[Résolus]Différents problème configuration pfsense

tosmoth

Bonjour,

Je souhaite installer un pare-feu au sein de l'entreprise dans laquelle je travaille. Je suis en première année de bts en alternance réseau informatique.

J'ai installer pfsense et je l'est configurer mais différents problèmes se pose à moi. Je suis débutant sur pfsense. Cela fais maintenant deux semaines que je recherche une solution à ce problème.

Tout d'abord ma configuration :

Le modem internet est connecté au pare-feu qui lui même est connecté à mon ordinateur portable.

Lan : 10.10.10.254 /24

Wan : 192.168.0.10 /24

Je n'arrive pas à accéder a internet. Quand je fais un ping 8.8.8.8 cela met Destination Host Unreachable. J'ai donc penser à un problème de routes sur l'interface graphique.J'ai essayer différentes config mais cela ne fonctionne pas. J'ai aussi configurer une connecxion en SSH.

Firewall rules :

Wan :

ID Proto Source Port Destination Port Gateway Queue Schedule Description
IPv4 TCP * * WAN address 8022 * none SSH to Firewall on Port 8022
IPv4 TCP * * * * * none

Lan :

ID Proto Source Port Destination Port Gateway Queue Schedule Description
* * * LAN Address 443 80 8022 * Anti-Lockout Rule
IPv4 * LAN net * * * * none Default allow LAN to any rule
IPv6 * LAN net * * * * none Default allow LAN IPv6to any rule

Nat :

If Proto Src. addr Src. ports Dest. addr Dest. ports NAT IP NAT Ports Description

WAN TCP * * WAN address 80 (HTTP) 10.10.10.254 80 (HTTP) http to web server

WAN TCP * * WAN address 22 (SSH) 10.10.10.254 22 (SSH) SSH to web server

J'ai chercher que ce soit sur le forum,différents tuto et sites mais j'ai pas réussi.

Deuxième point :

Lenteur interface graphique pfsense :

C'est la config de pfsense ou le matériel (j'ai mis 4 Gb de Ram sur un pc qui date de 4ans,je l'est formater) à votre avis ?

Troisième point :

Mon patron voulait que notre réseau local soit de l'ordre de 192.168…..
Donc lors de l'installation de pfsense pour le Lan j'ai mis cet adresse. Après cet configuration je n'avait pas accès à l'interface graphique. Donc je ne comprend pas pourquoi pfsense n'accepte pas un adresse tel que 192.168... Mon tuteur qui souhaite que je fasse ce travail sans son aide pense que c'est à cause du fichier etc/conf de pfsense.

Merci

wazadex

Hello,

Pour ton 1er point, commençons par la base :
as tu bien configurer l'adresse ip sur ton pc ? ip + mask + passerelle + dns (passerelle et dns doivent etre l'ip du pfsense) ?
arrives tu a pinger l'ip de ton pfsense (coté lan beinsur) ? si oui le pfsense ping sa passerelle ? (qui doit etre un routeur et non un modem dans ton cas)

Second point,
aucune idée. Peut etre un problème de disque dur.

Troisième point,
quel est l'adressage réseau de ton entreprise ? changer l'adressage réseau complet d'une entreprise, c'est pas simple et ca se prépare.
Sinon pfsense accepte n'importe quel adresse ip (rfc 1918 ou non), mais avais tu bien configuré l'adresse ip sur ton pc (voir 1er point), aussi l'adressage LAN ET WAN doivent être différents, ca ne fonctionnera pas si tu met la même chose des 2 cotés (et je doute que pfsense accepte cela en configuration).

ccnet

Précisons, en remarque liminaire : une installation de base de Pfsense ne pose aucun des problème décrits ci dessus à condition de bien respecter les prérequis.
Plus précisément

Tout d'abord ma configuration :

Le modem internet est connecté au pare-feu qui lui même est connecté à mon ordinateur portable.

Lan : 10.10.10.254 /24

Wan : 192.168.0.10 /24

Vous ne dites rien de la façon dont Wan reçoit son adresse ip. Dhcp ou configuration statique ?
L'adressage est correct et il y a fort à parier que Wan ne possède pas la bonne route par défaut. La réponse à la question qui précède nous éclairera peut être.
Les lenteurs constatées sont anormales et la dans la configuration de la machien (un pc, un serveur ?) la ram n'est pas le seul paramètre.
Il est parfaitement possible de choisir un réseau interne en 192.168.x.0/24 je ne vois pas où est le problème. La procédure de configuration de base de Pfsense pose la question Évitez les habituels 192.168.0. et .1 qui finiront par vous poser des problèmes divers notamment lors de connexions vpn depuis des box grand public. Un 192.168.7.0/24 par exemple. remplacez le 7 par ce que vous voulez sauf 0 et 1.

tosmoth

Tout d'abord merci pour vos réponses. Je me suis mal exprimer. Je vais reprendre par le début.

Le réseau de mon entreprise est constituer comme-ci :

Modem/routeur–-Switch---PCs

Je dois mettre en place un pare-feu pour protéger le réseau donc :

Modem/routeur---Pare-feu---Switch---PCs

Mais pour l'instant pour pas bloquer le réseau pour mes collègues et pour pouvoir configurer tranquillement pfsense je fais comme ceci :

Modem/routeur---Switch---PC
|
|
|
Pare-feu---Mon ordinateur sous xbuntu

Le routeur est en DHCP 192.168.0.0 /24 Le routeur a pour adresse 192.168.0.1

Je dois utiliser une tour comme pare-feu.Je lui est mit 4GB de Ram DDR3 et un disque dur SATA de 1TO.J'ai installer pfsense puis j'ai configurer comme ceci :

Set interfaces IP adress :

1-Wan (re0 -dhcp-dhcp6)

2-Lan (alc0 -static)

J'entre 2

new adress ipv4 : 10.10.10.254

Mask : /24

Ensuite ca me ceci : For a Wan,enter the new ipv4 upstream gateway adress.
For a Lan,press <enter>for none

Je ne peut pas mettre d'adresse de passerelle pour le WAN depuis le tout début

Pour le Lan je met 10.10.10.254

Je ne met rien pour ipv6

Je met oui pour le DHCP

Je met les adresse de début et de fin dhcp : 10.10.10.30 10.10.10.70 (On a que 4 postes)

Je met non pour http

Adresse de mon interface graphique https://10.10.10.254</enter>

chris4916

Question peut-être stupide mais es-tu bien certain que le PC depuis lequel tu fais tes tests (en tant que poste client) n'est pas également connecté au reste du réseau de l'entreprise, soit par cable soit en Wifi ?

depuis pfSense, tu accèdes à internet ?

tosmoth

Non, j'ai désactiver le wi-fi sur mon poste et il n'y a qu'un qu'un port Ethernet ou est brancher le Lan du pare-feu. J'utilise mon ordinateur personnel pour me connecter à internet.

Depuis pfsense je n'est pas accès à internet

chris4916

Si déjà depuis pfSense tu ne vois pas le web… il y a zéro chances que ça marche depuis le client.
Il faut donc commencer par là.

que donne un

netstat -4r

sur le firewall ?

tosmoth

internet
Destination gateway flags netif expire
defaul pfsense ugs alc0
10.10.10.0 link#1 U alco
pfsense link#1 uhs lo
localhost link#5 uh lo
192.168.0.0 link#2 u reo
192.168.0.1 @mac uhs reo
192.168.0.40 link#2 uhs lo

chris4916

effectivement :-
C'est normal que ça ne marche pas car la route par defaut de ton FW, c'est 127.0.0.1 (pfsense lui même)

Je t'invite à corriger la route par défaut .
C'est bizarre que ton serveur DHCP ne pousse pas cette information. As tu changé un paramétrage par rapport à cette route par défaut via l'interface ?

je t'invite à lire ce post ;)

ccnet

C'est normal que ça ne marche pas car la route par defaut de ton FW, c'est 127.0.0.1 (pfsense lui même)

C'était quasi certain. Dans cette situation je recommande une adresse ip wan statique avec le routeur comme passerelle par défaut pour cette interface. Et tout ira bien.

tosmoth

Merci de ta réponse. De base c'était comme ça, toute les routes que j'ai modifier ou créer sont sur mon premier post.Peut-tu regarder et me dire si c'est correct ?

Ensuite quelle adresse dois-je mettre ? Celle du routeur c'est-à-dire 192.168.0.1 ? ou une autre

chris4916

Je n'avais pas bien lu de détail du premier message, un peu rebuté par le format :-\

Le problème, à mon avis, vient de ce que tu as configuré une passerelle par défaut (route) pour le LAN.
Pour faire simple, sur ce type de configuration et d'une manière générale sur un réseau "basique", il n'y a pas besoin de définir de route spécifique et il ne doit y avoir qu'une seule route par défaut.

Ta machine (ici pfSense) hérite de la route par défaut poussée par le serveur DHCP d'où elle tire son adresse WAN.
L'interface LAN n'a pas besoin de route spécifique.

Tous les paquets qui vont arriver sur le FW et qui n'ont pas une adresse sur un des réseau connus de pfSense font être envoyés vers la route par défaut, donc ton routeur en bordure d'internet.

chris4916

Petit complément: il en est de même avec ton PC/poste de travail qui va hériter d'une adresse IP délivrée par pfSense, lequel décrira, sauf paramétrage différent, sa propre adresse LAN comme gateway par défaut pour les machines sur ce réseau.

ccnet

Rien de plus à ajouter. Il faut bien comprendre que Pfsense installe les routes nécessaires dès lors qu'on lui donne les bonnes informations de base. Le seul cas (ou presque) ou l'on doit ajouter manuellement une route se produit lors qu'un réseau n'est accessible ni par la route par défaut et ne fait pas partie des réseaux connectés à Pfsense (donc une carte). La gateway de wan est bien 192.168.0.1.

tosmoth

@ccnet : j'ai entrer l"adresse 192.168.0.1 mais je n'est toujours pas accès a internet

J'ai ceci :

internet
Destination gateway flags netif expire
defaul 192.168.0.1 ugs alc0
10.10.10.0 link#1 U alco
pfsense link#1 uhs lo
localhost link#5 uh lo
192.168.0.0 link#2 u reo
192.168.0.1 @mac uhs reo
192.168.0.40 link#2 uhs lo

@chris4916 : Donc si je te suis il faut que supprime les routes de l'interface Lan sauf celle par défault ?

chris4916

@tosmoth:

@ccnet : j'ai entrer l"adresse 192.168.0.1 mais je n'est toujours pas accès a internet

@chris4916 : Donc si je te suis il faut que supprime les routes de l'interface Lan sauf celle par défault ?

Yes. Comme l'explique ccnet, il ne devrait pas y avoir de route spécifique sauf si tu as des besoins spécifiques, ce qui n'est pas le cas dans le schéma que tu décris.
Il ne doit pas y avoir de route sur l'interface LAN. A quoi cela sert-il ? D'autant que tu as configuré ici pfSense lui même. C'est un peu le mouvement perpétuel que tu viens de créer: le FW envoie les packets via l'interface LAN vers…. le FW qui les reçoit et qui les envoie vers.... bon j'arrête, tu as compris ;)

Dans ton cas, il n'y a RIEN à configurer sauf:

l'interface WAN en DHCP
une adresse fixe pour l'interface LAN
et AUCUNE route ;-)

tosmoth

J'ai supprimer toutes les routes sauf celle pour la connexion en ssh et celle de l'anti-lockout rule. Malheureusement je n'est toujours pas accès à internet. Qu'est-ce-que j'ai louper ? merci encore pour ces informations

chris4916

@tosmoth:

J'ai supprimer toutes les routes sauf celle pour la connexion en ssh et celle de l'anti-lockout rule. Malheureusement je n'est toujours pas accès à internet. Qu'est-ce-que j'ai louper ? merci encore pour ces informations

Désolé mais je ne comprends rien :-[

C'est quoi la route pour la connexion SSH ?
et celle pour l'anti-lockout (qui est pour moi une règle de FW)

Ce dont nous parlons dans les messages précédents, c'est la configuration réseau des interfaces.

Qu'as-tu dans le menu system / routing / gateways et dans system / routing / routes ?

tosmoth

Je me suis mélanger les pinceaux je suis désolé.

Je croyais dans firewall rules.

system/routing/gateway :

gw_lan (defaullt) lan 10.10.10.254 10.10.10.254 interface lan gateway

wan_dhcp wan 192.168.0.1 192.168.0.1 interface wan dhcp gateway

system/routing/gateway : j'ai rien

chris4916

j'imagine que c'est un typo et que la deuxième partie correspond à "routes"

Tu vois bien (je pense) que ta gateway pour l'interface LAN est toujours configurée. Il te faut la supprimer ;-)
Il ne doit rester qu'une seule gateway, celle qui pointe vers 192.168.0.1 pour l'interface WAN

C'est la base du fonctionnement du réseau avec le FW ;)