[clos] Pfsense 2.3 fraichement installé : aucun traffic LAN->WAN
-
Je n'ai lu qu'en diagonale ton long post et ce que je vois, c'est que tu arrives, depuis le LAN, à faire un ping sans soucis.
Ton extrait de log et les règles de FW que tu montre sont "intéressants" :- à mon sens, il n'y a pas de raison de ne pas bloquer ce qui viendrait sur la patte WAN, sauf si tu héberges des services sur le LAN
- la règle qui autorise sur le WAN ce qui est a destination du LAN en 192.168.0.0/24 ne sert à rien: si tu héberges un service sur le LAN, il faut faire un forward depuis l'IP WAN de pfSense (sauf si tu as des machines sur le segment WAN qui auraient une route vers le LAN avec comme gateway l'IP WAN de pfSense mais c'est un peu tordu.
la seule vraie surprise du log, c'est des broadcast depuis une machine Windows en 192.168.1.3 (donc sur le WAN)
-
est-ce que la reformulation "courte" du problème, ce n'est pas :
" j'arrive à faire des ping mais le browser n'accède à aucun site " ? -
Salut saut
Est ce que cela te le fait avec tous les navigateurs quelques soit l'os ?
autre piste, faire une install via la 1.2
-
faire un installation propre et tes param de base voir si tu passe sur le web depuis le lan
-
faire une monté de version par les packages à la main, entendre par la les télécharger et les uploader via l'iso update ou usbstick update https://www.pfsense.org/download/mirror.php?section=updates
-
faire les tests si passe mieux
si l'upgrade de la 1.2 à 2.3.1 ne se fait pas correctement, télécharge l'une des version 2.xx et refait les tests.
Je suis persuadé que cela vient d'une librairie ou une merdouille qui ne se pose pas correctement.
Cordialement.
-
-
- à mon sens, il n'y a pas de raison de ne pas bloquer ce qui viendrait sur la patte WAN, sauf si tu héberges des services sur le LAN
- la règle qui autorise sur le WAN ce qui est a destination du LAN en 192.168.0.0/24 ne sert à rien: si tu héberges un service sur le LAN, il faut faire un forward depuis l'IP WAN de pfSense (sauf si tu as des machines sur le segment WAN qui auraient une route vers le LAN avec comme gateway l'IP WAN de pfSense mais c'est un peu tordu.
la seule vraie surprise du log, c'est des broadcast depuis une machine Windows en 192.168.1.3 (donc sur le WAN)
hop. Je n'ai encore paramétré aucune RULE/NAT autre que celle montrée au dessus juste pour que WAN ne soit pas en BLOCK all.
Sinon j'ai un certain nombre de rules car effectivement j'héberge un certain nombre de services sur le LAN (HTTP/SFTP/MAIL/VNC/SSH/etc.) pas sur le WAN car je veux bien sûr que seuls les ports ouverts sur ces services soient exposés ;)pour le braodcast 192.168.1.3 ne pas en tenir compte c'est un serveur NAS branché à la Bbox qui me sert à lire des vidéo via DLNA pour portables/tablettes/tv/playstation, j'ai un certain nombre d'appareils directement sur la bbox (tv,playstation,nas, décodeur C+) et je n'ai pas exposé cela car c'est hors de propos pour mon problème, donc oui dans les logs ont voit des remontées de machines depuis 192.168.1.x ;)
-
est-ce que la reformulation "courte" du problème, ce n'est pas :
" j'arrive à faire des ping mais le browser n'accède à aucun site " ?ça aurait pu, mais je n'arrive pas à ouvrir un tunel VPN vers un de mes sites distants, pas de FTP, pas de SSH, pas de VNC, rien quoi :)
-
Salut saut
Est ce que cela te le fait avec tous les navigateurs quelques soit l'os ?
testé sous opensuse / Suse Linux entreprise / Debian quels que soient les navigateurs et accessoirement clients FTP/VNC/MAIL
autre piste, faire une install via la 1.2
-
faire un installation propre et tes param de base voir si tu passe sur le web depuis le lan
-
faire une monté de version par les packages à la main, entendre par la les télécharger et les uploader via l'iso update ou usbstick update https://www.pfsense.org/download/mirror.php?section=updates
-
faire les tests si passe mieux
si l'upgrade de la 1.2 à 2.3.1 ne se fait pas correctement, télécharge l'une des version 2.xx et refait les tests.
Je suis persuadé que cela vient d'une librairie ou une merdouille qui ne se pose pas correctement.
Cordialement.
Ok, il me reste peu de temps avant déplacement sous peu, il faut que je récupère tous les ISO de 1.2 à 2.3, vais voir si c'est encore possible. Je ne pense pas avoir le temps de faire cela avant mon départ :/
-
-
Salut salut
Fait de ton mieux.
On se tient au courant ^^
cordialement.
-
ça aurait pu, mais je n'arrive pas à ouvrir un tunel VPN vers un de mes sites distants, pas de FTP, pas de SSH, pas de VNC, rien quoi :)
Pas tout à fait rien puisque ICMP passe….
Que FTP ne marche pas, je ne suis pas surpris.
Pour HTTP, c'est quand même surprenant... surtout avec un comportement pareil qui ressemble à un problème de route plutôt qu'à un problème de FW.
Lorsque tu fais ces tests, ton premier FW (en 1.2) est bien déconnecté du réseau ? :-X -
En effet puisque les interfaces LAN & WAN ont la même IP histoire que je ne m'amuse pas à reparamétrer les clients à chaque fois.
-
Bonjour,
Perso, je ferais un test en baissant le MTU à 1492 voir moin (même si liaison filaire avec la box).
Si j'ai bien suivi, le wan est un dungle eth/usb, avez vous tester avec un autre modèle (drivers + ou - compatible ?)
Le netbook doit surement embarquer une carte wifi ? Pour test, vous pouvez la configurer en wan.
-
C'est une bonne idée. Merci.
-
Bonjour
franche rigolade il y a 5 minutes après 3h d'énervement :
J'installe PF 1.2 : ne reconnait pas la carte réseau Realtek integrée et encore moins le dongle USB
Je passe à la version 2.0.1 : idem
v2.1 : interface réseau OK mais même pas de NSlookup depuis PF
V2.2 : idemje fais une bête manipulation que je n'avais pas encore faite jusqu'a présent : j'assigne le LAN sur l'USB et le WAN sur l'eth intégrée : pas mieux et même pire :
Alors que je peux pinguer la patte réseau sur USB, je ne peux même plus avoir accès au webconfigurator de PF ?!!
En gros cette cochonnerie ne laisse passer que l'icmp et j'en perd mon latin. (quand PF était en 2.3.1 nslookup passait) Un problème de drivers je suppose (adaptateur eth vers USB "Edimax" http://www.edimax.fr/edimax/merchandise/merchandise_detail/data/edimax/fr/network_adapters_usb_adapters/eu-4208/ )Au moment où je vous écris je DL PF2.3 pour pouvoir tester LAN sur eth et WAN sur Wifi … (car PF 2.2 ne me voit pas l'interface wifi).
dingue ...
-
PF 2.3 installé
LAN (eth) et WAN(wifi) configurés et … je vous écris en passant à travers ce PF.Donc navré pour tout ça, c'était l'adaptateur USB qui était en cause, pourtant j'en utilise deux autres sur mon réseau et ils fonctionnent correctement (pas sur du BSD cependant ;) )
Merci à tous pour avoir jeté un oeil attentif.
-
Bon, ça n'aura pas tenu longtemps. Freeze du netbook quand trop de trafic passe entre le LAN (ethernet) et le WAN (wifi).
Solution en cours de test : Netbook sous WinXP + VMWare server + Pfsense vitualisé (pour pouvoir utiliser le dongle USB). -
Un bon vieux desktop PIV de récup peut facilement monter à 1 ou 2 go de ram, 1 ou 2 carte réseau en pci et vous avez une bonne machine pour un usage domestique ;)
-
Solution en cours de test : Netbook sous WinXP + VMWare server + Pfsense vitualisé (pour pouvoir utiliser le dongle USB).
C'est quand même bien compliqué pour faire juste un FW :-X
Sans aller jusqu'au P4 qui est probablement à la fois surdimensionné et très consommateur d'énergie pour cet usage (mais si tu en as un sous la main, pourquoi pas), tu trouveras assez facilement des plate-formes type Geode LX800 ou équivalent pour faire un FW à moindre cout.
-
Compliqué et peu sûr par construction. En plus des solutions mentionnées ci dessus, un watchguard Firebox avec Pfsense fait aussi l'affaire. On en trouve facilement d'occasion.
-
En effet ma "solution" est riche
cependant : Win XP + VM server supporte les deux interface eth (intégrée+USB)
Win XP est peu consommateur de ressources (SP3 + services inutiles désactivés = 100Mo ram @full charge, 640 avec VM server (Tomcat))Pour un netbook en Atom 1.66GHz/2 Go Ram il rend le service demandé et c'est tout ce que je lui demande.
Couplé à une multiprise IP que je peux controler à distance, plus un onduleur partagé avec un portable en céléron @650 qui me sert de serveur web et au vu de la conso électrique/service rendu, je suis satisfait !
