Migration ipcop vers pfsense

ccnet

Des tests méthodiques s'imposent. J'ai installé assez de Pfsense pour dire avec une quasi certitude que vos paramétrages sont très probablment en cause. Pfsense fonctionne bien.

et un WAN (xx.xx.xx.0/24)

Public, privée ? Quelle connectivité vers internet ?

someferdi

Bonjour,
l'adresse IP wan est publique 41.216.xx.129/29 avec comme passerelle 41.216.xx.254/24, mes DNS sont 41.216.146.83 et 41.216.146.82.
Vous allez m'excuser de vous parler de ipcop mais j'ai cette configuration sur ipcop qui marche. J'ai crée deux virtual IP de type IP
Ma configuration PFSENSE est la suivante voir image:

Merci pour l'aide

Aliases.png_thumb
Nat:1:1.png
Nat:1:1.png_thumb

Outbound.png_thumb

FirewallRuleLan.png_thumb

FirewallRuleWan.png_thumb

FirewallRuleDmz.png_thumb

jdh

Commençons pas les images fournies :

pour les alias, je "norme" les nom d'alias en commençant par "lan", "port", "srv", cela facilite la sélection à la saisie.
pour le mail, non, il ne faut pas ouvrir pop(s), imap(s), non il ne faut pas ! un webmail pourquoi pas, mais pas pop/imap !
le NAT 1:1 n'a d'intérêt que si on héberge 2 fois le même protocole, on peut LARGEMENT se contenter de port forward !
pour le Outbond NAT, je laisse souvent en automatic, cela est souvent suffisant et c'est très bien avec du port forward.
rule LAN : pourquoi permettre à toute le monde de requêter du dns : seul le serveur dns y a le droit, et encore il peut passer par pfSense,
quel est l'objectif de pouvoir pinger la WAN address ? pour moi, c'est 0 intérêt,
pourquoi permettre à tout le monde de faire du http ? Il n'y a pas de proxy ?
rule WAN : c'est bien de permettre le ping de l'adresse WAN mais inutile de loguer !
la 2ième règle n'a pas de sens.
rule DMZ : les règles 1 et 2 sont incohérentes et à revoir vers du port forward
la règle 3 est inutile
la règle 4 est inacceptable car totalement insecure

Passons au texte :

l'adresse IP wan est publique 41.216.xx.129/29 avec comme passerelle 41.216.xx.254/24

Cela pose un problème !
41.216.xx.129/29 indique que, nativement, la machine peut voir de 41.216.xx.129 à .134 (il faut exclure .128 et .135 !).
Donc ne peut pas causer avec .254 (sans masque, please).

mes DNS sont 41.216.146.83 et 41.216.146.82

Ah bon vous hébergez vous même votre dns ?
De grâce, laisser cela à un pro !
En plus, je peux imaginer qu'héberger (sérieusement) un dns nécessite 2 ranges d'ip publiques distinctes !
Ca, c'est NON !

Je pense qu'il y a à revoir sérieusement, reposer et penser simplement (KISS = Keep It Simple and Stupid)

someferdi

bonsoir,
Il ya une erreur dans mon écrit précédent l'adresse IP côté wan est 41.216.xx.129/24 et non en /29

J'ai normé les noms d'alias
J'ai ouvert les ports pour le mail car le serveur de mail doit être accessible en interne comme de l'exterieur
j'ai remplacé le NAT 1:1 par du Port Forward
Les machines situées sur le LAN doivent acceder à Internet
Les DNS mentionnés sont ceux que j'ai renseigné dans l'onglet "General setup" dans les case DNS server 41.216.146.83 et 41.216.146.82

J'ai corrigé les règles également
Merci

Aliases.png_thumb

FirewallRulesLan.png_thumb

FirewallRuleWan.png_thumb

PortForward.png_thumb

VirtualIP.png_thumb

jdh

Il ya une erreur dans mon écrit précédent l'adresse IP côté wan est 41.216.xx.129/24 et non en /29

Votre FAI vous a fourni 254 (256) adresses ip publiques ???? Quel gâchis incroyable ! M'étonne pas qu'il y en a plus !

Les DNS mentionnés sont ceux que j'ai renseigné dans l'onglet "General setup" dans les case DNS server 41.216.146.83 et 41.216.146.82

Oui et alors ? Ces adresses ip (allouées) correspondent-elle à un serveur dns ?
Je ne connais personne directement qui, pour le compte de son entreprise de 10 à 7500 personnes, hébergent elle-même le dns du domaine de l'entreprise.
Soit c'est le fai qui l'héberge pour nous avec la possibilité d'ajouter sous 24h le moindre record qui nous serait nécessaire.
Soit c'est un hébergeur "classique" genre Gandi, 1et1, Ovh, Amen, … pour les petites entreprises, et avec une gestion web tradi.

Je ne sais si cela fonctionne ou pas, mieux ou pas ...

someferdi

Oui le masque du sous reseau côté paraît du gachis mais rassurez vous car le FAI prétend qu'il ya une configuration spéciale de son côté pour limiter le nombre d'adresses IP. La preuve est que je n'ai droit qu'à quatre (4) adresses IP à savoir la 129, 130, 131 et la 132.

someferdi

Bonjour,
J'arrive à acceder à internet à présent à partir de mon LAN, mais je n'ai pas accès à mon serveur web et de messagerie situés en DMZ.
L'adresse IP serveur web: 10.10.3.5 (virtual IP: 41.216.147.132)
Adresse IP serveur mail: 10.10.3.4 (virtual IP: 41.216.147.130)
Quelles règles me faut-il pour accéder à ces serveurs situés en DMZ?
Merci

jdh

Pourquoi ne pas faire simple ?

On peut très bien, ici, ne pas utiliser d'ip virtuelles : on ne doit utiliser des ip virtuelles que si on a 2 serveurs différents offrant le MEME service (et encore).

l'adresse wan externe et pas de virtual ip (de quel type ?),
juste une règle NAT de type portforwarding et le NAT outbound automatic standard

someferdi

J'utilise des IP virtuel de type IP car dans la configuration de mon ancien firewall ipcop j'ai defini des alias avec ces adresses virtuelles. J'ai réutilisé ces adresses pour garder la cohérence avec ipcop.
Ci-joint une architecture réseau

architecture.png_thumb

someferdi

bonsoir,
Je sais que vous m'avez une fois dit qu'il etait inutile d'avoir un serveur DNS en DMZ. Mais je voudrais le garder en DMZ car pour mes sous domaines je les gère moi-même. J'ai le domaine mon_domaine.bf qui est declaré chez mon registrar avec des adresses IP pour le serveur secondaire et primaire. Mon registrar ne gère que mon_domaine.bf; les sous domaine test1.mon_domaine.bf, test2.mon_domaine.bf sont declarés sur mon serveur DNS à moi.

Actuellement je peux atteindre mon serveur DNS que par son adresse IP 10.10.3.4, la résolution de nom ne marche pas
Question: quelle règle me permettra d'atteindre mon serveur DNS en DMZ aussi bien à partir du LAN que du WAN?

Merci

jdh

Assez peu clair !

Il est assez normal et logique de faire du split-domaine :

sur Internet, l'adresse ip d'un serveur ftp en dmz sera l'adresse publique du firewall (le port forward faisant le reste),
en interne, le même nom sera résolu avec l'ip privée dudit serveur en dmz.

Comme cela ne va concerner que quelques machines et quelques noms, cela peut être fait par pfSense lui-même.
Inutile de créer un bind pour cela !

Mais il suffit de s'organiser pour avoir une logique simple de serveur dns interne : je fais cela souvent avec le dns du DC windows du lan qui est server dhcp et dns local, …

someferdi

bonjour,
j'ai resolu mon problème de resolution DNS en utilisant le split-domaine; à partir du LAN la résolution DNS fonctionne, il me reste à vérifier si de l'extérieur (Internet) mes serveurs sont accessibles.
Pour autoriser la résolution DNS à partir de l'exterieur doive je faire du forward sur le port 53?
Merci

jdh

Certainement pas ! (Et c'est assez évident : que va-t-on faire d'une ip privée ???)

Je ne crois pas que vous ayez bien compris ce qu'est le "split-domain" : relisez Christian CALECA ou cherchez un peu sur Internet (dns split domain)