Mode "bridge" - WAN PPPOE <> LAN
-
Bonjour,
Un brun de contexte, je remplace ma Livebox Fibre par une box PFSense sur laquelle je plug un Google Wifi derrière - pour éviter le double NAT j'ai besoin que la box PFSense se comporte en mode bridge.
La config PFSense du WAN PPPOE et du LAN fonctionne bien, le net marche etc.
Par contre quand je veux passer tout cela en "bridge", je créé une nouvelle interface bridge, je désactive le DHCP du LAN, je gère les régles firewall / NAT outbound.. mais à la fin je n'ai aucune IP qui sort sur le LAN, pas de réseau.Est-ce que quelqu'un aurait des tips / tuto / info ?
Merci !
-
Les débutants doivent lire A LIRE EN PREMIER …
Si vous avez déjà configuré pfsense en WAN PPPOE et que cela fonctionne, c'est que la box est déjà en bridge, et c'est fini.
Bridger WAN et LAN est très exceptionnel, et est idiot si WAN est publique !
(Un brin de réflexion suffit ...) -
Ok, mon problème c'est le NAT, je veux qu'il soit totalement disable pour ne pas avoir de double NAT avec mon routeur qui est derrière PF Sense. Je pensais qu'il fallait créé un "bridge" mais apparement non si je vous suis, très bien.
Du coup quel config sur le NAT dois-je faire pour faire ce passthrough entre mon Wan -> Lan ?
J'ai testé le 1:1 avec une VIP sur le Wan mais ca ne marche pas.Merci.
-
Un schéma semble s'imposer tant les choses ont l'air confuses entre nat, routage et translation.
-
Un schéma semble s'imposer tant les choses ont l'air confuses entre nat, routage et translation.
En effet ;) surtout que cette problématique de double-NAT ne doit probablement exister que pour quelques très rares applications ou machines (au hasard genre PS ou xBox). Ce qui signifie qu'il faut un schéma assez détaillé quand même.
-
En effet un schéma vaut mieux que des mots, le voici:
Donc pour comprendre, l'idée est d'avoir une "passthrough" du Wan vers le Lan, pour ne pas avoir le cas du double NAT entre le PFSense et le routeur Google Wifi.
Merci de votre aide !
-
Quel est l’intérêt du Google routeur ?? pfSense fait ça très bien, non ?
-
Le système de Wifi mesh ne fonctionne que si le Google Wifi est en mode routeur.
Donc je n’ai pas le choix. -
Donc pour comprendre, l'idée est d'avoir une "passthrough" du Wan vers le Lan, pour ne pas avoir le cas du double NAT entre le PFSense et le routeur Google Wifi.
Si je comprend bien l'objectif, j'observe que la solution n'est pas la bonne et que le choix d'un équipement avant d'en avoir évalué les fonctionnalités et son adaptation à l'usage prévu conduit souvent à des problèmes. Prendre les choses dans l'ordre est hautement préférable.
Comme vous n'avez sans doute pas la possibilité de disposer d'ip publiques supplémentaires il va vous falloir vivre avec le double nat.
Rapidement j'ai jeté un œil sur le site Google à propose de ce produit. L'opacité qui entoure le produit ma ferait le balancer directement dans la poubelle la plus proche ou au moins sur le bon coin. Je ne serai pas surpris qu'un jour prochain la CNIL mette Google en demeure de de cesser je ne sais quelle collecte de données … Avis strictement personnel. Et comme c'est du domestique mes observations s'arrêtent là. -
Encore une fois, poser, DES LE DEPART, l'ensemble des données d'un problème est la marque d'un certain respect des lecteurs !
Cas 1 : une box standard
Internet <-> Box <-> LAN
La box contient une ip publique et une ip LAN, il y a donc un niveau de NAT.Cas 2a : une box en routeur, un pfsense, un LAN
Internet <-> Box <-> WAN / pfsense / LAN <-> LAN
Le WAN de pfSense est en adressage privée puisque la box est en routeur.
Il y a 2 niveaux de NAT.
Peut être simplifié si on peut passer la box en bridge (cas 2b)Cas 2b : une box en bridge, un pfsense, un LAN
Internet <-> Box <-> WAN / pfsense / LAN <-> LAN
La box est en bridge donc WAN de pfSense doit récupérer l'ip publique (souvent PPPoE).
On est ramené presqu'au cas 1 : il n'y a qu'un niveau de NAT car la box est 'transparente'.
Mais c'est mieux car on a tout pouvoir sur le filtrage au niveau pfSense.Avec les infos initiales, on pouvait se croire dans le cas 2b mais il était indiqué que pfSense passait en bridge.
Cela n'a aucun sens car souvent LAN comporte plusieurs machines et il n'y a qu'une seule ip publique !Maintenant on a un 'routeur' Google Wifi …
D'après quelques documentations, on comprend qu'il y a, après config,
- un boitier agissant en 'routeur' et devant être connecté par ethernet, ici au LAN de pfsense
- un ou plusieurs boitiers agissant en 'satellite', et avec un fonctionnement 'maillé' (mesh).
On déduit que ces boitiers sont reliés par un autre réseau que le réseau ethernet du 'routeur', créant un NAT.
Bien sur les matériels connectés à des satellites verront tant celles en deçà du routeur que celles au delà, et ... la réciproque ne sera pas vraie !
L'intérêt de la solution est clairement dans la possibilité de roaming automatique entre bornes, mais au prix d'un NAT un peu masqué !
On revient à la différence entre 'routeur wifi' et 'point d'accès' à ceci que Google Wifi propose un système automatique multi-satellites !
On est loin d'une problématique pfsense ...
-
Je confirme qu’on est dans le cas 2b (enfin sans box, l’ONT donne directement l’ip publique au WAN). Le Google Wifi fait retour et à donc un NAT, aucun soucis la dessus, ça ne me pose pas de soucis en soit.
Je voudrais simplement éviter le double NAT avec PFsense qui est devant, en googlant j’avais cru comprendre qu’on pouvait le mettre en mode transparent et donc ne pas avoir cet double NAT…
Je suis étonné que tu semble dire que cela n’est pas possible.
Dans tous les cas ma question est bien lié à pfSense et sa config.Merci.
-
L'équipement qui te sert de pare-feu a forcément une adresse IP externe et une adresse IP interne qui sont différentes, d'où NAT.
Techniquement, tu pourrais configurer un bridge par exemple pour certains VLAN, donc sans NAT, mais ce qui revient à ne plus avoir de pare-feu.
Je ne sais pas ce que fait ce Google Wifi (moi je ne suis même pas allé voir :() mais dans la formulation de ta question, je ne suis pas certain que la problématique soit une question de NAT.
Sauf si ce composant fait lui même office de FW, la problématique doit se poser pour tous les déploiements du monde, sauf pour les inconscients (encore une fois, si ce composant ne fait pas office de FW) qui connecteraient directement ce boitier derrière leur accès internet.Remplace sur ton schéma pfSense par une box quelconque et le problème est le même.
Et si tu mets ta box en mode bridge, ça marche :-)
le pfSense en mode bridge aussi ? => enlève le ;) -
Mon Google Wifi fait en effet office de par feu - je suis passé sur un PfSense car justement ma box Orange ne peut pas passer en mode "bridge" et donc j'ai ce double NAT (ce qui n'était pas le cas avant avec une freebox). Par conséquent je n'ai aucun soucis à couper le FW de PF.
Quel serait la config pour PFsense pour arriver à cela ?
Merci.
-
Si Wan de pfsense est de type PPPoE, c'est que la box est en bridge ! Et on peut observer alors que l'ip de WAN est publique !
On ne peut attendre de Google Wifi un niveau de pare feu équivalent à pfsense …
-
Sur une fibre Orange tu n'a pas besoin de box en fait, le PFSense est directement branché sur un boitier ONT qui lui donne l'IP publique sur le Wan.
Du coup comment je peux configurer PFSense pour que mon google wifi branché directement sur LAN soit "open" sur le Net et que lui seul fasse NAT/FireWall ?
Merci !
PS: Je suis d'accord que PF sense est plus puissant niveau parfeu mais mon Google Wifi suffira largement.
-
Sur une fibre Orange tu n'a pas besoin de box en fait, le PFSense est directement branché sur un boitier ONT qui lui donne l'IP publique sur le Wan.
en effet mais tu ne peux pas y connecter directement ton boitier Google ?
Je ne comprends pas l'intérêt de pfSense dans ce design ?
Comment ce boitier Google est-il déployé ailleurs si il ne supporte pas d'avoir une IP "WAN" autre que l'IP publique s ce n'est pas lui qui fait office de edge router ? Pourquoi vouloir impose pfSense entre les 2 ?Du coup comment je peux configurer PFSense pour que mon google wifi branché directement sur LAN soit "open" sur le Net et que lui seul fasse NAT/FireWall ?
Tu définis un bridge entre l'interface WAN de pfSense et l'interface LAN
Je suis vraiement confus avec ce sujet. Je vais finir par aller voir la doc de ce produit à priori merveilleux ;D
-
Tu remplace ton google router par une borne Wifi Mesh et tu as la sécurisation / routeur par pfSense … c'est un design plus ....normal
-
Je ne peux pas brancher l'ONT directement sur le Google Wifi car c'est du PPPOE (qu'il supporte) mais derrière il faut un VLAN taggé dessus (requirement d'Orange) ce qu'il ne supporte pas.. mais que PFSense supporte très bien.
Pour la partie Bridge c'est ce que j'avais cru comprendre mais je n'ai à priori par réussi à le setup correctement..
Merci !
PS: Je ne souhaite pas changer le Google Wifi par autre chose, trop d'investissement.
-
Je ne peux pas brancher l'ONT directement sur le Google Wifi car c'est du PPPOE (qu'il supporte) mais derrière il faut un VLAN taggé dessus (requirement d'Orange) ce qu'il ne supporte pas.. mais que PFSense supporte très bien.
Probablement aurais tu pu commencer par ça dans ta description :P
Et donc, comment as-tu configuré pfSense de ce point de vue ?
A partir de là, tu peux regarder quel VLAN doit faire l'objet du bridge 8)