NAT outbond ou 1:1



  • Bonjour,

    Je suis débutant sur pfsense, les cas précédents ne concernaient que du transfert de port et du filtrage.

    Mon nouveau FAI fibre m'a communiqué mes paramètres de configuration:

    IP de mon routeur : 10.A.B.2 / 255.255.255.252 (/30)
    Gateway : 10.A.B.1

    Adresses IP publiques à utiliser pour la NAT (sortant et entrant) :

    185.37.X.Y (/32)
    185.37.X.Z (/32)

    Il y a aussi une DMZ via OPT1 en 192.168.100.0/24 et un lan en 192.168.2.0/24

    Je suis un peu perdu pour procéder à la configuration NAT (1:1 ou OUTBOND ? ) ….
    le pfsense sera en version 2.1.5 le temps de la configuration et des tests (en attendant de changer les cartes ethernet non reconnue en > 2.2).

    Pourriez vous m'aider pas à pas ?

    merci



  • La première question, qui n'est pas posée, est pourquoi avez vous besoin (ou pensez vous avoir besoin) de cette fonctionnalité ?



  • J'avais configuré un pc avec ces paramètres:
    10.A.B.2 / 255.255.255.252 (/30)
    Gateway : 10.A.B.1

    et je ne pouvais pinger que 10.A.B.1 (et pas d'adresse externe, par ex: 8.8.8.8).

    Mon FAI m'a répondu que pour pouvoir sortir sur Internet je devais avoir un routeur qui puisse utiliser une des adresses publiques en NAT sortant, c'est pour cela que je dois configurer ce pfsense.



  • @hwl:

    J'avais configuré un pc avec ces paramètres:
    10.A.B.2 / 255.255.255.252 (/30)
    Gateway : 10.A.B.1

    et je ne pouvais pinger que 10.A.B.1 (et pas d'adresse externe, par ex: 8.8.8.8).

    Je crains que vous n'ayez pas tout compris des bases de l'adressage IP. Il n'y a pas beaucoup de raisons pour configurer un pc avec une ip avec un /30. Ce qui vous arrive est normal puisque la configuration n'est pas la bonne.

    Mon FAI m'a répondu que pour pouvoir sortir sur Internet je devais avoir un routeur qui puisse utiliser une des adresses publiques en NAT sortant, c'est pour cela que je dois configurer ce pfsense.

    1 Pfsense nat automatiquement et dynamiquement les ip du lan vers l'ip de l'interface wan.
    2 Votre réseau lan doit être impérativement distinct de votre réseau Wan.

    Lisez la documentation de Pfsense, je pense qu'elle vous sera d'un grand secours. Je confirme que vous n'avez pas besoin du nat outbound pas plus que 1:1



  • Merci pour votre réponse.
    Les quelques cas où j'ai du installer pfsense étaient plus simple: une IP publique donnée par le FAI en WAN et un LAN et une dmz…

    Le seul matériel installé par le FAI est le transceiver, mon lien vers leur réseau.
    Lors du test avec une config vierge, l'interface wan était configurée ainsi:
    10.A.B.2 / 255.255.255.252 (/30)
    Gateway : 10.A.B.1

    l'interface lan:
    192.168.1.1/24
    et OPT1:
    192.168.100.1

    dans ce cas, l'interface wan pouvait pinger  seulement 10.A.B.1.

    Je pensais devoir utiliser les IP 185.37.X.Y (/32) 185.37.X.Z (/32) en tant qu'Alias ou avec le proxy ARP sur l'interface Wan pour que les paquets entrants et sortants soient du type 185.37.X.Y (/32) 185.37.X.Z (/32). Le NAT était pour ensuite diriger le traffic 185.37.X.Y (/32) vers le lan et 185.37.X.Z (/32) vers OPT1.

    Mais je dois faire fausse route.



  • Cacher les adresses 10.A.B.1 est inutile c'est du réseau privé vous pouvez écrire en clair. Il semble que vos ip publiques soient sur le routeur de FAI et non sur l'interface wan de Pfsense. Comme vous le voyez ce n'est pas le plus simple.
    Les pc du lan seront sur le réseau 192.168.1.0/24 et tout le flux sortant sera translaté en 10.A.B.1 puisque c'est l'ip wan de Pfsense. C'est du moins ce que je comprend de vos explications.

    Le seul matériel installé par le FAI est le transceiver, mon lien vers leur réseau.

    en principe le FAI fourni un routeur ou un modem ADSL ou SDSL …. Je ne comprend pas tout.


Log in to reply