Dilemme Freebox & pfSense
-
Merci pour la réponse,
je suie dans un environnement domestico-domotiquo-geek pour tout dire…
J'utilise des vlans pour séparer les zones des équipements qu'il y a chez moi (serveurs, domotique, accès guest wlan et reverse proxy en DMZ).
Cela fonctionne maintenant... en fait j'avais désactiver pf pour ne pas avoir de filtrage, mais bien évidement le NAT est parti avec... en réactivant pf, c'est ok.
Par contre j'ai besoin d'un avis.
En configuration définitive, pour ne pas passer ma box en bridge (je le ferais si pas le choix mais invest de matos supplémentaire à prévoir), je compte :
Désactiver DHCP de la Freebox, et la mette en IP statique 192.168.0.254, fonction routeur activée.
La patte WAN 192.168.0.1 de pfsense étant raccordée au switch de la freebox.DHCP actif sur la patte WAN pour distribuer les adresses à mes clients du réseaux Wifi de la Freebox (GW 192.168.0.1).
Le traffic internet sera routé depuis pfsense en ajouant une route via la Freebox (pour les clients du réseaux Freebox).
La communication du réseau 192.168.0.0/32 sera assurée par le routage depuis pfsense (que cela soit vers Internet via 192.168.0.254 ou via les autres vlans).
la communication du réseaux 10.x.x.x.x sera elle assurée par le NAT pour les accès Internet (le reste passant par le routage de pfsense).
Je vais avoir une seconde patte DMZ 192.168.0.253 (configuré la DMZ dans la Freebox également) sur pfsense pour rediriger vers mon reverse proxy et autres ressources frontales web que je veux déployer sur Internet. (double NAT dans ce cas).
Je ne sais pas si c'est très clair. Je peux faire un schéma car j'ai vraiment besoin d'un avis sur l'architecture globale de la chose.
Si c'est trop moche et trop poussif, je me résignerai à faire du mode bridge (largement plus simple) mais qui impose l'achat d'équipements supplémentaires.
Merci
-
Vite fait parce que ça me saute à la figure !
La patte WAN 192.168.0.1 de pfsense étant raccordée au switch de la freebox.
et
Je vais avoir une seconde patte DMZ 192.168.0.253
Chaque interface de Pfsense doit être dans un réseau différent, sauf configuration très particulière.
-
Je ne sais pas si c'est très clair. Je peux faire un schéma car j'ai vraiment besoin d'un avis sur l'architecture globale de la chose.
Schéma !
-
La vue de la bête (l'adressage est différent des posts précédents car cela sera l'adressage définitif.
La patte DMZ recoit le traffic qui arrive sur l'IP publique qui es ensuite filtré par pfsense puis rebalancé vers le vlan dmz
Je n'ai pas mis le reste avec les serveurs / nas / autre pour que cela soit moins touffu…
-
Je vois "quelques fois" des schémas de réseaux. Pas compris grand chose à celui là. Si vous utilisiez le formalisme habituel ce serait plus simple. Je ne comprend pas grand chose à vrai dire.
La patte DMZ recoit le traffic qui arrive sur l'IP publique
C'est l'interface wan qui est prévue pour cela. Et ce n'est pas ce que je comprend du schéma.
-
Je vais faire un schéma traditionnel… celui la est vraiment pour moi pour visualiser les vlans dans les équipements et les configurer plus simplement.
Je m'y atèle :) bien que difficile à schématiser pour moi en schéma traditionnels.
Je récapitule au plus simple.
Pfsense 2 interfaces réseaux (vr0/em0)
vr0 Interface en IP Fixe 10.0.10.253 avec l'IP de la DMZ mise dans la Freebox, vr0 est branché sur la freebox.
la freebox en IP fixe 10.0.10.254 qui ne servira que de passerelle réseau
em0 Interface en mode DHCP serveur 10.0.10.1/24 branché également sur la freebox.
Ajout d'une route par défaut (0.0.0.0) dans pfsense pour router le traffic internet via la freebox 10.0.10.254
Interret :
-
Le traffic arrivant sur mon ip publique est translaté vers l'IP DMZ donc vers l'interface "DMZ" de pfsense 10.0.10.253 (pour le moment), si jamais le point de sortie doit être une machine dédiée il faudra certainement que je passe par un proxy ARP ou du NAT 1:1 ou autre je n'ai pas encore étudié la chose...
-
Les clients branchés sur le switch Freebox / clients wifi Freebox obtiennent une adresse par le DHPC de pfsense via l'interface em0.
exemple d'un client du réseau wifi freebox : ip obtenues 10.0.10.52, gw 10.0.10.1.
S'il cherche à aller sur internet, il transmet la demande à 10.0.10.1 qui regarde ses routes et transferts la demaine à 10.0.10.254 (Freebox) qui elle même fait son travail.
Est ce plus clair ?
-
-
vr0 Interface en IP Fixe 10.0.10.253 avec l'IP de la DMZ mise dans la Freebox, vr0 est branché sur la freebox.
la freebox en IP fixe 10.0.10.254 qui ne servira que de passerelle réseau
Ok
em0 Interface en mode DHCP serveur 10.0.10.1/24 branché également sur la freebox.
Non, vr0 et em0 doivent être dans des réseau ip différents.
Quand à la boucle avec la freebox, no comment !Ajout d'une route par défaut (0.0.0.0) dans pfsense pour router le traffic internet via la freebox 10.0.10.254
La passerelle demandée à la configuration de Wan suffit.
si jamais le point de sortie doit être une machine dédiée il faudra certainement que je passe par un proxy ARP ou du NAT 1:1 ou autre
Non un transfert de port suffit.
- Les clients branchés sur le switch Freebox / clients wifi Freebox obtiennent une adresse par le DHPC de pfsense via l'interface em0.
J'en doute.
-
Je sais que c'est sale… j'essaye juste de trouver une solution pour éviter de perdre les fonctions de la box en la passant en Bridge.
Je peux toujours mettre l'adresse DMZ dans un range différent, en espérant que la Freebox arrivera à la joindre...
Genre Freebox IP : 10.0.10.254 et DMZ positionnée sur 10.0.50.1 avec vr0 configuré en static 10.0.50.1 ?
Comment feriez vous, sans mode bridge, pour rajouter des sous réseaux derrière une freebox sur laquelle on ne peut pas ajouter de routes ? et faire pointer la DMZ Freebox vers un sous réseau nouvellement crée ?
(j'avais une autre solution en stock qui était de faire DHPC via pfsense, mais donner la gateway 10.0.10.254 (freebox) et envoyer une route statique via les options avancées du DHCP pour les réseaux de l'autre coté de fpsense... mais je ne sais pas si c'est moins crade et surtout géré par tous les clients dhcp).
-
Bon, je pense que je vais me résigner à investir une borne AP 802.1n (si vous avez des recommandations) afin de mettre la box en bridge et faire quelque chose de moins crade bidouillé…
Au moins je serais indépendant de la box ADSL le jour je changerai...
Mon installation était prévue comme ça mais l'AP que j'ai acheté n'étant pas dual band, les performances se cassaient la figure dès que j'avais un client G qui s'y connectait.
Il faut juste que je fasse gaffe dans mon installation à ce que pfsense ne fasse pas trop de routage volumineux (ex mettre le NAS gigabit dans le même segement réseau que les clients) car mon pf est basé sur un trasnmetta 800Mhz et je doute qu'il puisse router au dela de 50 mb/s.
-
Bonjour,
En ce moment je regarde un peu tous les posts concernant la V6 en mode bridge (suis un particulier en V4 bridge+pf-sense)… et je suis tombé sur le votre.
Si ça pouvait vous aider, ici ==> http://blogabug.com/freebox-mode-bridge-et-multiposte-tnt-web-upnp-av.html, il y a des gens qui semblent avoir creusé beaucoup le problème du mode bridge. Tenez nous au courant de la solution finale adoptée.
Cordialement -
Bon après une grande pause et d'autres choses faites, je ressors tout mon matos et mes idées de départ… (tenace je suis). J'ai fait à peut prêt le tour des idées sur la freebox sans bridge et le routing derrière, même en ipv6 ce n'est pas faisable (hors proxy ndp qui est en gros un proxy arp pour ipv6).
Du coup, j'ai fait un schéma, et je cherche à savoir si d'un point de vue routage cela peut fonctionner.
pfSense fera office de DHCP / DNS (et plus) pour l'ensemble des réseaux. La freebox sera en ip fixe DHCP désactivé et DNS positionné sur l'interface du LAN de pfsense.
Bien sur je dois activer le NAT sur pfsense afin que tout réseau hors réseau LAN puisse sortir sur Internet (toujours le soucis de la freebox qui ne connais pas la route vers mes différents réseaux).
Pour la DMZ je redirige le traffic entrant vers la ressource DMZ en NAT également.
Vos commentaires sont les bienvenues (oui j'ai du mal à me résigner à faire du bridge)…
Merci :)
-
Bridge ou pas bridge je ne vois pas l'objet de telles complications.
(toujours le soucis de la freebox qui ne connais pas la route vers mes différents réseaux).
Mauvaise compréhension du routage. Règle de base : le routeur ne connait que le saut suivant et ignore tout le reste c'est d'ailleurs pour cela que ça fonctionne. Votre pc ignore tout des réseaux qui se trouve au delà de votre freebox et pour autant vous pouvez joindre n'importe quel site. La nat n'a rien à y voir.
Sinon votre schéma est idéal pour ne pas protéger Lan.
-
Il fallait lire : pas possible de positionner une route statique dans la freebox qui permettrait de passer les paquets à l'autre routeur. (Ex : 10.0.10.0/27 via 10.0.11.2). Je peux partiellement lever cette contrainte en délocalisant la default gateway sur pfsense (que je maitrise). Par contre pour le trafic disons de 10.0.10.0/27 vers 8.8.8.8 : 10.0.10.11 ->10.0.10.1 pfsense -> default gateway -> 10.0.11.1 -> internet ça passe mais le retour non car la freebox 10.0.11.1 ne sait pas ou router le réseau 10.0.10.0 (d'où le nat dans ce sens pour que l'entente du paquet sortant vers internet semble provenir de l'interface 10.0.11.2 qui est atteignable par la freebox.
Le lan ne passe pas par le firewall en sortie internet tout simplement car j'ai confiance en ce réseau et que je veux éviter de saturer pfsense (pour le moment).
Si toute fois il y a un autre risque sécuritaire il a du m'échapper !
Je me compliqe peut être mais je tiens à segmenter pas mal de choses, plus pa défis technique qu'utilité.
Merci en tout cas pour votre réponse, j'essaye d'avancer…
-
Le lan ne passe pas par le firewall en sortie internet tout simplement car j'ai confiance en ce réseau et que je veux éviter de saturer pfsense (pour le moment).
Saturation de Pfsense: même avec des interfaces 100Mbits le risque est faible et nul avec des interfaces Gigabit.
Si toute fois il y a un autre risque sécuritaire il a du m'échapper !
Il vous a échappé. Contrairement aux idées reçues, le trafic sortant est aussi dangereux que le trafic entrant. Ensuite comment protégez vous les machines de ce réseau du trafic entrant ?
Un tunnel inverse en https reste un moyen très efficace pour traverser un firewall et contrôler une machine compromise. -
Ok vous marquez 2 points :)
Ma seule crainte c'est que mon pfSense est embarqué sur un vieux client léger HP en transmeta crusoé 800Mhz / 256 Mo de RAM, 2 nic : une en 100 (intégrée) l'autre en PCI (intel gigabit) tousse un peu si je tire dessus… mais bon ça je verrai bien !
C'est vrai pour le LAN dans ce sens, il n'est pas protégé / filtré en sortie (donc en reverse).
Quelles seraient vos préconisations pour avoir quelque chose plus sécure et moins tordu ?
Passer le lan derrière le routeur en mettant la freebox en mode bridge (ou pas je peux faire du double NAT) ? mais impose l'achat d'un équipement wifi supplémentaire.
En l'état, il n'est donc pas possible de filtrer la sortie du LAN, j'ai cepedant une question "certainement" bête mais je tente tout de même.
Si je mets l'adresse ip de ma freebox en fixe sur un réseau différent de mon LAN ex :
Internet -> Fbx -> 10.0.100.1/24 (le /24 est imuable) ---réseau LAN --- 10.0.11.1/27 (pfsense DHCP)
Si un client du réseau LAN (10.0.11.11), tente de sortir sur Internet, comment passe le traffic ? (ou alors je crée une faille spatio temporelle tellement j'ai tout mélanger).
Merci de votre aide en tout cas, surtout que le réseau n'est pas mon coeur de métier (mais j'en sais plus de jours en jours).
-
Un schéma de l'infra initiale que je souhaitais faire (en rajoutant un AP wifi pour le LAN)
Some toute assez classique je pense dans le genre.
Après réflexion, peu de services de la box me sont en fait nécessaires (mis à part le stockage dans la box mais je peux toujours y accéder quand elle est en mode bridge).
-
Hello,
Une MAJ de la freebox touche le mode bridge : http://dev.freebox.fr/blog/
Mais bon pas beaucoup de détail …
A tester
