Utiliser le CPU de pfSense ? Ajouter MQTT ou PhP sur la machine.

a-DD

Bonjour, je cherche une aide désespéré pour ma conf de pfSense que je ramène a ce schéma simple :

( Réseau de machines physiques dans un environnement domestique , pFsense:Nubuc avec 4 lan)

Wan : 192.168.1.XX (DHCP Freebox)

LAN: Reseau pfSense 192.168.2.1 avec serveur DHCP. => reseau domestique std. (iMac, WiFi, TV … sortie internet std. )

OPT1: Reseau physique 192.168.3.1 avec serveur DHCP et routage VPN (OpenVPN) vers Wan. => reseau sécurisé et libre (avec VPN) accès à tout le Web du Monde

Tout ca marche très bien !!! Sauf que depuis l’intérieur de la machine pfSense le shell (et tous les programmes) si ils partent sur internet vont obligatoirement sortir par le VPN !!
(Dès la mise en route du vpn, la route: "0.0.0.0/1 100.96.0.1 UGS ovpnc1" est ajoutée).

Question : ou chercher mon bug. / comment reserver le VPN au reseau XX3.1. / comment faire pour que le prog MQTTsur le Cpu du pfSense (par exemple) utilise le reseau XX2.1

Merci pour votre aide,

jdh

Il y a des réflexes qui manquent ...

Le firewall n'est pas le lieu pour avoir autre chose que ... le firewall.
Donc pas de MQTT, pas de service à la noix, rien, juste le firewall et les services nécessaires !

PfSense a une interface web sous ... php, donc php fonctionne.
De même n'allez pas imaginez installer un petit site web en php sur le firewall !

Vous avez créé une connexion OpenVpn à un de ces multiples services d'anonymat sur Internet. (Je ne m'interroge pas sur l'intérêt d'une telle connexion, c'est hors sujet, mais chacun peut avoir son opinion sur l'utilisation d'un tel VPN ...) Toutefois 'une route a été automatiquement ajoutée' : il vous appartient de ne pas la rendre automatique, d'une, et, de deux, de créer les règles pour que tel réseau passe par la gateway de ce vpn

a-DD

Re, J'ai posté ici car je pense que le pb est bien un manque de règles mais il y a pour moi qq chose de plus profond, même après avoir enlevé la route "0.0.0.0" du VPN dans netstat un "curl ipinfo.io/json" continu de pointer sur le VPN qui ne marche plus depuis la getway XX3.1 .

Comment font les services internes de mise a jour (par exemple) de pfSense pour dans ce cas ne pas passer par le VPN ? (ou alors il y a un gros PB)

Excuser moi d'avoir parler de services a la noix (MQTT) mais ou parler ?
Cordialement.

ccnet

@a-DD said in Utiliser le CPU de pfSense ? Ajouter MQTT ou PhP sur la machine.:

MQTT

MQTT, pas plus que n'importe quel autre applicatif, n'ont quoi que ce soit à faire sur un firawall.

jdh

Voilà ce qui ne surprendra personne, ccnet confirme ...

"curl ipinfo.io/json" : n'a pas à être exécuté, comme d'autres applicatifs, sur un firewall !

Si vous souhaitez une petite application avec ipinfo.io, créer un serveur (ou une vm) pour ce faire ...

La règle d'or : moins il y aura de choses sur votre firewall, mieux il fonctionnera !

NB : Je ne connais pas ce site (qui est fremium). Ce que je vois, c'est qu'en utilisant ce produit (free ou payant), vous 'risquez' de donner toutes les ip qui communiquent avec votre firewall, ce qui me semble totalement incongru ! (J'ai mis entre apostrophe le verbe risquer mais chacun aura compris ...)

NB : je connais un firewall (commercial) qui fournit la geolocalisation des ip (c'est le seul certifié par l'Ansii). (Il est vrai que le support du produit n'est pas du tout donné ...)

a-DD

Comme dit dans mon premier post c'est un exemple pour expliquer le pb que j'ai ramené a la maison dans un cas simple !! je ne donnerai pas plus d'info sur la config cible mais le mystère reste.

Merci à tous j'ai bien compris qu'il faut se limiter à ce qui marche simplement.
Bye bye à tous.

backL

This post is deleted!