Pb ICS Windows 2000

Discussion in 'LnS French Forum' started by romario, May 17, 2004.

Thread Status:
Not open for further replies.
  1. romario

    romario Registered Member

    Joined:
    May 17, 2004
    Posts:
    11
    bonjour

    je m'adresse à vous après avoir parcouru le forum et épuisé mes connaissances...

    j'ai 2 PC en réseau local
    - le PC1 est sous Windows2000, NAV(patché), connecté à Internet par l'ADSL, la connection est partagée (ICS)
    - le PC2 est sous WindowsXP, NAV(patché), connection à Internet grace à l'ICS.

    j'ai chargé les règles "ics" et "partage"

    le PC1 marche bien

    ... mais le PC2 n'arrive pas à se connecter à Internet : le curseur reste sur le sablier, le LNS du PC1 bloquant apparemment les demandes des pages web

    ce qui est bizarre c'est que cela fonctionnait avant quand le modem adsl était branché sur le PC2 et que le PC1 se connectait à travers lui

    D'où ma question : "Y-a-t'il des réglages de LNS spécifiques pour le partage de connection internet pour Windows 2000" ?

    merci de votre aide (ma copine commence à faire la tête car je passe trop de temps à essayer de résoudre ce pb ) :'( o_O
     
  2. gkweb

    gkweb Expert Firewall Tester

    Joined:
    Aug 29, 2003
    Posts:
    1,932
    Location:
    FRANCE, Rouen (76)
    Bonjour,

    question peut être bête, et j'en suis désolé, mais l'ICS n'est pas disponible que sous XP et pas sous 2000 ?

    Si Look'n'Stop est désactivé sur les 2 PC, est ce que ca marche ?

    gkweb.
     
  3. romario

    romario Registered Member

    Joined:
    May 17, 2004
    Posts:
    11
    à priori le partage de connection internet est possible sous windows 200 puisque j'ai trouvé une case me le permettant dans les propriétés de la connection...

    sinon dès que je quitte LNS sur le PC1, le PC2 (qui a lui LNS activé) peut accéder au web

    c'est pourquoi je pensais à un réglage windows 2000 car c'est la différence entre les 2 ordis

    Romario
     
  4. gkweb

    gkweb Expert Firewall Tester

    Joined:
    Aug 29, 2003
    Posts:
    1,932
    Location:
    FRANCE, Rouen (76)
    Je n'ai pas dit que c'etait impossible, j'ai juste posé la question :)
    Je n'en avait pas encore entendu parlé, tous les PC que j'ai configuré avec l'ICS tournaient sous XP, et avait divers clients tels que des Windows 98 ou Millenium.

    C'est donc un réglage Look'n'Stop à faire, puisque dès que tu le ferme, la connexion marche.
    Un jeu de régle qui marche dans un sens ne marchera pas forcement dans l'autre même si les PC sont identiques, principalement à cause des adresses IP/MAC différentes, qui peuvent être spécifiés dans les règles.

    Un moyen rapide de voir ce qui ne va pas est de regarder ce que Look'n'Stop log dans le journal sur le PC1 quand le PC2 tente d'acceder à internet.
    Ensuite il faut aller regarder dans la règle de filtrage qui est censée autoriser le traffic bloqué, il est possible qu'il y ai une IP définie à la place de "egal @".

    L'avantage de "egal @" est de toujours se calquer sur l'IP courante.

    Si tu ne t'en sort pas, peux tu nous donner les lignes affichées dans le journal ?

    gkweb.
     
  5. Frederic

    Frederic LnS Developer

    Joined:
    Jan 9, 2003
    Posts:
    4,354
    Location:
    France
    Un autre truc à vérifier aussi sur le PC1: dans les options de Look 'n' Stop, est-ce que l'interface réseau sélectionnée correspond bien à la connexion ADSL ?
    Si par hasard c'est l'interface réseau entre les 2 PC (une carte ethernet, je suppose) qui était sélectionnée, ça peut provoquer ce problème.

    Frédéric
     
  6. romario

    romario Registered Member

    Joined:
    May 17, 2004
    Posts:
    11
    après des tests j'ai l'impression que le LNS du poste serveur PC1 bloque les messages Internet>>PC qui sont les réponses des demandes du PC2 client

    j'ai essayé avec des règles autorisant certains ports mais je ne m'en sors pas

    et j'ai remarqué que le partage de connexion de windows 2000 garde l'adresse IP du PC1 pour les messages envoyés sur internet par le PC2 mais convertit l'adresse MAC du PC2 en quelque chose de bidon du genre 00:00:05:00:00:00 qui ne correspond à rien, donc j'ai créée une règle autorisant les échanges de messages depuis et vers cette adresse MAC, et cela marche ! (enfin pour combien de temps o_O)

    donc apparemment l'ICS de Windows 2000 n'a pas l'air de fonctionner pareil que celui de WIndows XP !
    si qqun a une meilleure idée de règle je suis preneur !

    Romario
     
  7. gkweb

    gkweb Expert Firewall Tester

    Joined:
    Aug 29, 2003
    Posts:
    1,932
    Location:
    FRANCE, Rouen (76)
    La nouvelle adresse MAC ne serait elle pas celle de ton modem ?
    Vérifies bien comme dit Frédéric que ton modem est sélectionné dans les options, si tu selectionne la carte réseau alors que le PC a un modem, ca ne te protegera pas par rapport à Internet.

    gkweb.
     
  8. romario

    romario Registered Member

    Joined:
    May 17, 2004
    Posts:
    11
    j'ai sélectionné l'interface "IP look'n'stop driver" sur le PC serveur

    sinon j'ai 2 autres possibilités :
    - la carte réseau pour le réseau local avec l'autre PC
    - la carte réseau où est branché le modem ADSL

    sinon l'adresse MAC utilisée n'est celle d'aucune des 2 cartes réseaux du PC , mais je ne sais pas comment regarder l'adresse MAC du modem ?

    Romario
     
  9. Frederic

    Frederic LnS Developer

    Joined:
    Jan 9, 2003
    Posts:
    4,354
    Location:
    France
    C'est un peu curieux tout ça.

    En tout cas, c'est bien la bonne interface réseau qui est sélectionnée (je suppose que vous êtes en PPPoE).

    Sous 2000 et XP, en général Look 'n' Stop ne voit pas les paquets destinés à l'autre PC quand on sélectionne l'interface réseau de la connexion internet (sous Win9x/Me c'est différent). C'est d'ailleurs pour cela que la FAQ indique que sur le PC serveur, le jeu de règles standard doit marcher tel quel:
    http://www.looknstop.com/Fr/faq.htm#ICS_config

    Utilisezvous un jeu de règles par défaut (standard ou évolué) ou utilisez-vous un jeu de règles modifié ?

    Les paquets que vous avez autorisés avec l'adresse MAC spéciale, sont-ils spécifiques aux échanges PC2-Internet ?
    Je suppose que c'est en regardant le journal que vous avez constaté ces paquets ? Si oui quelle était la règle qui les bloquait ?

    Merci d'avance pour ces précisions.

    Frédéric
     
  10. romario

    romario Registered Member

    Joined:
    May 17, 2004
    Posts:
    11
    oui Frédéric, j'ai bien installé des drivers PPPoE pour le modem ADSL

    le jeu de règles que j'utilise est le jeu de règle défini par défaut avec 4 règles importées après avoir lu la FAQ:
    - IP : ICS Serveur (même si apparemment elle est inutile pour windows 2000)
    - UDP: Partage
    - TCP : Partage 2
    - TCP : Partage 1

    les paquets que j'autorisent sont bien spécifiques aux échanges PC2-Internet
    et effectivement c'est bien dans le journal de LNS que j'ai lu ces infos. Sans la règle ajoutée, c'était la règle "TCP : Bloque tous les autres paquets" qui empêchait les réponses des serveurs web contactés par le PC2.

    c'est en effet un peu bizarre tout ça !!
    et pourtant je ne me suis pas amusé avec une configuration spéciale !

    Romario
     
  11. gkweb

    gkweb Expert Firewall Tester

    Joined:
    Aug 29, 2003
    Posts:
    1,932
    Location:
    FRANCE, Rouen (76)
    Je pensai que la bonne interface à selectionner aurait été la carte réseau où est branché le modem ADSL, je croyait qu'il ne fallait jamais cocher le driver Look'n'Stop, enfin bon, Frédéric sait de quoi il parle ;)

    Ce qui serait bien pour éclaircir tout ça c'est deja que tu nous confirme le schema suivant :

    INTERNET <-----> PC1(modem) <------> PC2

    il faudrait aussi que tu nous passe les adresses IP de PC1 et PC2, et que tu nous joigne le journal, qu'on puisse suivre ce qui se passe.

    Sinon petite question, le partage de fichier sur le mini LAN fonctionne bien ?

    gkweb.
     
  12. romario

    romario Registered Member

    Joined:
    May 17, 2004
    Posts:
    11
    je confirme bien ton schéma gkweb :
    Internet <---> modem adsl ethernet <-----> PC1 (serveur de connexions) <-----> PC2 (client)
    avec PC1 sous windows 2000 et PC2 sous Windows XP

    pour les adresses IP je les envoie tout à l'heure mais elles changent quand je redémarre

    Romario
     
  13. Frederic

    Frederic LnS Developer

    Joined:
    Jan 9, 2003
    Posts:
    4,354
    Location:
    France
    En fait c'est surtout l'extrait du journal qu'il nous faut, et pour cet extrait du journal, donne nous les adresses IP des 2 PC que tu avais à ce moment là. Tu peux utiliser l'utilitaire suivant pour faire lister les adresses IP (et MAC):
    http://looknstop.soft4ever.com/Tools/AdaptList.exe
    sur chacun des 2 PC, comme ça on aura toutes les infos.

    Pour le journal, ce que tu peux faire c'est ajouter pendant un temps le ! pour la règle que tu as ajoutée, comme ça on verra la tête des paquets qui été bloqués avant et que la règle autorise maintenant.

    Merci,

    Frédéric
     
  14. romario

    romario Registered Member

    Joined:
    May 17, 2004
    Posts:
    11
    exemple de tentative de connexion à amazon.fr par le PC2

    log du PC1 : c'est la règle "TCP : bloque tous les autres paquets" qui empêche la connexion

    journal:

    19/05/04,19:54:45 D-14 'TCP : Bloque tous les au' 207.171.170.20 TCP Ports Dest:loc-srv=135 Src:2655
    19/05/04,19:54:45 D-15 'TCP : Bloque tous les au' 207.171.170.20 TCP Ports Dest:loc-srv=135 Src:2655
    19/05/04,19:54:48 D-16 'TCP : Bloque tous les au' 207.171.170.20 TCP Ports Dest:loc-srv=135 Src:2655
    19/05/04,19:54:52 D-17 'TCP : Bloque tous les au' 81.185.147.106 TCP Ports Dest:loc-srv=135 Src:2745


    en examinant un des ces paquets, je remarque:
    - la direction est Internet>>PC à chaque fois
    - l'IP de destination est bien celle de "WAN (PPP/SLIP) Interface" (modem adsl surement)
    - l'adresse Ethernet de destination du paquet est (aujourd'hui) 00:00:02:00:00:00 qui ne correspond à aucune adresse Ethernet d'un de mes équipement (liste donnée par AdaptList.exe) ; en plus hier c'était 00:00:05:00:00:00 donc elle change (et ma règle d'hier ne marche plus ...)

    cela peut-il vous aider à avoir une idée + précise ou voulez-vous + de précisions ?
    si oui, comment je peux vous envoyer des captures d'écran (où on voie mieux)

    merci en tout cas pour votre aide très sympathique !

    Romario
     
  15. romario

    romario Registered Member

    Joined:
    May 17, 2004
    Posts:
    11
    je rajoute :

    - pas de pb pour le partage de fichiers sur le réseau local

    - je viens de m'apercevoir que même pour les paquets qui passaient l'adresse ethernet étaient choisies arbitrairement...... à creuser, mais là je dois partir
     
  16. romario

    romario Registered Member

    Joined:
    May 17, 2004
    Posts:
    11
    bon, je pense que je me trompe de voie avec mes histoires d'adresses éthernet. Apparemment la connexion adsl utilise une interface et un protocole (pppoe) particulier que je ne connais pas.

    je lis dans le journal de log que les messages tcp utilisés pour la connection avec le PC2 se font avec des numéros de port divers et différents de ceux définis dans la règle "autorise les services internet standards" : ils sont + élevés. Et donc sont bloqués.

    je ne sais pas comment windows 2000 gère le partage de connection internet (comment traduit-il une demande du PC2 de connection depuis son port 2000 par ex vers un port 80 d'un serveur web ? en décalant peut-être les ports et dans ce cas-là on n'est plus dans la plage 1024-5000 ? je dis peut-être des bétises mais j'ai pas réussi à trouver l'explication de ce mécanisme)
    enfin bref je ne m'en sors pas

    si qqun a une idée tant mieux, sinon tant pis j'abandonnerai LNS

    merci à tous

    Romario
     
  17. Frederic

    Frederic LnS Developer

    Joined:
    Jan 9, 2003
    Posts:
    4,354
    Location:
    France
    Oui ça pourait être ça, cependant le log ci-dessus ne montre pas de tels paquets.
    Ce log est aussi un peu curieux, normalement le port 135 ne devrait pas être utilisé quand vous faites un accès Web. Il devrait y avoir de l'UDP 53 puis du TCP 80.

    Oui, pourriez-vous nous envoyer à lnssupport@soft4ever.com:
    - les 2 résultats de AdaptList.exe sur les 2 PCs
    - un log brut, sur le Look 'n' Stop du PC1, après avoir constaté un cas de blocage d'accès du PC2 à internet (activez les logs brut dans les options avancées avant)
    - les copies d'écran que vous jugerez utiles

    Un dernier truc: pourriez-vous vérifier une dernière fois que si Look 'n' Stop n'est pas lancé sur le PC2, ça ne change rien ? (il faudrait pas qu'on se concentre sur le LnS du PC1 alors que le blocage vient du PC2 :doubt: )

    Merci d'avance,

    Frédéric
     
  18. romario

    romario Registered Member

    Joined:
    May 17, 2004
    Posts:
    11
    bon finalement j'ai changé les branchements et mis le serveur de connexions sur le PC avec Windows XP et je n'ai plus de problème, car je commençais à passer trop de temps à essayer de faire marcher le LNS sur le poste windows 2000

    merci à ceux qui m'ont répondu et aidé

    Romario
     
  19. Jesus

    Jesus Guest

    Salut Frederic
    J'ai le même probleme que Romario.
    J'ai installé LNS sur un PC serveur qui partage la connection Internet sur un réseau local autour d'un hub :
    Internet <---> Modem <---> PC Serveur avec LNS <---> Hub <---> PCs Clients
    Tous les PC sont sous W2000 SP4
    Ils ont KasperskyAV
    Je suis chez Tiscali
    La connection marchait tres bien avant LNS, mais avec le firewall, Internet ne fonctionne pas sur les PC clients mais fonctionne bien sur le PC serveur.
    J'ai essayé avec ou sans LNS sur les PCs clients, ca ne change rien.
    Lorsque je tente de surfer à partir d'un PC client ,le journal me donne sur le Serveur :
    01/06/04,23:51:08 D 316 'TCP : Bloque tous les au' 66.152.97.226 TCP Ports Dest:18543 Src:27962
    01/06/04,23:52:05 D 359 'TCP : Bloque tous les au' 65.54.183.192 TCP Ports Dest:57189 Src:49484
    01/06/04,23:52:09 D 370 'TCP : Bloque tous les au' 66.102.11.99 TCP Ports Dest:53946 Src:20326
    01/06/04,23:52:09 D 371 'TCP : Bloque tous les au' 66.152.97.226 TCP Ports Dest:8310 Src:31034

    Le problème c'est que les ports utilisés ne rentrent pas dans la règle qui autorise les standards Internet. Alors pourquoi ? Aucun problème de ports quand je surf sur le serveur ( ports compris entre 1024 et 5000).
    Du coup pour pouvoir utiliser Internet sur les PCs clients je suis obligé de modifier la règle pour qu'elle autorise tous les paquets TCP quels que soient les ports.
    Voila donc j'ai fait le tour du forum, j'ai trouvé plusieurs post identiques mais pas de réponse précises. Et j'ai les memes "symptomes" que romario mais pas de WindowsXP(que je ne veux pas installer).
    J'ai déja essayé les regles pour partage de connection et réseau local(pas necessaires pour W2000), je n'ai pas NortonAV.
    Merci pour les réponses.
    Amicalement Jesus
     
  20. gkweb

    gkweb Expert Firewall Tester

    Joined:
    Aug 29, 2003
    Posts:
    1,932
    Location:
    FRANCE, Rouen (76)
    Bonjour,

    juste pour etre sûr, c'est bien l'interface du moden sélectionnée et non la carte réseau sur le serveur ?

    Ce qui est étrange, c'est que le port cible n'est pas le port 80 ce qui devrai etre le cas pour un site web.
    Il est pt etre possible que le serveur fasse ses opérations de routage avant, ce qui va modifier les vrais ports sources et cibles, et que Look'n'Stop filtre ensuite.

    Une idée qui n'as pas pt etre pas bcp de chances de marcher mais a essayer tout de meme : si tu autorise tout le traffic entre l'adresse MAC de ta carte réseau et l'adresse MAC de ton modem, ca ne marche pas ?

    gkweb.
     
  21. Frederic

    Frederic LnS Developer

    Joined:
    Jan 9, 2003
    Posts:
    4,354
    Location:
    France
Thread Status:
Not open for further replies.