Plusieur IP publiques, et serveurs de messagerie

SNORK

Bonjour,

Je commence avec PFSENSE après de nombreuses installations IPCOP. Je suis un peu dérouté par certains points mais je pense avoir compris que pour mon nouveau projet, c'est PFSENSE qui sera la solution.

Mon projet est le suivant :

1 ligne SDSL avec un bloc de 8 IP fixes. L'une d'entre elle est prise par le routeur, c'est donc 5 Ip qui seront utilisés.
1 ligne ADSL avec 1 IP publique.

J'aurai donc:
La  SDSL sur WAN
La ADSL sur OPT1
le LAN
Une DMZ sur OPT2

Je vais installer sur la DMZ des serveurs web et des serveurs de mail. J'ai donc besoin que les serveurs de Mail répondent sur internet avec une IP publique différente de façon à ce qu'il aient chacun une Reverse DNS conforme aux RFC.
Pour les serveur WEB, c'est sans importance, même avec une IP LAN ça marche.

La ligne ADSL sera utilisée en partie par la DMZ par des serveurs de sauvegarde  et si le loadbalacing est possible, pour le surf des utilisateurs LAN.

Actuellement, PFSENSE fonctionne au plus simple après l'instal : Il porte l'une des IP publiques (N°1) de la SDSL et me fait du NAT avec DHCP sur le LAN

Dans l'immédiat, brancher la ligne ADSL dessus n'est pas une urgence, je le ferai ensuite

Mes questions sont donc les suivantes :
1)Dois je utiliser les IP virtuelles pour déclarer les 4 autres adresses IP fixes ou déclarer sur l'interface WAN une IP fixe avec le masque qui va bien.
2)Pour que les serveur de mail répondent avec des IP différentes (IP N°2 et IP N°3), dois je bridger le WAN vers OPT2 ? Dans ce cas, pourrais-je utiliser les autres IP pour faire du NAT ?

Merci pour votre aide.

ccnet

Un point à préciser. Dans la dmz connectée à Opt2, souhaitez vous des adresses publiques ou privées sur vos serveurs ?

SNORK

Sur le fond, cela n'a pas d'importance…. si l'on fait une requête à un serveur de mail, sur "IP publique N°2", que PFSENSE translate en 10.1.0.12, que le serveur répond avec cette IP et que PFSENSE la remplace par "IP publique N°2", tout sera ok puisque l'émetteur de la requête pourra vérifier que DNS = Reverse DNS. Nous avons depuis longtemps un serveur sur une adresse de ce type avec IPCOP, ça marche bien.

Autre solution, Le serveur porte directement l'"IP publique N°2", mais là j'ai des doutes sur la façon dont une serveur WEB situé sur la même DMZ (Celui du webmail par exemple)  qui lui serait 10.1.0.14 pourra joindre le serveur de Email.

J'ai un petit faible pour les translations Publique <-----> privé si .... Oh bonheur suprème !
Je peux Router les ports 25, 143, 110 de IP publique N°2" vers 10.1.0.12 et les Ports 80, 443...etc vers 10.1.0.14. De ce fait, l'IP ne sera pas "grillée" exclusivement pour le serveur de Mail.

N'hésitez pas à me dire si cela vous parait suffisamment clair.

ccnet

Deux solutions puisque la question des ip publiques n'est pas importante concernant leur usage.

1. Vous mettez l'interface OPT2 en bridge avec wan et les ip publiques sont sur les machines serveurs.

2. Vous créez des ip virtuels, vos serveurs en dmz sont sur des ips privées et vous créez des nat 1:1.

Dans les deux cas vous mettez votre ip de base sur wan avec le bon masque pour désigner correctement votre sous réseau publique. Par exemple 213.41.16.xyz/30 si le masque correct est 255.255.255.225.

Si vous choisissez l'option 1 attention au réglage de "Filtering Bridge" dans "System: Advanced functions". Il doit être activé car par défaut il ne l'est pas. Vous aurez aussi peut être besoin d'activer le spoofing arp.

Juve

Je ne suis pas fan du bridge wan/dmz donc je vais donner mon opinion ;-)

Ce genre de configurations j'en ai 50 en production et le plus simple reste à placer le subnet publique dans la DMZ et de placer le WAN en privé (quelque chose rfc1918 tel que 192.168.254.1/24) et pfsense agira en routeur. Pas de NAT, pas de multiples IP sur les interfaces.
La configuration est déjà expliquée dans un post de cette section.

ccnet

le subnet publique dans la DMZ et de placer le WAN en privé

Je ne comprend pas.

SNORK

Là, je ne comprends pas bien…

N'y a t'il pas contradiction entre "Je ne suis pas fan du bridge wan/dmz" et " placer le subnet publique dans la DMZ"
pour "placer le WAN en privé ", je supose que vous vouliez écrire "LAN"

Pour l'heure, outre ces principes sur lesquels, nous finirons par tomber d'accord, je ne parviens pas à régler ma configuration dans la mesure ou je ne connai pas bien ARP, CARP et les différentes petites options à cocher ou décocher
pour passer les paquets d'une machine à l'autre.

Sur IPCOP, je déclarais simplement des Allias IP et fesais du NAT vers la DMZ. Inconvéniant, tous les serveurs répondait sur le net avec l'adresse par défaut d'ou l'impossibilité d'avoir 2 serveur de messagerie (RFC 821).

Il me manque sans doute quelques connaissances de base c'est peut-être même un simple problème de vocabulaire  mais je trouverai, c'est certain.

Juve

non non : WAN privé RFC 1918 et DMZ publique.

Ensuite il faut un téléphone ;-)
Appeler l'opérateur Internet et demander une prolongation réseau c'est à dire demander de placer la patte du routeur Internet en privé et l'ajout d'une route pour votre subnet publique en direction de l'IP privée WAN de votre pfsense.

;-)

ccnet

C'est clair. En donnant l'explication jusqu'au bout, c'est tout de suite mieux :-) Cachotier !

SNORK

Merci pour ces précieux conseils mais je reste dubitatif….
dois-comprendre ca :

J'imagine que je n'ai rien compris…. comment ferais-je dans ce cas pour optimiser l'usage des IP publiques
Je ne pourrais pas utiliser la même ip pour router les ports 80 et 443 vers une machine et 110, 143, 25 vers une autre !

Mais peut être est-ce la seule façon pour qu'un serveur de Mail réponde avec la bonne adresse du reverse DNS

Merci en tous cas pour votre aide.

Juve

supprimez la boite bleue et passez 10.0.0.1 sur le modem SDSL.
;-)

SNORK

Hum, je pense que ce n'est pas possible, c'est le routeur du FAI (NERIM)… obligatoire, c'est eux qui ont la main dessus.
C'est ma passerelle d'accès réseau. (x.x.x.137) derriere, je peux brancher les IPs : x.x.x.138, x.x.x.139, x.x.x.140, x.x.x.141, x.x.x.142.

Actuellement x.x.x.138 est l'IP WAN de PFSENSE et x.x.x.139, x.x.x.140, x.x.x.141, x.x.x.142. sont des OP virtuelles (ARP).

Et je me permet de reposer les questions :

Sera t'il possible d'utiliser la même ip pour router les ports 80 et 443 vers une machine et 110, 143, 25 vers une autre ?
Est-ce la seule façon pour qu'un serveur de Mail réponde avec la bonne adresse du reverse DNS ?

Juve

C'est pour ca que je précisais qu'il fallait disposer d'un téléphone. Il faut appeler Nerim pour faire faire la modification, ils accepterons.

ensuite tout est possible NAT/routage…. c'est la config de luxe ;-)

SNORK

Bon, je commence peut être à comprendre mais si je demande l'extension de routage de mes IP vers la DMZ. Quelle sera mon ip publique pour les machines du LAN ?

Ne devrais-je pas utilisez Une IP publique pour l'interface OPT2 ?

J'aurai sur la DMZ un nombre de machines supérieur aux nombre d'IP publiques ça va pas coincer là ?

je ne cesse de lire et relire le 16.9 de http://doc.m0n0.ch/handbook-single/#id2604955 et je m'arrache les cheveux. Sachant que je dois ensuite brancher une ligne ADSL sur OPT1 et router encore des ports vers la DMZ, Je me dit que je ne suis pas près d'y arriver.  :'(

SNORK

Ah Juve,  j'ai une nouvelle piste grâce à votre réponse dans un post qui ressemble bien à mon problème (http://forum.pfsense.org/index.php/topic,6490.0.html)

En fait l'extension de routage est à faire jusqu'au WAN avec ip privée de PFsense. Ensuite, comme vous le laissez entendre, on fait ce que l'on veut routage ou NAT.

De ce  fait et vue mon nombre de serveur, j"aurai intérêt (contrairement à mon shéma) à faire du NAT vers la DMZ et donner des IP privée au serveur ? Est-ce bien cela ?
Aurais je bien des réponses de mes serveur qui porterons l'IP public décrite par le NAT et donc bien conforme pour les reverse DNS.?

Et bien entendu, pour le LAN, je prends une IP et hop le tour est joué.

Si la réponse est oui à toute les questions je classe en "résolu" et je reviendrai éventuellement par d'autre posts pour les subtilités de config après la modif de NERIM.

Voila, il ne faut pas grand chose pour comprendre ou pas, un mot parfois… là j'étais très ennuyé par l'idée de n'avoir que 5 IP sur la DMZ
et très troublé (par manque de culture) de savoir que l'on pouvait atteindre des IP publiques en traversant un segment privé.

Merci pour votre aide. J'attends votre ultime confirmation pour passer à l'action.

Juve

combien avez vous de machines a mettre en DMZ ?

Moi j'en metterais un minimum en DMZ avec IP publique (généralement primaire DNS,relais SMTP,reverse proxy).

ensuite le reste dans le LAN avec du NAT.

SNORK

Au minimum,

2 serveurs WEB
2 serveur de messagerie
1 serveur de fichier (Webdav)
1 serveur Citrix
1 serveur de sauvegarde pour les sauvegardes de sites distants
L'un des serveur de messagerie est en backup d'autres serveurs sur des sites distant
et j'ai parfois besoin d'une IP disponible pour des tests
Je compte aussi utiliser la 2emme ligne ADSL pour router le traffic de sauvegarde

Juve

Ok donc au niveau de l'adressage:

2 serveurs WEB = LAN
2 serveur de messagerie = LAN
1 serveur de fichier (Webdav) = LAN
1 serveur Citrix = LAN
1 serveur de sauvegarde pour les sauvegardes de sites distants = LAN

Ensuite en DMZ :

1 (ou deux) reverse proxy qui publient :
  - les 2 serveurs WEB
  - le webdav
1 (ou deux) relais de messagerie

Ensuite les ip publiques restantes peuvent etre utilisées dans différent NAT/redirection de ports.

SNORK

Suivant vos conseils, j'ai fais une demande à mon FAI en ce sens.

La réponse du support est la suivante :

"En fait si nous comprenons bien, vous souhaitez mapper des ip publiques sur des adresses privées ? C'est à dire par exemple, corréler la
x.x.x.138 avec l'adresse interne 10.0.0.1 ? "

Nous ne recommandons pas le mappage public/privé.

Est-ce que je peux comprendre que ce que vous appeler "extension du routage" se traduit pour "mapper des ip publiques sur des adresses privées".

Je comprends qu'ils ne sont pas opposés à le faire si je confirme ma demande mais qu'ils pressentent des inconvénients. Je vais essayer dans savoir plus mais de votre coté, connaissiez vous ces réticences et éventuellement les raisons.

ccnet

@Juve:

…. c'est la config de luxe ;-)

Puisque l'on en reparle il serait intéressant que vous listiez brièvement, de votre point de vue, en quoi cette configuration présente un "luxe" particulier, plus sérieusement ce que sont les avantages selon vous. Non que je ne comprenne pas ou que j'en doute fondamentalement, mais c'est toujours très intéressant de parler des pratiques.