Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Soucis de redirection vers dmz

    Scheduled Pinned Locked Moved Français
    7 Posts 2 Posters 4.4k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • TataveT
      Tatave
      last edited by

      Bonjour je débute avec pfsense et je rame je dois bien le dire par mon incompréhension de la logique de pfsense pour les règles de routage wan vers dmz lan vers dmz

      La situation :

      Je suis passé de mon vieux ipcop qui a rendu l'ame et j'ai voulu passer a fpsense sauf que c'est pour moi plus complexe que je n'aurais cru :(
      J'ai déjà bien fouiné dans les différents sites et forum qui traite du sujet mais je n arrive pas à faire mettre en place les redirections vers ma dmz.
      tuto suivi http://entraide.ixus.net/viewtopic.php?f=5&t=182 de jdh
      encore désolé si je m'attire les foudres de certain(e)s, je cherche juste à comprendre la logique pour les redirections vers une dmz. j'ai fait un résumé ci après (les machines, l'adressage,ce qui fonctionnne, ce qui ne fonctionne pas, …) pour le schéma c'est un classic router wan,lan,wifi,dmz

      Les Matériels:
      Une box
      peu importe le fai, la box est paramétrée de sorte que la patte wan de pfsense soit mise en dmz sur la box et sont pare-feux est coupé
      Un Pfsense (wan/lan/dmz/wifi) version 2.0.1-release (amd64)
      ◦ wan => carte réseau intégrée à la carte mère en liaison direct sur une box.
      ◦ Lan => carte pci réseau gigabit, client ip-fixe et ip-dynamique.
      ◦ Dmz (opt1) => carte pci réseau gigabit.
      ◦ Wifi (opt2) => clé usb wifi les clients avec portail captif authentification radius dans dmz
      Deux serveurs web dans la zone dmz en failover : le serveur « web1 » le maître , le serveur « web2 » l'esclave
      ◦ Les services sur les deux serveurs web : site web externe, site web intranet, dns local, base de donnée mysql, base de donnée postgresql, annuaire openldap, authentification freeradius, accès ftp via wan, accès samba via lan, accès ssh pour l'administration, fail-over (drbd + openais).
      Deux serveurs de données dans la zone lan en failover: le serveur « data 1 » le maître, le serveur « data 2 » l'esclave
      ◦ Les services sur les deux serveur data : partage de fichiers avec samba, accès ssh pour administration.
      Un serveur home-cinéma
      ◦ xbmc interfaces écran pour diffusion sur un écran ou barco.
      ◦ xbmc interface web pour vod sur le réseau local.
      Les Clients :
      ◦ Windows x version, Linux, Apple …

      Les règlages de PFSENSE

      Plan d'adressage :
      ◦ Pfsense Wan => 192,168,1,20 / 24
      ◦ Pfsense Dmz => 192,168,2,20 / 24
      ◦ Pfsense Lan => 192,168,3,20 / 24
      ◦ Pfsense Wifi => 192,168,4,20 / 24
      ◦ Web1 192,168,2,13 ip réel /// Web2 192,168,2,14 ip réel /// 192,168,2,15 ip virtuelle
      ◦ Data1 192,168,3,13 ip réel /// Data2 192,168,3,14 ip réel /// 192,168,3,15 ip virtuelle
      ◦ Media 192,168,3,16
      ◦ Client dhcp sur lan : rang début 192,168,3,50 /// rang fin 192,168,3,250
      ◦ Client dhcp sur wifi : rang début 192,168,4,50 /// rang fin 192,168,4,250

      Alias dans pfsense :
      pour les machines
      ◦ (web1) (web2) (web = web + web2 = ip virtuel commune)
      ◦ (data1) (data2) (data = data1 + data2 = ip virtuel commune)
      pour les ports
      ◦ (dmzweb1http) (dmzweb1https) (dmzweb1ftp) (dmzweb1pop) (dmzweb1smtp) (dmzweb1imap) (dmzweb1mysql) (dmzweb1pgsql) (dmzweb1ldap) (dmzweb1radius) (dmzweb1smb) (dmzweb1dns)
      ◦ (dmzweb2http) (dmzweb2https) (dmzweb2ftp) (dmzweb2pop) (dmzweb2smtp) (dmzweb2imap) (dmzweb2mysql) (dmzweb2pgsql) (dmzweb2ldap) (dmzweb2radius) (dmzweb2smb) (dmzweb2dns)
      ◦ (dmzwebhttp) (dmzwebhttps) (dmzwebftp) (dmzwebpop) (dmzwebsmtp) (dmzwebimap) (dmzwebmysql) (dmzwebpgsql) (dmzwebldap) (dmzwebradius) (dmzwebsmb) (dmzwebdns)

      Les règlages Nat:
      Forward
      ◦ Wan / tcp / * / * wan addr / (http) / (web) / (dmzwebhttp)
      1:1
      ◦ rien mis
      outbond
      ◦ wan / 192.168.3.0/24 / * / * / * / * / * / no
      ◦ wan / 192.168.2.0/24 / * / * / * / * / * / no
      ◦ wan / 192.168.4.0/24 / * / * / * / * / * / no

      Les règlages rules:
      Floading
      ◦ rien mis
      Wan
      ◦ rfc 1918
      ◦ reserved
      Lan
      ◦ proto / Source * / Prot * / dest Lan address / port 22 + 80 / Gateway * / queue /
      ◦ proto / Source Lan net / Prot * / dest * / port * / Gateway * / none /
      Dmz
      ◦ proto*/ Source Dmz net / Prot* / Dest !Lan net / port * / Gateway* / queue* /
      Wifi
      ◦ proto*/ Source Wifi net / Prot* / Dest !Lan net / port * / Gateway* / queue* /

      b]Les règlages portail captif:
      réglage désactivé pas d'urgence pour l'insant

      Résumé

      Ce qui fonctionne :
      Si mes machines sont dans le zone lan :
      ◦ Web, le failover bascule bien d'un serveur à l'autre.
      ◦ Data, le failover bascule bien d'un serveur à l'autre.
      ◦ Xbmc, l'accès aux données qui sont sur cluster Data et la diffusion.
      ◦ Les clients lan obtiennent bien l'adresse dynamiquement fournie par Pfsense.
      ◦ Les clients wifi arrivent à atteindre le portail captif.
      Si je mets un port forward vers les serveurs web dans la zone lan cela passe

      Ce qui ne fonctionne pas :
      Accès à la zone Dmz rien ne passe.
      ◦ via la zone lan.
      ◦ via la zone wan.
      ◦ Via la zone wifi.
      L'authentification des clients wifi au service radius car pas d'accès à la zone dmz.
      En faite tout découle pas l'accès à la zone dmz.

      Ce que je ne comprends pas ou que je n'arrive pas à faire :
      Faire les règles de routage
      ◦ Wan vers Dmz
      ◦ Lan vers Dmz
      ◦ Wifi vers Wan si authentification.
      ◦ Wifi vers Dmz si authentification.
      ◦ Wifi vers Lan si authentification.

      Régler Wifi et l'authentification freeradius avec l'annuaire openldap couplé à une base de données,cela ne urgent pas pour l'instant tout d'abord il faut que je comprenne et assimile .

      aider, bien sûre que oui
      assister, évidement non !!!

      donner à manger à un homme, ne lui permettra que de survivre qu'un temps.
      apprendre à un homme comment cuisiner, il sera vivre.

      1 Reply Last reply Reply Quote 0
      • TataveT
        Tatave
        last edited by

        Re Bonjour,

        petits rajouts concernant les os et leurs versions :

        • Pfsense 2.0.1-release amd64 pour le routeur.
        • debian 6 squeeze pour les serveur web et data.
        • mint 13 RC avec xbmc pour le home-cinéma.

        Cordialement

        aider, bien sûre que oui
        assister, évidement non !!!

        donner à manger à un homme, ne lui permettra que de survivre qu'un temps.
        apprendre à un homme comment cuisiner, il sera vivre.

        1 Reply Last reply Reply Quote 0
        • J
          jdh
          last edited by

          Il y a lieu de faire fonctionner un schéma SANS failover !
          Faire du cluster de machine est indépendant de la config du firewall : ne jamais faire 2 choses en même temps !

          Ce qui fonctionne :
          Si je mets un port forward vers les serveurs web dans la zone lan cela passe

          Pourquoi un port forward ? Il n'y a AUCUN port forward à faire : juste la règle de trafic depuis LAN vers le serveur en DMZ !

          Ce qui ne fonctionne pas :
          Accès à la zone Dmz rien ne passe.
          ◦   via la zone lan.
          ◦   via la zone wan.
          ◦   Via la zone wifi.

          Evidemment, il y a des règles à créer pour cela : depuis une interface : ne PAS oublier que pfSense conçoit les rules pr onglé désignant l'interface d'arrivée dans pfSense. Dans le cas, il doit y avoir 2 rules dans chaque interface (LAN, WIFI). Concernant WAN, il y a forcément un NAT / Port Forward puisque le trafic s'établit avec l'ip de la box soit l'ip WAN (du fait de la config 'dmz' de la box). Cette règle NAT / Port forward créé une règle (synchronisée) dans Rules / onglet WAN). (J'explique cela dans le dernier post du tuto !)

          L'authentification des clients wifi au service radius car pas d'accès à la zone dmz.

          L'authentification est un flux firewall -> serveur Radius mais pas PC -> serveur Radius.
          Une démarche pas idiote serait de commencer par une authentification sur base d'utilisateurs locale puis, quand ça fonctionne, de passer à un serveur externe Radius. Non ?

          Le fond est d'assimiler le fonctionnement de pfSense (qui n'est pas celui d'ipcop) et de ne PAS faire 2 choses en même temps !

          Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

          1 Reply Last reply Reply Quote 0
          • TataveT
            Tatave
            last edited by

            Re bonjour,

            Merci beaucoup pour cette réponse plus rapide de votre part jdh.

            Effectivement chaque chose en son temps comme vous le dites si bien.

            Pour mon soucis de pfsense j'ai réussie finalement à accéder à ma dmz et à mes serveurs web (cela était le but principal) pour l'accès depuis l'extérieur j'ai du raté un truc je prend point par point pour verifier où je me suis mélangé les pinceaux.

            je vous ferais un retour des que possible

            aider, bien sûre que oui
            assister, évidement non !!!

            donner à manger à un homme, ne lui permettra que de survivre qu'un temps.
            apprendre à un homme comment cuisiner, il sera vivre.

            1 Reply Last reply Reply Quote 0
            • TataveT
              Tatave
              last edited by

              re de re ….

              bon pour faire simple

              • accès lan ==> dmz sur serveur web ok
              • accès wan ==> dmz sur serveur web ko

              • alias
                web ==> serveur web
                dmzweb ==> port (http, https)

              • dns dynamique

              • le nat
                if wan / proto = tcp / src.addr = * / src.port = * / dest.addr = web / dest.ports = dmzweb / nat ip = web / nat ports = dmzweb

              • les rules
                wan ==> id / proto = tcp / sources = * / port = * / destination = web / port = dmzweb / gateway = * / queue = none / schedule = /

              lan ==> id / proto = * / sources = lan net / port = * / destination = * / port = * / gateway = * / queue = none / schedule = /
              lan ==> id / proto = * / sources = lan net / port = * / destination = dmz net / port = * / gateway = * / queue = none / schedule = /

              wifi ==> id / proto = * / sources = wifi net / port = * / destination = * / port = * / gateway = * / queue = none / schedule = /
              wifi ==> id / proto = tcp / sources = * / port = * / destination = web / port = dmzweb / gateway = * / queue = none / schedule = /

              dmz ==> id / proto = * / sources = dmz net / port = * / destination = !lan net / port = * / gateway = * / queue = none / schedule = /
              dmz ==> id / proto = * / sources = dmz net / port = * / destination = * / port = * / gateway = * / queue = none / schedule = /
              dmz ==> id / proto = tpc / sources = dmz net / port = dmzweb / destination = web / port = dmzweb / gateway = * / queue = none / schedule = /

              *quand je lance mon navigateur bien aimé donc depuis mon lan ou wifi
              accès à ma box pour paramétrage ==> ok
              accès à mon cluster web ==> ok

              *quand je lance mon navigateur bien aimé donc depuis mon lan via mon dns dynamique
              accès à ma box pour paramétrage ==> ko normal
              accès à mon cluster web ==> ko ca pas normal, je vois plus pourquoi, du moins je du rater quelques choses mais où ?

              *authentification raduis + annuaire
              sur ce point je vais attendre déjà d'avoir mis d'aplomb pfsense pour m'y atteler plus que cela.

              cordialement.

              aider, bien sûre que oui
              assister, évidement non !!!

              donner à manger à un homme, ne lui permettra que de survivre qu'un temps.
              apprendre à un homme comment cuisiner, il sera vivre.

              1 Reply Last reply Reply Quote 0
              • J
                jdh
                last edited by

                *quand je lance mon navigateur bien aimé donc depuis mon lan via mon dns dynamique
                accès à ma box pour paramétrage ==> ko normal
                accès à mon cluster web ==> ko ca pas normal, je vois plus pourquoi, du moins je du rater quelques choses mais où ?

                Voilà ce qu'il faut faire différemment !

                Depuis l'extérieur, on ne peut accéder au serveur web que via l'ip publique ou le nom dynamique. Forcément !
                Mais, en interne, on accède au serveur web par l'adresse ip interne. C'est plus simple et plus logique !

                Donc, il suffit localement de faire en sorte que le nom dynamique soit bien traduit en interne par l'ip interne !
                2 possibilités :

                • mettre à jour son fichier hosts (c:\windows\system32\drivers\etc\hosts.)
                • créer une entrée dns dans le serveur dns interne (ce peut être pfSense)

                On voit que ce n'est pas une problématique pfSense mais organisationnelle sur le dns !

                Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

                1 Reply Last reply Reply Quote 0
                • TataveT
                  Tatave
                  last edited by

                  Effectivement,

                  suite de mes tests de connexion depuis un portable

                  • en 3g+, je reste stopé au niveau de la box
                  • en filaire entre la box et le router pas de ping sur le serveur web.

                  bon je vais creuser du coté dns, merci encore

                  cordialement.

                  aider, bien sûre que oui
                  assister, évidement non !!!

                  donner à manger à un homme, ne lui permettra que de survivre qu'un temps.
                  apprendre à un homme comment cuisiner, il sera vivre.

                  1 Reply Last reply Reply Quote 0
                  • First post
                    Last post
                  Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.