@ccnet said in Utiliser 2 IP FO comme IP Publique - online.net:

RTFM

Magnifique AIDE bravo pour un forum d'enter-aide mdr. Tout le monde dit que c'est impossible pcq les gateway sont mal gérées et mnt qlq1 me dit de lire le manuel en sous entendant que c'est possible :D on ne me l'avait jamais faite celle là. Mais pq ne pas avori répondu sur la conversation depuis 2 ans alors ahaha.
Question ...Comment fait-on blabla...?
Réponse: Lis le put1 de manuel !

:'D

alors il faut savoir admettre ces erreurs, je suis donc un boulet.... apres 2H passé dessus a test dans tous les sens pendant que je bosser en paralléle... bah j'ai pas pensé une seule seconde a coupé le VPN de mon boulot.....

du coup sans bah ca marche beaucoup mieux....

donc bah probléme identifié, entre la chaisse et le clavier, et probléme resolu du coup...

Le câble est FTP (donc blindé) droit : logiquement ce devrait être croisé mais l'auto-mdi fait le job. Est ce bien un câble 'propre', c'est à dire sans défaut, pli, bout un peu dénudé, ... ? Quelque fois, il suffit de changer le câble, et le résultat change ...

J'ai assez confiance en nperf pour le débit descendant, moins sur le débit montant (et le test n'est pas simultané mais l'un après l'autre). Donc si on obtient 200 Mb descendant alors que c'est ce qui est défini, j'ai tendance à dire 'c'est bon'. D'autant que l'on teste généralement en prod et derrière le firewall, alors que l'on devrait le faire 'sortie du routeur'.

Ne pas oublier que

tout compte : le câble routeur-WAN mais aussi la fibre, les N routeurs chez l'opérateur, puis l'accès à un des serveurs nperf la vitesse promise est une limitation réalisée au niveau d'un routeur opérateur, car la fibre physique est à 1 Gbit : c'est donc une limite soft les opérateurs annoncent que leur offres pro sont 'non partagé' : s'il ont 10 clients à 100 M, ils apportent 1 G au noeud de distribution, ce dont je ne suis pas tout à fait sûr, surtout si 2 nouveaux clients viennent d'être connectés à 100 M !

Enfin entre full-duplex et half-duplex, je vois bien en local, mais je ne sais pas trop si c'est idem pour les offres fibre. Les débits sont très 'commerciaux'.

Quand une extrémité est en auto, alors que l'autre est en manuel, l'extrémité auto va normalement s'adapter à la manuelle. Aujourd'hui, on passe en manuel que sur un routeur, et c'est rare (... avec de bons câbles) : on ne devrait pas stocker des câbles douteux qui finissent à la maison !

NB : Quand on regarde des courbes de débit, on voit bien que quand le descendant est à fond, le montant n'est pas nul et même significatif, car il y a des ACK des paquets reçus !

@jdh
je t'envoie ce message avec grande fierté bon je t'annonce que je suis enfin résoudre le problème sans ton aide après des nuits blanche j'ai trouvé la solution
n'oublie pas que tu préserve ta lâcheté pour tes enfants

Il y a un 'formulaire' de présentation standardisé dans A LIRE EN PREMIER, mais là le problème semble en amont des pfSense.

Ce n'est pas clair du tout !
Un schéma, clair et simple, serait plus qu'utile ...
De même le titre ne dit RIEN : '2 ip pour un wan'

'une société multi-site où [chaque site] possede un PFsense virtuel' : dans l'ordre, il faut privilégier des appliances (physiques), des vieux serveurs (physiques), des VM (virtuels) . Pour le virtuel, cela exige une compétence affirmée sur la virtualisation. Donc, installer une appliance est une excellente idée !

'Derriere (Devant) chaque vm pfsense, se trouve un routeur cisco brancher sur une box orange fournissant l'ip public' : quel est le rôle de ces routeurs Cisco ? Un bon schéma c'est un routeur et un pfSense, pas 2 routeurs successifs (Box + Cisco) !

Le point clé est à ce niveau et, perso, je ne comprends pas : je ne dois pas être le seul !

Et là, il y a 'les routes statiques'.
S'il y avait juste un pfSense sur chaque site, il n'y aurait que des liens Ipsec entre fw et aucune route statique (les liens Ipsec suffisant à indiquer les routes).

En fait, je présume que votre opérateur (Orange) vous a vendu un VPN intersites via les Box+Cisco (peut-être même avec leur fameux 'accès central à Internet'). Donc il a été défini un réseau pour chaque site (=le LAN du Cisco), et ces réseaux communiquent (via la config desdits Cisco). Ce type de VPN est assez incompatible avec des fw locaux ...

Or, maintenant en placant des pfSense, vous avez, sur chaque site, un nouveau LAN différent et distinct de l'ancien LAN, et vous voulez que ces nouveaux LAN se voient. Alors vous pensez ajouter des 'routes' mais il faudrait que le firewall ne fassent pas de NAT : translation d'adresse : le trafic du LAN intérieur sort avec l'ip WAN du pfSense !

Votre problème est donc de

casser les routeurs Cisco créer un pfSense pour chaque routeur, et créer le réseau VPN intersite

Et là il n'y a aucune route, et les réseaux communiquent ...

Merci jdh pour ta réponse et le sliens que tu m'as donné. J'étais déja tombé dessus au cours de mes recherches.
Je te confirme que c'est bien via l'interface pfsense que j'ai configuré l'AP wifi. J'ai tenté de supprimer l'interface et de la recréer mais sans succès :-/ . La carte Wifi est bien reconnue mais hostapd ne parvient toujours pas à monter le Point d'accès.

Je suis assez déçu de l'issue finale. J'ai retrouvé pas mal de de gens qui ont rencontré le même problème que moi mais sans avoir pu le solutionner pour autant.
Du coup, je vais laisser remettre mon raspberry en borne wifi extérieure.

@ccnet said in Plotique de Sécurité:

@harry465 said in Plotique de Sécurité:

Bonjour,

j'ai 3 interface LAN, WAN et DMZ
et je voulais implémenter une politique de sécurité (accès entre les différents segments du réseau)

Ce que vous voulez faire c'est écrire des règles de filtrage. Mais en aucun cas implémenter une politique de sécurité. Cette question de vocabulaire a une importance considérable.
Une PSSI n'a rien à voir avec ce que vous imaginez et manifestement vous ne savez pas ce que c'est.
Si jétais provocateur je dirai que le firewall n'a rien à voir avec une politique de sécurité du système d'information,. La PSSI est un document de haut niveau qui ne traite pas des règles de filtrage des firewall.
Je sais que cela ne vous aide probablement pas mais il y a une raison : votre demande telle que formulée ne permet absolument pas de vous aider.
Un peu de lecture : https://fr.wikipedia.org/wiki/Politique_de_s%C3%A9curit%C3%A9_du_syst%C3%A8me_d%27information

Merci Pour vos conseils.

@jdh said in Un WAN pour deux LAN:

Le fil A LIRE EN PREMIER fourni un schéma pour décrire sa situation : merci d'y penser ....

Un mot : virtualisation.
Non, la virtualisation ne fonctionne pas forcément telle qu'on l'a rêvé !

Il est très clair que la virtualisation complique la perception de la réalité, y compris pour ceux qui maitrisent tant la virtualisation que le firewall ...

Plutôt que le log des règles, l'analyse du trafic par tcpdump est plus intéressante : on y voit les trames entrantes et sortantes !

Merci pour ces réponses :)

Does your provider actually supply a public IP? A lot of mobile providers use CGN so you never get a routable IP in which case there is little point digging further.

If they do then you need to set the modem mode so it presents a PPP interface. As I say ZTE often make that quite easy by providing a setting for it in their web UI. I can't really help with that directly though as I don't have a modem to reference. Also it's potentially risky as you could lock yourself out of it.

Steve

Merci pour votre précieuse aide @jdh.., j'ai trouvé, ça provient d'une incompatibilité entre le paramétrage du serveur Openvpn et le client Windows:
Servers configured with features that require OpenVPN 2.4 will not work with OpenVPN 2.3.x or older clients. These features include: AEAD encryption such as AES-GCM, TLS Encryption+Authentication, ECDH, LZ4 Compression and other non-legacy compression choices, IPv6 DNS servers, and more.

Ce n'est pas agréable de répondre et de se voir attribuer une attitude qui n'est pas la sienne ... C'est donc mieux.

Le VPN_ADMIN est le VPN roadwarrior (qui est très bien avec OpenVPN).
La config que vous indiquez me semble correcte cette fois ci.
Elle est logique puisque le Local est l'ensemble des réseaux de chaque site !
Usuellement, et la doc pfSense l'utilise, le Tunnel est 10.0.x.0/24 (ce qui permet à 63 clients de se connecter).
Si on a plusieurs sites, avec chacun un serveur OpenVPN, on fait varier le x : 8,9,10, ...

Le VPN_SITES devrait passer à IPsec et idéalement en maillé.
Donc chaque site doit avoir des définitions suivantes
pour le site 1 :
phase1 : vers site 2 / phase 2 : lan1 <-> lan2 / 2 rules ipsec : lan1 -> lan2 + lan2 -> lan1
idem pour site 3
idem pour site 4
et on recommence site par site

Comme débutant, je conseille de

réfléchir, chercher dans la doc pfSense, chercher dans le forum (de votre langue) puis le forum EN, poser une question (en respectant la façon proposée dans A LIRE EN PREMIER)

Il y a, et cela a été maintes fois écrit ... parce que c'est la réalité, une grande confusion entre Portail Captif et Proxy. Il s'agit de 2 'systèmes' à buts bien différents :

le Portail Captif a pour but d'autoriser ou non la traversée du firewall (et donc l'accès à Internet ... comme conséquence et pour tout trafic !) le proxy effectue du cache et des contrôles d'URL pour les protocoles HTTP, HTTPS et FTP, et il peut authentifier les utilisateurs. (Ce qui permet de connaitre les URL visités, et c'est le seul bon moyen pour cela !)

Par ailleurs, si vous êtes débutant et comptez utiliser pfSense comme Proxy seulement, il s'agit d'une sérieuse erreur de compréhension (maintes fois déjà écrite) : je conseille fortement de créer une machine, d'y installer Squid, de le configurer à vos besoins (quitte à vous inspirer de la conf de l'addons Squid de pfSense). C'est LA BONNE façon de faire !

Il y a des informations, il y a des images, un schéma, mais cela manque de recherche.

'j'ai suivi un tuto' on lit cela très fréquemment ! Mais un tuto est d'abord un souvenir (incomplet) d'une mise en oeuvre ... dans un contexte précis. Ici il est notable qu'il manque un sérieux aspect dans ce tuto !!

Il est assez inhabituel de réaliser un vpn inter-sites via OpenVPN, c'est plutôt fait via IPsec (et avec ip publiques directement en WAN). Le VPN permet de mettre en place le routage entre les réseaux connectés mais il manque le rôle du firewall (et c'est absent du tuto !).

Bonjour Jdh.

merci pour la réponse.
C'est un usage professionnel, mais pas de serveur, ni d'ADDS, ni de dhcp, ni de dns....ce que je sais mettre en place s'il le faut...

Il n'empêche pas moins qu'ils veulent protéger leur petit réseau...

Il n'y aucun problème quand à la réception d'une ip via la configuration en dhcp des postes...pfs fait son job à merveille la dessus...

Le seul "truc" que je ne pige pas, c'est comment mon ingénieur réseau à réussi à fixer les ip sur les postes via le mappage réseau dans la range défini dans pfs...(voir capture d'écran plus haut)
....alors que moi et que le monde entier apparemment me dit que pfs ne peut le faire qu'en dehors des plages défini dans pfs lui-même, ce qui est un non sense à mon avis...

J'ai tenté la même chose chez mon client, et pfs me ressort toujours la même chose : L'adresse IP ne doit pas être dans la plage DHCP de cette interface...

Ma question est simple alors :
A quoi cela sert il de définir des plages dhcp dans pfs si on ne peut pas y fixer par la suite les ip de nos équipements selon nos désirs ?

Hello jdh,

Merci pour ces précisions techniques, je vais pouvoir faire évoluer mon réseau dans ce sens, c'est top.

Bonne journée à vous.

Merci @jdh ☺

Bonjour, je redonne des nouvelles,
j'ai essayé d'avancer sur la piste "définir une route du réseau WAN vers le LAN".
Sur la livebox je ne peux pas configurer de route statique.
J'ai donc voulu "tricher" en définissant l'interface WAN du pfsense comme passerelle de mon pc portable connecté en WIFI dans le réseau WAN.
Techniquement, j'arrive donc à atteindre des postes du LAN moyennant la création des règles de pare-feu adéquat (RDP, SMB, HTTP...) Mais ce que je ne comprends pas c'est que mon pc n'a alors plus accès à Internet.
Pourtant dans PFSense, ma livebox est bien définie comme passerelle par défaut
f88aa52c-79b2-445e-9dae-9049d3b35e22-image.png
et sur la configuration de l'interface WAN, l'IP de la livebox est bien définie comme passerelle
518f10ae-de48-498b-a44f-7c32bc108619-image.png

Quand je fais un "tracert google.com" depuis mon PC dans le WAN,
d24be8cf-86dc-41d7-a317-0b0cfc58fc32-image.png

Quelqu'un saurait-il me dire pourquoi l'accès internet sur mon pc ne fonctionne pas en procédant de la sorte ?