Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    pfsense sur intranet provider sans accès à internet

    Scheduled Pinned Locked Moved Français
    5 Posts 2 Posters 741 Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • S
      Sephirius
      last edited by

      Bonjour,

      Je tente de mettre en place une solution à base de pfsense ce sur un infrastructure en mutation.
      Ci dessous le schéma de l'infra tel que configurée.

      network_projection.PNG

      Normalement nous avons une adresse ip publique sur chaque site ce qui nous permet de mettre en place un openvpn site to site simple et efficace.

      Dans ce cas, le FAI à mis en place un intranet entre les 2 sites.
      sur le site secondaire, la connexion au routeur FAI va disparaitre. Ce qui va couper la connexion openvpn existante. Le site secondaire n'aura plus d'accès que via la connexion intranet.

      Je dois mettre en place une solution permettant au site secondaire d'envoyer tout le flux internet via le pfsense du site principale tout en conservant un lien entre les 2 lans.

      Le routeur sur le site principal présente 3 pattes (une wan avec un ip publique, une lan vers l'intérieur de l'entreprise et enfin une sur l'intranet).
      Le routeur sur le site secondaire présente 3 pattes (une wan qui va etre coupée, une lan vers l'intérieur de l'entrprise et enfin une sur l'intranet).

      En l'état, si je coupe le vpn pour test, je peu pinguer les portes intranet des routeur pfsense.
      Le vpn coupé je n'ai plus de ping entre les Lan.

      Auriez-vous une proposition ?
      Je n'avais encore jamais rencontré ce cas technique et je suis perplexe.
      il s'agit d'un environnement de production réel.

      Merci

      1 Reply Last reply Reply Quote 0
      • J
        jdh
        last edited by

        Peu clair ! (Merci de décrire les adressages internes privés !)

        Il faut commencer par les routeurs fournis par le FAI et leurs possibilités, Ensuite un schéma nouveau avec des pfSense.

        Ce que je comprends des routeurs fournis par le FAI

        • 2 sites dont 1 principal et 1 secondaire,
        • le FAI fournit un routeur sur chaque site, mais il va y avoir un changement de FAI sur le site secondaire,
        • le FAI fournit en sus un 'vpn implicite' entre les 2 sites (appelé Intranet).

        Le changement de FAI va faire tomber le 'vpn implicite'. Mais comme le routeur su site principal reste actif, inutile d'espérer garder l'adressage du site 2 !!

        Le seul bon schéma est

        • soit le schéma initial
        • soit un schéma avec 1 pfSense par site, lequel dispose de l'ip publique.

        En fait, soit le FAI gère le 'vpn implicite' et il ne faut pas ajouter de pfSense, soit il ne faut pas accepter que le FAI gère le 'vpn implicite'.

        Une bonne façon de faire est de faire modifier le routeur du site principal au moment où le site 2 change de FAI : il doit le comprendre puisqu'il perd le site 2.

        Un schéma usuel est de disposer de

        • un routeur sur chaque site
        • un câble direct entre le port du routeur et WAN du pfSense
        • un adressage interne sur LAN (et distinct par site)
        • un VPN de type Ipsec entre les 2 pfSense.

        (Idéalement le WAN dispose de l'ip publique, sinon, avec une ip WAN de type privée, il faut activer le 'NAT traversal' dans Ipsec.)

        Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

        1 Reply Last reply Reply Quote 0
        • S
          Sephirius
          last edited by

          Bonjour,

          Merci de votre réponse. Je suis tellement dans ce problème depuis plusieurs jours que mes explications sont vagues et mal définie.

          Je détails ci-dessous la configuration avant changement et joint un schéma supplémentaire.
          Le site principal dispose d'un ligne internet avec un routeur cisco fourni par le FAI.
          Sur la porte 0/0 je dispose d'un accès internet avec ip publique. Cette ip est configurée dans mon pfsense et est 215.246.x.x.
          Le site principal présente un LAN en 150.102.0.0/16
          Cette partie fonctionne très bien et je n'ai aucune modification à faire.

          Le site secondaire dispose d'une ligne internet avec un routeur générique et ip publique dynamique.
          Le site secondaire présente un lan en 172.23.0.0/16

          La liaison entre les deux sites est assurée par un vpn.
          Ci-dessous le schéma de la config d'origine
          net_avt_modif.PNG

          Nouvelle configuration suite à un forcing du FAI pour vendre sa solution.

          Sur le site principal le FAI a activé une porte 0/1 avec l'ip 10.10.0.1/24

          Sur le site secondaire le FAI a installé un routeur CISCO avec la porte 0/1 avec l'ip 10.10.1.1/24

          Un VLAN / VPN sous le contrôle du FAI est établie entre les deux routeurs CISCO.
          il faudrait considéré cette connexion comme un câble entre 2 routeurs d'après le support du FAI. Une route permet de joindre les routeurs CICSO entre eux.

          sur le site secondaire l'ancienne connexion avec ip publique va disparaitre.

          Sur le schéma ci-dessous la configuration physique finale.
          Objectif: maintenir un lien entre les lan des deux sites et fournir de l'internet sur le site secondaire a travers l'ip du site principale.

          net_aps_modif.PNG

          N’hésitez pas à me poser des questions pour éclaircir la situation.

          1 Reply Last reply Reply Quote 0
          • J
            jdh
            last edited by

            (Les infos ne sont pas complètes mais ça va progressant ...)

            La situation exposée illustre le cas d'un multi-sites avec une offre opérateur.

            Côté site principal,

            • le routeur offre une ip publique et un réseau local (relié par 'vpn implicite opérateur' à l'autre site),
            • le réseau local est initialement non privé (150.102.0.0/16) : c'est désespérant pour la conscience professionnelle du technicien !
            • le réseau local passe à 10.10.0.0/24 ce qui est déjà plus rationnel (mais j'aurais préféré un 192.168.X./24 plus naturel en /24).

            Côté site secondaire,

            • le routeur n'offre pas d'ip publique !
            • le réseau local est initialement172.23.0.0/16 : est ce raisonnable de voir 65534 machines dans ce réseau ?
            • le réseau local passe à 10.10.1.0/24 : assez logique avec le premier site.

            Les enseignements à tirer :

            • le client doit savoir définir correctement les réseaux internes de chaque site : par exemple, avec des petits sites, 192.168.(departement).0/24 pour une réseau simple sans vlan,
            • un routeur fournira une ip publique sur chaque site, et un firewall pfSense assurera la connexion à Internet et au autres sites via des VPN Ipsec (de préférence à un OpenVpn),
            • il est complexe de changer le n° de réseau (surtout si pas mal de machines sont en ip fixe)
            • il faut éviter de confier trop de choses au firewall, cela facilitera le changement de celui-ci.

            Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

            S 1 Reply Last reply Reply Quote 0
            • S
              Sephirius @jdh
              last edited by

              @jdh

              Je suis tout a fait d'accord avec vous pour le réseau non privé, ceci sera revu lors du remplacement des serveurs.
              Il est souvent délicat de reprendre un infrastructure qui ne respecte pas les standards.
              Vu l'échelle du client, 65 postes réparti sur 2 sites, je qualifierais les deux réseaux de disproportionné.
              Malheureusement un changement en l'état n'est techniquement pas possible et le temps off possible non souhaitable.

              1 Reply Last reply Reply Quote 0
              • First post
                Last post
              Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.