@adhame95 said in echec vpn / routage assymetrique:

la passerelle par défaut n'a pas été changée

Ouais ...
En fait c'est parce que le pfSense a été ajouté (je présume), et que toutes les machines destinées à être derrière ce firewall supplémentaire n'ont pas été toutes ajustées en conséquence !

Enfin un NAS propose en général un partage Windows = de type SMB. Ce type de partage n'est jamais proposé par firewall, par la difficulté du protocole (445/tcp puis 139/tcp ou udp plus ...). A ne jamais faire !

D'ailleurs quand on cherche un peu autour de Synology, on aboutit à 'QuickConnect' qui est bati sur http/https, et qui donc peut bien être proposé par un firewall ('NAT Port Forward compatible' !).

Bref, on est pas vraiment sur un projet bien préparé, ni avec l'expertise bien assurée ... Vous ferez des progrès ... Je vous ai expliqué des choses un peu nouvelles, sans doute, pour vous ...

Faute d'informations ... (et fautes d'orthographe !)

Je ne suis même pas sûr de ce que vous voulez faire : s'il fallait un exemple, 'échec connexion' ne veut pas dire grand chose !

Le fil A LIRE EN PREMIER vous indique comment présenter votre situation et fournir des informations. Visiblement vous ne l'avez pas lu, alors que c'est une nécessité !

@audin Bonjour désolé pour cette réponse tardive, il faut effectivement mettre les TLD actif et faire un reload .
Sur la shallalist j'ai simplement chois les rubrique que je voulais filtrer mais bien évidemment c'est une liste donc tous les sites "douteux" de la planète n'y sont pas, il faut alors les ajouter a la main.
Sinon ca fonctionne.
Le site shallalist peut te dire si un site est référencé chez eux et dans quelle catégorie

Sujet évoqué de très nombreuses fois sur ce forum. Donc aucune recherche sérieuse !

J'attire votre attention sur le côté probablement illégal de la démarche, et forcément malhonnête : un utilisateur interne qui se connecte au site web de sa banque ne peut vérifier que le certificat présenté par le site, puisque vous le remplacez !

De toute façon, les sites https vont vers HSTS ce qui rend caduque cette démarche ...

@jdh Bonjour,

Merci pour votre réponse, mais l'avantage, et non des moindres d'avoir un rang d'ip publique, est de pouvoir héberger plusieurs serveurs donnant le même service. Lais là n'est pas le problème, si vous aimez faire du NAT ne vous genez pas.

Nous utilisons déjà un reverse proxy avec nginx et le mod secure dessus, mais encore une fois, là n'est pas le problème.

Effectivement changer les valeur de la MTU a été envisagé, mais je n'aime pas trop bouger ce paramètre.

Lorsque je regarde les logs du pfSense au moment du blocage, j'ai un deny sur le port 443 avec TCP:RA et une erreur http 499 au niveau du serveur (time out) ce qui est logique puisque le pfSense bloque.

... Le probleme survient uniquement en connexion 4G , Les opérateurs bloquent les ports ... je cloture .

Manque d'informations évident.

Quelle documentation suivie ?

NB : On ne fait pas seulement du HA d'ip WAN !

Le système ISO distingue 7 couches, alors que la pile IP en distingue 4. Donc 7 (ISO) = 4 (IP) = Applications = on est 'dans le protocole', et non juste le type de protocole IP et le n° de port.

Mon avis perso c'est de ne pas utiliser de modules niveau 4 (ou 7, donc) au niveau du firewall.

Concernant Snort (ou autre IPS), ce n'est pas, bien sûr, la bonne place d'être placé sur le firewall !

Un firewall, c'est une machine qui fait un boulot précis, qui doit être rapide, réguliere. Le proverbe qui convient, selon moi : qui trop embrasse, mal étreint !

Mais bon chacun fait comme il veut ... (moi j'ai mes habitudes construites après des années, après des observations, ...)

En cherchant 'un peu', on trouve que

le service DHCP est ISC 4.4.2P1 (pour pfSense 2.5.2) le log contient tout ce qu'il faut : j'y ai trouvé des DHCPRELEASE

Pour une interface plus conviviale que le log (type syslog), à vous de trouver ...

Bon ça marche enfin !
Ne me demandez pas pourquoi, mais je suis reparti de 0, en réinitialisant complétement le pfsense et recréant la règle.
Merci en tout les cas a tous ceux qui m’ont aidé a comprendre un peu le fonctionnement.
Il me reste encore plein de chose a configurer et a apprendre, alors peut être j'aurais encore des questions, mais pour le moment je préfère un peu tenter tout seul. C'est plus drôle et instructif que de demander de l'aide sur tout tout de suite

Merci encore

Jean

Le problème n'est pas réglé mais je dois faire plus de tests avant de demander de l'aide. Je ferme donc ce post avec cette règle générale : ne pas s'affoler, faire des tests en partant du plus bas et en isolant tous les nœuds possibles.
La base quoi ...
Je ferme donc ce thread en attendant d'avoir fait ma part du boulot.
Merci pour votre aide.

Alors ? Où en est on ?

Si vous voulez être aidé, faites quelque chose.
Si vous ne voulez plus être aidé, dites le.

(Non, c'est bien, et même très bien, de fournir de l'info, un schéma, les images des règles : il y a tellement de gens qui ne fournissent rien ou presque ! Bravo pour cela, et continuez ...)

La doc donne un exemple de cluster : https://docs.netgate.com/pfsense/en/latest/recipes/high-availability.html

D'après ce document (et le schéma), il me semble que vous n'avez pas assez de 'switchs internes' (=bridge avec KVM). Pour moi, vous devriez en avoir 4 : wan, sync, lan, vlan3 ... (et vos pfsense auront 4 interfaces)

Par ailleurs, je peux me tromper, je pense qu'il est préférable de laisser à l'hôte Proxmox (KVM) le soin de tagger avec un VLAN et non à le faire dans une VM (fusse pfSense). Regarder la syntaxe de 'auto vmbr0.200' ...

(Cela manque d'informations ...)

Quand on créé un cluster de 2 pfSense pour assurer un 'failover', il faut bien savoir que cela concerne les flux réseaux traversants pfSense, mais pas un service comme DHCP ou DNS.

En l'espèce, lors de la bascule (automatique) entre le 'master' et le 'slave', il faudra manuellement activer sur la machine 'slave' (devenu 'master') les services qui étaient fournis pas la machine 'master'. Et bien évidemment, lors du retour au fonctionnement initial arrêter lesdits services.

J'ai acheté récemment un point d'accès (en AC867) qui vaut aujourd'hui ... 20€ (Xiaomi Mi Router 4A sur Amz). Donc ce ne devrait pas être un frein. (Il existe même une version 4C limité à N300 pour 12,5€ !)

Vous proposez un 'bricolage' (dont je ne comprends pas bien le fonctionnement ... avec 2 dhcp). Je ne crois pas que ce soit une bonne idée : il vaut bien mieux 'faire simple et lisible' (je préconise une machine dédiée pour pfSense avec 2 interfaces ethernet bien distinctes)