Débutant sur pfsense

newbee

Bonjour

Voila je suis nouveau sur pfsense , j'aimerai réalisé une archi virtuel: (j'ai un niveau assez faible en réseaux)
j'ai crée 3 sous réseaux

• wan : 192.168.44.138 (dhcp)
• lan1 : adresse static -> 192.168.5.1 -> gateway : ?? -> (dhcp)
• lan2 : adresse static -> 192.168.6.1  -> gateway : ?? -> (dhcp)
• DMZ : adresse static -> 192.168.10.1 -> gateway : aucun -> (pas de dhcp)

j'aimerais que tout les 3 sous réseaux accèdent à internet. (lan1 lan2 et les serveurs dans la DMZ)
j'ai mis tout par défaut .

Actuellement mon pb :

• aucun sous réseaux ne va sur le net .
• je ne sais pas mettre quel passerelle poru chaque sous réseaux
• je ne sais pas comment faire pour que le lan1 et le lan2 communique ( pas de bridge , je veux que les 2 sous réseaux soit différent)

Merci pour votre aide

Cordialement

ccnet

j'aimerai réalisé une archi virtuel:

Qu'est ce que cela signifie concrètement ?

• aucun sous réseaux ne va sur le net.

Il faut autoriser le trafic sur l'interface pour aller vers internet. Au minimum http, https, dns (éventuellement).

• je ne sais pas mettre quel passerelle poru chaque sous réseaux

Rien dans Pfsense. Sur les machines connectées, l'ip de l'interface Pfsense à laquelle la machine est connectée.

• je ne sais pas comment faire pour que le lan1 et le lan2 communique ( pas de bridge , je veux que les 2 sous réseaux soit différent)

Il faut ajouter sur chaque interface des règles qui autorisent le trafic souhaité.

Si ces réponses ne vous "parlent" pas alors il faut travailler sur vos connaissances de base en matière de réseau : http://christian.caleca.free.fr/tcpip.html
Ce site vous fournira d'excellentes bases pour éclairer les problèmes que vous rencontrez qui sont essentiellement dues à un manque de connaissances réseaux. Ce qui n'est pas grave, il suffit de les acquérir.

lastarHack

Bonsoir ccnet,

Tout d'abord , merci , d'avoir pris un peu de ton temps pour me répondre.

1. Une archi virtuel c'est tout un environement virtuel , consistué de plusieurs machines virtuel (architecture virtuel)
   c'est à dire une architecture comprenant une dmz avec plusieur serveur , un lan avec un sous réseaux et un 2eme Lan  avec un autre sous réseaux.

2. Tout est trés clair .
   Il va falloir que je mette tout sa en pratique sous pfsense.. Sa devrait allé ..

Il est excellent ton site !

Encore merci

ccnet

@lastarHack:

Bonsoir ccnet,

Tout d'abord , merci , d'avoir pris un peu de ton temps pour me répondre.

1. Une archi virtuel c'est tout un environement virtuel , consistué de plusieurs machines virtuel (architecture virtuel)
   c'est à dire une architecture comprenant une dmz avec plusieur serveur , un lan avec un sous réseaux et un 2eme Lan  avec un autre sous réseaux.

Donc Vmware ou quelque chose de similaire. C'est bon pour des tests et de la mise au point mais pas en production.

Le mérite du site, en effet très bien fait, revient à son auteur, Christian Caleca.

Bon travail.

lastarHack

Oui biensur le mérite revient à l'auteur… Quand je disait " ton site " c'été plutot : " ton lien " que je voulais dire..
Oui, effectivement pour un environement de test , et non de prod .
C'est pour effectué mes test d'intrusion.

Effectivement tu as raison pour les " rules " sur les interfaces à définir.

Mais je me rend compte que le gros soucis vient d'ailleur ...

j'ai tout autorisé pour voir depuis le LAN par exemple (les régles du wan sont resté par défaut..)
et rien n'y fait , pas d'internet !!!

J'ai remarqué qu'en "Nat-an" une des mes machines virtuel vers le host principal je n'ai pas accès au net !

Est ce normal ?
(j'ai désactivé tout les parfeu windoz .. )

J'ai un Lan derrière un routeur netgear (qui fait office de switch ) et le netgear derrière une BOX
et la box est en mode routeur !!

C'ete juste pour info , mais je ne pense pas que cela pourrait posé problème ??

ccnet

Rapidement :
Dans Interfaces->Wan, rubrique FTP Helper, puisque votre box est en routeur il faut décocher "Block private networks".
C'est une des raisons possibles.
Sinon testez méthodiquement sur une ip externe (194.2.0.20 par exemple) depuis la lan puis si positif sur un nom de machine (ex : www.voila.fr) pour vérifier le bon fonctionnement de la résolution dns. Activez les logs de Pfsense et regardez ce qui se passe.

mais je ne pense pas que cela pourrait posé problème

Difficile de faire confiance à ce genre de boitier comme switch. Normalement ils fonctionnent …

lastarHack

Merci
j'ai fait comme vous m'avez dit :

-décocher "Block private networks" => pareil
-ping depuis le lan virtuel vers une adresse externe = non OK

Voici ma config en détail : je suis à court d'idée …

pfsense sous vmware:

vmware interface NAT(vmnet8)    ->  le0 = 192.168.44.132 (dhcp)
vmware interface vmnet2 ->  le1 = 192.168.5.1  (Lan)
vmware interface vmnet3 ->  le2 = 192.168.6.1  (Lan2)
vmware interface vmnet4 ->  le3 = 192.168.10.1  (DMZ)

WAN :

• general configuration : dhcp
• tout par défaut
• FTP Helper : rien de coché

LAN
ip configuration : 192.168.5.1/24
bridge with : none

LAN2
"enable option1 interface "
general configuration : static
ip configuration : 192.168.6.1/24
bridge with : none

DMZ
(static)

Firewall
->Rules
Aucun rules définit
Sans résultat

-> avec Rules
Aucune communication entre les 2 sous réseaux
J'ai tout autorisé Lan -> Lan2
Lan2 -> Lan
Sans résultat

Services
-> DHCP server
  –>Lan: enable dhcp on LAN interface
  range : 192.168.5.10  192.168.5.20

-->Lan2: enable dhcp on LAN2 interface
  range : 192.168.6.0  192.168.6.20

-->DMZ: static

Les clients vmware ont les bonnes interfaces selectionnés, client 1 interface Lan1 , client 2 interface Lan 2

j'ai mis la BOX en mode modem ..
Merci par avance

ccnet

En utilisant l'interface d'admin de Pfsense, faire un ping depuis l'interface Wan vers votre box, puis vers l'extérieur en utilisant là encore une ip, puis un nom.
Si besoin activer la capture de paquet en utilisant la console Pfsense pour examiner le trafic. Tester aussi qu'un pc situé dans chacun des sous réseaux est capable de poinguer au moins l'interface Pfsense à laquelle il est connecté.
Beaucoup d'utilisateurs génèrent des complications qui les dépassent en utilisant Vmware. Combien d'interfaces physiques avez vous sur la machine Vmware ?

lastarHack

comme je vous avez indiqué :
je dispose de 4 interface sur la vm qui herberge pfsense

1 nat -> WAN
1 vmnet2 ->lan
1 vmnet3 ->lan2
1vmnet4 -> dmz

les pings vers le wan ne répondent pas
les pings vers les interfaces connecté répondent
Je vais essayé la capture

ccnet

les pings vers le wan ne répondent pas

Et vers la box ? Il faut régler ce problème.

lastarHack

juste pour rappel , avant d'arriver à la box, ya un routeur netgear
le ping depuis le lan virtuel vers la box ne répond pas..

Je pense que c'est parce que ma machine virtuel est naté sur mon host principal

j'ai l'impression que le pb vient de vmware….

je vous tient informé !