Probleme mise en service
-
Bonjour,
J'ai il y a quelques jours de ça installe pfsense sur une machine dédiée pour par la suite permettre des redirection de port et sécurité plus avancée chez moi.
Avant de tous modifier et cabler correctement j'ai voulu m'assurer que les "bases" urgentes seraient déjà en place, html et mail principalement.Actuellement mon réseau est un modem relie directement a un router/firewall (si je me plug direct sur le modem en DHCP j’obtiens une IP public)
J'ai plug la carte WAN (en DHCP 192.168.0.105) sur le routeur actuel et sur la carte LAN j'ai mis le serveur DHCP en 192.168.10.1 et le début des ip en 192.168.1.50.J'ai mis en place des règles pour permettre le trafic html et courriel
Pas de regle sur le WAN.
Puis avec un switch sur le réseau LAN de pfsense et un ordi connecte en rj45 j'ai teste le réseau.
Malheureusement je n'arrive pas a surfer ou envoyer/recevoir de courriel.
Je ne peux pas ping non plus le 8.8.8.8J'ai essaye en connectant directement le port wan en sortie du modem, j'ai obtenu sur le wan une ip publique mais ca ne solutionne pas mon problème sur le LAN.
lorsque je lance la commande IPconfig sur le pc du reseau LAN
J'obtien la gateway 0.0.0.0 puis 192.168.10.1:
Je me demande si cette adresse 0.0.0.0 me poserai pas probleme?
J'ai fait d'autre test, par exemple j'ai utilise le ping de pfsense en lancant du LAN sur google 8.8.8.8 et cela fonctionne
j'arrive a le ping aussi du WAN mais c'est moins utile.
J'ai cherche sur le forum et tuto mais je n'ai pas trouve de solution, je penses je dois rater un truc tous bête.
Je n'ai pas teste de désactiver le firewall de l'ordi (je le ferai des mon retour ce soir)
Si jamais quelqu'un avait une idee, merci d'avance. -
Il est évident qu'une passerelle à 0.0.0.0 ne risque guère de bien fonctionner ! -> voir la config de dhcp
Je ne vois pas bien l'intérêt du protocole IGMP (que je connais mal) !
Par contre ICMP/request query peut-être utile si on veux pinger !(Sinon, le problème est présenté avec des infos, on ne va pas se plaindre. Et il y a des tests réalisés ! Il faut continuer … et lire des docs sérieuses comme Christian CALECA, Frameip, ...)
-
merci pour la réponse
dsl j'avais oublie de dire le IGMP a été rajoute pour faire les tests de pinget le gateway en 0.0.0.0
j'avais eu ça sur un système il y a plusieurs année donc je me souvient plus si ca avait pose problème mais je vais approfondir ce problème.En me relisant, ca parait logique je peux ping du LAN pfsense, je vais tester en me mettant une ip fixe et paramétrer la gateway si ça fonctionne c'est que ça vient de mon serveur DHCP.
En tout cas merci de me repointer sur cette partie car je cherchais plus du cote des règles du firewall que du DHCP.
je mettrai la suite ici
-
IGMP : relisez moi bien …
Un ping c'est ICMP et non IGMP !
-
Ah oui rien avoir j'ai confondu les 2
je vais la retirer et faire la bonne regleEDIT: le problème de passerelle en 0.0.0.0 ne vient pas d´une config de dhcp
c´est un Bug de l´application bonjour de apple
la manip : http://www.astuces-pratiques.fr/informatique/probleme-passerelle-par-defaut-0-0-0-0-sur-windows-seven
redémarrer l´ordinateur après.Ça ne solutionne pas mon problème mais une étape de passée
-
Le programme (service) Bonjour d'Apple peut être désinstallé …
(D'ailleurs je vire systématiquement tout Apple : Quicktime -> VLC, iTunes -> SharePod, ...)Actuellement mon réseau est un modem relie directement a un router/firewall (si je me plug direct sur le modem en DHCP j’obtiens une IP public)
J'ai plug la carte WAN (en DHCP 192.168.0.105) sur le routeur actuel et sur la carte LAN j'ai mis le serveur DHCP en 192.168.10.1 et le début des ip en 192.168.1.50.Outre l'erreur sur le DHCP, cela est très peu clair ! Un bon fonctionnement est aisément obtenu avec des interfaces WAN et LAN bien distinctes, à la fois en pratique (=pas sur le même switch !), à la fois en logique (=adressage ip distinct)
-
Oui j´ai désinstaller le service bonjour de apple mais j´ai mis un lien pour les gens qui rencontrerait ce même problème et leur permettre de le retirer sans chercher.
Pour ma part il venait semble-t-il avec photoshop.Les réseaux WAN et LAN sont physiquement distincts:
- 2 cartes reseaux
- WAN = modem + routeur D-Link 192.168.0.0 /24
- LAN = Switch DELL PowerConnect 192.168.10.0 /24
Je fais aussi le test en connectant le WAN directement sur le modem -
Il serait bon de regarder le type du modem, ce que fournit comme ip le routeur (est ce correct).
De toute façon, la logique de pfSense est de supprimer le routeur … -
oui oui le but est de retirer le routeur
mais le temps de mettre en place et de faire les tests je restes comme ca car pas la seule personne a utiliser internet chez moi le soir.donc j´ai fait un resset factory puis refait la regles ou tout passe vers l´exterieur
ca marche
Par contre si je mets les regles du debut du topic rien ne fonctionne
uniquement les pings, thunderbird et modzilla non. -
Je n'ai pas fait très attention, mais ces règles sont très mal écrites : elles sont conditionnées par le port source … et ce n'est pas la bonne condition !
-
ok je vais revoire ca
mais ils viennent sauf pour le ICMP d´un tuto video etape par etape.La je vais profiter du week end pour mettre en place le system (sans le routeur)
il fonctionne avec une regle authorisant tous en sorti
Mais je vais mettre un peu plus les doigts dedans, comment tu ecrirai les regles pour authoriser?Le peu de firewall que j´ai config c´etait des routeurs plus "plug and play" si je peut dire.
Jamais trop eu cette liberte et complexite pour le parametrage mais ca donne beaucoup plus de possibilite de ce que je vois. -
Je ne suis pas là à tout décrire : il faut un peu chercher par soi-même !
Les règles sont parfaitement claires, et c'est ce qu'il faut faire (à 2 détails près).
Mais elles ne sont pas écrites correctement : une valeur est mise à la mauvaise place !
(Je ne peux écrire plus puisque je souhaite qu'il y ait une petite réflexion).Normalement, une fois corrigé, la phrase type est : "mais, évidemment, quelle idiotie"
-
une fois que vous aurrez saisie la logique d'écriture des règles, je vous suggère d'utiliser des ''Alias'' pour les écrires.
Cela vous permettra d'avoir beaucoup moin de règles à écrire et elles seront plus facilement lisible ^^cdt
-
Oui j´ai vu pour les alias
en fait j´y vais etape par etape:
Faire fonctionner le systeme de maniere basique
comprendre le fonctionnementmais oui de ceux que j´ai vu les alias semblent tres agreable :)
Et oui j´ai vu mon erreur
Je considérai la source comme étant ceux qui arrivait du wan
Dans mes règles ma source était donc au final ma carte LANEDIT: Les alias sont assez simple a mettre en place et permette de mieux lire les regles mais aussi dans le futur d´ajouter des modifications facilement
-
Et oui j´ai vu mon erreur
Je considérai la source comme étant ceux qui arrivait du wan
Dans mes règles ma source était donc au final ma carte LANC'est peu clair ! Où fallait-il mettre la valeur "clé" des règles ?
Sinon l'utilisation d'alias est un conseil excellent puisqu'ils rendent l'écriture et lecture des règles plus facile.
Une règle est inutile (et à déconseiller) : celle du dns : aucun besoin pfsense assure le service ! -
j´ai au final retire la source
et j´ai mis les ports dans l´autre colonne port (celle de destination)je sais pas si je suis correct cette fois ci mais ca semble fonctionner, je verai pour faire des tests via l exterieur mais j y suis pas encore.
Les alias oui très très sympa au final pour regroupe les ouvertures de ports par exemple les ports jeux, ou les ports couriel regrouper smtp et pop etc … -
C'est bien la réponse que j'attendais :
- le flux est désigné par le port vers lequel on émet, c'est à dire le port du serveur (sur lequel il écoute)
- le flux n'est donc sûrement pas le port émetteur !
client:tcp:port 1025 -> serveur:tcp:port 80 => flux http car http=80/tcp (du serveur)
Dans la pratique, le port émetteur est généralement supérieur à 1024 !
-
Oui une petite confusion de ma part sur ce point :)
sinon pour la règles DNS, il me le fesait pas vraiment seul
j´ai du valider la commande
Do not use the DNS Forwarder as a DNS server for the firewall
et j´ai rentre les dns 8.8.8.8 et 8.8.4.4Suite a cela la navigation web fonctionne
