Résolu - Configuration PFSense (et Numericable en mode bridge)

RanmaX

Alors, je corrige.

Pour le test, c'est une vieille astuce pour vérifier les connexions, si une interface sait atteindre l'autre interface, c'est que les paquets peuvent circuler de l'un a l'autre.
Et par défaut savent sortir … mais, ici, c'est un peu l'échec.

Désolé, le "ça ne marche pas" c'est juste tenter d'ouvrir une page web avec la machine configuré sur PfSense.

J'ai retiré DNS Forwarder pour laisser Resolver.
J'ai retiré 127.0.0.1 en cochant la case "Do not use the DNS Forwarder as a DNS server for the firewall "

Désormais, seul les DNS du FAI sont enregistrés.

Status 	up
DHCP 	        up  
MAC address 	         74:de:2b:40:25:3a
IPv4 address 	         81.66.108.102  
Subnet mask IPv4 	255.255.252.0
Gateway IPv4 	        81.66.108.1
IPv6 Link Local 	fe80::76de:2bff:fe40:253a  
ISP DNS servers 	89.2.0.1
                                89.2.0.2
MTU 	1500
Media 	                        1000baseT <full-duplex>In/out packets 	        7676/7742 (645 KB/594 KB)
In/out packets (pass) 	7676/7742 (645 KB/594 KB)
In/out packets (block) 	351/0 (86 KB/0 bytes)
In/out errors 	0/0
Collisions 	0</full-duplex> 

Et le log du pare feu … c'est simple, tout est bloqué (cf l'image jointe).

Pourtant, les règles sont celles par défaut (LAN ouvert et WAN fermé)


chris4916

@RanmaX:

Pour le test, c'est une vieille astuce pour vérifier les connexions, si une interface sait atteindre l'autre interface, c'est que les paquets peuvent circuler de l'un a l'autre.
Et par défaut savent sortir … mais, ici, c'est un peu l'échec.

Je ne comprends pas cette astuce  :-
lorsque sur pfSense, tu fais un "ping 81.66.108.102", tu ne valides absolument pas que 192.168.0.6 lui parle car la commande ping s'exécute localement. Tout au plus tu t'assures que 127.0.0.1/8 sait joindre l'adresse ciblée.

pour valider ce que tu décris, il faut, depuis une machine sur le LAN (et donc pas pfSense lui-même bien sûr  ;)):

• faire un ping depuis cette machine vers l'interface interne (LAN) de pfSense
• si un ping de l'interface WAN

Et encore, comme expliqué précédemment, ceci ne fonctionne que si ICMP est autorisé  8)

Désolé, le "ça ne marche pas" c'est juste tenter d'ouvrir une page web avec la machine configuré sur PfSense.

Donc autant le remplacer par le message d'erreur explicite de ton navigateur, ça sera beaucoup plus clair pour tous.

J'ai retiré DNS Forwarder pour laisser Resolver.

Voila une bonne chose.

J'ai retiré 127.0.0.1 en cochant la case "Do not use the DNS Forwarder as a DNS server for the firewall "

Donc mon explication précédente n'était pas claire  :(  mais je soupçonne que ce soit en fait ta manière de décrire ce que tu configures qui ne l'est pas.
Le but n'est pas que 127.0.0.1 ne soit pas utilisé comme DNS mais uniquement de ne pas définir cette adresse expressément comme DNS car pfSense le fait tout seul par défaut.

Tu devrais, AMHA, décrire uniquement "ce que tu fais" en terme de configuration plutôt que mélanger, d'autant que tes formulations sont parfois confuses, ce que tu configures et ce que tu vois comme résultat.

Et le log du pare feu … c'est simple, tout est bloqué (cf l'image jointe).
Pourtant, les règles sont celles par défaut (LAN ouvert et WAN fermé)

En regardant cet extrait de log, je ne dirais pas "tout est bloqué".

• je ne vois pas de rejet de paquets issus du LAN en direction de port 53 (DNS)  (alors que je suppose que ta machine sur le LAN requête un DNS externe (mais tu ne précises pas ça, sauf erreur)
• je ne vois pas de rejet de paquets issus du LAN en direction d'une adresse IP externe sur le port 80 (HTTP)

en revanche, je vois une machine à l'adresse 10.33.0.1 qui cherche un serveur DHCP  :o :o et je me dis que tu ne nous fais qu'une description très partielle de ta configuration  8)
J'ai du mal à comprendre comment une machine avec cette adresse (RFC1918) peut se trouver coté WAN cohabitant avec une adresse 81.66.108.102

Tu devrais d’abord te soucier de cet aspect au lieu de te focaliser sur le potentiel non fonctionnement du DNS.

RanmaX

Mes excuse pour la formulation, effectivement, je ne suis pas un pro dans le domaine et comme dit précédemment, je découvre PfSense.

Je vais tenter d'être le plus clair possible.

Test de ping depuis une machine cliente configuré pour utiliser PfSense :

C:\Users\ranmax>ping 192.168.0.6

Envoi d'une requête 'Ping'  192.168.0.6 avec 32 octets de
Réponse de 192.168.0.6 : octets=32 temps<1ms TTL=64
Réponse de 192.168.0.6 : octets=32 temps<1ms TTL=64
Réponse de 192.168.0.6 : octets=32 temps<1ms TTL=64
Réponse de 192.168.0.6 : octets=32 temps<1ms TTL=64

Statistiques Ping pour 192.168.0.6:
    Paquets : envoyés = 4, reçus = 4, perdus = 0 (perte 0%
Durée approximative des boucles en millisecondes :
    Minimum = 0ms, Maximum = 0ms, Moyenne = 0ms

C:\Users\ranmax>ping 81.66.108.102

Envoi d'une requête 'Ping'  81.66.108.102 avec 32 octets d
Réponse de 81.66.108.102 : octets=32 temps<1ms TTL=64
Réponse de 81.66.108.102 : octets=32 temps<1ms TTL=64
Réponse de 81.66.108.102 : octets=32 temps<1ms TTL=64
Réponse de 81.66.108.102 : octets=32 temps<1ms TTL=64

Statistiques Ping pour 81.66.108.102:
    Paquets : envoyés = 4, reçus = 4, perdus = 0 (perte 0%
Durée approximative des boucles en millisecondes :
    Minimum = 0ms, Maximum = 0ms, Moyenne = 0ms

Pour le 127.0.0.1 , je ne trouve d'autre moyens de ne pas le retirer qu'en cochant la case.

Et pour l'adresse 10.33.0.1 … je ne sais pas d'où cela vient.
Mon LAN est en 192.168.0.0 et toutes les machines sont en ip statique (sauf la machine cliente de test).

Pour la configuration de PfSense, c'est celle par défaut. Et pour être sur de ça, je vais refaire l'installation à zéro.
Ne connaissant que peu ce pare feu, je n'ai pas pris la liberté de modifier quoi que ce soit.

La suite peut être ce soir et merci de votre patience.

ccnet

Avant de réinstaller pouvez vous faire les tests demandés complets ?
L'étape suivant serait un ping 216.58.211.99 (une des ip de www.google.fr) puis ping www.google.fr.
Avec les résultats nous serons fixés sur la nature du problème. Il est important d'être méthodique et de comprendre.

Les logs sont curieux et laissent effectivement penser que votre description est incomplète. En TCP il n'y a que de l'ip V6 et en udp  V4 il y a ce trafic DHCP sur un réseau qui n'est pas le votre.
Etes vous certain de la configuration des règles sur Lan ?

chris4916

@RanmaX:

Pour le 127.0.0.1 , je ne trouve d'autre moyens de ne pas le retirer qu'en cochant la case.

Certes mais il ne s'agit pas de l'enlever absolument. Il s'agit juste de ne pas le définir expressément car pfSense l'ajoute par défaut.

Et pour l'adresse 10.33.0.1 … je ne sais pas d'où cela vient.
Mon LAN est en 192.168.0.0 et toutes les machines sont en ip statique (sauf la machine cliente de test).

ma remarque va faire un peu "tatillon" mais cette IP en 10.33.0.1 ne parle pas au LAN. C'est dans le log du FW coté WAN et c'est bien ce qui est inquiétant.
Cette précision est importante: sans ce niveau de finesse (LAN vs. WAN) la lecture des logs devient très difficile  :P

Puisqu'une machine en interne est autorisée à parler à l'interface externe de pfSense et que la route pour l'atteindre est valide, il n'y a pas de raison de ne pas arriver à joindre une machine ailleurs sur le web, sauf si pfSense n'est pas la vraie interface physique entre le LAN et le WEB (par exemple un autre composant tel que le boîtier Numericable qui aurait une fonction autre qu'une simple passerelle.

RanmaX

Voici les tests :

Ping depuis l'outil PfSense et l'interface WAN

PING 216.58.211.99 (216.58.211.99) from 81.66.123.79: 56 data bytes
64 bytes from 216.58.211.99: icmp_seq=0 ttl=54 time=24.115 ms
64 bytes from 216.58.211.99: icmp_seq=1 ttl=54 time=22.932 ms
64 bytes from 216.58.211.99: icmp_seq=2 ttl=54 time=21.941 ms

–- 216.58.211.99 ping statistics ---
3 packets transmitted, 3 packets received, 0.0% packet loss
round-trip min/avg/max/stddev = 21.941/22.996/24.115/0.889 ms

Ping depuis l'outil PfSense et l'interface LAN

PING 216.58.211.99 (216.58.211.99) from 192.168.0.6: 56 data bytes

–- 216.58.211.99 ping statistics ---
3 packets transmitted, 0 packets received, 100.0% packet loss

Ping depuis l'outil PfSense et l'interface WAN

PING www.google.fr (173.194.67.94) from 81.66.123.79: 56 data bytes
64 bytes from 173.194.67.94: icmp_seq=0 ttl=46 time=25.673 ms
64 bytes from 173.194.67.94: icmp_seq=1 ttl=46 time=28.372 ms
64 bytes from 173.194.67.94: icmp_seq=2 ttl=46 time=26.625 ms

–- www.google.fr ping statistics ---
3 packets transmitted, 3 packets received, 0.0% packet loss
round-trip min/avg/max/stddev = 25.673/26.890/28.372/1.118 ms

Ping depuis l'outil PfSense et l'interface LAN

PING www.google.fr (173.194.67.94) from 192.168.0.6: 56 data bytes

–- www.google.fr ping statistics ---
3 packets transmitted, 0 packets received, 100.0% packet loss

Je me suis penché sur le boitier Numéricable.
En mode bridge, son adresse est 192.168.100.1, sur d'autres articles, il est précisé que si des services ont été configurés, ce mode bridge n'est pas un vrai bridge car il peut bloquer des ports.
Je n'ai jamais configuré de service mais par acquis de conscience, je vais remettre en configuration d'usine et remettre en bridge.
Je réaliserais de nouveau les tests et reviendrais vous donner les résultats une fois ce problème résolu.

chris4916

1 - ce que montrent ces tests, c'est qu'un niveau DNS, la résolution de nom fonctionne  ;)

2 - ça montre également que la suite va être très difficile car, sauf erreur de ma part, suite à pratiquement chaque message lors duquel tu décris quelques tests, tu signales également que tu vas reconfigurer ceci ou cela. Du coup, nous ne sommes jamais à périmètre constant pour analyser ce qui se passe en collectant des informations autres que le ping  ;D  Difficile donc de t'aider efficacement dans ces conditions  ::)

3 - pour ma culture personnelle, je veux bien que tu m'expliques comment tu fais pour faire un

Ping depuis l'outil PfSense et l'interface LAN

Tu devrais essayer, au delà du ping, de nous montrer les routes sur les clients  ;)

jackos

@chris4916:

3 - pour ma culture personnelle, je veux bien que tu m'expliques comment tu fais pour faire un

Ping depuis l'outil PfSense et l'interface LAN

c'est Diagnostics|Ping voir image

je suis pas un spécialiste (corrigé moi si je me trompe) mais tant que le ping du lan de pfsense ne ping pas google c'est pas la peine d'essayer de configurer les clients ou les rules de pfsense

RanmaX

Je n'ai rien fais sur PfSense, j'ai juste remis le routeur en paramètre d'usine puis de nouveau en bridge.

De nouveau je tente de faire un ping avec l'outil de test "ping" dans PfSense mais, si cela fonctionne dpuis la patte WAN, , depuis la patte LAN de PfSense, le ping ne mène nul part :

PING 216.58.211.99 (216.58.211.99) from 192.168.0.6: 56 data bytes

–- 216.58.211.99 ping statistics ---
3 packets transmitted, 0 packets received, 100.0% packet loss

En essayant un tracert sur le client windows configuré sur PfSense (via DHCP), le résultat est qu'il ne sait pas résoudre le nom d'hôte.
En essayant avec l'IP de Google, la requête atteint le serveur PfSense mais ne sait pas aller plus loin.

Donc, quoi que soit les test, il apparait clair que la configuration de PfSense est mauvaise.
Il sait communiquer avec l'extérieur depuis sa patte WAN mais, impossible de faire transiter une information depuis le LAN.

Pour preuve, même la mise à jour de PfSense ne trouve pas le chemin :

Downloading new version information…done
Unable to check for updates.
Could not contact pfSense update server https://updates.pfsense.org/_updaters/amd64

Il y a donc bien quelque chose à configurer dans PfSense permettant de laisser passer le LAN vers le WAN … mais j'en reviens au point de départ, je ne sais pas ce qu'il faut configurer.

Voici la config par défaut pour les règles du parefeu en image jointe.

chris4916

avec les outils de pfSense, peux-tu montrer les routes en IPV4 stp ?

RanmaX

Je ne suis pas sur de comprendre ce que tu demandes mais, voici ce que j'ai fait :

Menu Diagnostic > Routes (l'image en pj)

chris4916

oui c'est très bien comme ça.
Si tu lis bien ce tableau, il te dit que la passerelle par défaut, c'est l'adresse LAN de pfSense. Si depuis le LAN tu cherches à joindre l'extérieur, il n'y a rien qui va sortir car pfSense, par défaut, va essayer depuis le LAN au lieu du WAN.

C'est, ceci dit, très étrange si, comme je le suppose, tu as configuré pfSense avec le WAN en DHCP, ce qui lui ferait hériter de la passerelle fournie par le serveur DHCP de Numericable. Bien sûr à condition que tu ne définisses pas toi même manuellement une autre passerelle, ce qui n'aurait pas de sens.

Mais comme tu ne dis pas grand chose de ce que tu configures…  :-X

RanmaX

En fait, justement, je n'ai rien configuré, c'est une installation fraiche sans paramètres particuliers.

Mais pour vous faire une idée, voici les infos dans les images jointes.
J'ai pu lire que sorti de l'installation, on peut déjà aller sur internet.

Visiblement, j'ai mal lu ou alors, il me manque des billes pour la configuration.

J'aimerais faire de la configuration ensuite, affiner les règles du FW mais … tant que le client ne peut pas aller sur le web, je n'ai pas grand chose à affiner.
L'objectif est d'héberger à la maison un serveur de partage de fichiers (Synology), un serveur web et un serveur mail.

Mais avant de permettre l'accès à mon réseau, j'aimerais à minima le protéger par un routeur F.W. et de ce que j'ai lu, PfSense est le plus complet.
Je compte même utiliser le Captive Portal et affiner les règles d'accès au web pour les enfants avec horaire et protection contre les sites qu'ils ne devraient pas découvrir avant qu'ils soient ados.

Les serveurs sont prêt et fonctionnel via le routeur Asus sur un autre réseau (vous pouvez remarquer la différence entre l'ip Wan de PfSense et l'ip affiché sur mes posts).

Maintenant, comment et où dois-je configurer PfSense pour permettre de traverser le LAN et passer dans le WAN ?

Merci de votre patience.

RanmaX

J'ai oublié les passerelles ^^
(configuré par PfSense)

chris4916

Je ne sais pas à quoi correspond la configuration "par défaut" mais il est évident, à la lecture de ces copies d'écran, que ça ne peut pas marcher.
Il ne peut y avoir qu'une seule gateway par défaut et dans ton cas, ce doit être celle associée à l'interface WAN.

• Sur l'écran des interfaces, il ne devrait pas y avoir de gateway pour le LAN
• sur l'écran des gateways, la gateway par défaut devrait idéalement être WAN_DHCP

Bref, avec ce que tu montres, zéro change que ça fonctionne  :-X  mais j'ai du mal à comprendre pourquoi une installation "par défaut" de pfSense ferait ce genre de configuration. Ceci étant, c'est tellement naturel que lorsque j'ai configuré le mien, j'ai peut-être corrigé à la main  ???

Le coté positif, c'est que maintenant qu'on a autre chose que "ping + je reconfigure et je vous tiens au courant", on sait pourquoi ça ne marche pas  8)

RanmaX

Merci, si j'avais su qu'il fallait des copies d'écran, j'aurais commencé par ça ^^

L'installation par défaut, c'est lorsqu'on met l'iso de PfSense, on lui donne l'ip LAN et on met DHCP en WAN et ensuite, il configure tout seul.
En fait, c'est le résultat que j'ai après "l'auto-configuration" de PfSense.

Comme tu l'as indiqué, j'ai mis par défaut le Gateway en WAN_DHCP et j'ai retiré la passerelle pour le LAN (cf image en pj).

Et après de nouveau un test de ping, même résultat, ça ne passe pas.
Alors j'ai suivit un vieux conseil : dans le doute, reboot.

Et désormais, ça fonctionne.
Le test de ping sur google.fr depuis le LAN m'affiche un résultat satisfaisant et ma machine cliente de test affiche les pages internet.

Merci encore de votre patience et mes excuses de nouveau pour ma méconnaissance dans ce domaine.
Je vais pouvoir notifier ce "détail" dans ma procédure.

Si je saisi bien, pas de passerelle pour le LAN et la route principale doit permettre d'atteindre le WAN dans l'écran Gatreway.

Et pour le DNS, désormais, je vais pouvoir installer Bind afin d'en avoir un complet.

Merci encore et bon courage pour l'aide que vous apportez aux autres (je sais combien ça peut être … rageant parfois).

chris4916

@RanmaX:

Et pour le DNS, désormais, je vais pouvoir installer Bind afin d'en avoir un complet.

Je ne suis pas certain que ça présente un grand intérêt, en tous cas sur la machine pfSense.

chris4916

@RanmaX:

Merci, si j'avais su qu'il fallait des copies d'écran, j'aurais commencé par ça ^^

Ce n'est pas tant une question de copie d'écran qu'une question d'expliquer ce qui est configuré.
La difficulté, c'est que le niveau d’explication à fournir dépend qu niveau de compréhension technique de celui qui explique (et de ceux qui tentent de comprendre de quoi il en retourne).

Du coup, s tu ne sais pas qu'avoir 2 passerelles "par défaut" sur la même machine n'a pas de sens, ce n'est bien sûr pas quelque chose que tu vas mettre en avant dans tes explications  8)

RanmaX

Bind serait C'est pour la gestion de nom de domaine.
Je comptais utiliser PfSense comme serveur DNS esclave (ou primaire, je ne suis pas encore sur de ce point).

Mais si tu trouves que ce n'est pas la bonne machine pour ça, j'utiliserais un autre serveur (c'est pas ce qui manque dans mon lan).

Et effectivement, sur le coup, ça ne me paraissait pas étrange … désormais, je saurais où regarder ;)

chris4916

@RanmaX:

Bind serait C'est pour la gestion de nom de domaine.

en tant que DNS publique ?
Si c'est pour un DNS interne uniquement , Resolver ou Forwarder sont normalement suffisants sauf si tu as des besoins un peu spéciaux.
C'est clair que pfSense n'est absolument pas fait pour gérer un DNS publique mais est-ce bien ton besoin ?

Mais si tu trouves que ce n'est pas la bonne machine pour ça, j'utiliserais un autre serveur (c'est pas ce qui manque dans mon lan).

Si tu as un besoin de "vrai" DNS et que tu as plein d'autres serveurs, Bind sur une autre machine c'est mieux. Surtout que vu ton niveau de compréhension des mécanismes réseau, tu risques d'avoir des surprises à faire autre chose sur pfSense que le strict minimum, même si techniquement ça va fonctionner sans problème.