[CLOS] Pfsense 2.3.4 et 2.4 problèmes NAT+FW
- merlin2000fr
- Messages : 2140
- Inscription : ven. 12 janv. 2018 17:44
[CLOS] Pfsense 2.3.4 et 2.4 problèmes NAT+FW
salut salut
quid dans "interface" > "wan" de la passerelle ?
quid dans "general setup" les dns ?
quid dans "interface" > "wan" de la passerelle ?
quid dans "general setup" les dns ?
[CLOS] Pfsense 2.3.4 et 2.4 problèmes NAT+FW
Méfiance quand tu rajoutes une interface "à l'arrache" avec un PF
D'expérience il a tendance à s’emmêler les pinceaux dans l'attribution des interfaces et ça fiche un bronx pas possible.
A ce moment, je repère par rapport aux adresses mac sur l'ESX ou alors tu relances le wizard d'attribution des interfaces à partir de la CLI
D'expérience il a tendance à s’emmêler les pinceaux dans l'attribution des interfaces et ça fiche un bronx pas possible.
A ce moment, je repère par rapport aux adresses mac sur l'ESX ou alors tu relances le wizard d'attribution des interfaces à partir de la CLI
[CLOS] Pfsense 2.3.4 et 2.4 problèmes NAT+FW
@Dodo29 : c'est un réel pas un virtuel donc pas de mélange. Qui plus est j'ai procédé à de nombreux "factory reset".
@all : clé USB en EFI avec image d'un 2.3.4
upgrade en 2.3.4 p1
je vous écris actuellement en passant à travers lui, le mystère reste entier mais maintenant ça fonctionne !
étant donné que je n'ai rien fait je retente une install 2.4...
@all : clé USB en EFI avec image d'un 2.3.4
upgrade en 2.3.4 p1
je vous écris actuellement en passant à travers lui, le mystère reste entier mais maintenant ça fonctionne !
étant donné que je n'ai rien fait je retente une install 2.4...
[CLOS] Pfsense 2.3.4 et 2.4 problèmes NAT+FW
Nous avons un gagnant :
Résumons : il s'agit simplement d'une incompatibilité avec l'USB2ETH "Edimax", le plus idiot c'est que ça me l'avait déjà fait mais je pensais que le matériel serait pris en compte avec une nouvelle architecture.
Changer l'interface réseau à la volée, même avec factory reset, ne sert à rien.
Sujet clos, je vais pouvoir passer à IPSEC voir si toujours les problèmes avec TeamViewer maintenant que j'ai changé mes pare-feu aux deux extrémités...
puisque maintenant ça fonctionne :Méfiance quand tu rajoutes une interface "à l'arrache" avec un PF
Résumons : il s'agit simplement d'une incompatibilité avec l'USB2ETH "Edimax", le plus idiot c'est que ça me l'avait déjà fait mais je pensais que le matériel serait pris en compte avec une nouvelle architecture.
Changer l'interface réseau à la volée, même avec factory reset, ne sert à rien.
Sujet clos, je vais pouvoir passer à IPSEC voir si toujours les problèmes avec TeamViewer maintenant que j'ai changé mes pare-feu aux deux extrémités...
[CLOS] Pfsense 2.3.4 et 2.4 problèmes NAT+FW
Bon ... le NATage semble ne pas fonctionner
source TCP:any dest port:80 -> Lan (web server IP):80
me saoule ... je ne suis pas le seul visiblement.
je reinstallerai une 2.3.4 et resterai dessus.
source TCP:any dest port:80 -> Lan (web server IP):80
me saoule ... je ne suis pas le seul visiblement.
je reinstallerai une 2.3.4 et resterai dessus.
[CLOS] Pfsense 2.3.4 et 2.4 problèmes NAT+FW
tu peux montrer ta règle ?
[CLOS] Pfsense 2.3.4 et 2.4 problèmes NAT+FW
ptin, passage en 2.3.4
même règle que sur l'autre site et ça ne passe pas !
il y a forcement un problème hard ...
@Z, je screenshot ...
même règle que sur l'autre site et ça ne passe pas !
il y a forcement un problème hard ...
@Z, je screenshot ...
[CLOS] Pfsense 2.3.4 et 2.4 problèmes NAT+FW
voici la config "ultra de base" sur le site B
la même config est appliquée sur le site A et ça fonctionne ! (encore heureux)
sur mon site B le Pfsense est un Dell Optiplex 360 + Realtek
sur mon site A le Pfsense est un Dell Optiplex 755 + realtek
cherchez l'erreur, je ne vois que l'ETH intégrée qui peut merder maintenant.
la même config est appliquée sur le site A et ça fonctionne ! (encore heureux)
sur mon site B le Pfsense est un Dell Optiplex 360 + Realtek
sur mon site A le Pfsense est un Dell Optiplex 755 + realtek
cherchez l'erreur, je ne vois que l'ETH intégrée qui peut merder maintenant.
[CLOS] Pfsense 2.3.4 et 2.4 problèmes NAT+FW
je TV la config du site A ...
Voici le Site A,
là le NATage/FW permet l'accès au serveur WEB (et tous les services que je veux)
//Edit : seule différence sur le site A la règle de NAT redirection HTTP n'est *pas* linkée en auto sur une règle FW ...
Voici le Site A,
là le NATage/FW permet l'accès au serveur WEB (et tous les services que je veux)
//Edit : seule différence sur le site A la règle de NAT redirection HTTP n'est *pas* linkée en auto sur une règle FW ...
[CLOS] Pfsense 2.3.4 et 2.4 problèmes NAT+FW
le 0 / 576 à gauche de la règle montre qu'il y a des paquets qui sont passés par là. est-ce que ta machine ping bien le LAN du routeur ? Est-ce que le serveur http fonctionne ?voici la config "ultra de base" sur le site B
http://images.mesdiscussions.net/eco/me ... Image2.jpg
la même config est appliquée sur le site A et ça fonctionne ! (encore heureux)
sur mon site B le Pfsense est un Dell Optiplex 360 + Realtek
sur mon site A le Pfsense est un Dell Optiplex 755 + realtek
cherchez l'erreur, je ne vois que l'ETH intégrée qui peut merder maintenant.
[CLOS] Pfsense 2.3.4 et 2.4 problèmes NAT+FW
oui m'dame (merci de te pencher sur mon cas au passage )
ping depuis PF vers "routeur"
accès serveur http depuis LAN site B
non accessible depuis l'extérieur (pas d'iptable/apache2/apparmor qui merdoierait sur ce serveur il est nickel au point de vu config à 100%)
ping depuis PF vers "routeur"
accès serveur http depuis LAN site B
non accessible depuis l'extérieur (pas d'iptable/apache2/apparmor qui merdoierait sur ce serveur il est nickel au point de vu config à 100%)
[CLOS] Pfsense 2.3.4 et 2.4 problèmes NAT+FW
je dois manger et finir mon boulot pour demain (taf)
je reviendrai ici bien plus tard.
Merci.
je reviendrai ici bien plus tard.
Merci.
[CLOS] Pfsense 2.3.4 et 2.4 problèmes NAT+FW
ho pitin ...
olivier@bckpwebsrv:~> ping 192.168.2.254
PING 192.168.2.254 (192.168.2.254) 56(84) bytes of data.
64 bytes from 192.168.2.254: icmp_seq=1 ttl=64 time=1.23 ms
64 bytes from 192.168.2.254: icmp_seq=2 ttl=64 time=0.157 ms
64 bytes from 192.168.2.254: icmp_seq=3 ttl=64 time=0.161 ms
--- 192.168.2.254 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2001ms
rtt min/avg/max/mdev = 0.157/0.519/1.239/0.509 ms
olivier@bckpwebsrv:~> [#FF0000]ping 192.168.1.254[/#FF0000]
connect:[#FF0000] Network is unreachable[/#FF0000]
bckpwebsrv:/home/olivier # route -n
Table de routage IP du noyau
Destination Passerelle Genmask Indic Metric Ref Use Iface
192.168.2.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
169.254.0.0 0.0.0.0 255.255.0.0 U 0 0 0 eth0
127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
bckpwebsrv:/home/olivier #[#1CFF00] route add default gw 192.168.2.254[/#1CFF00]
bckpwebsrv:/home/olivier # route -n
Table de routage IP du noyau
Destination Passerelle Genmask Indic Metric Ref Use Iface
192.168.2.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
169.254.0.0 0.0.0.0 255.255.0.0 U 0 0 0 eth0
127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
0.0.0.0 192.168.2.254 0.0.0.0 UG 0 0 0 eth0
bckpwebsrv:/home/olivier # ping 192.168.2.254
PING 192.168.2.254 (192.168.2.254) 56(84) bytes of data.
64 bytes from 192.168.2.254: icmp_seq=1 ttl=64 time=4.02 ms
64 bytes from 192.168.2.254: icmp_seq=2 ttl=64 time=0.159 ms
--- 192.168.2.254 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 999ms
rtt min/avg/max/mdev = 0.159/2.092/4.026/1.934 ms
bckpwebsrv:/home/olivier # ping 192.168.1.254
PING 192.168.1.254 (192.168.1.254) 56(84) bytes of data.
64 bytes from 192.168.1.254: icmp_seq=1 ttl=63 time=2.72 ms
64 bytes from 192.168.1.254: icmp_seq=2 ttl=63 time=0.778 ms
64 bytes from 192.168.1.254: icmp_seq=3 ttl=63 time=0.778 ms
--- [#00FF00]192.168.1.254 ping statistics[/#00FF00] ---
[#00FF00]3 packets transmitted, 3 received, 0% packet loss,[/#00FF00] time 2002ms
rtt min/avg/max/mdev = 0.778/1.426/2.722/0.916 ms
[CLOS] Pfsense 2.3.4 et 2.4 problèmes NAT+FW
du coup ça marche mieux ?
Sinon, dans ton paramètre de WAN (Interfaces => Wan), décoches en bas "Block private networks and loopback addresses".
Ton WAN étant dans un LAN, la règle de pare-feu là indique qu'il bloque des IP privées qui tentent de se connecter sur le WAN. Ca a du sens quand t'as un équipement avec une IP publique en WAN
Sinon, dans ton paramètre de WAN (Interfaces => Wan), décoches en bas "Block private networks and loopback addresses".
Ton WAN étant dans un LAN, la règle de pare-feu là indique qu'il bloque des IP privées qui tentent de se connecter sur le WAN. Ca a du sens quand t'as un équipement avec une IP publique en WAN
[CLOS] Pfsense 2.3.4 et 2.4 problèmes NAT+FW
Je vois ça Bien que sur un PF 1.2.x ça n'ait jamais géné quoi que ce soit.du coup ça marche mieux ?
Sinon, dans ton paramètre de WAN (Interfaces => Wan), décoches en bas "Block private networks and loopback addresses".
Ton WAN étant dans un LAN, la règle de pare-feu là indique qu'il bloque des IP privées qui tentent de se connecter sur le WAN. Ca a du sens quand t'as un équipement avec une IP publique en WAN
comme quoi... Honte ultime ...ce serveur il est nickel au point de vu config à 100%)
bon, accessible en effet depuis le route add
Ceci n'enlève rien au fait que Pfsense 2.4 avec interface Edimax ne fonctionnait pas (pour ceux qui auront eu le courage de TOUT lire)
douche/miam/dodo/boulot/
retour ici plus tard
Z
[CLOS] Pfsense 2.3.4 et 2.4 problèmes NAT+FW
du coup c'est quoi qui a résolu le problème ?
bonne nuit
bonne nuit
[CLOS] Pfsense 2.3.4 et 2.4 problèmes NAT+FW
Ouai je disais sur l'esx mais avant le mien était physique et j'avais eu le problème en ajoutant une carte réseau@Dodo29 : c'est un réel pas un virtuel donc pas de mélange. Qui plus est j'ai procédé à de nombreux "factory reset".
@all : clé USB en EFI avec image d'un 2.3.4
upgrade en 2.3.4 p1
je vous écris actuellement en passant à travers lui, le mystère reste entier mais maintenant ça fonctionne !
étant donné que je n'ai rien fait je retente une install 2.4...
Mais content que ça ait pu faire avancer le schmilblik
Faut que je lise le topic en entier (et surtout concentré) pour bien saisir le truc parce que tout tes déboires je trouve ça étonnant
[CLOS] Pfsense 2.3.4 et 2.4 problèmes NAT+FW
@dodo : non rien d'étonnant, c'est l'adaptateur réseau USB vers Ethernet Edimax qui est "trop étrange", cette cochonnerie permet le ping, le DNS mais au dela c'est mort (en tout cas via un Pfsense, jamais essayé sur un PC).
Bon tout fonctionne des deux cotés maintenant.
J'ai malencontreusement bousillé la conf d'un Apache sans faire de backup des conf avant de mettre la main dedans, maintenant il répond mais n'est même plus fichu de servir une pauvre image de 300Ko, il fige
Ce soir me suis essayé à OpenVPN (que dale) et IPsec (status connecting des deux cotés mais que dale) et échec total sans que les logs des PFsense me renseignent en quoi que ce soit
j'ai dormi 10h en 3 nuits je crois que je vais devoir reposer le cerveau avant de continuer.
@Z: le serveur HTTP n'avait pas de route et ne pouvait pas répondre aux requêtes, le NAT du Pf était ok
Bon tout fonctionne des deux cotés maintenant.
J'ai malencontreusement bousillé la conf d'un Apache sans faire de backup des conf avant de mettre la main dedans, maintenant il répond mais n'est même plus fichu de servir une pauvre image de 300Ko, il fige
Ce soir me suis essayé à OpenVPN (que dale) et IPsec (status connecting des deux cotés mais que dale) et échec total sans que les logs des PFsense me renseignent en quoi que ce soit
j'ai dormi 10h en 3 nuits je crois que je vais devoir reposer le cerveau avant de continuer.
@Z: le serveur HTTP n'avait pas de route et ne pouvait pas répondre aux requêtes, le NAT du Pf était ok
[CLOS] Pfsense 2.3.4 et 2.4 problèmes NAT+FW
Essai de Tinc pour du VPN
config ultra simpliste
ne fonctionne pas mieux.
config ultra simpliste
ne fonctionne pas mieux.
[CLOS] Pfsense 2.3.4 et 2.4 problèmes NAT+FW
j'ai tendance à penser que c'est toi qui sait pas configurer si ni openvpn, ipsec ou tinc ne fonctionnent
T'essaies de faire quoi ? Dans quel but ?
T'essaies de faire quoi ? Dans quel but ?
[CLOS] Pfsense 2.3.4 et 2.4 problèmes NAT+FW
Alors, oui sans doute que je ne maîtrise pas les VPN au delà de la théorie.
Maintenant de là à échouer sur 3 types de services VPN en utilisant des tutoriaux très bien explicités, j'ai du mal à le croire.
Tinc, pas besoin de connaissances particulières car pour ce qui est de la partie génération de clés, c'est automatique, il suffit de copier-coller de chaque coté.
IPsec, la partie la plus rigoureuse est de mettre les mêmes algos de chiffrement des deux cotés et de partager un mot clé en clair.
OpenVPN est un peu plus rigoureux car il faut générer des clés et certificats pour serveur et client.
Pour ce qui est de Pfsense, une fois qu'on a paramétré les services/clients VPN je sais paramétrer le firewalling qui autorisera l'échange de données.
*mais* je ne suis pas (que) con et n'ai pas les deux pieds dans le même sabot
---
ce que je veux faire ? rien de plus que faire communiquer deux infras réseau, chacune derrière un PfSense.
Site A :
LAN 192.168.0.0/24
PfSense Lan 192.168.0.252
PfSense Wan 192.168.1.2
Bbox 192.168.1.254 / ryu-homeftp.no-ip.org
Site B:
LAN 192.168.2.0/24
PfSense Lan 192.168.2.254
PfSense Wan 192.168.1.2
Bbox 192.168.1.254 / bcc5-328.no-ip.info
Évidemment les deux Pfsense sont en DMZ derrière les Bbox
au milieu, le tunnel doit se faire rencontrer les LANs en 192.168.10.0/24
Si tu en as le courage, je t'invite à me suivre sur un autre sujet. Je ferai des captures d'écrans des paramétrages des deux PfSense. ça sera fastidieux mais je veux bien bénéficier de ton savoir
Maintenant de là à échouer sur 3 types de services VPN en utilisant des tutoriaux très bien explicités, j'ai du mal à le croire.
Tinc, pas besoin de connaissances particulières car pour ce qui est de la partie génération de clés, c'est automatique, il suffit de copier-coller de chaque coté.
IPsec, la partie la plus rigoureuse est de mettre les mêmes algos de chiffrement des deux cotés et de partager un mot clé en clair.
OpenVPN est un peu plus rigoureux car il faut générer des clés et certificats pour serveur et client.
Pour ce qui est de Pfsense, une fois qu'on a paramétré les services/clients VPN je sais paramétrer le firewalling qui autorisera l'échange de données.
*mais* je ne suis pas (que) con et n'ai pas les deux pieds dans le même sabot
---
ce que je veux faire ? rien de plus que faire communiquer deux infras réseau, chacune derrière un PfSense.
Site A :
LAN 192.168.0.0/24
PfSense Lan 192.168.0.252
PfSense Wan 192.168.1.2
Bbox 192.168.1.254 / ryu-homeftp.no-ip.org
Site B:
LAN 192.168.2.0/24
PfSense Lan 192.168.2.254
PfSense Wan 192.168.1.2
Bbox 192.168.1.254 / bcc5-328.no-ip.info
Évidemment les deux Pfsense sont en DMZ derrière les Bbox
au milieu, le tunnel doit se faire rencontrer les LANs en 192.168.10.0/24
Si tu en as le courage, je t'invite à me suivre sur un autre sujet. Je ferai des captures d'écrans des paramétrages des deux PfSense. ça sera fastidieux mais je veux bien bénéficier de ton savoir
[CLOS] Pfsense 2.3.4 et 2.4 problèmes NAT+FW
je veux bien faire un sujet, pas de soucis. Si j'ai un accès teamviewer et du vocal ça peut être plus sympa pour faire des tests et expliquer aussi
Par contre, tu veux dire quoi par "192.168.10.0/24 " ? Parce que IPSEC c'est du site à site, ça veut dire que tu vas permettre à 192.168.0.0/24 de causer à 192.168.2.0/24 et inversement, pas de mettre tout le monde dans 192.168.10.0/24.
Toujours pour IPSEC, bien qu'il faille juste choisir les algos, il faut aussi régler les paramètres de la phase 1, et comme tu es derrière une box, ton pfsense va s'annonce en LOCAL ID en tant que 192.168.1.2 alors que l'autre pfsense va attendre l'ip public en remote ID (et l'autre pfsense aura exactement le même problème).
Sur Site A, en local ID tu mets 192.168.1.2 et en Remote ID tu mets 192.168.1.2, et tu fais pareil sur le Site B en fait Ca va peut être monter ton tunnel (je sais pas ce que t'as mis en phase 2...)
Pour la phase 2 t'es sensé avoir
site A
Local subnet : 192.168.0.0/24
Remote subnet : 192.168.2.0/24
Site B
Local subnet :! 192.168.2.0/24
Remote subnet : 192.168.0.0/24
Par contre, tu veux dire quoi par "192.168.10.0/24 " ? Parce que IPSEC c'est du site à site, ça veut dire que tu vas permettre à 192.168.0.0/24 de causer à 192.168.2.0/24 et inversement, pas de mettre tout le monde dans 192.168.10.0/24.
Toujours pour IPSEC, bien qu'il faille juste choisir les algos, il faut aussi régler les paramètres de la phase 1, et comme tu es derrière une box, ton pfsense va s'annonce en LOCAL ID en tant que 192.168.1.2 alors que l'autre pfsense va attendre l'ip public en remote ID (et l'autre pfsense aura exactement le même problème).
Sur Site A, en local ID tu mets 192.168.1.2 et en Remote ID tu mets 192.168.1.2, et tu fais pareil sur le Site B en fait Ca va peut être monter ton tunnel (je sais pas ce que t'as mis en phase 2...)
Pour la phase 2 t'es sensé avoir
site A
Local subnet : 192.168.0.0/24
Remote subnet : 192.168.2.0/24
Site B
Local subnet :! 192.168.2.0/24
Remote subnet : 192.168.0.0/24
[CLOS] Pfsense 2.3.4 et 2.4 problèmes NAT+FW
Oui m'dame, ce que tu me dis je pense l'avoir fait.
Éventuellement se trouver une dispo commune pour en "parler" (skype de mon coté)
pour TV sur mes machines, ok cependant faudra que je trouve comment te donner un accès, au delà de ça il faut être TRES patiente car je n'ai que du 1Mbps en upload et à la maison ma femme et ma fille bouffent la BP ^^
je mets l'admin de pfsense accessible en https sur le wan et te communique les id et essaye de trouver comment te donner un accès TV sur mon poste de travail que tu me vois configurer.
Éventuellement se trouver une dispo commune pour en "parler" (skype de mon coté)
pour TV sur mes machines, ok cependant faudra que je trouve comment te donner un accès, au delà de ça il faut être TRES patiente car je n'ai que du 1Mbps en upload et à la maison ma femme et ma fille bouffent la BP ^^
je mets l'admin de pfsense accessible en https sur le wan et te communique les id et essaye de trouver comment te donner un accès TV sur mon poste de travail que tu me vois configurer.
[CLOS] Pfsense 2.3.4 et 2.4 problèmes NAT+FW
Si besoin, je peux aider.
Je gère plusieurs VPN IPsec avec mon pfSense. et sensiblement le même setup (livebox).
[CLOS] Pfsense 2.3.4 et 2.4 problèmes NAT+FW
Pour teamviewer il n'y a rien à faire à ce que je sache ?Oui m'dame, ce que tu me dis je pense l'avoir fait.
Éventuellement se trouver une dispo commune pour en "parler" (skype de mon coté)
pour TV sur mes machines, ok cependant faudra que je trouve comment te donner un accès, au delà de ça il faut être TRES patiente car je n'ai que du 1Mbps en upload et à la maison ma femme et ma fille bouffent la BP ^^
je mets l'admin de pfsense accessible en https sur le wan et te communique les id et essaye de trouver comment te donner un accès TV sur mon poste de travail que tu me vois configurer.
Pour l'audio... on peut utiliser teamviewer aussi
vérifie quand même pour la phase1, c'est vraiment un piège les local et remote id !! A moins de connaître le piège, on ne peut pas le configurer correctement.