Accès au LAN depuis le WAN pfsense derrière une livebox
-
En complément, voici la règle que j'ai mise "provisoirement" sur le pare-feu PFsense pour pouvoir accéder au LAN depuis le WAN:
c'est sensé autoriser tout mais je suis quand même bloqué :
La connexion de mon PC : il est côté WAN.
aucun ping vers le lan, :
pas d'accès aux partages du lan :
pas de prise de main en bureau à distance...
Test de ping de l'interface LAN vers un poste du LAN => Ok
Test de ping de l'interface WAN vers un poste du LAN => KO
-
Voici un schéma de principe de mon installation ....
Les blocs de couleurs représentent des pièces différentes de la maison. J'ai pris soin de spécifier "-1","RDC","Placard" et "+1" pour identifier les étages et le fait que je n'ai qu'un câble Ethernet qui relie chaque pièce à mon placard où est ma box.
D'où mon pb pour séparer physiquement l'interface LAN et WAN. Pour faire ça il faudrait que je tire un autre câble allant de "-1" à "Placard". Mais si je peux m'en affranchir, cela m'arrangerait. -
Du coup, comme je ne suis pas complètement têtu, j'ai branché provisoirement (avec un câble qui se balade dans la maison... l'interface WAN uniquement sur la box et l'interface LAN sur mon switch N°3, lui même raccordé au N° 2 lui même raccordé au N°1, lui même raccordé au N°4
Donc le schéma de principe devient :
Le reste est toujours identique et ma règle de Pare-feu ne semble pas fonctionner puisque je n'atteins pas le LAN depuis le WAN (mon PC avec lequel je vous écrit est raccordé à la Box en Wifi et est dans le WAN mais je ne ping pas par exemple l'interface LAN du routeur
Les postes qui sont dans le LAN ont bien accès à Internet. Donc encore une fois, LAN->WAN fonctionne.
-
Bonsoir,
alors je continuer à donner de mes nouvelles...
J'ai réussi à basculer le management de mon proxmox côté LAN.
Donc maintenant, j'ai bien 2 réseaux WAN/LAN séparés physiquement et logiquement.
Les difficultés que je rencontre maintenant et qui ne sont pas nécessairement liées à Pfsense :J'ai 2 serveurs virtuels DNS qui sont dans le WAN mais ils ne sortent pas sur Internet. Pourtant, la passerelle et le DNS de ces DNS correspondent bien à l'IP de ma box. (là je vais chercher chez Proxmox même si pour moi on est encore sur un pb réseau)
Hier, (14/05/2020) J'ai réglé ce pb : j'ai modifié les interfaces "logiques" des DNS pour qu'elles s'appuient sur l'interface physique "WAN" (car elles se basaient sur l'interface physique de management de Proxmox et comme j'ai déplacé le management de Proxmox du "WAN" vers le "LAN" forcément, ça a posé des pb pour les DNS qui sont restés dans le WAN... Pb, résolu.- je ne peux toujours pas atteindre le
WANLAN depuis leLANWAN (merci GerJan pour la remarque ) malgré qu'il y ait une règle de pare-feu autorisant tout (cf historique ci-dessus)
-Si quelqu'un pouvait m'aider sur ce deuxième point ? peut-être qu'il manque une route ou quelque chose comme ça ?
Merci d'avance
-
Les images dans ton post en hait sont bien pour électricien, pour qu'il sache comment poser les câbles.
Or, tes soucis ne sont pas électrique ....Donc, a coté des liaisons filaire, radio etc, mentionne les IP, les réseau et leur masque.
Entre temps, j'ai compris que ton Livebox possède le classique 192.168.1.1/24, donc l'interface "WAN"de pfSense possède un 192.168.1.x où x est entre 2 et 254 (10 ?)
Ton LAN (derrière) 'pfSense' est 172.30.0.1/16 Pourquoi le /16 ? Il te faut vraiment 65535 postes sur on LAN ? Un classique /24 ne fait pas l'affaire ?Sache que, pour ton Livebox, toutes les PC's (Phones, Imprimantes, TV's etc) sont des appareils dans son LAN, et ça inclut pfSense. pfSense possède un IP dans la 'plage' LAN de ton Livebox. Mais c'est aussi un router, donc il 'cache' ton un réseau derrière lui - le "172.30.0.0/16"
Pour joindre un appareil dans le LAN de pfSense, il faut ajouter "une route" dans le Livebox qui explique à ce box que
Tous se qui pas destination LAN(Livebox) va être routé vers la patte WAN (autrement dit vers l'Internet). ceci est la route par défaut.
Mais avant ce route, il doit y avoir un route qui dit au Livebox :
Tous ce qui a pour destination "172.30.0.0/16", va vers [le IP WAN de ton pfSense]. Au passage : ça sera bien utile que cet IP WAN-pfSense sera toujours la même (IP / mask / DNS / Gateway statique, à paramétrer dans pfSense, ou MAC DHCP-LEASE, à paramétrer dans le Livebox).Je viens de fouiller dans mon "Livebox Pro v4" (au travail), ce box possède l'option d'ajouter un route :
Je n'ai pas testé - je ne sais pas si c'est correct :Au passage : le route Livebox par défaut (tout vers le net) possède probablement le métrique "1".
Le route que j'ai ajouté possède métrique "0" - il va donc être traité avant la route par défaut.Attention, c'est la version Pro - je ne sais pas si la version 'Maison' saura faire la même chose.
Bien attendu, il faut un règle parafeu coté WAN-pfSense pour que 'tout' puisse entrer.
Tout pour l'instant, plus tard tu pourrait détailler portes et adresses.@willis said in Accès au LAN depuis le WAN pfsense derrière une livebox:
je ne peux toujours pas atteindre le WAN depuis le LAN malgré qu'il y ait une règle de pare-feu autorisant tout (cf historique ci-dessus)
A partir de pfSense ou LAN-pfSense ?
Pourtant, t'as dit que :@willis said in Accès au LAN depuis le WAN pfsense derrière une livebox:
Les postes qui sont dans le LAN ont bien accès à Internet. Donc encore une fois, LAN->WAN fonctionne.
@willis said in Accès au LAN depuis le WAN pfsense derrière une livebox:
peut-être qu'il manque une route ou quelque chose comme ça ?
Noop.
Par défaut, un router pfSense est totalement identique à un Livebox.
Sauf : pas de Wifi, pas de modem ADSL - pas des option 'téléphonique'.Par défaut, pfSense est un appareil plug and play.
(Ok, sauf que : son IP / mask LAN est la êm que la Livebox - donc faut faire bouger un des deux).Ce que j'ai fait moi au travail :
Livebox : coupé téléphone- coupé wifi. IP LAN 192.168.10.1/24.
pfSense WAN 192.168.1.9 - passerelle 192.168.1.1 - Osef le DNS, j’utilise le Resolver de pfSense.
LAN "entreprise" pfSense : 192.168.1.1/24
LAN "clients" (OPT1 ou" CaptivePortal") 192.168.2.1/24
LAN DMZ OPT2 192.168.3.1/24 : pour mes affaires privé.Nulle part besoin d'ajouter une route ou un truc du genre.
pfSense, installé depuis Clé USB marche de suite sans changer quoi que ce soit.A la maison : idem, mais pfSense tourne dans un PC Windows 10 Pro, 2 NIC's, avec Hyper-V.
Le décodeur TV d'Orange est effectivement branché direct sur le LAN de ma Livebox 'maison'. Son Wifi (de mrd) est coupé, J'utilise un AP dans mon LAN - pfSense pour la partage de la protection.J'utilise pfSense partout, ce qui me permet, entre autre autre, d'avoir le IPv6 "qui fonctionne" partout.
Le IPv6 'pour la maison' d'Orange n'est pas mal mais au travail, car j'ai la version "Pro" VDSL, c'est impossible ( ???) -
@willis said in Accès au LAN depuis le WAN pfsense derrière une livebox:
Donc maintenant, j'ai bien 2 réseaux WAN/LAN séparés physiquement et logiquement.
(Fil intéressant car l'initiateur fournit des informations, des schémas, ... mais, faute d'expertise forte, il manque un peu de rigueur.)
2 réseaux vraiment séparés, c'est 2 interfaces réseaux distinctes dans le proxmox.
Et si le proxmox était installé près de la box, le WAN se réduirait à un simple câble RJ. (Ce que je préconise)Par défaut, un pfsense n'a besoin d'aucune route (pour les schémas 'ordinaires' ce qui doit être le cas).
Procédez (et testez) par étapes simples !
- pourquoi 2 dns : la box est LE dns du pfsense, point barre.
- les pc dans le LAN récupère leur adresse via le DHCP du LAN de pfsense (qui leur fournit le dns)
N'espérez pas que 'ça tombe en marche' ...
-
@Gertjan
Un grand merci pour vos informations et pour le temps que vous avez pris à me lire et à répondre. J'y trouve plein d'infos qui vont m'aider je pense.
Je précise un peu en réponse à mon post que j'ai écrit une bêtise.
Ce n'est pas l'accès LAN PFsense vers WAN Pfsense (qui lui même est le LAN de la box) qui ne marche pas car effectivement, depuis le LAN PFsense, j'ai bien accès à Internet.
Par contre, l'accès WAN Pfsense (donc LAN de la Box) vers LAN PFsense ça coince mmalgré ma règle de pare-feu.
Désolé pour la coquille liée à l'heure tardive de mes posts....
Je vais creuser la piste de la route LAN Box vers LAN PFsense (mais sur une box particulier, je ne crois pas avoir cette option...)
Merci encore pour votre aide -
@jdh
Merci beaucoup pour vos remarques.
J'ai bien 2 interfaces physiques sur lesquelles sont rattachées mes interfaces logiques dans Proxmox. J'ai suivi à la lettre le tuto "NetGate" pour virtualiser PFsense sur Proxmox.
Sur les conseils précédents, j'ai bien corrigé et séparé les 2 flux WAN et LAN en installant 2 câbles Ethernet distincts : le WAN de PFsense est raccordé à la Box, et le LAN de PFsense à mes switchs LAN.
Pour répondre la question "Pourquoi 2 DNS" (je reprécise côté WAN de PFSense) et bien au départ, pour avoir une notion de "Failover mode" : je peux éteindre/mettre à jour un DNS pendant que l'autre tourne toujours. (c'est juste pour l'idée de la redondance)
Côté LAN de PFsense, votre remarque "les pc dans le LAN récupère leur adresse via le DHCP du LAN de pfsense (qui leur fournit le dns)" est déjà OK pour moi. cette partie est "tombée en marche" assez facilement d'ailleurs car l'inrerface de Pfsense est très claire.En conclusion, et pour me répéter, il ne me reste qu'à trouver la solution pour pouvoir atteindre (si j'ai besoin) des postes du LAN PFSense depuis le WAN de PFSense.
Pour l'instant ça coince dans ce sens malgré ma règle de pare-feu.
L'explication donnée par "Gertjan" me semble cohérente : si j'ai bien compris, il doit manquer une route dans la LiveBox qui indique aux PC dans le LAN de la Box (donc côté WAN de Pfsense) comment atteindre le LAN de PFsense.
Si j'ai mal compris, désolé, je veux bien être corrigé. -
Et après, j'ajouterai :
- la couche "vLAN",
- la création d'une DMZ pourquoi pas côté LAN de PFSense.
- un point d'accès WIFI dans LAN PFsense (?)
- la migration du décodeur TV Orange côté LAN PFsense (?)
- l'IP v6 sur les 2 réseaux mais je crois que la box le gère déjà donc je risque d'avoir des conflis...
Sur la DMZ, je me pose d'ailleurs la question de l'intérêt :
quelque part, le "Réseau" entre la Box et le PFSense (donc le LAN Box / WAN PFsense) en 192.168.1.0/24 ne constitue-t-il pas en quelque sorte une DMZ ?
-
@Gertjan
Alors après vérification, hélas, dans ma "livebox 5" de particulier, je n'ai pas accès aux règles de routage (c'est d'ailleurs, une des raisons qui m'ont poussé à étudier PFsense)
Dans la partie réseau j'ai les options suivantes
mais évidemment aucune ne permet d'accéder à la création de routes statiques.Autre remarque / réponse que je n'ai pas donnée :
côté LAN PFSense, j'ai configuré un plan IP en 172.30.0.0/16 un peu en prenant exemple sur ce que j'ai au boulot. Je trouve super de pouvoir segmenter le plan d'adressage en fonction des usages par exemple, définir que le 172.30.0 sert pour la partie gestion réseau donc switch/parefeu, le 172.30.1 pour les serveurs, le 172.30.2 pour les PC, les 172.30.3 pour les périphériques, le 172.30.4 pour le management par exemple etc...C'est certain que je n'ai pas besoin de toutes ces IP. Néanmoins, avec des VM, les IP sont vites consommées
Du coup j'ai une autre question sans doute idiote :
Est-ce que définir ce plan IP en 172.30.0.0/16 équivaut à configurer 255 réseaux 172.30.X.0/24 ?
Autrement dit, est-ce que par exemple pour un serveur qui serait sur le 172.30.1, je peux configurer son IP fixe en 172.30.1.10 avec un masque 255.255.255.0 et l'adresse LAN du PFsense : 172.30.0.1 en Gateway ?
Est ce que la communication avec les autres réseaux (172.30.X.0/24) fonctionnera quand même ?
Pour l'instant, j'ai mis le masque en 255.255.0.0 pour rester cohérent.
Je pose cette question car je n'ai pas bien compris à quoi servent les masques de réseau. Désolé encore si ça vous parait trivial. -
Bonjour, je redonne des nouvelles,
j'ai essayé d'avancer sur la piste "définir une route du réseau WAN vers le LAN".
Sur la livebox je ne peux pas configurer de route statique.
J'ai donc voulu "tricher" en définissant l'interface WAN du pfsense comme passerelle de mon pc portable connecté en WIFI dans le réseau WAN.
Techniquement, j'arrive donc à atteindre des postes du LAN moyennant la création des règles de pare-feu adéquat (RDP, SMB, HTTP...) Mais ce que je ne comprends pas c'est que mon pc n'a alors plus accès à Internet.
Pourtant dans PFSense, ma livebox est bien définie comme passerelle par défaut
et sur la configuration de l'interface WAN, l'IP de la livebox est bien définie comme passerelle
Quand je fais un "tracert google.com" depuis mon PC dans le WAN,
Quelqu'un saurait-il me dire pourquoi l'accès internet sur mon pc ne fonctionne pas en procédant de la sorte ?