Résolu - Configuration PFSense (et Numericable en mode bridge)
-
En fait, justement, je n'ai rien configuré, c'est une installation fraiche sans paramètres particuliers.
Mais pour vous faire une idée, voici les infos dans les images jointes.
J'ai pu lire que sorti de l'installation, on peut déjà aller sur internet.Visiblement, j'ai mal lu ou alors, il me manque des billes pour la configuration.
J'aimerais faire de la configuration ensuite, affiner les règles du FW mais … tant que le client ne peut pas aller sur le web, je n'ai pas grand chose à affiner.
L'objectif est d'héberger à la maison un serveur de partage de fichiers (Synology), un serveur web et un serveur mail.Mais avant de permettre l'accès à mon réseau, j'aimerais à minima le protéger par un routeur F.W. et de ce que j'ai lu, PfSense est le plus complet.
Je compte même utiliser le Captive Portal et affiner les règles d'accès au web pour les enfants avec horaire et protection contre les sites qu'ils ne devraient pas découvrir avant qu'ils soient ados.Les serveurs sont prêt et fonctionnel via le routeur Asus sur un autre réseau (vous pouvez remarquer la différence entre l'ip Wan de PfSense et l'ip affiché sur mes posts).
Maintenant, comment et où dois-je configurer PfSense pour permettre de traverser le LAN et passer dans le WAN ?
Merci de votre patience.
-
J'ai oublié les passerelles ^^
(configuré par PfSense)
-
Je ne sais pas à quoi correspond la configuration "par défaut" mais il est évident, à la lecture de ces copies d'écran, que ça ne peut pas marcher.
Il ne peut y avoir qu'une seule gateway par défaut et dans ton cas, ce doit être celle associée à l'interface WAN.- Sur l'écran des interfaces, il ne devrait pas y avoir de gateway pour le LAN
- sur l'écran des gateways, la gateway par défaut devrait idéalement être WAN_DHCP
Bref, avec ce que tu montres, zéro change que ça fonctionne :-X mais j'ai du mal à comprendre pourquoi une installation "par défaut" de pfSense ferait ce genre de configuration. Ceci étant, c'est tellement naturel que lorsque j'ai configuré le mien, j'ai peut-être corrigé à la main ???
Le coté positif, c'est que maintenant qu'on a autre chose que "ping + je reconfigure et je vous tiens au courant", on sait pourquoi ça ne marche pas 8)
-
Merci, si j'avais su qu'il fallait des copies d'écran, j'aurais commencé par ça ^^
L'installation par défaut, c'est lorsqu'on met l'iso de PfSense, on lui donne l'ip LAN et on met DHCP en WAN et ensuite, il configure tout seul.
En fait, c'est le résultat que j'ai après "l'auto-configuration" de PfSense.Comme tu l'as indiqué, j'ai mis par défaut le Gateway en WAN_DHCP et j'ai retiré la passerelle pour le LAN (cf image en pj).
Et après de nouveau un test de ping, même résultat, ça ne passe pas.
Alors j'ai suivit un vieux conseil : dans le doute, reboot.Et désormais, ça fonctionne.
Le test de ping sur google.fr depuis le LAN m'affiche un résultat satisfaisant et ma machine cliente de test affiche les pages internet.Merci encore de votre patience et mes excuses de nouveau pour ma méconnaissance dans ce domaine.
Je vais pouvoir notifier ce "détail" dans ma procédure.Si je saisi bien, pas de passerelle pour le LAN et la route principale doit permettre d'atteindre le WAN dans l'écran Gatreway.
Et pour le DNS, désormais, je vais pouvoir installer Bind afin d'en avoir un complet.
Merci encore et bon courage pour l'aide que vous apportez aux autres (je sais combien ça peut être … rageant parfois).
-
Et pour le DNS, désormais, je vais pouvoir installer Bind afin d'en avoir un complet.
Je ne suis pas certain que ça présente un grand intérêt, en tous cas sur la machine pfSense.
-
Merci, si j'avais su qu'il fallait des copies d'écran, j'aurais commencé par ça ^^
Ce n'est pas tant une question de copie d'écran qu'une question d'expliquer ce qui est configuré.
La difficulté, c'est que le niveau d’explication à fournir dépend qu niveau de compréhension technique de celui qui explique (et de ceux qui tentent de comprendre de quoi il en retourne).Du coup, s tu ne sais pas qu'avoir 2 passerelles "par défaut" sur la même machine n'a pas de sens, ce n'est bien sûr pas quelque chose que tu vas mettre en avant dans tes explications 8)
-
Bind serait C'est pour la gestion de nom de domaine.
Je comptais utiliser PfSense comme serveur DNS esclave (ou primaire, je ne suis pas encore sur de ce point).Mais si tu trouves que ce n'est pas la bonne machine pour ça, j'utiliserais un autre serveur (c'est pas ce qui manque dans mon lan).
Et effectivement, sur le coup, ça ne me paraissait pas étrange … désormais, je saurais où regarder ;)
-
Bind serait C'est pour la gestion de nom de domaine.
en tant que DNS publique ?
Si c'est pour un DNS interne uniquement , Resolver ou Forwarder sont normalement suffisants sauf si tu as des besoins un peu spéciaux.
C'est clair que pfSense n'est absolument pas fait pour gérer un DNS publique mais est-ce bien ton besoin ?Mais si tu trouves que ce n'est pas la bonne machine pour ça, j'utiliserais un autre serveur (c'est pas ce qui manque dans mon lan).
Si tu as un besoin de "vrai" DNS et que tu as plein d'autres serveurs, Bind sur une autre machine c'est mieux. Surtout que vu ton niveau de compréhension des mécanismes réseau, tu risques d'avoir des surprises à faire autre chose sur pfSense que le strict minimum, même si techniquement ça va fonctionner sans problème.
-
Merci pour ton franc parlé.
Effectivement, je n'aurais pas de mal à te parler ordinateur, configurations d'une machine ou d'un parc de machine, site web et hébergeur et gestion d'un Active Directory (voir d'un Ubuntu) mais le réseau externe, même si je connais les principes de bases et que je me débrouille en LAN … le WAN, les DNS et tutti quanti ... c'est pas tout à fait mon point fort.Mais justement, j’apprends et j'avance sur le souhait d'avoir un réseau protégé et accessible par l'extérieur (pour le web, le mail, avoir mon propre DNS et accéder à mes machines de n'importe où).
Merci du conseil, je vais donc me pencher sur un DNS ailleurs.
-
Si l'idée est de disposer de ton propre nom de domaine (publique), il te faut, techniquement, absolument un DNS publique.
Mais là où tu as de la chance, c'est que tu ne peux pas déposer toi même ce nom de domaine auprès de l'IANA. Il te faut passer par un registar et celui-ci te fourni normalement l'interface pour gérer, sur ses propres serveurs, le domaine que tu as acquis.
De ce fait, tu n'es pas contraint de déployer ton propre serveur de nom publique.En interne, pour du serveur web, Resolver est suffisant.
Je ne suis pas certain par contre que la gestion d'enregistrements type MX (si tu veux un serveur de mail) soit accessible directement via l'interface sans gérer des options un peu spécifiques. -
Pour les noms de domaines, effectivement, c'est via le regitrar et on peut y modifier les entrées pour que les flux conduisent vers le serveur web.
De même pour le serveur mail, il suffit d'ajouter les entrées MX vers le bon sous domaine, lui même dirigé vers le serveur web (et son ip publique).Ce côté là fonctionne aussi déjà et, je vais peut être en rester aux redirections, vous avez raison.
Après tout, c'est le début, je vais déjà tenter de cerner, comprendre et mieux utiliser ce que j'ai déjà avant de me lancer à la conquête du web :p
-
Ce côté là fonctionne aussi déjà et, je vais peut être en rester aux redirections, vous avez raison.
D'autant que, si je comprends bien, ce dont nous discutions, c'est des serveurs hébergés chez…. un hébergeur et non pas sur ton LAN (ou une DMZ)
L'intérêt d'un serveur Bind, dans ce cas, est vraiment marginal voire nul, sauf à décrire chez ton registrar que le serveur DNS faisant foi pour ton domaine est ton propre serveur DNS, ce qui est prématuré (et peu utile pour des services externes uniquement) -
En fait, justement, tout est chez moi.
Mais les redirections depuis le registrar me permettent d'accéder aux serveurs à la maison.
Maintenant, il faut juste ouvrir les accès via PfSense pour les machines dédiés. -
En fait, justement, tout est chez moi.
hum…. sauf le DNS non ? (je parle là du DNS publique qui permet de pointer sur ton IP publique depuis internet)
-
Effectivement, sauf le DNS qui est celui de iKoula. :)
Merci encore pour vos conseils et désolé d'avoir dévié du sujet principal :)
-
Bonjour RanmaX
J'ai exactement la même problématique que toi:
Je suis sur Numericable et j'ai mon modem Numericable CBV734EW en mode bridge qui tourne depuis plusieurs années avec un routeur Asus RT-N66U reflashé avec le firmware Merlin. Ca fonctionne parfaitement bien.
J'ai acheté un boitier pfSense (SG-4860) et impossible d'obtenir la moindre page web. Ca fait plusieurs jours que je me prends la tête à obtenir la connectivité de base.
Pourrais-tu stp poster une capture d'écran de tous tes écrans configs (WAN, LAN, gateways, DHCP, DNS) tels qu'ils sont configurés maintenant après cette longue phase de resolution ici sur le forum? Ca m'aiderait énormément et me permettrait d'être certain d'avoir une config à priori opérationnelle avant de demander de l'aide supplémentaire ici.
Comme toi, j'ai également un Synology (vu nos configs quais similaires il sera sans doute intéressant d'échanger a l'avenir aussi) :)
Grand merci à l'avance
-
Le problème de Ranmax était assez simple (et ça ne nécessite probablement pas de copie d'écran ;)):
- il ne peut y avoir qu'une seule passerelle par défaut sur la machine.
Si tu configures pfSense avec ton interface Numericable en mode "bridge", ton serveur pfSense devrait hériter des paramètres DHCP fournis pas Numericable, y compris DNS et gateway.
Si tu t'assures qu'il n'y a pas d'autre gateway configurée au niveau de pfSense et que pfSense est bien le serveur DNS des machines sur le LAN, ça doit marcher sans problème (à défaut d'avoir des settings très évolués en terme de FW) -
Je regarde ca ce soir merci :)
-
Bon ca fonctionne enfin!! :)
J'ai laissé le modem éteint 5 mins cette fois (au lieu de 30 secondes)
J'ai enlevé les 2 entrées manuelles de DNS Numericable et le MAC spoofing de mon modem.
Je suis enfin en ligne. Maintenant les vrais challenges commencent :)
Mes premières questions vont arriver sous peu…
-
Merci de créer un nouveau fil pour vos questions en détaillant vote configuration complètement dès le premier post.