[résolu] Rien ne passe en trafic entrant sur réseau local
-
Bonjour à tous,
Mon réseau @home
WAN1 : Livebox Orange 192.168.6.1
WAN2 : BBox Bouygues192.168.5.1
PfSense : 192.168.6.2 (et 192.168.5.2) version 2.4.4 - 192.168.1.1 sur LAN
LAN : 192.168.1.0/24
DMZ : NON
WIFI : 192.168.10.0/24
Autres interfaces : NON
Règles NAT : Oui (plein!!)
Règles Firewall : Tout le trafic LAN et WIFI est autorisé
Packages ajoutés : NONE
Autres fonctions assignées au pfSense : Fail over sur les 2 box et Load balancing
Présents sur réseau local : 1 NAS Synology DS216J 192.168.1.23 + 1 autre NAS Synology DS216J 192.168.1.92Configuration :
J'ai un serveur dédié hébergé en externe que je sauvegarde tous les soirs sur le NAS sur le LAN en 192.168.1.23
Le NAS 1.23 est sauvegardé tous les jours sur le NAS en 1.92
Le NAS en 1.23 a aussi un serveur CALDAV/CARDAV avec agenda et carnet d'adresse qui se répliquent sur tous mes appareils (mobiles avec DAVx5, ordi, etc.)
Le NAS en 1.23 héberge aussi une messagerie et un petit site web avec un FQDNLes deux box sont configurées pour rediriger le trafic entrant sur les ports nécessaires vers le boitier PfSense.
J'ai créé des règles NAT sur PfSense pour rediriger le trafic entrant en provenance des box (192.168.5.1 et 192.168.6.1) et les mêmes ports vers le NAS en 192.1681.23
Sur le pare feu LAN tout est autorisé.
Problème : le pare feu bloque quand même tout le trafic entrant vers les ports qui ont été ouverts sur le pfsense alors que des règles autorisant le trafic ont été créées sur WAN1 et WAN2.
Après avoir perdu un peu patience j'ai été dans les journaux du PF et autorisé chaque flux entrant bloqué mais y en a beaucoup!!! Et ça ne change rien. Il prend un autre port en source vers le port qui était ouvert en destination.
Bref, mes agendas et calendriers ne synchronisent plus, plus de mails depuis le nas, plus de site, impossible d'accéder au NAS depuis l'extérieur et l'adresse IP publique (fixe) et mes sauvegardes plantent car le serveur externe ne trouve pas sa cible.
Pour info j'ai remplacé mon routeur ASUS BRT-AC828 par le PfSense pour avoir un peu plus de sécurité et maîtriser ce qui se passe sur mon réseau. Tout marchait bien avant et maintenant TROP de sécurité et rien ne fonctionne (ah si... j'ai internet hahaha)!!!
Qu'est ce que j'ai oublié????
Merci pour votre aide!!! -
Pouvez vous poster une de vos règles ?
Je ne suis pas certain que vous ayez bien compris l'anatomie d'une règle. Il devrait n'y avoir que Any en port source, sinon vous n'y arriverez pas.Il prend un autre port en source vers le port qui était ouvert en destination.
Ce qui est parfaitement normal.
maintenant TROP de sécurité et rien ne fonctionne
Le problème n'est pas trop de sécurité mais semble être plutôt pas assez de connaissances.
-
Bonjour et merci pour votre réponse.
Je confirme que mes connaissances en pfsense sont extraordinairement limitées mais pour le reste ça devrait aller; le système précédent fonctionnait bien... C'est en forgeant... Mais je ne peux pas me permettre de ne pas avoir accès à mon réseau donc ce soir, si pas de solution, l'Asus remonte et pfsense placard :)
Pour les règles, j'ai tout ouvert mais rien ne passe car je n'ai toujours accès à rien depuis l'extérieur comme le montrent les copies jointes. J'ai ajouté une redirection de port vers 5001 sur le NAS donc en tapant https://176.xxx.xxx.x:5001 je devrais arriver sur mon serveur. Ben non...
-
Rien de ce que vous avez configuré ne peut fonctionner correctement simplement parce que le fonctionnement du produit n'est pas compris et celui d'un firewall en général non plus.
Sur Wan1 :
L'ordre des règles n'est pas bon. Il faut avoir en tête que ce qui n'est pas explicitement autorisé est interdit.
Les règles 2 et 3 ne servent à rien.
La règle 5 avec le nat devrait être juste après le blocage des ip non assignées par Iana. Et cela devrait suffire. Si le nat est correct.
La règle 4 est dangereuse et doit être éliminée.Sur Wan 2
Vos box sont en ip privées. Vous bloquez les ip TFC 1918. Rien ne peu passer. Toutes les règles qui suivent ne servent à rien et ne sont jamais appliquées.Sur Lan
Je ne sais pas à quoi correspond le port 15975. Je n'en vois pas l'utilité. Peut être que cela peut tomber en marche.Il est donc parfaitement normal que vous n'ayez aucun accès de l'extérieur.
-
@ccnet merci