Problème internet sur un sous reseau
-
Bonjour,
Je viens vers vous car je ne comprend pas trop d'ou viens le problème.
Contexte : milieu pro (petite entreprise), niveau expertise de l'administrateur moyen, age de la solution firewall récente.
Besoin : Une connexion internet double Wan (Failover) pour 2 sous-réseau (Réseau admin + réseau poste clients).
Réseau admin : Vlan 10 (serveur DC) 192.168.0.x
Réseau client : Vlan 20 (poste client) 192.168.1.xSchéma :
Wan (Bridge) –--> ---> 192.168.0.200 (Passerelle VLAN 10)
PFsense ------> 192.168.1.254 - Switch HP (Passerelle par défaut 192.168.1.254 - 2 VLAN ; Inter Vlan activé
Wan2 : IP DMZ 192.168.8.1 ; Passerelle 192.168.1.254 ----> ---> 192.168.1.200 (Passerelle VLAN 20)Question : Lorsque je veux accéder à internet depuis le réseau Admin (Vlan10), cela ne fonctionne pas, par contre pour le reseau client -->ok.
Test effectuer internet sur réseau client --> ok.
Ping depuis PFsense vers réseau 192.168.0.x --> ok.
Route static 192.168.0.x vers passerelle 192.168.1.200 --> ok. (Peut être la mon erreur ?)
Ping depuis réseau vers 192.168.0.x vers 192.168.1.x --> ok, mais pas pour l'adresse passerelle 192.168.1.254 (Pfsense).Si quelqu'un peut me guider ou me lancer sur une piste ?
Merci.
-
Bonjour,
Trop confus pour pouvoir vous aider, merci de faire un schéma (graphique) plus explicite avec les adressages.
Quand à la route statique il est clair que vous n'en avez pas besoin.
Vlan : aucunes info sur les configurations, dhcp , dns, gw, …
Multi-wan : load-balancing ?, fail-over ? répartition manuelle du trafic ?
Règles de fw sur les Vlan ?
cdt
EDIT :
Multi-wan:
D'une façon usuelle, on crée des ''pool'' de gateway (1gw=1wan), bien souvent avec 2 lignes 3 pool conviennent pour arriver à une répartition correcte du trafic sur les lignes :1 pool load-balancing soit les 2 gw configurer en tiers 1
2 pool en fail-over soit les gw configurer en tiers 1 & tiers 2 -> 1x Fo A-B et 1x Fo B-AIl ne reste plus qu'à sélectionner le pool qui conviens dans les propriétés avancer des règles de fw
Vlan:
Des règles de fw précises et bien ordonner sont fondamentales lors de l'utilisation des Vlans ; à ce niveau il est quasi impossible d'avancer en ''tatonant'', les règles doivent être mûrement préparer avant de ce lancer dans les divers test de la plate-forme.
Pour rester dans les us et coutumes : les 1ère règles sont généralement des règles d'interdiction ^^Pour conclure, des règles trop simplistes et/ou trop générale ne ferons que vous compliquer la vie (fonctionnement aléatoire et/ou non attendu) et fausser vos tests.
-
Pour rester dans les us et coutumes : les 1ère règles sont généralement des règles d'interdiction ^^
C'est une question de choix de design et de pratique.
Pour ma part, j'ai une approche un peu différente qui consiste à dire: "tout ce qui n'est pas expressément autorisé est interdit"
Dès lors, il n'y a souvent qu'une seule règle d'interdiction, placée à la fin, et précédée des éventuelles règles d'autorisation. -
Bonsoir,
Pour plus de precision :
Je débute avec PFsense.
L'idée de l'utilisation de PFsense est surtout de mettre en place un Failover WAN, etant donné que l'on a un acces 4g pour le debit et que cela reste une techno nouvelle, donc mise en place d'une ligne ADSL en secours.
Voici le schéma voir image jointe.
Le VLAN est gérer par le switch HP procure.
Avant, avec une livebox Orange, et la mise en place du route statique, cela fonctionnait.
Les règles du FW, pour le test, sont full Pass.
Le Failover fonctionne, le problème se situe juste au niveau de l’accès internet depuis la Vlan Manage.
-
En regardant ce schéma, j’avoue ne pas comprendre cette histoire de route.
Tu ne dis pas dans quel VLAN se situe le segment qui est entre ton switch HP et pfSense.
le VLAN 20 fonctionne probablement car le plan d'adressage couvre l'adresse interne de pfSense.Du coup, il n'y a pas de problématique de fail-over au niveau WAN mais plutôt une incompréhension, je pense, au niveau de la configuration des VLAN sur le switch HP et sur l'interface interne de pfSense.
-
Bonjour chris4916,
En effet peut etre une incompréhension.
Le PFsense est branche sur le switch avec le port Untagged VLAN 20 (reseau client) et Tagged VLAN 10 (Réseau Manage).
Y a t il une doc pour expliquer comment paramétrer PFsense au niveau VLAN ?
Merci.
-
Bonjour,
Pour rester dans les us et coutumes : les 1ère règles sont généralement des règles d'interdiction ^^
C'est une question de choix de design et de pratique.
Pour ma part, j'ai une approche un peu différente qui consiste à dire: "tout ce qui n'est pas expressément autorisé est interdit"
Dès lors, il n'y a souvent qu'une seule règle d'interdiction, placée à la fin, et précédée des éventuelles règles d'autorisation.Si j'utilise des Vlan c'est que j'ai un besoin d'isolation des segments, certaines règles on besoin d'avoir ''any'' en destination donc je commence par isoler les segment de façon à ce que aucunes trame non désirer ne se promène au mauvais endroit :) d’où les règles d'interdiction au début ^^
Tu ne dis pas dans quel VLAN se situe le segment qui est entre ton switch HP et pfSense.
Le segment entre switch et pf ne doit soit se trouver dans aucun des Vlan car le port du switch devrait être configurer en ''Trunk'' afin de permettre aux Vlan d'avoir un itinéraire vers le routeur/fw
le VLAN 20 fonctionne probablement car le plan d'adressage couvre l'adresse interne de pfSense.
Du coup, il n'y a pas de problématique de fail-over au niveau WAN mais plutôt une incompréhension, je pense, au niveau de la configuration des VLAN sur le switch HP et sur l'interface interne de pfSense.
Exact mais pourquoi ? ???
Dans le cadre de l'utilisation de Vlan, il ne faut pas attacher d'adresse IP à la carte Eth supportant les Vlan !
Il faut par contre que pf ai une ip dans chaque Vlan, cette ip sera la gw des postes/serveurs situer dans ce segment!L'idée de l'utilisation de PFsense est surtout de mettre en place un Failover WAN, etant donné que l'on a un acces 4g pour le debit et que cela reste une techno nouvelle, donc mise en place d'une ligne ADSL en secours.
Personnellement, tant qu'à avoir la 2ème ligne dispo et fonctionnelle je ferai du LB pour certains protocole qui le supporte; ce qui ne nuit nullement au fonctionnement du FO en parallèle.
Avant, avec une livebox Orange, et la mise en place du route statique, cela fonctionnait.
Je suis curieux de comprendre exactement ce qui fonctionnait avant et comment ?
Les règles du FW, pour le test, sont full Pass.
Vous n'avez visiblement pas compris la fin de mon précédent post ^^
Cdt
-
En effet peut etre une incompréhension.
Le PFsense est branche sur le switch avec le port Untagged VLAN 20 (reseau client) et Tagged VLAN 10 (Réseau Manage).
Y a t il une doc pour expliquer comment paramétrer PFsense au niveau VLAN ?
La doc en ligne de pf accessible à l'aide des raccourcis situer sur les pages de l'interface web de votre routeur.
Le mieux étant : pFsense The Definitive Guide
Je l'ai en version papier depuis plusieurs années, il est basé sur pf 1.2.3 mais reste valable pour une énorme partis de la v 2.x .
Le fonctionnement des Vlan y est très bien expliquer, aucune différence majeure avec la V 2.x et en plus il y est documenter comment configurer votre switch HP procurve :) -
Besoin : Une connexion internet double Wan (Failover) pour 2 sous-réseau (Réseau admin + réseau poste clients).
Réseau admin : Vlan 10 (serveur DC) 192.168.0.x
Réseau client : Vlan 20 (poste client) 192.168.1.xUne configuration plus simple, claire et que maitriseriez plus facilement serait l'usage de deux cartes physique au lieu de Vlan.
Je confirme ce qu'indique Ballserv pour le lien entre le switch et Pfsense : celui ci doit être un trunk.
Le montage de Vlan sur une crate physique de Pfsense a été décrit mainte fois sur ce forum. Notamment ne pas monter un Vlan directement sur la carte physique mais monter 2 Vlans, l'interface physique n'étant pas utilisé pour un sous réseau. Cela nécessite le plus souvent un redémarrage.