[CLOS] Pfsense 2.3.4 et 2.4 problèmes NAT+FW

[merlin2000fr]

salut salut

quid dans "interface" > "wan" de la passerelle ?

quid dans "general setup" les dns ?

[Dodo29]

Méfiance quand tu rajoutes une interface "à l'arrache" avec un PF

D'expérience il a tendance à s’emmêler les pinceaux dans l'attribution des interfaces et ça fiche un bronx pas possible.
A ce moment, je repère par rapport aux adresses mac sur l'ESX ou alors tu relances le wizard d'attribution des interfaces à partir de la CLI

[Ryu_wm]

@Dodo29 : c'est un réel pas un virtuel donc pas de mélange. Qui plus est j'ai procédé à de nombreux "factory reset".

@all : clé USB en EFI avec image d'un 2.3.4

upgrade en 2.3.4 p1

je vous écris actuellement en passant à travers lui, le mystère reste entier mais maintenant ça fonctionne !

étant donné que je n'ai rien fait je retente une install 2.4...

[Ryu_wm]

Nous avons un gagnant :

Méfiance quand tu rajoutes une interface "à l'arrache" avec un PF

puisque maintenant ça fonctionne :



Résumons : il s'agit simplement d'une incompatibilité avec l'USB2ETH "Edimax", le plus idiot c'est que ça me l'avait déjà fait mais je pensais que le matériel serait pris en compte avec une nouvelle architecture.
Changer l'interface réseau à la volée, même avec factory reset, ne sert à rien.

Sujet clos, je vais pouvoir passer à IPSEC voir si toujours les problèmes avec TeamViewer maintenant que j'ai changé mes pare-feu aux deux extrémités...

[Ryu_wm]

Bon ... le NATage semble ne pas fonctionner

source TCP:any dest port:80 -> Lan (web server IP):80

me saoule ... je ne suis pas le seul visiblement.
je reinstallerai une 2.3.4 et resterai dessus.

[Zedoune]

tu peux montrer ta règle ?

[Ryu_wm]

ptin, passage en 2.3.4
même règle que sur l'autre site et ça ne passe pas !
il y a forcement un problème hard ...

@Z, je screenshot ...

[Ryu_wm]

voici la config "ultra de base" sur le site B


la même config est appliquée sur le site A et ça fonctionne ! (encore heureux)

sur mon site B le Pfsense est un Dell Optiplex 360 + Realtek
sur mon site A le Pfsense est un Dell Optiplex 755 + realtek

cherchez l'erreur, je ne vois que l'ETH intégrée qui peut merder maintenant.

[Ryu_wm]

je TV la config du site A ...

Voici le Site A,

là le NATage/FW permet l'accès au serveur WEB (et tous les services que je veux)





//Edit : seule différence sur le site A la règle de NAT redirection HTTP n'est *pas* linkée en auto sur une règle FW ...

[Zedoune]

voici la config "ultra de base" sur le site B
http://images.mesdiscussions.net/eco/me ... Image2.jpg

la même config est appliquée sur le site A et ça fonctionne ! (encore heureux)

sur mon site B le Pfsense est un Dell Optiplex 360 + Realtek
sur mon site A le Pfsense est un Dell Optiplex 755 + realtek

cherchez l'erreur, je ne vois que l'ETH intégrée qui peut merder maintenant.

le 0 / 576 à gauche de la règle montre qu'il y a des paquets qui sont passés par là. est-ce que ta machine ping bien le LAN du routeur ? Est-ce que le serveur http fonctionne ?

[Ryu_wm]

oui m'dame (merci de te pencher sur mon cas au passage )

ping depuis PF vers "routeur"


accès serveur http depuis LAN site B


non accessible depuis l'extérieur (pas d'iptable/apache2/apparmor qui merdoierait sur ce serveur il est nickel au point de vu config à 100%)

[Ryu_wm]

je dois manger et finir mon boulot pour demain (taf)
je reviendrai ici bien plus tard.

Merci.

[Ryu_wm]

ho pitin ...

olivier@bckpwebsrv:~> ping 192.168.2.254
PING 192.168.2.254 (192.168.2.254) 56(84) bytes of data.
64 bytes from 192.168.2.254: icmp_seq=1 ttl=64 time=1.23 ms
64 bytes from 192.168.2.254: icmp_seq=2 ttl=64 time=0.157 ms
64 bytes from 192.168.2.254: icmp_seq=3 ttl=64 time=0.161 ms

--- 192.168.2.254 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2001ms
rtt min/avg/max/mdev = 0.157/0.519/1.239/0.509 ms
olivier@bckpwebsrv:~> [#FF0000]ping 192.168.1.254[/#FF0000]
connect:[#FF0000] Network is unreachable[/#FF0000]

bckpwebsrv:/home/olivier # route -n
Table de routage IP du noyau
Destination Passerelle Genmask Indic Metric Ref Use Iface
192.168.2.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
169.254.0.0 0.0.0.0 255.255.0.0 U 0 0 0 eth0
127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
bckpwebsrv:/home/olivier #[#1CFF00] route add default gw 192.168.2.254[/#1CFF00]
bckpwebsrv:/home/olivier # route -n
Table de routage IP du noyau
Destination Passerelle Genmask Indic Metric Ref Use Iface
192.168.2.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
169.254.0.0 0.0.0.0 255.255.0.0 U 0 0 0 eth0
127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
0.0.0.0 192.168.2.254 0.0.0.0 UG 0 0 0 eth0
bckpwebsrv:/home/olivier # ping 192.168.2.254
PING 192.168.2.254 (192.168.2.254) 56(84) bytes of data.
64 bytes from 192.168.2.254: icmp_seq=1 ttl=64 time=4.02 ms
64 bytes from 192.168.2.254: icmp_seq=2 ttl=64 time=0.159 ms

--- 192.168.2.254 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 999ms
rtt min/avg/max/mdev = 0.159/2.092/4.026/1.934 ms
bckpwebsrv:/home/olivier # ping 192.168.1.254
PING 192.168.1.254 (192.168.1.254) 56(84) bytes of data.
64 bytes from 192.168.1.254: icmp_seq=1 ttl=63 time=2.72 ms
64 bytes from 192.168.1.254: icmp_seq=2 ttl=63 time=0.778 ms
64 bytes from 192.168.1.254: icmp_seq=3 ttl=63 time=0.778 ms

--- [#00FF00]192.168.1.254 ping statistics[/#00FF00] ---
[#00FF00]3 packets transmitted, 3 received, 0% packet loss,[/#00FF00] time 2002ms
rtt min/avg/max/mdev = 0.778/1.426/2.722/0.916 ms

[Zedoune]

du coup ça marche mieux ?
Sinon, dans ton paramètre de WAN (Interfaces => Wan), décoches en bas "Block private networks and loopback addresses".

Ton WAN étant dans un LAN, la règle de pare-feu là indique qu'il bloque des IP privées qui tentent de se connecter sur le WAN. Ca a du sens quand t'as un équipement avec une IP publique en WAN

[Ryu_wm]

du coup ça marche mieux ?
Sinon, dans ton paramètre de WAN (Interfaces => Wan), décoches en bas "Block private networks and loopback addresses".

Ton WAN étant dans un LAN, la règle de pare-feu là indique qu'il bloque des IP privées qui tentent de se connecter sur le WAN. Ca a du sens quand t'as un équipement avec une IP publique en WAN

Je vois ça Bien que sur un PF 1.2.x ça n'ait jamais géné quoi que ce soit.

ce serveur il est nickel au point de vu config à 100%)

comme quoi... Honte ultime ...

bon, accessible en effet depuis le route add


Ceci n'enlève rien au fait que Pfsense 2.4 avec interface Edimax ne fonctionnait pas (pour ceux qui auront eu le courage de TOUT lire)

douche/miam/dodo/boulot/
retour ici plus tard

Z

[Zedoune]

du coup c'est quoi qui a résolu le problème ?

bonne nuit

[Dodo29]

@Dodo29 : c'est un réel pas un virtuel donc pas de mélange. Qui plus est j'ai procédé à de nombreux "factory reset".

@all : clé USB en EFI avec image d'un 2.3.4

upgrade en 2.3.4 p1

je vous écris actuellement en passant à travers lui, le mystère reste entier mais maintenant ça fonctionne !

étant donné que je n'ai rien fait je retente une install 2.4...

Ouai je disais sur l'esx mais avant le mien était physique et j'avais eu le problème en ajoutant une carte réseau

Mais content que ça ait pu faire avancer le schmilblik

Faut que je lise le topic en entier (et surtout concentré) pour bien saisir le truc parce que tout tes déboires je trouve ça étonnant

[Ryu_wm]

@dodo : non rien d'étonnant, c'est l'adaptateur réseau USB vers Ethernet Edimax qui est "trop étrange", cette cochonnerie permet le ping, le DNS mais au dela c'est mort (en tout cas via un Pfsense, jamais essayé sur un PC).

Bon tout fonctionne des deux cotés maintenant.
J'ai malencontreusement bousillé la conf d'un Apache sans faire de backup des conf avant de mettre la main dedans, maintenant il répond mais n'est même plus fichu de servir une pauvre image de 300Ko, il fige

Ce soir me suis essayé à OpenVPN (que dale) et IPsec (status connecting des deux cotés mais que dale) et échec total sans que les logs des PFsense me renseignent en quoi que ce soit

j'ai dormi 10h en 3 nuits je crois que je vais devoir reposer le cerveau avant de continuer.

@Z: le serveur HTTP n'avait pas de route et ne pouvait pas répondre aux requêtes, le NAT du Pf était ok

[Ryu_wm]

Essai de Tinc pour du VPN
config ultra simpliste
ne fonctionne pas mieux.

[Zedoune]

j'ai tendance à penser que c'est toi qui sait pas configurer si ni openvpn, ipsec ou tinc ne fonctionnent

T'essaies de faire quoi ? Dans quel but ?

[Ryu_wm]

Alors, oui sans doute que je ne maîtrise pas les VPN au delà de la théorie.
Maintenant de là à échouer sur 3 types de services VPN en utilisant des tutoriaux très bien explicités, j'ai du mal à le croire.

Tinc, pas besoin de connaissances particulières car pour ce qui est de la partie génération de clés, c'est automatique, il suffit de copier-coller de chaque coté.

IPsec, la partie la plus rigoureuse est de mettre les mêmes algos de chiffrement des deux cotés et de partager un mot clé en clair.

OpenVPN est un peu plus rigoureux car il faut générer des clés et certificats pour serveur et client.

Pour ce qui est de Pfsense, une fois qu'on a paramétré les services/clients VPN je sais paramétrer le firewalling qui autorisera l'échange de données.

*mais* je ne suis pas (que) con et n'ai pas les deux pieds dans le même sabot

---

ce que je veux faire ? rien de plus que faire communiquer deux infras réseau, chacune derrière un PfSense.

Site A :
LAN 192.168.0.0/24
PfSense Lan 192.168.0.252
PfSense Wan 192.168.1.2
Bbox 192.168.1.254 / ryu-homeftp.no-ip.org

Site B:
LAN 192.168.2.0/24
PfSense Lan 192.168.2.254
PfSense Wan 192.168.1.2
Bbox 192.168.1.254 / bcc5-328.no-ip.info

Évidemment les deux Pfsense sont en DMZ derrière les Bbox

au milieu, le tunnel doit se faire rencontrer les LANs en 192.168.10.0/24

Si tu en as le courage, je t'invite à me suivre sur un autre sujet. Je ferai des captures d'écrans des paramétrages des deux PfSense. ça sera fastidieux mais je veux bien bénéficier de ton savoir

[Zedoune]

je veux bien faire un sujet, pas de soucis. Si j'ai un accès teamviewer et du vocal ça peut être plus sympa pour faire des tests et expliquer aussi

Par contre, tu veux dire quoi par "192.168.10.0/24 " ? Parce que IPSEC c'est du site à site, ça veut dire que tu vas permettre à 192.168.0.0/24 de causer à 192.168.2.0/24 et inversement, pas de mettre tout le monde dans 192.168.10.0/24.
Toujours pour IPSEC, bien qu'il faille juste choisir les algos, il faut aussi régler les paramètres de la phase 1, et comme tu es derrière une box, ton pfsense va s'annonce en LOCAL ID en tant que 192.168.1.2 alors que l'autre pfsense va attendre l'ip public en remote ID (et l'autre pfsense aura exactement le même problème).

Sur Site A, en local ID tu mets 192.168.1.2 et en Remote ID tu mets 192.168.1.2, et tu fais pareil sur le Site B en fait Ca va peut être monter ton tunnel (je sais pas ce que t'as mis en phase 2...)

Pour la phase 2 t'es sensé avoir

site A
Local subnet : 192.168.0.0/24
Remote subnet : 192.168.2.0/24

Site B
Local subnet :! 192.168.2.0/24
Remote subnet : 192.168.0.0/24

[Ryu_wm]

Oui m'dame, ce que tu me dis je pense l'avoir fait.
Éventuellement se trouver une dispo commune pour en "parler" (skype de mon coté)
pour TV sur mes machines, ok cependant faudra que je trouve comment te donner un accès, au delà de ça il faut être TRES patiente car je n'ai que du 1Mbps en upload et à la maison ma femme et ma fille bouffent la BP ^^

je mets l'admin de pfsense accessible en https sur le wan et te communique les id et essaye de trouver comment te donner un accès TV sur mon poste de travail que tu me vois configurer.

[kalistyan]

Si besoin, je peux aider.

Je gère plusieurs VPN IPsec avec mon pfSense. et sensiblement le même setup (livebox).

[Zedoune]

Oui m'dame, ce que tu me dis je pense l'avoir fait.
Éventuellement se trouver une dispo commune pour en "parler" (skype de mon coté)
pour TV sur mes machines, ok cependant faudra que je trouve comment te donner un accès, au delà de ça il faut être TRES patiente car je n'ai que du 1Mbps en upload et à la maison ma femme et ma fille bouffent la BP ^^

je mets l'admin de pfsense accessible en https sur le wan et te communique les id et essaye de trouver comment te donner un accès TV sur mon poste de travail que tu me vois configurer.

Pour teamviewer il n'y a rien à faire à ce que je sache ?
Pour l'audio... on peut utiliser teamviewer aussi

vérifie quand même pour la phase1, c'est vraiment un piège les local et remote id !! A moins de connaître le piège, on ne peut pas le configurer correctement.