Problème de connexion internet

jdh

Une box fournit la TV, un réseau Wifi; est généralement en mode routeur; propose une "DMZ" (renvoi de tous les flux vers une machine).

Avec un firewall pfSense (ou autre), il est clair que

• le wifi ne peut plus être inutilisé parce que non protégé par le firewall,
• la TV n'aura pas accès à des machines dans le LAN,
• le mode "le meilleur" pour un firewall est le mode bridge de la box, mais pour le standard, le mode routeur est très acceptable (surtout avec la DMZ de la box).

vincentvv

@jdh:

Une box fournit la TV, un réseau Wifi; est généralement en mode routeur; propose une "DMZ" (renvoi de tous les flux vers une machine).

Avec un firewall pfSense (ou autre), il est clair que

• le wifi ne peut plus être inutilisé parce que non protégé par le firewall,
• la TV n'aura pas accès à des machines dans le LAN,
• le mode "le meilleur" pour un firewall est le mode bridge de la box, mais pour le standard, le mode routeur est très acceptable (surtout avec la DMZ de la box).

OK, je comprends bien le principe mais ce que je ne comprends pas alors (probablement pas le bon forum pour en discuter mais bon, vu qu'on est lancé) c'est que mon Wifi est déployé par la BBOX et le DHCP par mon windows server qui se trouve dans le LAN.

• Les post clients workstation / laptop recoivent, qu'ils soient connecté par cable ou par wifi, l'adresse IP du DHCP server, ils ne sont donc pas tous les 2 protégés par le firewall ??
• Les 2 recoivent pourtant bien une adresse LAN.

vincentvv

Voilà

Pour tenter d'être plus clair, j'ai fais un schéma physique de l'infra.
Car si j'en crois mes adresses IP le WIFI est bel et bien dans le LAN (192.168.10.0/24) et non dans la WAN (192.168.1.0/24)

edit by vincentvv
Erreur dans le schéma le gros vert aurait du etre gros rouge (c'est corrigé dans un post ultérieur)

ccnet

Si le schéma correspond à la réalité, Pfsense ne sert à rien. Ou alors le trait rouge n'est pas à sa place ??

vincentvv

@ccnet:

Si le schéma correspond à la réalité, Pfsense ne sert à rien. Ou alors le trait rouge n'est pas à sa place ??

En gros dans ma config, la config du pfSense, ne me gêne que moi LAN>WAN et aucunement de WAN>LAN ??

Car lorsque je fais un tracert, je passe bien par le pfSense.

Tracert LAN
1    <1 ms    <1 ms    <1 ms  HOMEMULTIMEDIA [192.168.10.11]

Tracert WAN
1    <1 ms    <1 ms    <1 ms  pfsense.vvnet.local [192.168.10.2]
2    1 ms    1 ms    <1 ms  b-box2.vvnet.local [192.168.1.1]
3    28 ms    28 ms    28 ms  1.0-241-81.adsl-dyn.isp.belgacom.be [81.241.0.1]
4    *      29 ms    29 ms  242.242-183-91.adsl-static.isp.belgacom.be [91.183.242.242]
5    29 ms    29 ms    43 ms  ae-24-1000.iarstr1.isp.belgacom.be [91.183.246.112]
6    *        *        *    Request timed out.
7    *      34 ms    *    94.102.162.65
8    44 ms    42 ms    43 ms  94.102.162.204
9    41 ms    41 ms    41 ms  74.125.50.21
10    41 ms    41 ms    41 ms  209.85.240.63
11    42 ms    42 ms    41 ms  209.85.253.196
12    51 ms    47 ms    54 ms  66.249.95.173
13    47 ms    55 ms    47 ms  72.14.238.41
14    *        *        *    Request timed out.
15    47 ms    47 ms    47 ms  google-public-dns-a.google.com [8.8.8.8]

ccnet

D'après le schéma il n'y a que la patte lan qui est connectée donc il ne sert à rien puisque wan est en direct sur un switch.

vincentvv

@ccnet:

D'après le schéma il n'y a que la patte lan qui est connectée donc il ne sert à rien puisque wan est en direct sur un switch.

Désolé, je comprends vite mais il faut m'expliquer longtemps. Dès fois le franc met du temps a tomber :-(

La pate WAN du pfSense est sur le HUB 1 (192.168.1.2)
La pate LAN du pfSense est sur le même HUB 1 (192.168.10.2)
Les ranges sont tout de même différents et sont pas censé discuté entre eux du coup, si les chemins sont bon, ca doit aller non ?? Pour la sortie, ca suit le bon chemin.

Lorsque je fais un tracert
LAN > LAN –> je suis en direct entre les clients sans passer par le pfSense
LAN > WAN --> je passe par pfSense LAN > pfSense > BBOX > Internet
BBOX > WAN ou LAN --> je sais pas comment tester

On s'est probablement mal compris du a une erreur de ma part
Il y a une erreur surle Schéma, le gros vert devrait être gros rouge car c'est le réseaux entre pfSense et BBOX WAN

C'est plus realiste comme ça je pense (et je pense quand tu parlais que la pate WAN n'était pas connectée, c'était de ça que tu voulais parler)
Finalement les couleurs nous ont plus embrouillée qu'autre chose, sorry :-(

jdh

Le schéma montre l'étendue de l'incompréhension !!!

Le Wifi de la Box NE DOIT PAS être utilisé (et NE PEUT SURTOUT PAS avoir le même adressage du lan derrière pfSense) : c'est typiquement un "court-circuit" !!

Internet <-> Box (mode routeur) (sans wifi) <-> (WAN) pfSense (LAN) <-> réseau

La carte WAN du pfSense doit être relié directement à la box, la box NE DOIT pas être relié au switch.
La carte LAN de pfSense doit être relié au switch, et doit être rajouté un point d'accès wifi dans le LAN (ou à une carte ethernet supplémentaire dans pfSense).

Ce n'est qu'à cette organisation réseau que vous éviterez les bazars liés à votre schéma incorrect et incompris !

vincentvv

Nos posts se sont croisés. j'ai modifié le schéma avec le gros lien rouge entre swicth et BBOX

@jdh:

Le schéma montre l'étendue de l'incompréhension !!!

Le schéma avec une erreur montre une étendue de l'incompréhension totale, je suis d'accord avec toi vu que le wan est connecté a rien et ne sort pas (du moins si l'on en croit les couleurs)

Le schéma corrigé, que j'appellerai 2 montre que le pfSense est connecté sur le même switch que le LAN et que ce switch est connecté à la BBOX
C'est la que vous vous emballez et que j'essaie de comprendre ce que vous me dites vu que lorsque je fais mes tracert, ils sont bon.
Pour ma part, vous m'arretez si je ne me trompe, un switch commute l'info dans la bonne direction et du coup, il sait faire la différence entre les infos reçu du LAN qui vont vers le WAN et les autres.

@jdh:

Le Wifi de la Box NE DOIT PAS être utilisé (et NE PEUT SURTOUT PAS avoir le même adressage du lan derrière pfSense) : c'est typiquement un "court-circuit" !!

Internet <-> Box (mode routeur) (sans wifi) <-> (WAN) pfSense (LAN) <-> réseau

La carte WAN du pfSense doit être relié directement à la box, la box NE DOIT pas être relié au switch.
La carte LAN de pfSense doit être relié au switch, et doit être rajouté un point d'accès wifi dans le LAN (ou à une carte ethernet supplémentaire dans pfSense).

Ce n'est qu'à cette organisation réseau que vous éviterez les bazars liés à votre schéma incorrect et incompris !

Je comprends bien ce que tu me dis en disant que dans le "best practice", il serait bien d'avoir la version cablé suivante
LAN <–> SWITCH <--> pfSense <--> BBOX <--> Internet et effectivement ce n'est pas le cas chez moi

Pourtant, si je suis le schéma corrigé, effectivement j'ai bel et bien WAN et LAN sur le même switch
quand je fais des tracert au départ du wifi, j'ai bien une adresse attribuée du LAn et je passe bien par le pfSense pour sortir sur le net et je suis en direct entre LAN

Tracert au départ d'un client WIFI
Accès vers le net donne : LAN > pfSense > BBOX > INTERNET
Accès entre client LAN donne: LAN > client LAN

p.s. Désolé si je vous gonfle avec ça mais les tracert m'indique que c'est bon par rapport à la physique que vous me dite incorrect. C'est ce que j'essaie de comprendre et que vous arrivez pas a expliquer a part en disant que ça DOIT être ainsi ou ainsi.

psylo

Mwè… 'videmment en connectant le LAN et le WAN du pfSense sur le même switch (sans VLAN je suppose), c'est normal que vos clients WiFi soient dans le même adressage que votre LAN... Tout comme c'est normal que vos clients LAN passent par le pfSense puis par la B-Box...

On mélange allègrement couche 1 (câblage) et couche 3 (IP) du modèle OSI... :|

Alors, maintenant, pourquoi? crache dans ses mains

Donc, avec le LAN et le WAN connecté sur le même switch/HUB, l'entièreté du trafic passe sur le même média (couche 1). La seule séparation est une séparation logique avec les adresses IP (couche 3). Or, le WiFi de la B-Box se situe dans la couche 1 => les clients sans fils reçoivent une IP (couche 3) de votre serveur.

Le tracert, c'est du couche 3 donc il est normal que ça passe par le pfSense… Voilà pourquoi ils vous semblent bons.

Pourquoi ne pas connecter comme suit?

• le LAN du pfSense sur le switch/hub

• le WAN du pfsense sur la B-Box

A ce moment-là, les 2 réseaux sont physiquement séparé (donc, ségrégation de la couche 1). Du coup, les client wireless de le B-Box ne recevront plus d'IP de votre serveur…

Si vous ne refaites pas les connexions comme expliquer plus haut, votre pfSense ne sert à rien... A part à compliquer le brol...

Hope this helps.

vincentvv

Merci pour l'explication théorique. Je comprends mieux maintenant.
Mon copain OSI, j'en avais entendu parlé mais pas encore confronté… maintenant c'est fait et ça éclaircit les choses :-)

Cela dit, je corrigerai ces erreurs ce we car, j'ai besoin de mon WIFI pour le moment.

Je vous tiens au courant dès que c'est fait pour les prochaines aventures :-)

psylo

@vincentvv:

[…]
Mon copain OSI, j'en avais entendu parlé mais pas encore confronté… maintenant c'est fait et ça éclaircit les choses :-)
[…]

Auquel cas je vous conseille de lire ça: http://www.frameip.com/osi/

Le modèle OSI n'est rien d'autre que la base des réseaux informatiques… Or Donc...

Tatave

salut salut

j'aurais aussi cité ce site la http://christian.caleca.free.fr/ si cela n'a pas déjà été fait au cas ou.

jdh

Je comprends bien ce que tu me dis en disant que dans le "best practice", il serait bien d'avoir la version cablé suivante
LAN <–> SWITCH <--> pfSense <--> BBOX <--> Internet et effectivement ce n'est pas le cas chez moi

Non, non, ce n'est du domaine des "best practice" : votre schéma (avec wifi sur box du même réseau que LAN derrière pfSense ou avec LAN et WAN sur le même switch) est de nature à faire le bazar ! (2 erreurs à ne surtout pas faire, quand même !)

C'est juste à supprimer tout de suite : un point d'accès wifi coute ~30€ (et est souvent plus performant que le wifi d'une box).
Le gain sera un schéma simple, sans problème, … et ça ça vaut largement les 30€ !