop ? Oui, c'est ce que nous avions commencé à faire. Grâce aux annonces ICMP Redirect émises par le Checkpoint, nos stations de travail dirigent effectivement vers la passerelle en question le trafic destiné à ce sous-réseau particulier. De l'autre coté de la passerelle, les serveurs nous répondent. Tout devrait donc bien aller. Mais alors... Le 06/11/2019 à 12:18, Radu-Adrian Feurdean a écrit : Parce-que routage asymetrique qui interfere avec le statefull firewall. Le 06/11/2019 à 12:37, David Ponzone a écrit : Il y a peut-être un moyen de couper le firewall pour le trafic LAN<—>LAN. Bien tenté, la vérité est pourtant encore ailleurs, mes chers Sculley et Mulder :-) Nos stations de travail reçoivent les réponses des serveurs situés au-delà de la passerelle en question, car elles empruntent le même chemin au retour qu'à l'aller. Tout va bien. Mais comme ces paquets proviennent d'une passerelle vers laquelle les stations de travail n'ont pas de route par défaut, nos stations de travail considèrent alors ces paquets entrant comme des paquets martiens et... les droppent. Le phénomène est identique sur Linux, OS.X et Windows. Ce qu'il faut à nos stations de travail, c'est une route statique définie sur chacune d'elles, vers la passerelle en question. D'où l'idée de charger le serveur DHCP du Checkpoint de la tache d'annoncer cette route statique. Je reviens donc à ma question d'origine: quelqu'un pourrait-il m'aider à encoder l'annonce d'une route statique au format RFC3442 dans le "DHCP Custom option" du Checkpoint ? En remerciant d'avance les plus chenus d'entre nous. -- Frederic Dumas f.du...@ellis.siteparc.fr Le 06/11/2019 à 11:46, Frederic Dumas a écrit : Bonjour à tous, Peut-on configurer un Checkpoint 600 (firmware R77.20.80) pour que son serveur DHCP annonce à nos stations de travail une route statique vers un sous-réseau inaccessible par le Checkpoint, mais accessible par une autre passerelle, située sur le même sous-réseau que les stations de travail ? Je n'ai pas vu comment ajouter de routes statiques dans la configuration DHCP du Checkpoint; le "DHCP custom option" le permet-il ? Le guide de l'admin R77 n'apporte pas de réponse. Est-ce le moyen d'enregistrer une route statique au format RFC3442 [1] ? Si oui, quelqu'un peut-il m'aider pour la syntaxe exacte à utiliser ? Merci pour votre aide. Frédéric. [1] https://tools.ietf.org/html/rfc3442 -- Frederic Dumas f.du...@ellis.siteparc.fr --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Checkpoint R77.20 - route statique par DHCP - RFC3442
> Le 6 nov. 2019 à 12:18, Radu-Adrian Feurdean > a écrit : > > On Wed, Nov 6, 2019, at 12:04, David Ponzone wrote: > >> Sinon, si les PC du LAN voit la passerelle en question, le Checkpoint >> la voit aussi, donc pourquoi tu mets juste pas une route statique dans >> le Checkpoint vers ce sous-réseau avec la passerelle en question comme >> next-hop ? > > Parce-que routage asymetrique qui interfere avec le statefull firewall. > Peut-etre qu'un jour les zozo de la securite comprendront qu'il y a des > use-case parfaitement valable pour du filtrage stateless. > > Chez $job[-1] on a degage un fournisseur pour (parmi autre choses) des > attitudes du style "jamais de la vie du stateless". Ca rendait le boititer > totalement inutilisable dans certain cas (des cas a $$$). Il y a peut-être un moyen de couper le firewall pour le trafic LAN<—>LAN. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Checkpoint R77.20 - route statique par DHCP - RFC3442
On Wed, Nov 6, 2019, at 12:04, David Ponzone wrote: > Sinon, si les PC du LAN voit la passerelle en question, le Checkpoint > la voit aussi, donc pourquoi tu mets juste pas une route statique dans > le Checkpoint vers ce sous-réseau avec la passerelle en question comme > next-hop ? Parce-que routage asymetrique qui interfere avec le statefull firewall. Peut-etre qu'un jour les zozo de la securite comprendront qu'il y a des use-case parfaitement valable pour du filtrage stateless. Chez $job[-1] on a degage un fournisseur pour (parmi autre choses) des attitudes du style "jamais de la vie du stateless". Ca rendait le boititer totalement inutilisable dans certain cas (des cas a $$$). --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Checkpoint R77.20 - route statique par DHCP - RFC3442
> Le 6 nov. 2019 à 11:46, Frederic Dumas a écrit : > > > Bonjour à tous, > > Peut-on configurer un Checkpoint 600 (firmware R77.20.80) pour que son > serveur DHCP annonce à nos stations de travail une route statique vers un > sous-réseau inaccessible par le Checkpoint, mais accessible par une autre > passerelle, située sur le même sous-réseau que les stations de travail ? > > Je n'ai pas vu comment ajouter de routes statiques dans la configuration DHCP > du Checkpoint; le "DHCP custom option" le permet-il ? Le guide de l'admin R77 > n'apporte pas de réponse. Est-ce le moyen d'enregistrer une route statique au > format RFC3442 [1] ? Si oui, quelqu'un peut-il m'aider pour la syntaxe exacte > à utiliser ? > Déjà, j’anticipe Vendredi: jette au plus vite ce Checkpoint 600. Ils n’auraient jamais dû sortir cette merde. J’ai perdu un client à cause de cette bouse, et jamais plus je n’achèterai un Checkpoint, même à 500k€. D’ailleurs, ils l’ont rapidement viré de la gamme. Mais pas assez vite. Sinon, si les PC du LAN voit la passerelle en question, le Checkpoint la voit aussi, donc pourquoi tu mets juste pas une route statique dans le Checkpoint vers ce sous-réseau avec la passerelle en question comme next-hop ? Je vois mal l’intérêt de tenter d’envoyer une route statique en DHCP, ce qui est loin d’’être courant, et loin d’être supporté par tous les clients. --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] Checkpoint R77.20 - route statique par DHCP - RFC3442
Bonjour à tous, Peut-on configurer un Checkpoint 600 (firmware R77.20.80) pour que son serveur DHCP annonce à nos stations de travail une route statique vers un sous-réseau inaccessible par le Checkpoint, mais accessible par une autre passerelle, située sur le même sous-réseau que les stations de travail ? Je n'ai pas vu comment ajouter de routes statiques dans la configuration DHCP du Checkpoint; le "DHCP custom option" le permet-il ? Le guide de l'admin R77 n'apporte pas de réponse. Est-ce le moyen d'enregistrer une route statique au format RFC3442 [1] ? Si oui, quelqu'un peut-il m'aider pour la syntaxe exacte à utiliser ? Merci pour votre aide. Frédéric. [1] https://tools.ietf.org/html/rfc3442 -- Frederic Dumas f.du...@ellis.siteparc.fr --- Liste de diffusion du FRnOG http://www.frnog.org/