Dilemme Freebox & pfSense
-
vr0 Interface en IP Fixe 10.0.10.253 avec l'IP de la DMZ mise dans la Freebox, vr0 est branché sur la freebox.
la freebox en IP fixe 10.0.10.254 qui ne servira que de passerelle réseau
Ok
em0 Interface en mode DHCP serveur 10.0.10.1/24 branché également sur la freebox.
Non, vr0 et em0 doivent être dans des réseau ip différents.
Quand à la boucle avec la freebox, no comment !Ajout d'une route par défaut (0.0.0.0) dans pfsense pour router le traffic internet via la freebox 10.0.10.254
La passerelle demandée à la configuration de Wan suffit.
si jamais le point de sortie doit être une machine dédiée il faudra certainement que je passe par un proxy ARP ou du NAT 1:1 ou autre
Non un transfert de port suffit.
- Les clients branchés sur le switch Freebox / clients wifi Freebox obtiennent une adresse par le DHPC de pfsense via l'interface em0.
J'en doute.
-
Je sais que c'est sale… j'essaye juste de trouver une solution pour éviter de perdre les fonctions de la box en la passant en Bridge.
Je peux toujours mettre l'adresse DMZ dans un range différent, en espérant que la Freebox arrivera à la joindre...
Genre Freebox IP : 10.0.10.254 et DMZ positionnée sur 10.0.50.1 avec vr0 configuré en static 10.0.50.1 ?
Comment feriez vous, sans mode bridge, pour rajouter des sous réseaux derrière une freebox sur laquelle on ne peut pas ajouter de routes ? et faire pointer la DMZ Freebox vers un sous réseau nouvellement crée ?
(j'avais une autre solution en stock qui était de faire DHPC via pfsense, mais donner la gateway 10.0.10.254 (freebox) et envoyer une route statique via les options avancées du DHCP pour les réseaux de l'autre coté de fpsense... mais je ne sais pas si c'est moins crade et surtout géré par tous les clients dhcp).
-
Bon, je pense que je vais me résigner à investir une borne AP 802.1n (si vous avez des recommandations) afin de mettre la box en bridge et faire quelque chose de moins crade bidouillé…
Au moins je serais indépendant de la box ADSL le jour je changerai...
Mon installation était prévue comme ça mais l'AP que j'ai acheté n'étant pas dual band, les performances se cassaient la figure dès que j'avais un client G qui s'y connectait.
Il faut juste que je fasse gaffe dans mon installation à ce que pfsense ne fasse pas trop de routage volumineux (ex mettre le NAS gigabit dans le même segement réseau que les clients) car mon pf est basé sur un trasnmetta 800Mhz et je doute qu'il puisse router au dela de 50 mb/s.
-
Bonjour,
En ce moment je regarde un peu tous les posts concernant la V6 en mode bridge (suis un particulier en V4 bridge+pf-sense)… et je suis tombé sur le votre.
Si ça pouvait vous aider, ici ==> http://blogabug.com/freebox-mode-bridge-et-multiposte-tnt-web-upnp-av.html, il y a des gens qui semblent avoir creusé beaucoup le problème du mode bridge. Tenez nous au courant de la solution finale adoptée.
Cordialement -
Bon après une grande pause et d'autres choses faites, je ressors tout mon matos et mes idées de départ… (tenace je suis). J'ai fait à peut prêt le tour des idées sur la freebox sans bridge et le routing derrière, même en ipv6 ce n'est pas faisable (hors proxy ndp qui est en gros un proxy arp pour ipv6).
Du coup, j'ai fait un schéma, et je cherche à savoir si d'un point de vue routage cela peut fonctionner.
pfSense fera office de DHCP / DNS (et plus) pour l'ensemble des réseaux. La freebox sera en ip fixe DHCP désactivé et DNS positionné sur l'interface du LAN de pfsense.
Bien sur je dois activer le NAT sur pfsense afin que tout réseau hors réseau LAN puisse sortir sur Internet (toujours le soucis de la freebox qui ne connais pas la route vers mes différents réseaux).
Pour la DMZ je redirige le traffic entrant vers la ressource DMZ en NAT également.
Vos commentaires sont les bienvenues (oui j'ai du mal à me résigner à faire du bridge)…
Merci :)
-
Bridge ou pas bridge je ne vois pas l'objet de telles complications.
(toujours le soucis de la freebox qui ne connais pas la route vers mes différents réseaux).
Mauvaise compréhension du routage. Règle de base : le routeur ne connait que le saut suivant et ignore tout le reste c'est d'ailleurs pour cela que ça fonctionne. Votre pc ignore tout des réseaux qui se trouve au delà de votre freebox et pour autant vous pouvez joindre n'importe quel site. La nat n'a rien à y voir.
Sinon votre schéma est idéal pour ne pas protéger Lan.
-
Il fallait lire : pas possible de positionner une route statique dans la freebox qui permettrait de passer les paquets à l'autre routeur. (Ex : 10.0.10.0/27 via 10.0.11.2). Je peux partiellement lever cette contrainte en délocalisant la default gateway sur pfsense (que je maitrise). Par contre pour le trafic disons de 10.0.10.0/27 vers 8.8.8.8 : 10.0.10.11 ->10.0.10.1 pfsense -> default gateway -> 10.0.11.1 -> internet ça passe mais le retour non car la freebox 10.0.11.1 ne sait pas ou router le réseau 10.0.10.0 (d'où le nat dans ce sens pour que l'entente du paquet sortant vers internet semble provenir de l'interface 10.0.11.2 qui est atteignable par la freebox.
Le lan ne passe pas par le firewall en sortie internet tout simplement car j'ai confiance en ce réseau et que je veux éviter de saturer pfsense (pour le moment).
Si toute fois il y a un autre risque sécuritaire il a du m'échapper !
Je me compliqe peut être mais je tiens à segmenter pas mal de choses, plus pa défis technique qu'utilité.
Merci en tout cas pour votre réponse, j'essaye d'avancer…
-
Le lan ne passe pas par le firewall en sortie internet tout simplement car j'ai confiance en ce réseau et que je veux éviter de saturer pfsense (pour le moment).
Saturation de Pfsense: même avec des interfaces 100Mbits le risque est faible et nul avec des interfaces Gigabit.
Si toute fois il y a un autre risque sécuritaire il a du m'échapper !
Il vous a échappé. Contrairement aux idées reçues, le trafic sortant est aussi dangereux que le trafic entrant. Ensuite comment protégez vous les machines de ce réseau du trafic entrant ?
Un tunnel inverse en https reste un moyen très efficace pour traverser un firewall et contrôler une machine compromise. -
Ok vous marquez 2 points :)
Ma seule crainte c'est que mon pfSense est embarqué sur un vieux client léger HP en transmeta crusoé 800Mhz / 256 Mo de RAM, 2 nic : une en 100 (intégrée) l'autre en PCI (intel gigabit) tousse un peu si je tire dessus… mais bon ça je verrai bien !
C'est vrai pour le LAN dans ce sens, il n'est pas protégé / filtré en sortie (donc en reverse).
Quelles seraient vos préconisations pour avoir quelque chose plus sécure et moins tordu ?
Passer le lan derrière le routeur en mettant la freebox en mode bridge (ou pas je peux faire du double NAT) ? mais impose l'achat d'un équipement wifi supplémentaire.
En l'état, il n'est donc pas possible de filtrer la sortie du LAN, j'ai cepedant une question "certainement" bête mais je tente tout de même.
Si je mets l'adresse ip de ma freebox en fixe sur un réseau différent de mon LAN ex :
Internet -> Fbx -> 10.0.100.1/24 (le /24 est imuable) ---réseau LAN --- 10.0.11.1/27 (pfsense DHCP)
Si un client du réseau LAN (10.0.11.11), tente de sortir sur Internet, comment passe le traffic ? (ou alors je crée une faille spatio temporelle tellement j'ai tout mélanger).
Merci de votre aide en tout cas, surtout que le réseau n'est pas mon coeur de métier (mais j'en sais plus de jours en jours).
-
Un schéma de l'infra initiale que je souhaitais faire (en rajoutant un AP wifi pour le LAN)
Some toute assez classique je pense dans le genre.
Après réflexion, peu de services de la box me sont en fait nécessaires (mis à part le stockage dans la box mais je peux toujours y accéder quand elle est en mode bridge).
-
Hello,
Une MAJ de la freebox touche le mode bridge : http://dev.freebox.fr/blog/
Mais bon pas beaucoup de détail …
A tester
