Navigation

    Netgate Discussion Forum
    • Register
    • Login
    • Search
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search

    Redirection vers une passerelle determinée via les rules

    Français
    4
    14
    2347
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • P
      pmora33 last edited by

      Bonjour à tous

      Je vous sollicite afin que vous m'aidiez a comprendre la gestion des gateway en multiwan

      Dans un précédent post https://forum.pfsense.org/index.php?topic=117351.msg650132#msg650132 , je demandais comment gerer plusieurs routeurs wifi

      J'ai donc crée VLAN , interface fait quelques règles comme décrit

      Et crié victoire un peu tôt  :-\

      En effet j'ai crée plusieurs règles sur mon interface nommée "Wifi" autorisant http, https,dns  …

      Chacune de ces règles désigne une gateway OVH

      Je m'attends donc à rediriger les flux en question vers cette connexion OVH or lorsque je regarde l'ip publique , il ne s'agit pas d'une ip ovh mais SFR (ma gateway par defaut)

      Donc pas de redirection vers la passerelle en question

      Y'a t'il autre chose à configurer en dehors des règles ?

      Les règles sont correctes car si je les inhibe , je ne peux plus accéder au web du tout, il n'y a que la redirection vers cette autre gateway qui semble me poser problème

      Merci de vos lumières

      Patrice

      1 Reply Last reply Reply Quote 0
      • C
        ccnet last edited by

        Ce que vous souhaitez faire s'appelle Policy routing.
        https://doc.pfsense.org/index.php/What_is_policy_routing
        Dans System->Gateways vous devez voir vos différentes passerelles dont une par défaut.
        Dans les règles vous devez renseigner le champ Gateway si vous ne voulez pas utiliser la gateway par défaut.
        Enfin vous devez faire attention à l**'ordre** des règles. La première qui matche est appliquée et les autres ne sont pas évaluées. Les règles sont évaluées de haut en bas. L'application du policy routing en dépend.
        Commencez par vérifier tout cela.

        1 Reply Last reply Reply Quote 0
        • P
          pmora33 last edited by

          Bonsoir

          Oui j'ai bien compris  comme tu l'expliques.

          JC'est pour cela que j'ai fait des regles  dans mon intereface "Wifi" pour la redirection vers OVH.

          Dois je aussi les dupliquer dans les regles du WAN par defaut  (celui qui est SFR)  pour rediriger vers  OVH ?

          1 Reply Last reply Reply Quote 0
          • C
            chris4916 last edited by

            @pmora33:

            JC'est pour cela que j'ai fait des regles  dans mon intereface "Wifi" pour la redirection vers OVH.

            Une copie d'écran sera sans doute plus efficace pour décrire les règles mises en place (sauf si vraiment tu en as beaucoup)

            Dois je aussi les dupliquer dans les regles du WAN par defaut  (celui qui est SFR)  pour rediriger vers  OVH ?

            J'avoue ne même pas comprendre ce que tu veux dire avec cette phrase  :-[

            Jah Olela Wembo: Les mots se muent en maux quand ils indisposent, agressent ou blessent.

            1 Reply Last reply Reply Quote 0
            • P
              pmora33 last edited by

              Bonjour,
              Alors voila quelques copies d'ecran pour illustrer le propos

              La liste de mes gateway
              puis les regles que j'ai dans la pf
              sur la partie dite "WIFI" dans laquelle j'ai une redirection vers ma box OVH et sur la partie nommée WAN qui est liee à ma box SFR



              ![wifi-Firewall_ Rules.png](/public/imported_attachments/1/wifi-Firewall_ Rules.png)
              ![wifi-Firewall_ Rules.png_thumb](/public/imported_attachments/1/wifi-Firewall_ Rules.png_thumb)
              ![wan-Firewall_ Rules.png](/public/imported_attachments/1/wan-Firewall_ Rules.png)
              ![wan-Firewall_ Rules.png_thumb](/public/imported_attachments/1/wan-Firewall_ Rules.png_thumb)

              1 Reply Last reply Reply Quote 0
              • C
                chris4916 last edited by

                la copie d'écran des règles de FW sur l'interface n'est pas utile.
                Pour les règles sur l'interface wifi:

                • je ne comprends pas, sur cette interface, l'utilité de la première règle: UDP vers "wifi net" ? il n'y a rien qui va atteindre cette interface avec comme destination "wifi net". A la limite "wifi address" si tu veux accepter de l'UDP à destination de pfSense sur cette interface. C'est pour du DNS, soit le DNS est externe et donc destination n'est pas "wifi net", soit le DNS est pfSense et destination est "wifi adddress", pas "wifi net" (qui recouvre "wifi address" je sais bien)

                • la règle 2 est OK: tout le flux HTTPS est normalement redirigé vers GWOVH

                • la règle 3, je ne la comprends pas: elle signifie que la source "wifi address" (c'est à dire pfSense lui^-même sur cette interface "wifi") devrait être redirigé vers GWOVH  :o  mais tu n'as pas ce genre de flux, normalement…

                • la règle 4, je ne la comprends pas non plus  ??? A part ce qui est destiné à pfSense (donc "wifi address") il n'y a pas de flux HTTPS en direction de "wifi net" sur cette interface.

                N'aurais-tu pas un proxy HTTP quelque part  ::)  que tu aurais oublié de décrire  ;) ...
                Et si tu acceptes le DNS, c'est sans doute parce que ton proxy (si proxy il y a) est en mode transparent.

                Jah Olela Wembo: Les mots se muent en maux quand ils indisposent, agressent ou blessent.

                1 Reply Last reply Reply Quote 0
                • C
                  ccnet last edited by

                  Même constat : le règle 2 est bonne. elle pourrait être dupliquée pour le port 80. Les autres règles sont ne sont pas compréhensibles en ce qui me concerne. je ne sais pas dire si il faut d'autres règles pour un bon fonctionnement de votre réseau, conforme à vos attentes. Les ports 80 et 443 pourraient être regroupés dans un alias

                  1 Reply Last reply Reply Quote 0
                  • P
                    pmora33 last edited by

                    Bon je me suis servi de la regle 2 qui était correcte pour le https pour gerer le http
                    Sur ces 2 regles j'ai designé ma passerelle ovh mais l'ip publique n'est toujours pas celel de OVH mais de ma GW par defaut

                    Est ce que la gateway indiquée dans les regles passe bien "par dessus" la gateway par defaut ou faut il faire autre chose par ailleurs ?

                    1 Reply Last reply Reply Quote 0
                    • C
                      ccnet last edited by

                      Existerait il une règle flottante ?

                      Est ce que la gateway indiquée dans les regles passe bien "par dessus" la gateway par defaut

                      Oui.
                      Faites un test en mettant any dans la source, si ce n'est pas déjà le cas.
                      Les machines qui devraient sortir par le lien ovh sont bien connectées à l'interface où vous avez défini ces règles ? Pas de bypass du firewall ?

                      1 Reply Last reply Reply Quote 0
                      • C
                        chris4916 last edited by

                        1 - Peut-être que ça vaut le coup de regarder de plus près cette histoire de VLAN => est-ce que ce sont bien ces règles qui s'appliquent ? => activer le log  ;)
                        2 - ne veux-tu pas répondre à ma question à propos d'un éventuel proxy ?

                        Jah Olela Wembo: Les mots se muent en maux quand ils indisposent, agressent ou blessent.

                        1 Reply Last reply Reply Quote 0
                        • P
                          pmora33 last edited by

                          quote author=chris4916 link=topic=117599.msg651671#msg651671 date=1472639028]
                          1 - Peut-être que ça vaut le coup de regarder de plus près cette histoire de VLAN => est-ce que ce sont bien ces règles qui s'appliquent ? => activer le log
                          2 - ne veux-tu pas répondre à ma question à propos d'un éventuel proxy ?

                          Bonjour,
                          Désolé du temps de réponse et merci de la question sur le proxy qui m'a permis d'investiguer dans ce sens.

                          1- Oui j'ai fait cela et les regles sont OK
                          2 -ET en effet il y a bien un proxy , et je vois bien que mon proxy bypasse les regles introduites dans mes interfaces pour rediriger les flux vers ovh

                          En effet lorsque j'arrete le proxy , ces regles s'appliquent bien

                          la question est donc comment dire à mon proxy pour mon/mes interfaces concernées d'appliquer les regles de redirection

                          Sachant que le but final est de faire du filtrage via squidguard et des logs via lightsquid

                          Merci de vos réponses éclairées

                          1 Reply Last reply Reply Quote 0
                          • J
                            jdh last edited by

                            Quand on utilise un proxy sur pfSense, les règles de sorties de gateway ne s'appliquent pas !
                            (Il est très intéressant de s'interroger sur le pourquoi …)

                            Encore une raison pour ne pas mettre le proxy sur le firewall ...

                            Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

                            1 Reply Last reply Reply Quote 0
                            • P
                              pmora33 last edited by

                              @jdh:

                              Quand on utilise un proxy sur pfSense, les règles de sorties de gateway ne s'appliquent pas !

                              :'(

                              (Il est très intéressant de s'interroger sur le pourquoi …)

                              Ah ben oui ! Pourquoi ???

                              1 Reply Last reply Reply Quote 0
                              • J
                                jdh last edited by

                                Il est très intéressant de s'interroger, puis de trouver.
                                Cela permet de mieux comprendre comment fonctionne un firewall, comment il est paramétré, les conséquences de ses propres choix …
                                Cela permet de prendre plus de recul sur des choix que l'on fait parfois trop instinctivement ...

                                Donner immédiatement la réponse n'a pas d'intérêt ...
                                Mais néanmoins, il ne faut pas exagérer la complexité de la réflexion : en 3 minutes, on trouve, à partir du moment où on se pose les bonnes questions ...

                                Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

                                1 Reply Last reply Reply Quote 0
                                • First post
                                  Last post