Il y a un sérieux problème d'explication/compréhension :
Par ailleurs, je ne dois pas être seul à ne pas connaitre Beronet … (j'assimile ce beronet à un serveur xen à plusieurs interfaces physiques mais j'ignore les définitions d'interface et donc liens entre VM.)
Dans mon message d'origine je précise qu'il s'agit d'une appliance qui tourne sous Linux Alpine et qui embarque Xen
Je fais donc une assimilation correcte : le lecteur qui recherche 'Beronet', qui tombe sur une appliance hardware, ne se représente pas instantanément un serveur Xen !
Ce que vous découvrez est le fonctionnement (parfaitement) 'normal' d'un firewall : le flux sortant par WAN utilise (forcément) l'ip source de WAN.
Dans mon second message je précise que les paquets sortent vers Internet avec l'IP source d'un réseau privé, la 192.168.10.78 du PfSense et non celle de l'interface WAN (IP publique du Routeur/FW du LAN #1), c'est bien là le problème!
Désolé, les flux sortants de pfSense DOIVENT sortir et SORTENT avec l'ip WAN de pfSense, c'est une certitude ! Dans le schéma 2, vous indiquez 192.168.10.78 pour WAN, ils sortent avec cette ip; et Il ne peut y avoir d'accès Internet avec une ip privée (regardez le schéma 2 : vous placez le firewall entre Internet et WAN, donc le WAN est le LAN du firewall !
Je ne vois pas ce PC sur vos schémas, mais je suppose qu'il se positionnerait comme VM #2 (et via une interface physique spécifique).
Si ce PC fonctionne correctement (et donc via pfSense)
Je précise: les liens xDSL entrent dans un serveur sur lequel tourne Sophos UTM en VM (Routeur/FW du LAN#1). Il s'agit d'une Debian avec KVM. Deux VLAN 1001 et 1002 sont dédiés respectivement aux liens #1 et #2. Je peux donc vérifier le traffic sortant vers Internet à partir de cette Debian en capturant les paquets des VLAN
Comme dit plus haut, ce n'est pas du PfSense, Sophos UTM
Vos explications indiquent que le PC, non rappelé dans le schéma est situé côté LAN de pfSense : il DOIT traverser pfSense avant d'aller vers Internet. Dans les 2 réponses, on comprend que le PC est en fait une Debian virtualisée placé avant ou après pfSense, ce qui ne correspond pas à l'explication initiale 'Dans le même temps, un PC est connecté au réseau local géré par ce même PfSense.'.
Il est très difficile de comprendre votre problème car vous n'avez pas compris ma demande 'les choix en matière de réseau concernant la virtualisation'.
Etant devant votre installation, il est nécessaire de vous relire car les lecteurs ne sont pas devant, et ne peuvent deviner vos réglages et le schéma !
Clairement, ce qu'on comprend, en final,
Xen (ou KVM), par défaut, active une option 'tcp checksum offloading' qui joue un rôle important dans le cadre de la virtualisation, spécifiquement avec les drivers 'VirtIO' (sensés être les plus performants). l'explication du fil indiqué est particulièrement explicative du problème et donc de la solution.NB : à OFF dans ESXi 5.5 et 6.0
Le mécanisme de 'tcp checksum offloading' est connu, notamment soit par du hardware soit par des réglages bios. Il est sage, quand on balaye une installation de mettre ce genre de mécanisme à OFF …
De plus pfSense sait aussi s'y adapter ...
Une fois de plus, on voit la pertinence à utiliser un formulaire dans lequel on fournit dès le départ des informations plus complètes ...
Je ne répondrai pas à une demande aussi incomplète ...