Problème accès serveurs LAN (passerelle différente de PFSense) via OPT1 Wifi
-
Bonjour,
Je vous soumets mon problème que je rencontre suite à une nouvelle installation de PFSense (j'en ai déjà installé plusieurs mais c'est la 1ère fois que je le rencontre dans ce cas précis).
Configuration : PFSense 2.0.1 - 3 interfaces (WAN - LAN - OPT1 carte Wifi) - 2 passerelles car deux routeurs. Pour plus de précisions je vous joins le schéma réseau simplifié (en pièce jointe)Mon soucis est le suivant, pas de problème pour le WAN des 2 interfaces. Par contre je ne peux pas pinger ni évidemment accèder à mes serveurs sur le LAN via le Wifi OPT1, sauf un qui a comme passerelle le PFSense.
Exemple : une machine Wifi 192.2.1.89 - Passerelle 192.2.1.247 j'accède bien à mon serveur sur le LAN qui a comme passerelle 192.1.1.247 mais pas aux autres qui ont comme passerelle 192.1.1.248.
Evidemment je ne peux pas changer de passerelle sur mes serveurs car ils utilisent des services répartis entre le routeur Orange et PFSense.
Le problème vient bien de la passerelle car si je la change sur un serveur (le temps du test et que je passe en 192.1.1.247 ça fonctionne).Mon PFSense est paramétré en passall (mode passoire sans aucune règle de filtrage). Par contre sur un PC connecté à l'interface LAN aucun soucis, c'est juste concernant le routage entre le Wifi et le LAN.
Merci de votre aide.
 -
Bonjour,
Je vous soumets mon problème que je rencontre suite à une nouvelle installation de PFSense (j'en ai déjà installé plusieurs mais c'est la 1ère fois que je le rencontre dans ce cas précis).
Configuration : PFSense 2.0.1 - 3 interfaces (WAN - LAN - OPT1 carte Wifi) - 2 passerelles car deux routeurs. Pour plus de précisions je vous joins le schéma réseau simplifié (en pièce jointe)Mon soucis est le suivant, pas de problème pour le WAN des 2 interfaces. Par contre je ne peux pas pinger ni évidemment accèder à mes serveurs sur le LAN via le Wifi OPT1, sauf un qui a comme passerelle le PFSense.
Exemple : une machine Wifi 192.2.1.89 - Passerelle 192.2.1.247 j'accède bien à mon serveur sur le LAN qui a comme passerelle 192.1.1.247 mais pas aux autres qui ont comme passerelle 192.1.1.248.
Evidemment je ne peux pas changer de passerelle sur mes serveurs car ils utilisent des services répartis entre le routeur Orange et PFSense.
Le problème vient bien de la passerelle car si je la change sur un serveur (le temps du test et que je passe en 192.1.1.247 ça fonctionne).Ben oui, le problème vient des passerelles par défaut: faut bien que vos serveurs connaissent le chemin de retour des paquets…
Solutions:
-
Soit vous demandez à Orange d'ajouter une route sur leur routeur pour indiquer que le réseau du wireless est joignable via le pfSense (solution la plus simple mais la moins évolutive: vous n'avez pas la main sur routage de vos LAN's)
-
Soit vous ajoutez les routes nécessaires au pfSense indiquant les réseaux joignables par le routeur Orange et vous changez la passerelle de vos serveurs
-
Soit vous ajoutez un dispositif de couche 3 (routeur ou switch) en amont du pfSense et du routeur Orange et ce dispositif sera la passerelle par défaut de votre réseau (c'est presque la solution idéale)
-
Soit vous vérifiez avec Orange qu'ils supportent le protocole de routage dynamique RIP, vous ajoutez un dispositif de couche 3 (routeur ou switch) en amont du pfSense et du routeur Orange qui supporte le même protocole de routage. Ce dispositif sera la passerelle par défaut et sera au courant des différents réseaux via le protocole RIP. (C'est la solution idéale)
Dans tous les cas, je vous conseille de choisir d'avoir une seule passerelle par défatu dans votre réseau sinon, vous allez vous compliquer la vie…
@AldKiki:Mon PFSense est paramétré en passall (mode passoire sans aucune règle de filtrage). Par contre sur un PC connecté à l'interface LAN aucun soucis, c'est juste concernant le routage entre le Wifi et le LAN.
[…]Un firewall en mode passoire, conceptuellement intéressant… J'ose espérer que ça va changer. Sinon prenez un simple routeur ou un switch de couche 3...
-
-
Merci pour la réponse rapide (évidemment que le mode passoire est pour les tests, je ne voulais pas en plus m'embarasser des règles à gérer en plus de mon soucis et pour l'instant c'est surtout le BVPN d'Orange qui sert chez le client).
Je comprends bien la réponse pour la passerelle (d'ailleurs c'est bien le soucis évoqué) sauf que ce que je ne m'explique pas c'est pourquoi sur un PC connecté sur l'interface LAN directement je peux tout faire (ping, TSE, etc …) avec la passerelle en 1.248 sur les serveurs, et pourquoi lorsque je passe par le WIFI (OPT1) je n'accède qu'à ceux qui ont la passerelle 1.247 ???
Je me doute bien qu'il y a des routes automatiques entre le LAN et le WIFI, mais pourquoi cela fonctionne du LAN et pas du Wifi ??? -
Merci pour la réponse rapide (évidemment que le mode passoire est pour les tests, je ne voulais pas en plus m'embarasser des règles à gérer en plus de mon soucis et pour l'instant c'est surtout le BVPN d'Orange qui sert chez le client).
Je comprends bien la réponse pour la passerelle (d'ailleurs c'est bien le soucis évoqué) sauf que ce que je ne m'explique pas c'est pourquoi sur un PC connecté sur l'interface LAN directement je peux tout faire (ping, TSE, etc …) avec la passerelle en 1.248 sur les serveurs, et pourquoi lorsque je passe par le WIFI (OPT1) je n'accède qu'à ceux qui ont la passerelle 1.247 ???
Je me doute bien qu'il y a des routes automatiques entre le LAN et le WIFI, mais pourquoi cela fonctionne du LAN et pas du Wifi ???Si vos clients sont dans le même LAN, ils n'ont pas besoin de la passerelle par défaut. S'ils sont dnas un LAN différent et que ça fonctionne, c'est qu'une route est renseignée "quelque part"… L'adresse 192.168.1.248 dans votre schéma correspond à quoi?
-
Tous mes clients sont dans le même LAN sauf évidemment ceux connectés par OPT1 (soit le Wifi), c'est là que ça coince. La passerelle 1.248 correspond au routeur Orange BVPN (en fait j'ai deux routeurs sur le réseau, le business VPN Orange 1.248 et un ADSL Orange 1.247 qui est géré par PFSense, je n'ai pas le choix pour gérer différents services chez le client).
Pour résumé à partir du Wifi je ne ping ou n'accède (TSE etc …) qu'aux serveurs qui ont la passerelle en 1.247 sans rien faire car il y une route implicite entre OPT1 et le LAN mais dès que j'accède à un serveur avec la passerelle 1.248 rien ne fonctionne ! Alors que tout est dans le même LAN.Ah oui j'oubliais je pourrais mettre un point d'accès Wifi ce qui serait plus simple mais je veux utiliser OPT1 en Wifi car c'est une carte intégrée et je voudrais utiliser ensuite le portail captif pour faire un UTM tout en un sans ajouter de point d'accès.
-
Tous mes clients sont dans le même LAN sauf évidemment ceux connectés par OPT1 (soit le Wifi), c'est là que ça coince. La passerelle 1.248 correspond au routeur Orange BVPN (en fait j'ai deux routeurs sur le réseau, le business VPN Orange 1.248 et un ADSL Orange 1.247 qui est géré par PFSense, je n'ai pas le choix pour gérer différents services chez le client).
Pour résumé à partir du Wifi je ne ping ou n'accède (TSE etc …) qu'aux serveurs qui ont la passerelle en 1.247 sans rien faire car il y une route implicite entre OPT1 et le LAN mais dès que j'accède à un serveur avec la passerelle 1.248 rien ne fonctionne ! Alors que tout est dans le même LAN.
[…]Non! Tout n'est pas dans le même LAN:
-
vos clients sont en 192.2.1.X
-
vos serveurs sont en 192.1.1.X
Il y a peu de chance (voire aucune) que vous ayez du NAT entre votre interface OPT1 et l'interface LAN. Donc, pour accéder à vos serveurs, les clients qui sont en WiFi DOIVENT utiliser leur passerelle par défaut (le pfSense). Cette passerelle par défaut connaît le réseau 192.1.1.X et donc route les paquets vers l'interface LAN. Les paquets arrivent au serveur.
Pour répondre, le serveur DOIT utiliser sa passerelle par défaut vu que le client n'est pas dans son LAN! Quand cette passerelle est le pfSense, OK vu qu'il connaît le réseau 192.2.1.X. Par contre, le routeur Orange VPN machin (me souviens plus du nom) lui ne connaît pas le réseau 192.2.1.X et donc, ne sait pas vers où router les paquets!
Ca, c'est la base du réseau… Si vous ne maîtrisez pas ça, commencez par le faire et puis, mettez des firewalls/UTM...
Pour les solutions, je vous renvoie à mon premier post.
-
-
Merci pour vos réponses mais en fait juste pour votre indication je vous donne le lien de ma société www.groupe-scit.fr (où nous sommes spécialisés dans l'infra). Alors ne pas maîtriser le réseau ….. merci ça ira (surtout quand on demande ce qu'est Orange VPN machin chose ????). :-
Surtout que j'utilise l'excellent Definitive Guide PFSense où il est bien expliqué que le routage est bien automatiquement fait entre OPT1 et LAN d'ailleurs.J'ai trouvé ma réponse sur un forum Anglais et pour votre info ça fonctionne mais il faut faire du routage manuel car PFSense (même si c'est un UTM niveau 7) ne fait que des routes "implicites" entre ses interfaces, ce qui est normal (cherchez sur Google Multiple LAN Gateway), surtout que je ne suis pas le seul dans ce cas.
Un forum est fait pour aider et échanger, je ne pense pas avoir donné l'impression de ne pas savoir de quoi je parlais. Mais ce n'est pas grave merci quand même, je vais passer par un PA Wifi pour simplifier (car j'utilise un boitier Alix).
-
[…]J'ai trouvé ma réponse sur un forum Anglais et pour votre info ça fonctionne mais il faut faire du routage manuel car PFSense (même si c'est un UTM niveau 7) ne fait que des routes "implicites" entre ses interfaces, ce qui est normal (cherchez sur Google Multiple LAN Gateway), surtout que je ne suis pas le seul dans ce cas. […]
Solution 2 de mon premier post…
Concernant le routeur Orange machin chose, je ne demandais pas: j'avais juste la flemme de regarder le nom complet sur votre schéma.