Migration ipcop vers pfsense
-
bonsoir,
Il ya une erreur dans mon écrit précédent l'adresse IP côté wan est 41.216.xx.129/24 et non en /29- J'ai normé les noms d'alias
- J'ai ouvert les ports pour le mail car le serveur de mail doit être accessible en interne comme de l'exterieur
- j'ai remplacé le NAT 1:1 par du Port Forward
- Les machines situées sur le LAN doivent acceder à Internet
- Les DNS mentionnés sont ceux que j'ai renseigné dans l'onglet "General setup" dans les case DNS server 41.216.146.83 et 41.216.146.82
J'ai corrigé les règles également
Merci
-
Il ya une erreur dans mon écrit précédent l'adresse IP côté wan est 41.216.xx.129/24 et non en /29
Votre FAI vous a fourni 254 (256) adresses ip publiques ???? Quel gâchis incroyable ! M'étonne pas qu'il y en a plus !
Les DNS mentionnés sont ceux que j'ai renseigné dans l'onglet "General setup" dans les case DNS server 41.216.146.83 et 41.216.146.82
Oui et alors ? Ces adresses ip (allouées) correspondent-elle à un serveur dns ?
Je ne connais personne directement qui, pour le compte de son entreprise de 10 à 7500 personnes, hébergent elle-même le dns du domaine de l'entreprise.
Soit c'est le fai qui l'héberge pour nous avec la possibilité d'ajouter sous 24h le moindre record qui nous serait nécessaire.
Soit c'est un hébergeur "classique" genre Gandi, 1et1, Ovh, Amen, … pour les petites entreprises, et avec une gestion web tradi.Je ne sais si cela fonctionne ou pas, mieux ou pas ...
-
Oui le masque du sous reseau côté paraît du gachis mais rassurez vous car le FAI prétend qu'il ya une configuration spéciale de son côté pour limiter le nombre d'adresses IP. La preuve est que je n'ai droit qu'à quatre (4) adresses IP à savoir la 129, 130, 131 et la 132.
-
Bonjour,
J'arrive à acceder à internet à présent à partir de mon LAN, mais je n'ai pas accès à mon serveur web et de messagerie situés en DMZ.
L'adresse IP serveur web: 10.10.3.5 (virtual IP: 41.216.147.132)
Adresse IP serveur mail: 10.10.3.4 (virtual IP: 41.216.147.130)
Quelles règles me faut-il pour accéder à ces serveurs situés en DMZ?
Merci -
Pourquoi ne pas faire simple ?
On peut très bien, ici, ne pas utiliser d'ip virtuelles : on ne doit utiliser des ip virtuelles que si on a 2 serveurs différents offrant le MEME service (et encore).
- l'adresse wan externe et pas de virtual ip (de quel type ?),
- juste une règle NAT de type portforwarding et le NAT outbound automatic standard
-
J'utilise des IP virtuel de type IP car dans la configuration de mon ancien firewall ipcop j'ai defini des alias avec ces adresses virtuelles. J'ai réutilisé ces adresses pour garder la cohérence avec ipcop.
Ci-joint une architecture réseau
-
bonsoir,
Je sais que vous m'avez une fois dit qu'il etait inutile d'avoir un serveur DNS en DMZ. Mais je voudrais le garder en DMZ car pour mes sous domaines je les gère moi-même. J'ai le domaine mon_domaine.bf qui est declaré chez mon registrar avec des adresses IP pour le serveur secondaire et primaire. Mon registrar ne gère que mon_domaine.bf; les sous domaine test1.mon_domaine.bf, test2.mon_domaine.bf sont declarés sur mon serveur DNS à moi.Actuellement je peux atteindre mon serveur DNS que par son adresse IP 10.10.3.4, la résolution de nom ne marche pas
Question: quelle règle me permettra d'atteindre mon serveur DNS en DMZ aussi bien à partir du LAN que du WAN?Merci
-
Assez peu clair !
Il est assez normal et logique de faire du split-domaine :
- sur Internet, l'adresse ip d'un serveur ftp en dmz sera l'adresse publique du firewall (le port forward faisant le reste),
- en interne, le même nom sera résolu avec l'ip privée dudit serveur en dmz.
Comme cela ne va concerner que quelques machines et quelques noms, cela peut être fait par pfSense lui-même.
Inutile de créer un bind pour cela !Mais il suffit de s'organiser pour avoir une logique simple de serveur dns interne : je fais cela souvent avec le dns du DC windows du lan qui est server dhcp et dns local, …
-
bonjour,
j'ai resolu mon problème de resolution DNS en utilisant le split-domaine; à partir du LAN la résolution DNS fonctionne, il me reste à vérifier si de l'extérieur (Internet) mes serveurs sont accessibles.
Pour autoriser la résolution DNS à partir de l'exterieur doive je faire du forward sur le port 53?
Merci -
Certainement pas ! (Et c'est assez évident : que va-t-on faire d'une ip privée ???)
Je ne crois pas que vous ayez bien compris ce qu'est le "split-domain" : relisez Christian CALECA ou cherchez un peu sur Internet (dns split domain)