pfsense: problème de routage

Message par **dsebire** » ven. 1 avr. 2011 15:30

hello,

je n'arrive pas a faire transiter correctement mes paquets entre LAN et WAN sur un pfsense.

j'ai ça comme conf a l'heure actuelle:
Gateway

Name Interface Gateway Monitor IP Description   
WAN (default)  WAN  91.XXX.XXX.XXX  91.XXX.XXX.XXX  route vers exterieur       
LAN  LAN  172.16.32.1  172.16.32.1  LAN       
DMZ  DMZ  172.16.40.1  172.16.40.1  DMZ

pas de route

ce qui marche:

PING 8.8.8.8 (8.8.8.8) from 91.XXX.XXX.XXX: 56 data bytes
64 bytes from 8.8.8.8: icmp_seq=0 ttl=55 time=9.931 ms
64 bytes from 8.8.8.8: icmp_seq=1 ttl=55 time=9.874 ms
64 bytes from 8.8.8.8: icmp_seq=2 ttl=55 time=9.897 ms

ce qui marche pas:

PING 8.8.8.8 (8.8.8.8) from 172.16.32.1: 56 data bytes

--- 8.8.8.8 ping statistics ---
3 packets transmitted, 0 packets received, 100.0% packet loss

vous aurez bien sur compris que 91.XXX.XXX.XXX est mon IP publique

lorque je fais un traceroute a partir du la patte WAN, evidament, je trouve un itineraire cohérent.
si je fais la meme chose a partir de la patte WAN, il va jusqu'a la passerelle (172.16.32.1) et plus rien, tourne dans le vide.

pas de firewall sur le LAN (tout est ouvert)
ICMP autorisé sur le WAN (peut etre pingué de l'exterieur)

PS: pour l'instant, ya rien de configuré sur la DMZ, c'est réservé pour plus tard.

si vous avez une idée.... merci

Message par **Zedoune** » ven. 1 avr. 2011 15:35

Le pare-feu c'est PF ?

On peut avoir le contenu de /etc/pf.conf si c'est le cas ?

C'est à base de bsd ça

Message par **tugs** » ven. 1 avr. 2011 19:11

nan mais y'a pas à aller chercher dans les fichiers conf, pfsense, tout est dans l'interface graphique, y compris les routes.

8.8.8.8 , c'est ou ? , on peux avoir les masques.

Sous pfsense pas de règle = tout fermé (comportement par défaut)

Message par **gizmo78** » ven. 1 avr. 2011 19:14

8.8.8.8 c'est pas un serveur dns google ou une connerie du genre?

Message par **tugs** » ven. 1 avr. 2011 19:18

Tu peux nous faire un screenshot de l'onglet LAN, de l'onglet WAN (en masquant ton ip si tu veux

)

Message par **Zedoune** » ven. 1 avr. 2011 23:23

ben si c'est graphique, je sais pas

et 8.8.8.8 c'est bien le dns de google

Message par **dsebire** » sam. 2 avr. 2011 06:47

rho.... yen a qui connaissent pas 8.8.8.8

tugs, tu veux voir quoi ?
ya rien de plus que ce que j'ai noté dans le premier post (au tout debut sur les gateway)

Message par **dsebire** » sam. 2 avr. 2011 07:12

WAN interface (em0)  
Status up  
MAC address 02:00:00:93:86:6b  
IP address 91.XXX.XXX.XXX    
Subnet mask 255.255.255.255  
ISP DNS servers 172.16.32.5
8.8.8.8
8.8.4.4
 
Media 1000baseT   
In/out packets 118/117 (13 KB/93 KB)  
In/out packets (pass) 117/206 (13 KB/93 KB)  
In/out packets (block) 1/0 (36 bytes/0 bytes)  
In/out errors 0/0  
Collisions 0  
 
LAN interface (em1)  
Status up  
MAC address 00:0c:29:7a:4c:1c  
IP address 172.16.32.1    
Subnet mask 255.255.255.0  
Media 1000baseT   
In/out packets 57/56 (4 KB/406 bytes)  
In/out packets (pass) 56/6 (4 KB/406 bytes)  
In/out packets (block) 1/0 (36 bytes/0 bytes)  
In/out errors 0/0  
Collisions 0  
 
DMZ interface (em2)  
Status up  
MAC address 00:0c:29:7a:4c:26  
IP address 172.16.40.1    
Subnet mask 255.255.255.0  
Media 1000baseT   
In/out packets 1/0 (36 bytes/0 bytes)  
In/out packets (pass) 0/0 (0 bytes/0 bytes)  
In/out packets (block) 1/0 (36 bytes/0 bytes)  
In/out errors 0/0  
Collisions 0

Message par **tugs** » sam. 2 avr. 2011 09:28

Bah je veux voir tes rules. parce que, je vais le réécrire encore une fois mais PAS DE REGLES = TOUT BLOQUé

Message par **dsebire** » sam. 2 avr. 2011 09:41

WAN:

ID Proto Source Port Destination Port Gateway Queue Schedule Description    
 
     ICMP  *  *  WAN net  *  *  none          
  
 
     TCP  *  *  WAN net  443 (HTTPS)  *  none     HTTPS web management     
  
 
     TCP  *  *  WAN net  80 (HTTP)  *  none     HTTP web management     
  
 
     TCP  *  *  WAN net  22 (SSH)  *  none     SSH web management     
  
 
     TCP  *  *  WAN net  3389 (MS RDP)  *  none     RDP     
  
 
     TCP  *  *  172.16.32.5  3389 (MS RDP)  *  none     NAT RDP serveur backup

LAN:

ID Proto Source Port Destination Port Gateway Queue Schedule Description    
 
    * * * LAN Address 22 80 443 * *  Anti-Lockout Rule   
  
 
     *  LAN net  *  *  *  *  none     Default allow LAN to any rule

tugs, si tu veux je t'appelle et je te file de quoi te connecter a la machine

PS: precision peut etre importante le pfsense est sur une VM chez OVH

Message par **tugs** » sam. 2 avr. 2011 10:17

ouep fait péter

Message par **dsebire** » sam. 2 avr. 2011 13:14

avec l'aide de tugs, ça commence a marcher.
Merci msieur

vais continuer a bricoler mais lundi

Message par **dsebire** » lun. 4 avr. 2011 11:29

bon,

j'en ai mare de ces c****.

pour votre info, pfsense n'est pas compatible avec ESXi chez OVH.
la bidouille necessaire pour bridger l'IP virtuelle corespondant a la machine virtuelle avec l'IP du host physique n'est pas supportée sous pfsense.
99.99% de chance que ce soit pareil avec monowall vu que c'est la meme base.

3 jours de perdus, 2 longues soirées a essayer de faire marcher pendant le WE, 2h avec tugs samedi matin (pas que ce soit désagréable mais bon... j'aurais préféré que ça marche)

dans le detail, pfsense 123 ne focntionne pas du tout, aucun flux ne transite par le WAN du fait qu'il trouve pas la gateway (en fait il la trouve mais les paquets sont perdus en cours de route) donc TTL exceeded

pfsense 2.0 marche un peu mieux (attention au build que vous prenez). le routage est OK mais pas le NAT, ya aussi pas mal de pbs de flux (obligé de tout ouvrir coté WAN pour que ça fonctionne un peu)

evidament, ya 2 cartes reseau sur le serveur mais OVH refuse de me brasser la seconde, ce qui simplifierait largement le problème.

suis en train de tester ipcop, ça fait pas tout ce que je veux mais ça devrait me depanner.
sujet clos, merci.

Message par **tugs** » lun. 4 avr. 2011 12:03

Good luck mon ptit dim

Message par **dsebire** » lun. 4 avr. 2011 13:11

ipcop ne sait router que de l'UDP ou du TCP.....
hop, une de moins.

il reste quoi a part monowall/pfsense et ipcop ?

Message par **poulpito** » mar. 5 avr. 2011 15:31

pas grand chose à mon avis à part se faire un truc à la mano
tu aurais presque plus vite fait vu les emmerdes :/

Message par **Zedoune** » mar. 5 avr. 2011 16:48

pf c'est bien !

Message par **dsebire** » mar. 5 avr. 2011 18:23

pf c'est bien !

je dis pas le contraire, c'est meme pour ça que je l'avais choisi.

pas grand chose à mon avis à part se faire un truc à la mano
tu aurais presque plus vite fait vu les emmerdes :/

c'est prévu !
je pense partir sur une debian, je sais pas si c'est bien (pour cette utilisation)
j'ai une obligation c'est de gérer le VPN L2TP

PS: c'est freeBSD qui n'est pas supporté chez OVH a prioris en mode bridge.

Message par **Zedoune** » mar. 5 avr. 2011 21:45

j'ai dis PF (Packet Filter), pas pfsense

Sur PFSENSE s'il y a une interface, tu perds forcément en fléxibilité par rapport aux lignes de commandes et à une configuration manuelle de pf.

Après, peut être que c'est totalement incompatible je ne sais pas.

Message par **tugs** » mar. 5 avr. 2011 22:36

j'ai dis PF (Packet Filter), pas pfsense

Sur PFSENSE s'il y a une interface, tu perds forcément en fléxibilité par rapport aux lignes de commandes et à une configuration manuelle de pf.

Après, peut être que c'est totalement incompatible je ne sais pas.

nawak xD (bis) . La ligne de commande, c'est in-ex-ploi-ta-ble, c'est comme les bash iptables, ca va bien pour faire 10 règles dans le rézo du lycée

(oué d'abord

)

Message par **sylver52** » mar. 5 avr. 2011 22:39

Tu provoques Z là tugs

J'ai hâte de voir sa réponse ^^

Message par **Zedoune** » mar. 5 avr. 2011 22:40

iptables, ouais, ça c'est inexploitable

mais je vois pas en quoi pf le serait pas, et quand je disais lignes de commandes c'est pour activer pf et charger la config ou configurer les interfaces

Message par **tugs** » mar. 5 avr. 2011 22:54

configurer les interfaces ? je pense que tu voulais dire "mettre en oeuvre le filtrage"

pf ne configure pas les interfaces, c'est la stack réseau qui le fait

(mais je chipo-lata)

quoi qu'il en soit, pfSense est plus exploitable que n'importe quel outil en ligne de commande, si tant est qu'on est quelque chose à exploiter

Message par **Zedoune** » mar. 5 avr. 2011 22:59

Je sais bien que pf configure pas les interfaces, mais pf + ifconfig je vois pas comment ça peut être surpassé par pfsense qui te cache tout

Message par **tugs** » mar. 5 avr. 2011 23:04

Passons sur ifconfig

Tu confonds technique et exploitabilité (comme tous les geeks ^^) . pfSense rend le firewalling sous bsd exploitable. il ne "cache pas" (ce qui est un terme péjoratif dans la bouche de tous les techos) , il surcouche . et pour le coup, il le fait plutot bien.

Configurer le CARP, des VIP avec du LB/FO, le NAT, tout est bien pensé et se fait de plus via une interface web, ce qui est plus pratique que du ssh (toujours en terme d'exploitabilité)

y'en a marre de ces techos qui croient que KDE c'est ergonomique hein