Routage LAN-WIFI

Lamoresk

Bonjour,

Le contexte :
  - Les machines du parc sont toutes en Windows, que ce soit les serveurs ou les clients.
  - Il y a un active directory
  - La passerelle par défaut du réseau LAN n'est pas le PfSense
  - Il y a trois accès internet, un sur la passerelle par défaut (FO) et deux sur le pfsense (adsl x2)

En fait le PFSense sert de backup en cas de défaillance du premier routeur et/ou de la FO. J'aimerais bien aussi m'en servir pour créer des réseaux wifi ( 1 interne et 1 invité).
J'ai donc deux WANs en LB, un LAN et 3 VLANs sur une interface OPT.

Le VLAN par défaut pour l'administration de la borne wifi (Cisco)
Le VLAN 20 pour le WiFi invités, qui n'accède qu'a internet derrière un portail captif. (OK)
Le VLAN 30 Pour le WiFi interne, qui donne accès au réseau local (KO)

J’atterris bien sur les bonnes plages IP en fonction du réseau sur lequel je me connecte, j'accède bien à internet depuis les deux réseaux, mais depuis le réseau interne, je n'arrive pas à accéder au LAN ou en tout cas, pas tout a fait ….
J'ai ajouté une route statique sur la passerelle par défaut en direction du pfsense pour que le trafic aille où il faut, mais ça ne fonctionne pas.

Par exemple :
Je ping mon pc fixe(LAN) depuis mon portable(WIFI) - OK, à condition que la route soit enregistrée en local sur le fixe.
Je ping mon PC portable depuis le fixe - OK
Je ne ping pas un serveur sur le LAN depuis le WIFI - KO
Je ne ping pas mon portable depuis le servuer sur le LAN - KO

De plus, je n'ai aucune résolution de noms sur le wifi, car les serveurs DNS renseignés dnas les infos DHCP du WiFi son sur le LAN ...

Bref, c'est très simple  ;D

Si vous avez des pistes, je vous remercie d'avance :)
Matthieu.

chris4916

AMHA, un petit schéma nous aiderait, et t'aiderait à comprendre quelle route définir à quel endroit.
Je n'y ai pas réfléchi plus que ça pour le moment mais cette histoire de gateway en failover ailleurs que vers la gateway par défaut, ça me semble bizarre.
De même j'ai un peu du mal à comprendre, juste en lisant ton poste, en quoi le fait que le DNS soit délivré par DHCP est un problème.

Si tu n'as pas de service DNS directement sur ton réseau wifi, qu'est ce qui t'empêche d'utiliser le relais (forwader ou resolver) de pfSense ?

Lamoresk

Bonjour,

Le schéma est en PJ.
J'ai renseigné une route statique sur le stormshield de type 'destination 192.168.9.0/24 par 192.168.0.240'

L'histoire du failover c'est surtout pour agréger la bande passante.
En soi, les DNS délivrés par le DHCP ne sont pas un souci, c'est surtout qu'ils sont sur le lan, donc inaccessibles pour l'instant. Je vais me renseigner sur les fonctions resolver et forwarder.

Merci,
Matthieu

chris4916

OK, c'est beaucoup plus clair.

Pourquoi ne pas autoriser, en terme de règle de FW, les machines sur le segment "wifi interne" à faire des requêtes sur le port 53 (en UDP et TCP) vers l'IP du DNs sur le LAN ? Une fois que c'est fait, tu peux déclarer ce DNS dans le serveur DHCP de pfSense.

Pour tes histoires de ping et de connexion entre les différents segment, il faut regarder tes règles de FW.
Qu'as-tu défini ?

Lamoresk

Au niveau des règles sur le PfSense :
Sur l'interface LAN, j'ai la règle allow all par defaut.
Sur l'interface wifi j'ai deux règles :

Protocole    Source            Port    Destination    Port    GW                  Queue
Ipv4*          WifiInterne    *        Lan net          *        *                      None
Ipv4*          WifiInterne    *        *                    *        LB_Internet    None