Règle d'accès au réseau LAN depuis le WAN ne fonctionne pas

jdh · Apr 4, 2014, 6:15 AM

Compte tenu du peu d'informations fournies,

Il fait maintenant que les lecteurs demandent les infos ….

gakoroace · Apr 4, 2014, 2:14 PM

Non.Il y a un routeur en amont qui est relié à l'interface WAN de pfsense.Désolé du peu d'information.
L' architecture est le suivant.
FAI–-------Routeur WAN----------------------pfsense-----------------LAN
Merci

psylo · Apr 5, 2014, 10:16 AM

@gakoroace:

Non.Il y a un routeur en amont qui est relié à l'interface WAN de pfsense.Désolé du peu d'information.
L' architecture est le suivant.
FAI–-------Routeur WAN----------------------pfsense-----------------LAN
Merci

Donc, il faut qu'il y ait aussi du port-forwarding sur le routeur…

ccnet · Apr 5, 2014, 11:33 AM

Il est (devrait être) bien évident que si le routeur n'est pas correctement configuré rien ne peut fonctionner. Mais comme il n'y a toujours pas les infos pertinentes …

gakoroace · Apr 6, 2014, 8:11 AM

Salut.
Sur le routeur je n'ai configuré aucun service dc pas de port forwading.
Aussi il s'agit du routeur donné par le FAI.
Quant à l'adressage le routeur est configuré avec l'adresse 192.168.0.3/24 et l'interface WAN du pfsense avec l'adresse 192.168.0.1/24
L'interface WAN a pour passerelle l'adresse du routeur. j'ai pas configuré de route statique.
Le serveur que je veux atteindre a pour adresse 192.168.2.253/24.
C'est là toute information que je dispose.
merci de votre aide

Tatave · Apr 6, 2014, 8:19 AM

Salut salut

N'avez vous pas une interface de type web (direct sur la box, ou indirect via le site du FAI) ?
C'est par la qu il faut agir avec l'ouverture des ports et leurs bonne redirection, et de surcrois il y a coup sûr des doc ou des sites qui donne ma manière de faire.

Cdlt.

baalserv · Apr 6, 2014, 11:19 AM

Bonjour,

@gakoroace:

Sur le routeur je n'ai configuré aucun service dc pas de port forwading.
==> et donc les flux arrivent sur le wan de pf par magie ???

Aussi il s'agit du routeur donné par le FAI.
==> Cela ne change rien aux principes de fonctionnement !

Quant à l'adressage le routeur est configuré avec l'adresse 192.168.0.3/24 et l'interface WAN du pfsense avec l'adresse 192.168.0.1/24
L'interface WAN a pour passerelle l'adresse du routeur.
==> jusque içi tout vas bien …

j'ai pas configuré de route statique.
==> a priori et avec le peut d'info que l'on a, pas besoin de route statique

Cordialement

gakoroace · Apr 6, 2014, 6:08 PM

Oui le routeur FAI est maniable via le web.je peux vérifier ce que vous dites Tatave.
Il y a seulement le service DHCP qui est configuré sur le routeur.
Le fait est que je ne plus de quel genre d'info vous avez besoin.je suis perdu
Aider moi SVP sinon mon Boss va me virer.
merci

Tatave · Apr 7, 2014, 7:09 AM

Salut Salut

Déjà petit récapitulatif, pour virer un stagiaire il en faut beaucoup quand même, c'est une personne qui est mieux protégé face à un employé, il y à le tuteur de stage qui est la ou sensé être la pour vous épauler quand vous êtes devant une difficulté en théorie.

Ce que l'on vous dit depuis le début du poste, c'est votre manque de recule et de documentation sur le sujet, ne pas foncer tête baissée, et poser les bonnes questions dans le bon ordre.

Poser le plan ou le schéma de la structure que vous voulez avoir la vous trouverez avec des test la ça marche , là çà marche pas
Faire le point sur ce qui fonctionne et sur ce qui ne fonctionne pas et trouver pourquoi.
Rechercher des info sur le web c'est bien, vos prof (bon sources d'info aussi), votre tuteur, vos cours.

Il ne faut pas perdre de vu que vous êtes un stagiaire et en aucun cas un expert, vous êtes là pour mettre en pratique des concepts que vous avez vu en cours celà vous permettra de mettre le doigt sur vos vrai points à travailler.

Nous sommes nombreux à avoir été stagiaire, que se soit durant des parcours dit classique ou sur de l'alternance.
Même si pour certain l'alternant est du personnel, il n'en reste pas moins une personne qui apprend dans un cadre d'entreprise et avec une école ou un centre de formation.

Cordialement.

gakoroace · Apr 7, 2014, 8:08 AM

Salut
Merci tatave pour votre conseil.je vais continuer avec les recherches et revenir poser les bonnes questions
Cdlt m6

jdh · Apr 7, 2014, 8:44 AM

Parmi les conseils utiles, le plus important est, certainement, d'apprendre à exposer correctement un problème.

Pour exposer correctement un problème, il faut fournir des informations : ni trop, ni trop peu, (et nitroglycérine comme aurait dit Pierre Dac) !

schéma simplifié
adressage
fonctions des matériels
réglages effectués

Il n'est absolument pas normal que les lecteurs demandent des infos !

Par ailleurs, avec un routeur, il est normal d'imaginer que chaque flux entrant doit être autorisé via un réglage dudit routeur, et cela se fait naturellement via une interface web. Ca c'est basique.

Enfin Seneque dit "il n'y a pas de vent favorable pour celui qui ne sait où il va" : lisez la doc, parcourez les forum pour connaitre les bonnes pratiques et les méthodes.

ccnet · Apr 7, 2014, 10:31 AM

@jdh:

Enfin Seneque dit "il n'y a pas de vent favorable pour celui qui ne sait où il va" : lisez la doc, parcourez les forum pour connaitre les bonnes pratiques et les méthodes.

Si tu ne sais pas où tu vas, tu pourrais bien te retrouver ailleurs.
Proverbe chinois ( :-) ) ou presque.

baalserv · Apr 7, 2014, 11:42 AM

Heu … tous les chemins ne mènent pas à Rome ?

;D * ok je sort * :-X

jdh · Apr 7, 2014, 11:54 AM

@ccnet : Je pense que c'est du Pierre DAC. Comme la remarquable pensée : Rien ne sert de penser, il faut réfléchir avant.

Juste un peu de réflexion (et sans miroir) :

Avec un schéma Internet <-> Routeur <-> (WAN) pfSense (LAN) <-> réseau interne, il parait assez évident que

DCHP sur le routeur est assez inutile si WAN de pfSense est correctement réglé en adressage statique,
tout flux réseau à destination d'un serveur au delà du pfSense (normalement en DMZ) devra "subir" 2 réglages : l'un sur le routeur et l'autre sur le pfSense.

gakoroace · Apr 7, 2014, 2:51 PM

Salut
Désolé de recommencer à vous ennuyer
Voici l'adressage du réseau
Réseau WAN 192.168.0.0/24 gateway: 192.168.0.3
Réseau LAN 192.168.2.0/24 gateway: 192.168.2.3
Serveur web de production: 192.168.2.253

Le Routeur a été paramétré avec les configurations donnés par le FAI( nom d'utilisateur et mot de passe).Un point d'accès wifi est aussi configuré sur le routeur

Le Pfsense joue le rôle de firewall/routeur pour filtrer et router les trafics entrants et sortant du réseau

Le serveur web est le serveur de production sur lequel l'on travaille dans l'entreprise

Mon travail est de permettre à un utilisateur connecté sur le wifi coté WAN de pouvoir accéder au serveur web de production dans le Lan et travailler.

Voici ci-joins les schémas des différents réglages effectués et de l'architecture simplifié du réseau ainsi que les règles de filtrage paramétrés.

![LAN 1.PNG](/public/imported_attachments/1/LAN 1.PNG)
![LAN 1.PNG_thumb](/public/imported_attachments/1/LAN 1.PNG_thumb)

![LAN 2.PNG](/public/imported_attachments/1/LAN 2.PNG)
![LAN 2.PNG_thumb](/public/imported_attachments/1/LAN 2.PNG_thumb)

jdh · Apr 7, 2014, 3:41 PM

Enfin voilà des infos ! On espérait que vous saviez le faire, on aurait aimé que ce soit fait au début.

Devant le WAN de pfSense, il y a donc 2 populations :

les PC sur Internet (donc via le routeur)
les PC sur le Wifi du routeur : "entre le routeur et le WAN".

Sauf si le routeur permet la "reflection", il y a 2 grandes différences entre ces 2 populations qui fait qu'en général, on interdit le Wifi sur le routeur.

pour accéder à un serveur en deçà de pfSense, l'adresse ip (ou le nom) n'est pas la même,
les utilisateurs Wifi ne sont pas protégés par le firewall.

De facto, selon l'origine, il y aura 2 config

config de pfSense, pour les 2 populations,
config du routeur, pour la population sur Internet.

Un flux comme le VPN (OpenVPN=1194/udp) sera possible avec une config au niveau de pfSense et une config au niveau du routeur.
L'accès à votre serveur web interne (LAN) sera possible avec une config au niveau de pfSense pour les seuls utilisateurs Wifi.

Votre config n'est pas parfaite :
Firewall > Rules > onglet LAN : règle 1 (dns), 7 (ntp) à ne pas faire, règle 10 (smtp) et 11 (smtps) à supprimer ou limiter (trop insecure), règle 3 et 4 (http/https) à remplacer par un proxy, règles 5,6,8 et 9 (pop/imap) à limiter (au seul serveur de l'entreprise !).
Firewall > Rules > onglet WAN : règle 1 (openvpn) mauvaise destination, règle 2 (test) et 4 (?) inutile.

Enfin votre réglage du routeur est mauvais (et ne risque pas de fonctionner).

A noter que la règle 2 de Firewall > Rules > onglet WAN n'a guère de sens.

Tatave · Apr 7, 2014, 4:07 PM

salut salut

Au vu du schéma qui me parle mieux sur l'architecture

J'aurais mis un point d’accès derrière le Pfsense coté réseau local et paramétrer le portail captif cela remet en cause la configuration du réseau.

Cela sécurise mieux les accès à votre serveur derrière le Pfsense
Je rejoins jdh dans le faite de rajouter un proxy mais aussi d'utiliser un annuaire pour la partie capive et le vpn.

Comme cela les clients en filaire comme en sans fils pourront avoir accès aux autres services que votre entreprise ( impression / partage de fichier / erp ....)
Et d'autre point seul les clients qui passeront par internet auront a bénéficier des redirections d'adresses de ports qui vont biens a travers le routeur de ton FAI
Pour les VPN je ne suis pas suffisamment calé pour y répondre.
Autre réflexion si vos utilisateurs qui passe par le réseau local ou filaire (via authentification) n'auront pas besoin de vpn si je ne me trompe pas (à confirmer)

Cela est une idée d'évolution et de sécurisation surement pas la meilleur mais légèrement mieux que de passer par le wifi du FAI qui est pour moi pas vraiment sécure.

Cordialement.

gakoroace · Apr 7, 2014, 5:47 PM

Merci pour vos réponses jdh et tatave
Pour jdh

Un flux comme le VPN (OpenVPN=1194/udp) sera possible avec une config au niveau de pfSense et une config au niveau du routeur

.
En effet pour les PC sur internet j'ai prévu de configurer un tunnel VPN avec authentification RADIUS.
je ne sais pas comment faire la config au niveau du routeur.Il s'agit d'un routeur TP LINK TD-W8960N

Firewall > Rules > onglet WAN : règle 1 (openvpn) mauvaise destination

La destination devrait être le réseau LAN

Enfin votre réglage du routeur est mauvais (et ne risque pas de fonctionner).

je n'ai pas bien compris ce niveau

Est-ce que ma règle NAT devrait marcher?

Pour la question de mise au point de portail captif tatavej'y ai pensé mais mon patron a di non

Devrait-je créer le proxy a part ou utiliser le ligthsquid, squid et squidgard de pfsense?
merci de me donner du courage

Tatave · Apr 7, 2014, 7:07 PM

salut salut

si en plus les patrons ou le tuteur mets des battons dans les écrous ou vas ton ;o

une part car il gagnerait en protection et gestion de ces utilisateurs interne comme externe mais cela demande quand même de la gestion au quotidien
d'autre part coté gestion si sera plus lisible de gérer des user nomade (wifi ou internet) ou même fixe (en filaire) avec un annuaire avec un radius (peu importe si c'est du nonose ou du nunux)
le vpn est un tunnel entre un point A et un point B mais qui nous dit que A est bien A pas Y ?

Si vous rajoutez un module à Pfsense "j'entends déjà les grands manitouts du forum râler (a juste titre quand même) "Que cela va alourdir Pfsense et qu il va perdre aussi en efficacité au niveau de la protection "faire une seul chose mais le faire bien" c'est le concept que j'approuve soit dit en passant.

Cela demande quoi ? Cela demande du temps pour conceptualiser la chose alors que prendre un peu de temps et réfléchir sur ce qui leur permettra de gagner du temps par après et sur tout de l'ARGENT / troll on / "CA les patrons, ils aiment ca l'ARGENT" / troll of/.

En terme de cout une machine sous linux qui ne va avoir que cette charge de travail a faire même avec une machine de récupération ( annuaire , proxy, radius, log et vpn) (des distrib clé en main existe aussi , si je me souvient bien SME faisait cela et le web en prime mais elle ne faisait pas le café).

Personnellement je dématérialise mes machines de production et les transformes en machines virtuelles cela est aussi un gains en terme de cout sur le matériel et les licences (sauf nonose et appli sous licences) mais vous n'en êtes pas encore là.

Autre chose en stage il faut aussi être sources de propositions, d'argumentations et ne pas rester un exécutant sans réflexion et imagination.

Sur ce bon courage pour votre stage.

jdh · Apr 8, 2014, 8:18 AM

Votre config n'est pas parfaite :
Firewall > Rules > onglet LAN :

règle 1 (dns), 7 (ntp) à ne pas faire = à supprimer et faire autrement,
règle 10 (smtp) et 11 (smtps) à supprimer ou à limiter (trop insecure) = uniquement vers le smtp de votre fai,
règle 3 et 4 (http/https) à remplacer par un proxy = mettre un proxy si nb pers>15,
règles 5,6,8 et 9 (pop/imap) à limiter (au seul serveur de mail de l'entreprise !).
page suivante : tous à limiter !
Pourquoi autant de ports ouverts ? => a limiter fortement !!!

Firewall > Rules > onglet WAN :

règle 1 (openvpn) mauvaise destination,
règle 2 (test) à supprimer et non sens,
règle 4 (?) inutile.

Enfin votre réglage du routeur est mauvais (et ne risque pas de fonctionner). => Réfléchissez ! Ca NE PEUT PAS fonctionner !

Je me suis donné la peine de lire et de commenter, ce n'est pas pour lire que ce serait faux !