[resolu]probleme firewall + plusieurs vlan sur interface "Wan" et "lan"
-
Donc premiere info :
Le fichier de construction des regles est : /etc/inc/filter.inc
faire une recherche avec vi…et trouver la ligne qui va bien (enfin celle que je cherche)...
une fois fait si je fait : pfctl -sr, je n'ai plus la regle qui m'interessait...meme avec le reboot...
1er resultat, C'est pas ca le probleme, toujours pareil, transfert de fichier impossible, et deco outlook regulierement...
-
QQun pourrait-il me dire :
Si j'ai plusieurs vlan sur un interface, dont ma route par default, qu'elle options dois-je mettre dans l'onglet system/Advanced fonctions…
Shared physiqual network
This will suppress arp message when interfacces share thsame physical network = oui / non==>j 'ai repondu oui (puisque vlan)use sticky connection = oui /non ==> oui (puisque load balancing)
disable reply-to on wan rules = oui /non (essaie oui et non...pas de changement visible)...
et enfin Disable Hardware checksum offloading...coché puis non coché, aucune difference...
Je sais il y a plein de tuto, je les lis et relis, mais des fois une bonne explication et mieux que tout...Alors merci d'avance a ceux qui voudrons bien repondre a ce post...
-
Cela provient bien de cette regle qui filtre "en sortie" de l'interface..
Pfsense ne filtre pas en sortie des interfaces.
Sinon avez vous jeté un oeil ici ?
http://forum.pfsense.org/index.php/topic,7001.0.html -
Merci j'ai visionné le post, effectivement, c'est interessant…je vais verifier quelques trucs...
Et en fouillant un peu plus j'ai trouvé un post en anglais...sur le meme probleme que moi :
http://forum.pfsense.org/index.php/topic,23356.0.html
Donc en gros :
Go to System \ Advanced
Check Bypass Firewall rules for traffic on the same interface
Le problème c'est que j'aurai bien voulu avoir des regles de firewall entre les reseaux sur les memes interfaces...
Puis j'essaierai de faire du routage aussi...afin d'avoir toutes mes routes par defaults qui passent par le meme vlan...on verra mercredi...
Merci ccnet pour votre reponse...je vais aussi fouiller le forum anglais...pfffff...shakespeare n'etait pas mon fort, mais quand faut y aller faut y aller....
-
J'ai trouve une solution de contournement :
1er interface physique du pfsense est relié : Routeur1==>pfsense vlandefault==>lan
2em interface physique du pfsense relié : Routeur1==>pfsense vlan autreson se retrouve donc avec 2 interfaces pfsense relié au routeur 1 (wan) mais dans des vlans differents…avec notament le vlan par default uniquement sur un interface et les autres vlan sur un autres...Comme ca tous mes vlans sont flitres en entré sur le pf, et le routage en sortie de la route par default passe par l'autre interface...
Je fait ca mercredi (long we)...
-
J'ai trouve une solution de contournement :
1er interface physique du pfsense est relié : Routeur1==>pfsense vlandefault==>lan
2em interface physique du pfsense relié : Routeur1==>pfsense vlan autreson se retrouve donc avec 2 interfaces pfsense relié au routeur 1 (wan) mais dans des vlans differents…avec notament le vlan par default uniquement sur un interface et les autres vlan sur un autres...Comme ca tous mes vlans sont flitres en entré sur le pf, et le routage en sortie de la route par default passe par l'autre interface...
Je fait ca mercredi (long we)...
-
Votre problème de communication est dû à un routage asymétrique et donc à un porblème d'architecture réseau.
la cause de vos déconnexions: L'aller ou le retour passe par pfsense et pas l'inverse, du coup le moteur statefull de pf détruit l'état de la connexion TCP car il est invalide.
Si vous gérez vos vlan dans pfsense, il n'y a aucune option particulière à cocher. Les VLAN doivent être assignés dans le menu Interfaces/Assign/Vlan et associés à une interface logique (par ex VLAN10). dans le menu Interfaces/Assign. Ensuite vos VLAN apparaissent dans le menu Firewall/Rules et vous pouvez filtrer.
Enfin, chaque VLAN doit avoir comme gateway l'IP de l'interface logique Pfsense dans ce vlan, le routage intervlan dans les switch doit impérativement être désactivé. -
Votre problème de communication est dû à un routage asymétrique et donc à un porblème d'architecture réseau.
la cause de vos déconnexions: L'aller ou le retour passe par pfsense et pas l'inverse, du coup le moteur statefull de pf détruit l'état de la connexion TCP car il est invalide.Gros doute…mais raison est donné a Juve...J'ai bien la confirmation que le routage intervlan fait son oeuvre...
Si vous gérez vos vlan dans pfsense, il n'y a aucune option particulière à cocher. Les VLAN doivent être assignés dans le menu Interfaces/Assign/Vlan et associés à une interface logique (par ex VLAN10). dans le menu Interfaces/Assign. Ensuite vos VLAN apparaissent dans le menu Firewall/Rules et vous pouvez filtrer.
Bon, la ca va…les conf sont donc bonnes...
Par contre !!!
@Juve:le routage intervlan dans les switch doit impérativement être désactivé.
Bon ben la j'ai effectivement laissé le routage intervaln par default, et j'ai comme l'impression que le bougre me fait une jolie farce…donc je vais de ce pas arreté le rouatge intervlan...J'avais bien un gros doute, mais je me disais avec un epu de chance, il n'a pas de conduite par default...ben si surement...alors merci a toi juve je vais de ce pas aller voir ce routage intervlan sur mon gros entarasys n7...et revient vous dire si cest ok...
-
;D
-
Bon ben voila…cela fonctionne...
J'ai essayer d'enlever le routage intervlan...alors en fait c'etait pire...avec l'intervlan j'arrivai a aller sur mes serveurs et sur google...sans l'intervlan, impossible (bon je sais l'archi est tres bizarre...mais ma logique n'est malheureusement propre qu'a moi...enfin bref...)...J'ai rajouter des routes en static sur les routeurs, mis des gateway sur les pfsenses pour les interfaces qui m'interessait...pour finalement en arriver a une conclusion des plus bete...enfin surtout une question...
Pourquoi ai je besoin du loadbalancing...puisque j'ai le carp avec failover...ce n'est pas pareil, certes mais l'important n'est il pas pour mes clients de ne jamais avoir de coupures...et le load balancing fait de la repartition de charges...en aije vraiment besoin avec des lien gigabits...???
La reponse fut non, j'ai donc enlever le load balancing, et miracle de l'informatique, cela fonctionne super mega bien...j'ai bien mon failover, mes clients pointe sur la passerelle du carp, comme ca il y a quand meme l'un des 2 qui travaille...je vais voir a la longue si un est vraiment plus surchargé que l'autre, mais d'apres ce que j'avais vu, il semblait tous les 2 tourner a 2% de charges !!! (oui bon mon patron aime bien ecraser une mouche avec un marteau...autrement dit, il m'a acheté 2 machines surdimenssionner pour ce qu'il y avait a faire...)...
Bref...en resumé :
Sur mes 2 pfsenses, j'ai mes vlans sur un interfaces, et LE vlan par default sur un autre...comme ca je peux filtrer tous mes vlan avant qu'il ne repartent sur le reseau...j'ai mon failover...j'ai mon carp qui regroupe bien mes 2 adresses...j'ai mes virtuals ip qui pointes vers mes serveurs dans mon lan,mon dhcp pour le reseau client exterieur qui delivre bien des ip sur le bon vlan...enfin bref...la vie est belle...
Merci a vous juve et ccnet pour vos conseils qui a chaque fois me donne la solution...
des que je pourrai je mettrai des copie ecran de mon taf, afin d'aider peut etre qqun...enfin des que je peux...