Pas d'accès internet sur Interface OPT1
-
Bonjour,
J'ai un problème d'accès externe sur mon interface OPT1.
Voici ma structure réseau
BOX (192.168.0.1) –---- WAN PF (192.168.0.2)
|
|
--------- LAN PF (192.168.1.1)
--------- OPT1 PF (192.168.2.1)J'ai bien accès à internet sur l'interface LAN via les règles de firewall pour cette interface mais pas sur l'interface OPT1 alors que j'ai mis les mêmes règles de firewall (adapté pour l'interface OPT1 bien sûr ;D )
J'ai fini par mettre uniquement 2 règles pour l'interface OPT1 : any pour toutes les communications TCP/UDP et any pour le protocole PING.
Malheureusement je n'ai toujours pas d'accès internet.Depuis l'interface OPT1, voici les pings que j'arrive à faire
- 192.168.2.1 : OK
- 8.8.8.8 : OK
- www.google.fr : OK
Cela veut dire que je sors bien sur internet avec des serveurs DNS qui répondent mais quand je fais www.google.fr dans un navigateur..... ça marche pas...je ne comprends pas mon problème.
Merci d'avance
-
Salut salut.
Si sur lan ca fonctionne c'est que ces règles sont bonne, lan>wan.
En partant de cet état de fait , recopier les règles sur opt1 en adaptant a votre opt1 les règles de lan.Pour l'accès de l’extérieur il y a mult tuto qui explique comment faire pour le lan ou d'autre interface.
A vous de vous documenter, et ne passez pas pour un piaf qui attend la béqué dans son nid.++
-
le protocole PING.
Ping est une commande, le protocole est icmp. Celà dit, pouvez vous activer les log sur les règles présentes sur Opt1 et nous dire ce qu'ils racontent après une tentative d'accès à www.google.fr. Les logs vous donnerons peut être directement la solution.
-
Malheureusement je n'ai toujours pas d'accès internet.
Depuis l'interface OPT1, voici les pings que j'arrive à faire
- 192.168.2.1 : OK
- 8.8.8.8 : OK
- www.google.fr : OK
Cela veut dire que je sors bien sur internet avec des serveurs DNS qui répondent mais quand je fais www.google.fr dans un navigateur….. ça marche pas...Sans vouloir être tatillon, tu accèdes bien à internet mais peut-être pas au web ;)
Sémantique mise à part, depuis quelle machine fais tu le test qui montre que tes ping fonctionnent ?Si c'est depuis le serveur pfSense lui même et que tu as juste choisi l'interface de sortie, ce test n'est pas valide.
Il faut faire le test depuis une machine qui est sur le réseau OPT1 (ta description des conditions de test n'est pas assez précise pour comprendre si c'est le cas ou pas)
Par ailleurs, "ça marche pas…." c'est trop vague ::) as-tu un message d'erreur ?
Regarder les règles de firewall, comme le suggère tatave, c'est une bonne idée mais comme tu décris que tu as déjà tout ouvert, ça ne va pas servir à grand chose, sauf si erreur de syntaxe, à te focaliser là dessus ;)
Il y a d'autres aspects qu'il faut regarder:
- est-ce que la passerelle par défaut des machines sur le réseau OPT1 est bien l'interface OPT1 de pfSense
- quid du DNS pour ces machines ?
- comment est configuré ton DNS sur pfSense pour cette interface ?
Bref, il n'y a pas que les règles de FW ;)
-
Bonjour,
Merci pour vos différentes réponses je vais essayer d'être plus clair dans mes explications.
–-----------Tatave-------
Si sur lan ca fonctionne c'est que ces règles sont bonne, lan>wan.
En partant de cet état de fait , recopier les règles sur opt1 en adaptant a votre opt1 les règles de lan.Pour l'accès de l’extérieur il y a mult tuto qui explique comment faire pour le lan ou d'autre interface.
A vous de vous documenter, et ne passez pas pour un piaf qui attend la béqué dans son nid.J'avais bien indiqué dans mon message que j'avais recopié les règles en les adaptant sans résultat.
Pour l'accès externe, je parle des communications sortantes. J'ai quelques règles NAT entrant pour le réseau LAN qui fonctionnent sans soucis.
Merci pour la comparaison à un piaf….. je ne pensais pas me faire crépir de la sorte en postant sur ce forum.... si je poste sur ce forum c'est que j'ai déjà pas mal cherché. je concède, vous n'êtes pas sensé savoir que je ne suis pas un newbie dans le domaine. Pas un expert non plus mais j'ai quelques connaissances qui m'ont déjà permis de mettre en place des FW dans le cadre de mon travail.
Merci quand même pour ta réponse.-------------ccnet-------
Ping est une commande, le protocole est icmp. Celà dit, pouvez vous activer les log sur les règles présentes sur Opt1 et nous dire ce qu'ils racontent après une tentative d'accès à www.google.fr. Les logs vous donnerons peut être directement la solution.
Effectivement, pour le protocole ICMP, j'ai été un peu vite dans l'écriture du post…
Concernant les logs, j'ai déjà activé les logs sur les règles OPT1, je vois bien que tous les paquets sont acceptés et que ma tentative de connexion sur www.google.fr est traduite par son adresse IP (ce qui implique la partie DNS fonctionnelle).-----------chris4916----------
depuis quelle machine fais tu le test qui montre que tes ping fonctionnent ?
Les ping ont été réalisés depuis une machine connecté directement sur l'interface OPT1.
Il y a d'autres aspects qu'il faut regarder:
- est-ce que la passerelle par défaut des machines sur le réseau OPT1 est bien l'interface OPT1 de pfSense
- quid du DNS pour ces machines ?
- comment est configuré ton DNS sur pfSense pour cette interface ?
J'ai configuré un DHCP sur l'interface OPT1 et celui ci me donne bien un adresse sur ma machine dans le scope défini ainsi q'une passerelle et un DNS qui correspond à l'adresse de l'interface OPT1 : 192.168.2.1
Concernant la configuration du DNS pour cette interface, qu'elle information souhaites-tu??Merci pour toutes vos réponses
-
Comment voulez-vous être aidé
- sans mettre une copie de vos règles ?
- sans une description PRECISE des tests et résultats de ceux-ci ?
(C'est la raison pour laquelle certains ont recommandé une présentation basé sur A LIRE EN PREMIER …)
Il est notable que, pour un PC,
- si ping fonctionne comme on l'attend,
- si la résolution dns fonctionne comme on l'attend,
- le fonctionnement anormal d'un navigateur semble, alors, plutôt lié à la config du navigateur !
En particulier, une suppression + réinstallation du navigateur peut être un conseil utile ...
PS : vos interlocuteurs font AVEC CE QUE vous fournissez comme présentation ...
-
Concernant la configuration du DNS pour cette interface, qu'elle information souhaites-tu??
Ce n'est pas tellement l'information que "je" souhaite ;) mais des informations que je te donne pour que tui puisse investiguer dans des directions susceptibles d'être la cause du problème que tu rencontres.
Ce que je voulais t'expliquer, c'est que si tu arrives à faire un ping mais que que tu n'accèdes pas au web alors que les règles de FW autorisent tout, il se peut que ce soit un problème de DNS.
Il se peut également que ce soit un problème de proxy mais il est probablement plus efficace de prendre les points un par un…
-
Depuis l'interface OPT1, voici les pings que j'arrive à faire
- 192.168.2.1 : OK
- 8.8.8.8 : OK
- www.google.fr : OK
Cela veut dire que je sors bien sur internet avec des serveurs DNS qui répondent mais quand je fais www.google.fr dans un navigateur….. ça marche pas...Salutation Othis,
Essaye de créer une règle sur l'interface "OPT1" autorisant le "TCP/UDP" depuis "OPT1 net" vers "any" uniquement sur le port 53, tu à peux etre un blocage à ce niveau la,
Bien à toi.
-
Concernant le DNS, il est à conseiller d'avoir une seule machine interne qui réalise les requêtes DNS pour toutes les machines du réseau.
Ce peut être pfSense (qui a ses propres règles d'accès), ce peut être un serveur Windows (contrôleur de domaine).
Il est donc à éviter d'écrire une règle qui donne un accès dns à n'importe quelle machine du réseau (sauf la machine qui a ce rôle).
-
@jdh:
Concernant le DNS, il est à conseiller d'avoir une seule machine interne qui réalise les requêtes DNS pour toutes les machines du réseau.
Ce peut être pfSense (qui a ses propres règles d'accès), ce peut être un serveur Windows (contrôleur de domaine).
Il est donc à éviter d'écrire une règle qui donne un accès dns à n'importe quelle machine du réseau (sauf la machine qui a ce rôle).
Certe, quand ça marchera il aura tous loisir de limiter ses règles de mettre en place un DNS interne ou autre, pour le moment il n'a pas forcément intérêt à "sertir" quelques choses de non fonctionnel, ^^
Si l'essaie n'est pas concluant par contre, il devra supprimer la règle.