[CLOS] Pfsense 2.3.4 et 2.4 problèmes NAT+FW

Message par **Ryu_wm** » ven. 13 oct. 2017 21:36

Je le signalais dans le sujet ping-pong j'ai un problème avec une install fraiche de PfSense 2.4

voici le résumé :

(Internet)Bbox (176.188.24.1 - [#FF0000]192.168.1.254/24[/#FF0000])Pfsense2.4([#FF0E00]192.168.1.2/24[/#FF0E00] - [#0E00F0]192.168.2.254/24[/#0E00F0])LAN ([#0E00F0]192.168.2.0/24[/#0E00F0])

le Lan n'a pas accès à internet. Factory reset de la Bbox . Factory Reset du Pfsense, reparamétrage des deux

la Bbox reroute tout vers le Pfsense

la patte Wan du PF est sur le bon réseau et la bonne @MAC

Sur PF, règles de parefeu d'origine :

Notez que LAN peut aller partout...

DNS Forwarder fonctionne, voici une requête depuis le LAN

ICMP echo request ok

et c'est là que j'en perds mon latin, rien ne passe depuis LAN vers Internet malgré la règle explicite du PF

d'ailleurs Tracert ne donne rien après la Box

je suis fou !

Message par **kalistyan** » ven. 13 oct. 2017 21:39

Quid du DNS utilisé sur ton LAN ?

Message par **Ryu_wm** » ven. 13 oct. 2017 21:46

les stations du LAN requetent en DNS soit sur Pfsense, soit en de rares occasions sur la Bbox directement
mais comme on le voit, la résolution DNS fonctionne

un truc m'intriguait , le texte en rouge en bas

j'ai ajouté une règle "bidon" des fois que la patte WAN du PF bloque tout retour par défaut (règle = PASS from:(Bbox)192.168.1.254 to Pfsense(192.168.1.2) proto:any) mais keudal

Message par **kvm** » ven. 13 oct. 2017 21:47

Firewall / NAT / Outbound : t'as quoi ?

J'ai l'impression que c'est juste ça...

Message par **Ryu_wm** » ven. 13 oct. 2017 21:48

erf, je ne sais pas et j'ai coupé le pfsense 2.4 afin d'avoir accès au net via un 1.2.3 virtuel qui à les mêmes IP ^^

pourquoi tu penses à quoi stp ?

//edit, je refais un arret du virtuel / relance du physique / capture d'écran ...

là je n'ai rien touché, je découvre ... Sachant que je n'ai même pas encore cherché à entrer des règles de NATage dans pfsense

Message par **kvm** » ven. 13 oct. 2017 21:50

Bah qu'il n'y ait pas les règles de NAT pour te permettre de sortir.

Message par **kalistyan** » ven. 13 oct. 2017 21:51

mais comme on le voit, la résolution DNS fonctionne

Euh, certain ?

Que donne un ping sur www.google.fr

Cela devrait t'aider.
=> https://www.smnet.fr/pfsense/pfsense-vlan.html#div7

Message par **poulpito** » ven. 13 oct. 2017 21:54

j'ai eu un soucis équivalent sur mon erl
j'avais oublier d'activer le setting de masquerade mais je ne sais pas comment pfsense le gère

Message par **kvm** » ven. 13 oct. 2017 21:55

@poulpi : c'est le NAT outbound justement

Message par **Ryu_wm** » ven. 13 oct. 2017 21:57

Euh, certain ?

Que donne un ping sur www.google.fr

Cela devrait t'aider.
=> https://www.smnet.fr/pfsense/pfsense-vlan.html#div7

pas tout à fait .fr mais bon ....

sinon pour être strict

tiens, j'ai des TimeToLive différents ?

Message par **kalistyan** » ven. 13 oct. 2017 21:59

+1

Tu passes en manuel, tu crées cette règle.

Remplacer 192.168.100.0/24 par 192.168.2.0/24

Message par **Ryu_wm** » ven. 13 oct. 2017 22:01

@KVM & Kalistyan
je vous remercie, je tente demain car voyez vous je suis encore en "tenue de travail", j'ai testé ça direct en rentrant du taf, et là je vais passer à autre chose car je me rends compte qu'il est 22h !

je vous fais savoir

/EDIT : ho et puis zut, j'ai tellement la haine, je teste ... je RE

j'ai ajouté la règle manuellement bien qu'elle existait déjà par défaut, pas mieux

Message par **kvm** » ven. 13 oct. 2017 22:03

Imagine ça marche

Message par **Ryu_wm** » ven. 13 oct. 2017 22:14

ben non

c'est pas mal hein ?

bon j'abandonne pour ce soir, je vais dormir avec le ronron de l'esx qui me permet d'avoir un PF virtuel tant pis ^^

Message par **Ryu_wm** » ven. 13 oct. 2017 23:10

Bon, demain samedi, en quête d'acquisition d'autres NICs pour voir.

Message par **Zedoune** » sam. 14 oct. 2017 00:30

faut laisser en hybrid pour le outbound et choisir WAN, et mettre ton réseau local en source et hop t'as internet

Je suis une pro de pfsense certifiée maintenant

https://screenshots.firefox.com/gM9BHR5 ... 68.100.254
https://screenshots.firefox.com/Med7NHH ... 68.100.254

Message par **kalistyan** » sam. 14 oct. 2017 00:59

Perso, je suis en manuel et cela fonctionne très bien.

Code : Tout sélectionner

2.3.2-RELEASE (amd64) 
built on Tue Jul 19 12:44:43 CDT 2016 
FreeBSD 10.3-RELEASE-p5

Message par **Zedoune** » sam. 14 oct. 2017 01:34

Perso, je suis en manuel et cela fonctionne très bien.
Code : Tout sélectionner
2.3.2-RELEASE (amd64) 
built on Tue Jul 19 12:44:43 CDT 2016 
FreeBSD 10.3-RELEASE-p5 

oui mais si tu fais des VPN IPSEC ça peut être gênant

Message par **merlin2000fr** » sam. 14 oct. 2017 08:43

salut salut

suis en manuel avec mon cluster et ca tourne depuis puis qq années sans vrai soucis sur le cluster.

le plus surprenant fut le changement d'interface d'accueil. et le message qui se rajoute dans le dashboard

Message par **kvm** » sam. 14 oct. 2017 09:52

Si certains en ont marre de la pub and co OPNsense est un fork avec des options en plus comme le password sur le shell, une interface plus moderne...

Il est très souvent mis à jour... Peut-être même trop.

A essayer pour les intéressés

.

Message par **Ryu_wm** » sam. 14 oct. 2017 13:51

Bon, parcouru la moitié du département ce matin, pas pu trouver de carte réseau (voir ping pong)

en désespoir de cause achat d'un adaptateur usb wifi pour la patte wan
bon ben ... pas reconnu (matos netgear)

@Z : je reteste ta proposition dès que j'en ai le courage.
Là factory reset avec interversion des interfaces pour LAN et WAN, forçages speed/duplex -> nada

pourquoi ces tests ? Et bien parce que j'ai déjà eu des soucis avec l'interface réseau USB :

sur des essais Pfsense effectués par le passé, le matériel est reconnu par le noyau mais rien ne transite, en revanche si on virtualise le pfsense sur une couche window, ça passe.
Donc je suppose que j'ai le même problème malgré les évolutions des noyaux/pilotes depuis le temps.

la semaine prochaine je rentre chez moi, je reviendrai ici avec une carte réseau et je suis persuadé que ça fonctionnera.

Message par **Ryu_wm** » dim. 22 oct. 2017 22:22

la bonne blague ... ce soir j'arrive, je lui installe une carte eth au lieu de l'usb2eth :

factory reset;

reparamétrage;

il est incapable de pinguer quoi que ce soit à ses pattes ?!

Je vais DL une 2.3.4 et le réinstaller car là la 2.4 je ne comprends pas

Message par **Zedoune** » dim. 22 oct. 2017 22:57

la bonne blague ... ce soir j'arrive, je lui installe une carte eth au lieu de l'usb2eth :

http://images.mesdiscussions.net/eco/me ... 214413.jpg

factory reset;

reparamétrage;

il est incapable de pinguer quoi que ce soit à ses pattes ?!
http://images.mesdiscussions.net/eco/me ... 220508.jpg
http://images.mesdiscussions.net/eco/me ... 220549.jpg

Je vais DL une 2.3.4 et le réinstaller car là la 2.4 je ne comprends pas

t'as pas inversé les 2 cables ? [:tinostar]
t'as autorisé le ping ?? Je sais pas s'il est pas coupé par défaut dans les règles ^^'

edit : non, surement pas les règles car d'après ce que je vois sur tes screens, le résultat de ping serait identiqe. Au pire en shell tu fais "pfctl -d" pour virer le pare-feu et t'essaie un ping (pfctl -e pour réactiver)

Message par **Ryu_wm** » dim. 22 oct. 2017 23:30

Non de base ça doit pinguer

on verra sur la 2.3.4-p1