Impossible d'envoyer des mails via Outlook - Erreur sur le SMTP 587

valou25

CI joint une capture de Firewall –> NAT

Je ne devrais pas y rentrer quelque chose ??

NAT.PNG_thumb

baalserv

C'est règles sont sur le pf 1 ? si oui, plus aucun intérêt ^^

baalserv

Postez-nous les règles de l'interface Lan du pf 2.0 svp

ou autre test : hors production, connectez votre portable sur le Lan duPf 2.0 et faite le test

valou25

Le routeur du PFSense 2.0 n'a que 3 ports : les 2 bornes SFR et le serveur PFSense 1.2

Je ne peux donc pas m'y brancher en direct sans déranger le trafic actuel.

Normalement je dois pouvoir me connecter au routeur via une adresse IP ? non ?
Le tout étant de la trouver ! Et donc dans la logique je devrai tomber sur une interface similaire au serveur PFSense 1.2 ?

Même si physiquement ce n'est pas du tout le même matériel ? A savoir le routeur c'est un tout petit boitier et le serveur c'est un PC ?
Désolée de la bétise des questions !

jdh

Attention à bien comprendre la différence entre NAT (Port Forward) et Rules !

les flux LAN vers WAN sont gérés dans Firewall > Rules > onglet LAN.
les flux WAN vers LAN (et précisément un SEUL serveur) sont gérés, d'abord, dans Firewall > NAT > Port Forward, puis génère une règle qui se trouve dans Firewall > Rules > onglet WAN.

Pour ce 2ième cas, dans pfSense 2.0 les 2 règles sont liées et WAN est mise à jour depuis NAT automatiquement.
Alors qu'avec pfSense 1.3 il faut maintenir manuellement la cohérence entre les 2 règles WAN et NAT.

Dans le cas présenté, il s'agit d'un flux sortant, donc LAN vers WAN, et seule compte la règle dans Firewall > Rules > onglet LAN.

S'il y a 2 lignes ADSL, on peut avoir soit 2 firewall enchainés soit 1 firewall gérant la totalité.
Dans le cas 2 firewalls enchainés : on aura :
LAN général <-> (LAN) firewall general (WAN) <-> (LAN) firewall loadbalancing (WAN1 + WAN2).

Les règles dont vous donnez les images mentionnent un seul WAN : c'est donc le firewal général !
Il faut donc une bonne règles dans l'onglet WAN : elle semble correcte.
Mais il faut regarder le firewall de load balancing pour savoir comment il fonctionne …
S'il s'agit aussi d'un pfSense, il doit pouvoir être managé via son adresse ip LAN qui ne doit être autre que la gateway de LAN du pfSense général.

valou25

Merci pour cette explication :)

Concernant l'adresse, c'est ce que je me suis dit. Je rentre dans ma barre d'adresse du navigateur l'adresse présente dans le tableau des Rules du LAN.
Mais rien n'y fait, je tombe sur une jolie page "délai dépassé"..
Je suis en train de fouiller dans les documents laissés par l'ancien installateur …

Je m'y repenche lundi matin. Je vous remercie déjà de votre aide qui m'a permis de mieux appréhender PFSense, je n'osais pas toucher seule au risque de foirer tout le réseau !

ccnet

@baalserv:

Il faut une règle identique à celle du smtp (25) pour le 587 MAIS sur l'interface LAN pas sur l'interface Wan !

C'est bien ce que je dis : première capture donc lan.png

Je suis d'accord qu'un prestataire serait largement plus performant, mais mes employeurs ne veulent pas, pour faute de budget. Puis le dernier qui est venu, nous a gentiment répondu que PFSense c'était de la merde et qu'il ne voulait pas y toucher ! Nous proposant plutôt de tout refaire ! Du coup mes employeurs pour l'instant ne veulent pas investir, et me demande "simplement" de résoudre rapidement ce problème d'outlook.

J'ai "quelques" Pfsense en production depuis des années chez des clients. Stabilité et fiabilité complète. Ce prestataire est soit incompétent, soit a quelque chose à vendre. Je déploie aussi du Cisco ASA : pas de problème particulier mais attention à la facture !

Après il y du ménage à faire dans cette configuration.

ccnet

Je suis en train de fouiller dans les documents laissés par l'ancien installateur …

Bonne idée ! Si on avait un schéma de l'organisation de cette partie du réseau avec les deux Pfsense …

baalserv

@valou25:

Même si physiquement ce n'est pas du tout le même matériel ? A savoir le routeur c'est un tout petit boitier et le serveur c'est un PC ?

Le pfsense principal ''le gros'' ne ferait-il pas tourner un proxy + filtrage + radius + …. ?

Cela expliquerai la différence de hardware ^^

valou25

Ci joint une image de la fameuse "petite boite" comme je l'ai appelé précédemment. C'est un routeur PFSense branché en amont du serveur PFSense. Ce dernier serveur fait en effet office de Serveur proxy, radius, firewall, DHCP.

Malgré les règles modifiées dans le serveur PFSense, il est toujours impossible d'envoyer un mail via outlook, SMTP 587.

Le routeur PFSense peut il bloquer ce genre d'action ? ou est ce toujours dans le serveur PFSense qu'il y a quelque chose à modifier ou ajouter ?

Merci beaucoup de votre aide

![box pfsense.jpg](/public/imported_attachments/1/box pfsense.jpg)
![box pfsense.jpg_thumb](/public/imported_attachments/1/box pfsense.jpg_thumb)

jdh

Il faut plus analyser votre schéma …

Si le schéma est

LAN <-> (lan) pfSense1 (wan) <-> (lan) pfsense2 (wan1 + wan2)

il est clair qu'il faut comprendre les 2 niveaux de règles sur chaque pfSense.
(Tout comme le dhcp sur pfSense2 n'est d'aucun intérêt !)

Le boitier que vous indiquez doit correspondre à pfSense2 avec comme rôle principal le loadbalancing entre wan1 et wan2.
Quid des règles placées là ? Est ce qu'à nouveau le tri des protocoles est réalisé ? Est ce le NAT est supprimé au niveau de pfSense1 ?
Tout un tas de questions intéressantes et utiles ... quand on manque de documentation !

valou25

voilà le schéma que j'ai fini par trouver

reseau.jpg_thumb

jdh

Nous sommes bien dans un schéma à 2 firewall enchainés.
Il y a donc lieu de regarder dans les 2 firewall quelles sont les flux autorisés de LAN vers WAN.
2 liens d'administration :

http://pfsense1:port1/ + admin + mdp1
http://pfsense2:port2/ + admin + mdp2
Les images des Firewall > Rules sont (forcément) celle de pfSense1.
Il faut accéder aux règles de pfSense2 et à la façon de faire du loadbalancing (je ne suis pas expert).

(Au passage, il y a un NAT assez inutile réalisé dans le pfSense1.
Compte tenu de la taille, mettre un proxy dédié, et non sur pfSense1, serait une bonne idée.)

baalserv

Bonjour,

Comme le précise JDH, il faut regarder les règles du pf 2.0 de l'interface lan.
Tous les protocoles ne se ''ballance'' pas, ex : Https
Il doit donc y avoir des règles différentes dans pf2 pour http et https
Il est probable que le mdp du pf2 soit le même que celui du pf1

certitudes/suppositions:
Le proxy est actif sur le réseau ''principal wifi'' = certitude
Le proxy n'est peut être pas actif sur l'interface de ''l'autre réseau'' (parcour) = supposition
=> si le proxy n'est pas actif sur ce réseau, il ne vous gênera pas lors lors de l’accès à l'interface web du pf 2 -> essayez de vous connecter à l'ip lan du pf2 depuis un poste ou serveur de ce réseau

Une fois connecter à l'interface du pf2 => ajouter une règle strictement identique à celle que vous trouverai pour le https mais pour le port de destination 587 (surtout mettre la même ''Gateway'' )

Si vous arrivez à nous poster les règles de l'interface lan du pf2, nous serons plus à même de vous guider ^^

valou25

merci de vos réponses,

j'essaie de me connecter au routeur PFSense 2, en entrant son adresse dans la barre d'adresse du navigateur, à savoir http://192.168.20.200/

et je tombe sur une page m'interdisant l'accès, identique aux sites web bloqués par le réseau (site torrent et compagnie, interdit d'accès par le réseau)

j'essaie avec l'adresse : http://192.168.20.200:7777/ (7777 est le numéro de port spécifié sur la feuille jointe au schéma que je vous ai posté), et là le navigateur m'affiche"Le délai d'attente est dépassé"

je précise bien sûr que je suis sur un PC du réseau.

:'(

baalserv

quite a couper la production un moment, connecter votre portable directement sur le pf2

Vous pouvez aussi essayer en spécifiant https://192.168.20.200 (et avec et sans le port 7777) il est normal d'avoir une ''erreur de certificat'' dans votre navigateur, il faut continuer pour avoir la page avec login/pwd

valou25

avec https://192.168.20.200 (avec ou sans le port 7777) rien ne s'affiche.

je vais essayer de tester en branchant mon portable directement sur le PFSense2 du coup, mais je dois donc attendre la fin de la journée pour couper le réseau.

Pouvez vous m'expliquer pourquoi je ne peux pas accepter au PFSense2 depuis le réseau actuel ? J'ai pourtant une règle dans le firewall du PFSEnse 1, dans la partie LAN (capture ci joint)

7777.PNG_thumb

baalserv

modifiez cette règles en modifiant le port source en any et le laisser le 7777 que dans le port de destination

valou25

j'ai modifié la règle mais je n'arrive toujours pas à me connecter au PFSense2.

Je suis allée voir dans, Services –> Proxy Server : j'ai rajouté mon adresse IP dans les "Unrestricted IPs" pensant que mon IP était bloqué, d'où ce message d'erreur comme quoi je n'ai pas le droit d'accéder à l''adresse http://192.168.20.200/
mais rien n'y fait, je suis toujours bloquée !

baalserv

avez-vous essayer depuis un poste/serveur du réseau parcour ?
dans System | Proxy server | general, tout en haut le réseau parcour est-il ''sélectionner" ?

EDIT : dans System | Proxy server | general : si c'est cocher devant ''proxy transparent'' alors essayer de mettre 192.168.20.200 dans : ''Bypass proxy for these destination IPs''
=> pour se connecter depuis le réseau wifi