Routage & DNS
-
Bonjour à tous,
j'ai récemment installé un serveur PfSense dans ma société mais je ne suis pas encore tout à fait familiarisé avec l'ensemble des fonctionnalités, même les plus basiques. J'ai beau regarder dans la documentation je n'arrive toujours pas à faire de multi-wan entre mon interface LAN et mon interface OPT1. LAN sort bien sur Internet mais pas OPT1. Concernant le DNS, la résolution de nom se fait bien sur chacun des réseau mais lorsque je suis sur le réseau LAN et que je souhaite contacter une machine du réseau OPT1 par son nom cela ne fonctionne pas, alors qu'en tapant directement l'IP je n'ai pas de soucis.
Si vous pouviez m'indiquer la configuration à suivre je vous en serez très reconaissant car cela fait plusieurs semaines que je galère.
Un plan du réseau vous aidera peut-être à y voir plus clair dans ma démarche.
Merci d'avance et bonne fin de journée.
-
multi-wan entre mon interface LAN et mon interface OPT1.
Je ne comprend pas ce que vous voulez dire. multi wan suppose deux interfaces connectées à internet via deux routeurs ou deux modems sur deux lignes adsl ou sdsl. je n'ai pas l'impression que c'est ce dont vous parlez.
lorsque je suis sur le réseau LAN et que je souhaite contacter une machine du réseau OPT1 par son nom cela ne fonctionne pas, alors qu'en tapant directement l'IP je n'ai pas de soucis.
En tout cas merci d'avoir posté ce schéma qui nous donne, ce n'est pas si souvent que nous avons une vision claire ed la situation dès le premier message. Revenons à votre problème.
Dans le lan, quels dns sont renseignés pour les machines ? Même question pour opt1. Et bien sur quelles régles existent sur les interfaces lan et opt1 ?
-
Tout d'abord je m'excuse pour la notion de multi-wan absolument inadéquate comme vous me le faite remarquer. Dans un premier temps je souhaiterai que certaines machines d'OPT1 aient accès à la fois au réseau local (LAN) et à Internet (WAN). Je voudrai également que les machines du réseau LAN aient accès aux machines du réseau OPT1 en les contactant par leur nom d'hôte et non par leur IP, comme c'est le cas actuellement.
Dans le lan, quels dns sont renseignés pour les machines ? Même question pour opt1. Et bien sur quelles régles existent sur les interfaces lan et opt1 ?
Dans le lan d'après la configuration PfSense (Services : DHCP server) c'est les DNS de Free qui sont attribués (212.27.40.241 et 212.27.40.240) Pour OPT1 c'est 192.168.0.1 alias le serveur Windows 2003 du schéma et 192.168.1.1 (l'interface OPT1 du serveur Pfsense), elle a pour passerelle 192.168.0.1.
Dans les Rules du Firewall, du côté de LAN j'ai ceci
, pour WAN cela
et rien dans OPT1
Merci.
-
Je comprend que cela ne fonctionne pas. Il y a des choses mal comprises s'agissant des règles.
1. Vérifiez (je pense que c'est le cas) que sur Pfsense dans la page : System: General Setup les dns Free sont renseignés.
2. Pour toutes les machines du lan et opt1 le dns sera la patte Pfsense correspondante (passerelle par défaut aussi).
3. Dans Pfsense : Services: DNS forwarder
3.1 Enable DNS forwarder doit être cochée.
3.2 E bas de page : You may enter records that override the results from the forwarders below. Endessous de ce texte ajoutez vos machines, celles pour lesquelles vous souhaitez une résolution locale. Par exemple : nNasGame 192.168.0.x et ainsi de suite.4. Dans Firewall: Rules : Onglet OPT1 ajouter au moins ces règles :
UDP DmzServers * 192.168.0.10 53 (DNS) *
TCP DmzServers * * PortsHttp *
(DmzServers et Ports HTTP sont, dans mon cas, des alias, des groupes de serveurs pour DmzServers, de ports PortsHttp).5. Pour la règle que vous avez ajouté sur Wan, c'est bien pour autoriser, avec une translation un accès en https depuis le net sur un de vos serveurs ?
Cela devrait fonctionner si je n'ai rien oublié.
-
1. Vérifiez (je pense que c'est le cas) que sur Pfsense dans la page : System: General Setup les dns Free sont renseignés.
Après vérification ce sont bien les deux DNS de Free qui sont renseignés.
2. Pour toutes les machines du lan et opt1 le dns sera la patte Pfsense correspondante (passerelle par défaut aussi).
Dans l'onglet DHCP serveur pour LAN et OPT1 rien n'est mentionné dans la passerelle par défaut
En revanche je ne comprend pas trop la troisième étape. Ce que je souhaiterai c'est que toute les machines puissent être appelé par leur nom de machine. Étant sur le réseau LAN je souhaiterai contacter le poste212 se trouvant sur OPT1 en tapant \poste212 et non son adresse Ip \192.168.0.212.
5. Pour la règle que vous avez ajouté sur Wan, c'est bien pour autoriser, avec une translation un accès en https depuis le net sur un de vos serveurs ?
C'est tout à fait ça.
Merci :)
-
Dans l'onglet DHCP serveur pour LAN et OPT1 rien n'est mentionné dans la passerelle par défaut.
Il faut l'ajouter.
Point 3.
Dns forwarder permet la résolution via pfsense qui se comporte comme un cache ou bien il "forward" mais de plus, si vous renseignez la zone sous "You may enter records that override the results from the forwarders below." Vous obtiendrez une résolution avec une ip locale pour les machines indiquée. Ping -a poste212 fonctionnera bien avec l'ip 192.168.0.212. Clair ? -
Dans LAN je spécifie 192.168.1.1 et dans OPT1 192.168.0.10 en passerelle par défaut.
Je me demande également si il n'y a pas un problème de compréhension avec mon NAT.
Voici la configuration actuelle :
Mieux vaut utiliser l'automatic outbound ou le manual ?
Merci
-
Les onglets ne sont pas visibles, je ne sais pas à quoi correspond cette copie d'écran. Les lignes 2 et 3 sont redondantes. Si ce sont les règles de l'interface lan, les lignes 2 et 3 n'ont rien à faire ici. Idem pour OPT1. Et sur Wan elles n'ont pas de sens.
-
Voici le screen complet :
-
A priori, si j'ai bien compris vos besoins, vous n'avez pas besoin de définir ces règles. Vous devriez juste avoir une règle dans portforward de ce type pour permettre l'accès en https depuis le net vers votre serveur.
Sur Wan vous devrez autoriser :
TCP * * 172.16.1.1 443 (HTTPS) *Avec les points 1, 2, 3, 4 vous devriez pourvoir sortir vers internet. Refaites moi un point sur ce qui fonctionne et ce qui ne fonctionne pas.
-
Si je ne défini pas ces règles, l'interface OPT1 ne peut pas sortir sur Internet et il n'y a pas de routage entre LAN et OPT1. A moins que je n'opte pas pour la bonne solution et qu'une autre soit plus adéquate.
Merci.
-
Si je ne défini pas ces règles, l'interface OPT1 ne peut pas sortir sur Internet
Quelles régles ? Une chose est certaine, il faut définir des règles pour "sortir", la règle implicite sur une interface est * * deny all. Il faut donc, pour aller sur internet, au moins autoriser à sortir vers any pour le port de destination 80. Et 443 pour https.
-
J'ai bien suivit vos préconisations mais mon problème reste entier. J'aimerai avoir Internet sur OPT1 et pouvoir joindre les serveur OPT1 par leur nom de machine type \nas3 au lieu de taper \192.168.0.103.
Merci
-
Internet sur opt1 :
Sur une machine connectée à OPT1 essayez une configuration ip statique complète, dns inclus, vérifier que 53/UDP est autorisé vers les dns Free. Cela ne nécessite pas de outbound nat ou autre.Depuis Lan que donne ping nas3 ?
-
J'ai remis la configuration NAT sur Automatic outbound NAT rule generation (IPsec passthrough). L'interface OPT1 contient la règle suivante : Proto Source Port Destination Port Gateway Schedule Description
* * * * * *Depuis lan, lorsque je ping nas3 je n'ai pas de réponse, en revanche en pingant l'IP cela fonctionne.
Merci.
-
Il y a un dns accessible qui permet la résolution de nas3 en local ?
-
Actuellement dans General Setup j'ai rentré les deux adresses DNS suivantes qui sont celles de Free.
212.27.40.241
212.27.40.240 -
Certes, mais nas 3 est une machine de votre réseau dont je doute qu'elle soit enregistrée dans les dns publics.
Dans Pfsense vous avez dans la page dns forwarder, de mémoire, la possibilité d'entrer des nom d'hôtes locaux. Ajoutez nas3 puis testez à nouveau la résolution locale. -
Pourtant sur mon réseau LAN j'ai également des machines de type nas4 et nas5 que je peut joindre en tapant leur nom dans la barre d'adresse, les adresses de DNS reste pourtant inchangées(toujours celle de Free). J'aimerai reproduire cette configuration sur le port OPT1. Car votre solution m'oblige à rentrer à la main la centaine de machine pour ensuite pouvoir les joindre par le nom de machine.
Merci
-
Comment gérez vous la résolution de noms en interne ?