Route Statique : Routeur vers Lan pfSense
-
Bonjour,
Je suis totalement novice sur pfSense, j'essaye de prendre en main l'outil sur un réseau domestique.
Voici mon architecture :
Routeur TP-LINK Archer MR6000 :
- Connecté à internet (routeur 4G)
- Lan : 192.168.1.0 / 24
- Gateway : 192.168.1.1
Pare-feu PfSense :
- WAN : 192.168.1.108
- WAN Gateway : 192.168.1.1
- LAN : 10.0.0.0 / 24
- Deux cartes réseaux : LAN & WAN
J'ai paramétré une route statique sur le routeur :
- Destination : 10.0.0.0
- Gateway : 192.168.1.1
L'objectif est de pouvoir atteindre des machines depuis 192.168.1.0 vers 10.0.0.0.
Après paramétrage sur le routeur ( et redémarrage) , pendant quelques temps, j'ai réussi à ping depuis 192.168 vers 10.0, mais maintenant, cela ne fonctionne plus.Est-ce qu'il y a dans pfSense un paramétrage à réaliser ?
Merci à vous
Cordialement
-
Vous êtes novice en pfSense et débutant en réseaux ... (mais ce n'est pas une tare !)
Pour Internet, les 'lois' s'appellent des RFC (Request For Comments).
La RFC1918 définit les adresses ip (v4) à utiliser pour un réseau interne (d'un particulier ou d'une entreprise quelque soit sa taille) :
- 192.168.x.x (soit 256 réseaux de 254 adresses)
- 172.16-31.x.x (soit 16 fois 256 réseaux de 254 adresses)
- 10.x.x.x (beaucoup)
Cela a 2 conséquences :
- les autres adresses sont pour Internet (presque toutes : de 1.x.x.x à 223.x.x.x, le reste est destiné à autre chose)
- les adresses privées ne peuvent pas 'circuler' sur les réseaux Internet
Donc NECESSAIREMENT les réseaux privés ont un équipement 'en bordure' qui les relient à Internet : une box, un firewall, (un routeur). Et celui-ci effectue une Translation d'Adresses Réseau, en anglais NAT = Network Translation Address.
D'où une notion de WAN et LAN : une box ADSL a pour NAT, le fil vers la ligne téléphonique, ...
De facto, le réseau WAN NE PEUT PAS accéder au réseau LAN d'un firewall, d'une box, .. SAUF si on configure des règles précises, appelées DMZ (pour les Box) ou NAT Port Forward pour pfSense.
Donc votre route NE PEUT PAS fonctionner !!
(Et aucune règle ne le permettra, même si des règles spécifiques peuvent permettre certaines choses ...)A oublier les routes depuis un routeur (devant un firewall) !
-
Pour expliquer un peu le fonctionnement de la NAT Network Address Translation.
Un firewall (ou une box) avec 2 adresses : une WAN (193.193.193.193) et une LAN (192.168.10.254).
Un PC dans le LAN d'adresse 192.168.10.10.Le pc essaie d'atteindre un serveur web :
- le paquet envoyé est : type TCP, adr src 192.168.10.10 / port src 2258, adr dst 188.188.188.188 / port dst 80,
- le firewall va transformer en : type TCP, adr src 193.193.193.193 / port src 4234, adr dst 188.188.188.188 / port dst 80,
- le firewall reçoit : type TCP, adr srv 188.188.188.188 / port 80, adr dst 193.193.193.193 / port 4234,
- le firewall envoie au pc interne : type TCP adr src 188.188.188.188 / port 80, adr dst 192.168.10.10 / port dst 2258.
Et le client est capable d'échanger avec le serveur, malgré qu'il ne dispose pas d'une adresse Internet !
Le firewall a créé une table des sessions et a changé le port source, mais sait, d'après la table, retourner le bon paquet au client interne. (Cela prend un peu de temps de modifier les paquets mais pas d'inquiétude, ça va assez vite ...)
Que se passe-t-il dans le cas contraire : héberger un serveur web ?
Un client externe va atteindre l'ip WAN sur le port 80/tcp.
Via une règle NAT Port Forward, le trafic sera redirigé vers le serveur inter (192.168.10.x).
Il y a alors 2 règles :- une dans Rules > WAN pour accepter le flux vers l'ip WAN et le port 80,
- une dans NAT > Port Forward qui détaille la redirection vers l'ip interne.
-
Bonjour @jdh ,
Merci beaucoup pour vos réponses, j'apprécie grandement votre expertise et les explications associées.
Mon besoin initial est de pouvoir "pinger" (ou atteindre) depuis 192.168.1.0 vers 10.0.0.0, pour pouvoir depuis ma box domotique sur 192.168.1.10 vérifier l'état de certains devices sur 10.0.0.0.
Mais si je comprend bien cela n'est pas faisable, mise à part faire du NAT (port forwarding).
D'ailleurs, hier, j'ai mis en place du NAT en ce sens : Internet > Routeur > PfSense > PC (sur le port 80) sans trop de problèmes.
Je reviens sur la communication entre les deux réseaux 192.168 et 10.0, avant pfSense j'avais deux routeurs en LAN / WAN (LAN du routeur 1 connecté au WAN du routeur 2), via cette fameuse route sur routeur 1, je n'avais pas de problèmes.
Au final, je me dis que pfSense est un peu surdimensionné par rapport à mes usages ; le truc qui me chiffonne, c'est la sécurité d'un routeur type TP-Link Archer MR600 vs Installation d'une pfSense sur mon installation vs mes usages.
Merci encore
-
Si je met pfsense en DMZ sur mon routeur, quel est l'impact ?
-
Mettre en place un firewall (tel pfSense) se justifie par la volonté de contrôler parfaitement les flux vers et depuis Internet, en particulier dès qu'on héberge un service.
Le plus usuel est donc de disposer d'une box, d'un câble direct vers WAN de pfSense, d'un switch branché sur le LAN, et d'un point d'accès Wifi connecté au switch ou à une 3ième interface du pfSense.
(Donc pas de machines entre box et pfSense ...)
Le matériel TPLink Archer MR6000 comporte 2 accès WAN (ADSL + sim 4G), en sus du point d'accès Wifi : il se marie donc assez mal d'un firewall ! C'est le cas aussi pour une box qui offre le Wifi : il faut s'en passer car ce flux ne passe pas par pfSense et ne peut être contrôlé !
Avec une simple box,
- on désactive le Wifi, il sera remplacé par un autre point d'accès côté LAN,
- on place un câble direct Box - WAN,
- et on active la fonction DMZ de la box.
Avec votre routeur, idem box,
- on désactive le Wifi (ou ne pas l'utiliser),
- un câble direct Routeur - WAN,
- et on active la fonction DMZ.
Comparativement à une box, votre routeur apporte 2 accès WAN : Adsl + 4G, mais vous ne devez pas utiliser le Wifi (dans les 2 cas) ! Bref pas top ... (fallait se poser la question avant !)
Moi, j'utilise un point d'accès économique type Xiaomi Router 4A : pas cher, et utilisable en point d'accès.
-
Merci donc si je résume, mon routeur bloque par ses fonctionnalités donc ça ne sert à rien d’essayer quoi que ce soit ?
J’ai bien branché un Lan du routeur vers le wan pfsense
Merci -
Relisez, j'ai tout décrit ...
Pour moi, votre matériel est un mauvais choix si vous comptez utiliser pfSense.
Surtout rien 'devant' pfSense : juste un matériel qui comme accès à Internet, en ethernet. -
@jdh Merci beaucoup pour le temps passé aux explications.
Au final, je vais revoir mes usages / configuration.
Encore merci, c'est en faisant des erreurs que l'on apprend :) !
-
Mon dernier post est un peu brutal :
- si on choisi un routeur avec wifi : ce matériel a de grands avantages
- si on veut utiliser un firewall, on a intérêt à disposer de 2 matériels : une box ou un routeur simple, et une borne wifi (de préférence un access-point).
Quand vous avez choisi ce matériel, vous ne saviez pas les contraintes avec un firewall. N'utiliser que la fonction WAN Adsl+sim 4G, ou à l'inverse que la fonction Wifi est dommage et onéreux ...