Dépanner la Connectivité Réseau

Pour tester et dépanner votre réseau, vous pouvez utiliser les outils disponibles sur votre ordinateur client et sur votre Firebox. Pour les tests qui comprennent des problèmes de commandes à partir d'un ordinateur client Windows, utilisez un ordinateur sur un réseau personnalisé, optionnel ou approuvé connecté au Firebox.

Outils de Dépannage Réseau

Utilisez ces outils et méthodes pour tester la connectivité du réseau et la résolution du nom d'hôte sur votre réseau. Ces méthodes de test sont mentionnées dans les étapes de dépannage des sections suivantes.

  1. Localisez la zone de texte de recherche dans la barre des tâches ou le menu Démarrer de Windows.
  2. Dans la zone de texte de recherche, saisissez cmd et appuyez sur Entrée.
    La fenêtre Invite de Commande apparaît.
  3. A l'invite, saisissez ping [adresse IP de destination ou nom d'hôte] et appuyer sur Entrée.

Vous pouvez utiliser la tâche de diagnostic Ping pour envoyer des paquets de ping à partir du Firebox vers une adresse IP ou un nom d'hôte.

  1. Sélectionnez État du Système > Diagnostics.
    La page Diagnostics apparaît avec l'onglet Fichier de Diagnostic sélectionné.
  2. Sélectionnez l'onglet Réseau.
    La page Réseau s'affiche.
  3. Dans la liste déroulante Tâche, sélectionnez la commande Ping :
    La zone de texte Adresse apparaît.
  4. Dans la zone de texte Adresse, entrez une adresse IP ou un nom d'hôte.
  5. Cliquez sur Exécuter la tâche.
    Le résultat de la commande apparaît dans le panneau Résultats.
  6. Pour arrêter la commande Ping, cliquez sur Arrêter la Tâche.

Pour plus d'informations sur les tâches de diagnostic dans Fireware Web UI, consultez Exécuter les Tâches de Diagnostic sur Votre Firebox.

  1. Sélectionnez Outils > Tâches de Diagnostic.
    La boîte de dialogue Tâches de Diagnostic apparaît, avec la tâche Ping IPv4 sélectionnée par défaut.
  2. Dans la zone de texte Adresse, saisissez une adresse IP ou un nom d'hôte.
  3. Cliquez sur Exécuter la tâche.
    Le résultat de la commande apparaît dans le panneau Résultats.

Pour plus d'informations sur les tâches de diagnostic dans Firebox System Manager, consultez Exécuter des Tâches de diagnostic pour en savoir plus sur les Messages de journal.

  1. Localisez la zone de texte de recherche dans la barre des tâches ou le menu Démarrer de Windows.
  2. Dans la zone de texte de recherche, saisissez cmd et appuyez sur Entrée.
    La fenêtre Invite de Commande apparaît.
  3. A l'invite, saisissez nslookup [nom d'hôte de destination] [facultatif; adresse IP du serveur DNS] et appuyez sur Entrée.

Vous pouvez utiliser la tâche de diagnostic Recherche DNS pour tester la résolution du nom DNS à partir du Firebox vers un hôte.

  1. Sélectionnez État du Système > Diagnostics.
    La page Diagnostics apparaît avec l'onglet Fichier de Diagnostic sélectionné.
  2. Sélectionnez l'onglet Réseau.
    La page Réseau s'affiche.
  3. Dans la liste déroulante Tâche, sélectionnez Recherche DNS.
    La zone de texte Adresse apparaît.
  4. Tapez le nom d'hôte dans la zone de texte Adresse.
  5. Cliquez sur Exécuter la tâche.
    Le résultat de la commande apparaît dans le panneau Résultats.
  6. Pour arrêter la commande Recherche DNS, cliquez sur Arrêter la Tâche.
  1. Sélectionnez Outils > Tâches de Diagnostic.
  2. Dans la liste déroulante Tâche, sélectionnez Recherche DNS.
  3. Tapez le nom d'hôte dans la zone de texte Adresse.
  4. Cliquez sur Exécuter la tâche.
    Le résultat de la commande apparaît dans le panneau Résultats.

Par défaut, le Firebox ne crée pas de message de journal pour les connexions qui sont autorisées par les stratégies de filtrage de paquets telles que la stratégie Ping. Il peut être utile d'activer la journalisation des paquets autorisés pour une stratégie telle que Ping lorsque vous dépannez des problèmes de connectivité réseau.

Suivez ces étapes pour modifier les paramètres de journalisation dans une stratégie de sorte que le Firebox crée des messages de journal pour les connexions qui sont autorisés par la stratégie.

  1. Sélectionnez Pare-Feu > Stratégies de Pare-Feu.
    La page Stratégies s'affiche.
  2. Cliquez sur le nom de la stratégie à modifier.
    La page Stratégies de Pare-feu > Modifier s'affiche.
  3. Dans la section Journalisation, cochez la case Envoyer un message de journal.
  4. Cliquez sur Enregistrer pour enregistrer la modification de la configuration.
  1. Double-cliquez sur une stratégie pour la modifier.
    La boîte de dialogue Modifier les Propriétés de la Stratégie s'affiche.
  2. Sélectionnez l'onglet Propriétés.
  3. Cliquez sur Journalisation.
  4. Cochez la case Envoyer un message de journal.
  5. Enregistrez la configuration sur le Firebox.

Après avoir fait cette modification, le Firebox crée des messages de journal pour les connexions autorisées par la stratégie. Dans Traffic Monitor, vous pouvez filtrer les messages de journal pour voir les messages de journal créés pour les connexions autorisées par une stratégie spécifique, ou pour les connexions vers ou à partir d'une adresse IP.

  1. Sélectionnez Tableau de bord > Traffic Monitor.
  2. Dans la zone de texte de filtrage en haut de la page, saisissez le terme à rechercher seulement pour les messages de journal qui contiennent ce terme. Par exemple, cela peut être une adresse IP d'un ordinateur sur votre réseau, un nom d'utilisateur, ou le nom de la stratégie pour laquelle vous avez activé la journalisation.
  3. Pour supprimer le filtre, cliquez sur Capture d'écran du bouton Supprimer le filtre.

Pour en savoir plus sur le Tableau de bord de Surveillance du Trafic, consultez Traffic Monitor.

  1. Sélectionnez l'onglet Traffic Monitor.
  2. Dans la zone de texte de filtrage en haut de la page, saisissez le terme à rechercher seulement pour les messages de journal qui contiennent ce terme. Par exemple, cela peut être une adresse IP d'un ordinateur sur votre réseau, un nom d'utilisateur, ou le nom de la stratégie pour laquelle vous avez activé la journalisation.
  3. Pour supprimer le filtre, cliquez sur le bouton Effacer la recherche/le filtre de FSM.

Pour en savoir plus sur Traffic Monitor dans Firebox System Manager, consultez Messages de journal du Périphérique (Traffic Monitor).

Pour en savoir plus sur la manière de lire un message de journal, consultez Lire un message de journal.

  1. Localisez la zone de texte de recherche dans la barre des tâches ou le menu Démarrer de Windows.
  2. Dans la zone de texte de recherche, saisissez cmd et appuyez sur Entrée.
    La fenêtre Invite de Commande apparaît.
  3. Pour voir l'adresse IP, le masque de sous-réseau, et la passerelle par défaut, à l'invite, saisissez ipconfig et appuyez sur Entrée.
  4. Pour afficher plus d'informations, y compris les adresses IP du serveur DNS, saisissez ipconfig/all et appuyez sur Entrée.

Dépanner les Connexions Sortantes

Pour identifier la cause des problèmes de connexion Internet à partir d'un ordinateur sur votre réseau local, démarrez avec les tests de ping depuis un ordinateur local sur votre réseau vers le Firebox, ou depuis un serveur local vers votre réseau. Si cela fonctionne, l'étape suivante consiste en un test de routage et une résolution DNS pour les hôtes à l'extérieur de votre réseau local. Suivez les instructions de la section précédente pour exécuter les commandes de diagnostic utilisées dans ces tests et pour consulter les messages de journal.

Test 1 — Faire un Ping sur une Adresse IP Interne

A partir de votre ordinateur local, tentez de faire un ping sur d'autres adresses IP internes sur le même réseau local. Par exemple, essayez de faire un ping sur un serveur réseau local, ou une adresse IP d'une interface interne de Firebox. Pour démarrer un ping à partir d'un ordinateur Windows, suivez les instructions de la section précédente.

Si vous ne pouvez pas effectuer de ping sur l'adresse IP interne du Firebox, cela pourrait indiquer un problème de configuration du Firebox, ou un problème de configuration ou de câblage du réseau local. Pour afficher l'adresse IP et la passerelle par défaut dans la configuration du réseau local sur un ordinateur client, à partir de l'invite de commande Windows, utilisez la commande ipconfig.

Regardez le résultat de la commande ipconfig et considérez ces causes possibles de l'échec de ping :

Dans le résultat de la commande ipconfig sur votre ordinateur client, recherchez l'adresse IPv4 assignée à l'ordinateur local, et l'adresse IP de la passerelle par défaut. L'ordinateur client doit avoir une adresse IPv4. Dans la plupart des cas, la passerelle par défaut doit être l'adresse IP de l'interface Firebox interne à laquelle le réseau local se connecte.

Si l'ordinateur client utilise le DHCP pour obtenir une adresse IP, et que le résultat de la commande ipconfig indique qu'aucune adresse IP n'est assignée, vérifiez la configuration de l'interface du Firebox à laquelle le réseau local se connecte. Assurez-vous que le serveur DHCP est activé et que le pool d'adresse DHCP configuré pour l'interface du Firebox contient suffisamment d'adresses IP pour assigner les adresses à tous les clients qui se connectent.

Si un ordinateur client utilise le DHCP pour obtenir une adresse IP, et que l'adresse IP et la passerelle par défaut assignées au client ne correspond pas aux paramètres de serveur DHCP sur l'interface du Firebox auquel le réseau se connecte, il est possible qu'un serveur DHCP pirate soit présent sur votre réseau et assigne les adresses IP inattendues.

Vérifiez la configuration de l'interface du Firebox à laquelle le réseau local se connecte. Assurez-vous que l'adresse IP de l'interface et que le masque de sous-réseau sont valides pour votre réseau. Pour de plus amples informations sur les adresses IP et les masques de sous-réseau, consultez À propos des Adresses IP.

S'il y a un commutateur ou un routeur entre l'ordinateur client et l'interface interne du Firebox, la configuration du commutateur ou du routeur pourrait être le problème. Pour tester si le commutateur ou le routeur pose problème, connectez l'ordinateur client directement à l'interface interne du Firebox, puis tenter à nouveau de faire un ping sur le Firebox.

Les problèmes de connectivité réseau peuvent être causés par un câble endommagé ou déconnecté, ou un défaut d'interface réseau sur l'ordinateur, le Firebox, ou tout commutateur ou routeur connecté. Pour détecter ce genre de problème, regardez les lumières de lien et d'activité sur l'interface réseau à chaque extrémité de chaque câble, essayez un câble réseau différent, ou essayez un test de connexion au Firebox à partir d'un ordinateur différent sur le même segment réseau.

Pour plus d'informations sur les indicateurs de vos interfaces de Firebox, consultez le Guide Matériel pour votre modèle de Firebox.

Si le problème affecte de nombreux ou tous les utilisateurs sur votre réseau, cela pourrait venir d'un conflit d'adresse IP entre l'adresse IP interne du Firebox et un autre périphérique sur votre réseau. Pour tester cela, déconnectez le câble de l'interface du Firebox puis essayez de faire un ping sur l'interface interne du Firebox depuis un ordinateur client. Si le ping donne une réponse lorsque le réseau n'est pas connecté à l'interface du Firebox, un autre hôte sur le réseau utilise une adresse IP qui crée un conflit avec l'adresse IP de l'interface du Firebox.

Test 2 — Faire un Ping sur la Passerelle par Défaut du Firebox

Si vous pouvez faire un ping avec succès sur l'adresse IP de l'interface du Firebox, testez si le trafic à partir de l'ordinateur client peut être routé vers les adresses en dehors du Firebox. Pour tester cela, à partir de votre ordinateur Windows, tentez de faire un ping sur la passerelle par défaut de l'interface externe du Firebox. Cela confirmera que l'ordinateur peut router jusqu'à un hôte à l'extérieur du Firebox, et que votre Firebox est configuré pour autoriser ces requêtes de ping.

Vous pouvez afficher l'adresse IP de la passerelle par défaut externe du Firebox dans WatchGuard System Manager, ou dans le tableau de bord Interfaces dans Fireware Web UI.

Si votre réseau a une passerelle Internet autre que le Firebox, le trafic Internet lié des clients présents sur votre réseau n'est peut-être pas routé à travers le Firebox. Pour vérifier que le trafic vers Internet passe bien à travers le Firebox, activez la journalisation des paquets autorisés dans la stratégie ping et vérifiez que les messages de journal sont bien créés pour les requêtes de ping à partir de votre réseau. Pour plus détails sur la manière de procéder, consultez la section précédente Outils de Dépannage Réseau.

Si votre ping sur la passerelle par défaut de l'interface externe du Firebox échoue, vérifiez l'une de ces causes possibles :

Si votre réseau local n'utilise pas un des sous-réseaux privés RFC 1918, les règles NAT dynamique par défaut ne masquent pas le trafic depuis votre réseau privé vers Internet. Pour voir si cela pourrait être le problème, regardez les messages de journal qui concernent vos requêtes de ping. Assurez-vous que l'attribut src_ip_nat apparaît et que l'adresse IP affichée corresponde bien à l'adresse IP externe du Firebox.

Si votre Firebox est configuré en mode Insertion ou en mode Pont, l'attribut src_ip_nat n'apparaît pas dans les messages de journal pour le trafic sortant.

Pour obtenir plus d'informations sur la NAT dynamique et les règles de NAT dynamique par défaut, consultez À propos de la Traduction d'Adresses Réseau (NAT) Dynamique.

Pour voir si cela est la cause, recherchez les requêtes de ping refusées dans les messages de journal. Le message de journal vous indique quelle stratégie a refusé le trafic. Par défaut, la configuration du Firebox inclut une stratégie de Ping qui autorise le trafic Ping sortant.

Pour voir si c'est le cas, connectez votre ordinateur directement au Firebox pour contourner votre réseau interne. Assurez-vous que votre ordinateur client possède une adresse IP sur le sous-réseau correct pour se connecter au Firebox, et que la passerelle par défaut est bien réglée sur l'adresse IP de l'interface du Firebox sur laquelle le réseau local se connecte.

Test 3 — Test de Résolution DNS

Si vous pouvez faire un ping sur la passerelle par défaut de votre Firebox avec succès, la prochaine étape est de tester la résolution DNS. Pour tester la résolution DNS, tentez de faire un ping sur un hôte web distant, tel que www.watchguard.com. Si cela échoue, tentez un ping sur une adresse IP distante, telle que le serveur DNS de votre Fournisseur d'Accès à Internet, ou un serveur DNS public tel que 8.8.8.8 or 4.2.2.2. Si vous pouvez faire un ping sur une adresse IP distante avec succès, mais vous ne pouvez pas faire un ping sur un nom d'hôte, cela indique un problème avec la résolution DNS.

Si la résolution DNS échoue, étudiez ces causes possibles :

Utilisez la ligne de commande Windows sur votre ordinateur client pour tester la résolution DNS. Si vous ne spécifiez pas l'adresse IP d'un serveur DNS, la commande nslookup utilise le serveur DNS par défaut.

Premièrement, testez le DNS avec le serveur DNS par défaut :

nslookup www.watchguard.com

Ensuite, ajoutez l'adresse IP d'un serveur DNS public :

nslookup www.watchguard.com 8.8.8.8

Si la résolution DNS ne fonctionne pas avec le serveur DNS par défaut, vérifiez le serveur DNS utilisé par l'ordinateur client et le Firebox.

  • Pour voir le serveur DNS par défaut utilisé sur l'ordinateur client, utilisez la commande ipconfig/all en ligne de commande Windows. Le serveur DNS sur le client doit généralement être le même que le serveur DNS utilisé par le Firebox.
  • Pour voir les adresses IP du serveur DNS actuel pour le Firebox dans Fireware Web UI, sélectionnez Tableau de bord > Interfaces > Détail. Pour voir les serveurs DNS dans Firebox System Manager, développez l'état des Interfaces pour le Firebox dans l'onglet Panneau Avant.

Pour vérifier si le trafic peut être routé vers un serveur DNS, et si un serveur DNS répond, vous pouvez essayer de faire un ping sur l'adresse IP du serveur DNS à partir de l'ordinateur client, et à partir du Firebox.

Si vous pouvez faire un ping avec succès sur le serveur DNS à partir d'un ordinateur client sur votre réseau, la résolution DNS échoue si la configuration Firebox ne possède pas de stratégie qui autorise les requêtes DNS sortantes.

Pour dépanner cela de manière plus approfondie, vous pouvez tester une résolution DNS à partir du Firebox tel que décrit plus haut pour voir si la résolution DNS fonctionne à partir du Firebox. Si la résolution DNS fonctionne à partir du Firebox, mais ne fonctionne pas à partir de clients sur le réseau interne, il y a de grandes chances qu'il n'y ait pas de stratégie sur le Firebox pour autoriser les requêtes DNS sortantes. Pour voir si c'est le cas, examinez les messages de journal dans Traffic Monitor lorsque vous testez le DNS ou tentez de résoudre les noms d'hôte externes. Cherchez les connexions refusées avec un port de destination 53 dans les messages de journal.

Si vous désactivez ou supprimez la stratégie Sortante par défaut, le Firebox n'autorise pas les requêtes DNS sortantes à moins que vous ajoutiez une autre stratégie pour autoriser ces connexions. Si vous supprimez la stratégie Sortante, assurez-vous que l'autre stratégie autorise des hôtes sur votre réseau, ou au moins des serveurs clé, à se connecter en sortie pour des DNS, NTP et autres fonctionnalités nécessaires.

Pour plus d'informations sur la stratégie Sortante, consultez À propos de la Stratégie de Trafic sortant.

Voir Également

Routes et Routage

À propos de Multi-WAN