[résolu] Firewall dans DMZ
-
Contexte : chez moi avec un niveau débutant sur le produit
Besoin : Ci-dessousSchéma :
WAN : connexion rj45 vers routeur sur port 1 gérant la dmz
LAN : DHCP avec baux fixes .routeur port 1 –--> pfsense ----> dhcp pour adresses réseau
Equipement : Pc engines apu 2 avec 3 cartes réseau
Besoins :
Le routeur de mon fournisseur de service est en mode "dmz" sur le port 1. Il a une ip fixe x.x.x.121 de mon réseau x.x.x.120/29.
J'aimerais que mon appliance pfsense fonctionne comme un routeur firewall ( du réseau x.x.x.122/30) . Comment puis-je m'y prendre?Tout d'abord est-ce que c'est judicieux de ma part de fixer une ip fixe x.x.x.122/32 à mon interface wan?
Meilleures salutations.
Jean. -
Pour faire référence à ton fil précédent (je ne vois pas pourquoi tu l'as abandonné puisque le problème reste le même) si l'équipement de ton provider établi la liaison, il suffit que pfSense soit en DHCP sur l'interface WAN pour avoir une adresse IP gérée par le routeur du provider et ça doit marcher tout seul.
Si ce n'est pas le routeur du provider qui établi la liaison mais pfSense (le PPPoE passthrough que tu évoquais précédemment) alors il faut que l'interface WAN de pfSense fournisse ces paramètres d'authentification. Mais pour la partie TCP/IP, le fonctionnement reste le même.
Cette terminologie de "firewall dans DMZ" est trompeuse et vient de ce que les fournisseurs d'équipement appellent "dmz) l'adresse IP ou le port vers lequel tout le flux entrant va être dirigé par défaut. Ce qui n'a rien à voir avec la notion de DMZ ::)
Dans ton cas, tu vas juste avoir un routeur qui redirige tout les flux entrants vers un port auquel tu attaches pfSense. C'est tout.
Reste à savoir si le routeur du provider est serveur DHCP (très probablement) ou fait du DHCP relais. Bref, déterminer comment configurer l'IP de l'interface WAN de pfSense ;) (ça doit également marcher en statique)
-
Salut,
Merci pour les réponses.J'ai abandonné mon autre fil car l'optique "pppoe passthrough" ne marche pas, suivant plusieurs test, dans ce cas. Est-ce que ma réponse te convient?
Pour ce qui est de l'interface wan, j'ai fait un "factory reset" de pfsense grâce au CLI de l'interface rs232 de mon apu2 ( qui n'a pas d'écrans et pas de clavier ). Ensuite je vais sur le webconfigurator par un pc connecté sur l'interface lan et effectue le "wizard / pfsense setup". Dans general information, je ne met aucun dns et je laisse override DNS coché. Je choisis ma timezone. Pour "configure wan interface" je laisse dhcp. Pour la lan je laisse 192.168.1.1/24, changement du mot de passe, reload. Malheureusement l'interface wan apparait ensuite en rouge ( pastille rouge avec x blanc ) avec l'indication "no carrier".
Excusez mon ignorance, que puis-je faire?Meilleures salutations.
Jean. -
Tu peux mettre un simple PC connecté derrière le routeur du provider, en DHCP, et vérifier que tu obtiens bien une adresse IP.
Si l'équipement du provider s'attend à ce que tu fournisses les info PPPoE, il est normal que la liaison soit vue "down".
C'est que qu'il te faut déterminer en premier.Une fois que le fonctionnement du routeur provider est clair, le déploiement de pfSense derrière ne doit pas poser de problème, que ce soit un PCengines ou autre chose
-
Salut,
Si je branche un w10 ou bien un pc linux, sur le cable qui connecte le wan les deux appareils se connectent à internet sans problème. Aucune intervention de ma part.
Mais quelle connerie est-ce que je peux bien faire?
Meilleures salutations.
Jean. -
OK, donc le port du routeur auquel tu connectes ton PC (puis pfSense) est capable de fournir une adresse IP.
Il te suffit alors de configurer l'interface WAN de pfSense en client DHCP et ça doit marcher tout seul (si l'interface est active coté pfSense bien sûr ;))On verra ensuite si il y a lieu d'ajuster le MTU ou autre
-
Salut,
Je suis en train de le faire en rs232*** Welcome to pfSense 2.3.2-RELEASE (amd64 nanobsd) on pfSense ***
WAN (wan) -> igb0 ->
LAN (lan) -> igb1 -> v4: 192.168.1.1/24
0) Logout (SSH only) 9) pfTop- Assign Interfaces 10) Filter Logs
- Set interface(s) IP address 11) Restart webConfigurator
- Reset webConfigurator password 12) PHP shell + pfSense tools
- Reset to factory defaults 13) Update from console
- Reboot system 14) Enable Secure Shell (sshd)
- Halt system 15) Restore recent configuration
- Ping host 16) Restart PHP-FPM
- Shell
Enter an option: 2
Available interfaces:
1 - WAN (igb0 - dhcp)
2 - LAN (igb1 - static)
Enter the number of the interface you wish to configure: 1
Configure IPv4 address WAN interface via DHCP? (y/n) y
Configure IPv6 address WAN interface via DHCP6? (y/n) n
Enter the new WAN IPv6 address. Press <enter>for none:
Please wait while the changes are saved to WAN…
Reloading filter...
Reloading routing configuration...
DHCPD...
The IPv4 WAN address has been set to dhcp
Press <enter>to continue.</enter></enter>Mais malheureusement je ne vois pas d'adresse ip fixe sur le wan…
*** Welcome to pfSense 2.3.2-RELEASE (amd64 nanobsd) on pfSense ***
WAN (wan) -> igb0 ->
LAN (lan) -> igb1 -> v4: 192.168.1.1/24Que faire?
-
Allez, je reboote.
-
Salut,
Mais que dois-je faire pour activer cette interface?
Je vois sur le rj45 du wan que la led en haut à droite est orange.
A+.
Jean. -
Même chose.
La bonne démarche est
- connaitre le fonctionnement du boitier fourni par le FAI (FAI non indiqué, boitier non plus : cela aurait pu aider …),
- si il y a 2 possibilités, preférez celle qui permet d'avoir WAN en ip publique,
- brancher : boitier <-> (WAN) pfSense (LAN) <-> pc (de config)
- vérifier que WAN fonctionne puis que l'on peut commencer à créer des règles
- passer en prod ...
Celui qui n'est pas familier de tout cela peut aisément passer plusieurs dizaines de minutes ...
(Alors que celui habitué, met quelques minutes, ... ce n'est pas anormal).Si je branche un w10 ou bien un pc linux, sur le cable qui connecte le wan les deux appareils se connectent à internet sans problème
Ok mais comment ces pc récupèrent l'ip -> il faut que WAN récupère de la même façon !
Il est notable qu'il n'est pas aisé d'identifier un port eth (sur une machine multi-ports de même type) :
j'ai l'habitude de mettre des ip fixes et de faire depuis un PC des ping et changement de port pour m'assurer de bien identifier chaque port …
Exemple :- l'install initial est LAN=192.168.1.1 : un pc en 192.168.1.2 qui ping, permet de trouver le port LAN.
- la config de WAN en fixe 192.168.2.1, un pc en 2.2 puis quelques ping, donne le port WAN, ...
-
La connexion SSH (ou le port série) est parfois utile mais en l’occurrence, ce sera plus facile via l'interface graphique, surtout pour jongler entre les différentes fenêtres de configuration.
Configure un PC avec une IP fixe 192.168.1.10 (par exemple) que tu connectes à l'interface LAN de pfSense (au moins jusqu’à ce que tu ais configuré le serveur DHCP sur celle-ci).
A partir de là, tu auras un accès "facile" aux logs et paramètres et ça te permettra de voir ce qui se passe du coté du client DHCP (pour l'interface WAN)
-
salut salut
Je vais récupérer un vieux router dlink dsl604t ainsi qu'une machine de récupération (aussi) avec 3 cartes réseaux, et faire le montage de Jeans, et de faire un howto ppoe enfin si je remet la mains sur le router, j'ai l'impression que cela n'est pas du tout claire pour lui.
(ou j'ai mis ce ***** de machin, pourvu qu'il ne soit pas passer par les mains de … )
++
-
Salut,
Merci pour vos réponses.Le pc w10 était configuré pour obtenir une adresse ipv4 de façon automatique. J'ai donc changé le cable lan de port ethernet et j'ai enfin récupéré une adresse IP.
Bref, j'étais trop sûr de mes mac adresses…
Merci à vous pour votre patience.
Meilleures salutations.
Jean. -
PS : voici ce que je vois
*** Welcome to pfSense 2.3.2-RELEASE (amd64 nanobsd) on pfSense ***
WAN (wan) -> igb0 -> v4/DHCP4: x.x.x.124/29
LAN (lan) -> igb1 -> v4: 192.168.1.1/24
0) Logout (SSH only) 9) pfTop- Assign Interfaces 10) Filter Logs
- Set interface(s) IP address 11) Restart webConfigurator
- Reset webConfigurator password 12) PHP shell + pfSense tools
- Reset to factory defaults 13) Update from console
- Reboot system 14) Enable Secure Shell (sshd)
- Halt system 15) Restore recent configuration
- Ping host 16) Restart PHP-FPM
- Shell
Enter an option:
-
@jean@adimp.ch:
Bref, j'étais trop sûr de mes mac adresses…
Quelles MAC address ? De quoi parles-tu ? tu ne fais nulle part référence à des MAC, réservation par MAC ou autre.
C'était un problème de port ?
-
Salut,
@chris4916 : merci pour ton message qui me disait de tester avec un PC. C'était un problème de port.
Par contre j'ai un petit soucis : sur le port lan je branche un pc et je n'arrives pas à me connecter au webconfigurator 192.168.1.1…
Mais pourquoi donc?Meilleures salutations.
Jean. -
Salut,
Bêtement je suis sur un réseau avec ip fixes ==> résolu….
A+. -
@jean@adimp.ch:
Par contre j'ai un petit soucis : sur le port lan je branche un pc et je n'arrives pas à me connecter au webconfigurator 192.168.1.1…
"Je n'arrive pas…" est un peu trop vague.
- est-ce que tu es bien sur le bon port ? ;D
- tu peux faire un ping de 192.168.1.1 ?
- tu peux toujours essayer de redémarrer le configurateur via le menu du port série mais il y a peu de chances que celui-ci soit stoppé (sait-on jamais)
- que se passe t-il coté browser lorsque tu essayes d'accéder ? message d'erreur ?
-
Salut,
@chris4916 : Merci pour ton attention et tes réponses. +1 au Karma.Je n'ai plus de problèmes pour l'instant : mon pc peut accéder au webconfigurator par l'ip fixe de l'interface wan de l'appliance pfsense.
Désolé pour mon chinois…A+.
Jean. -
@jean@adimp.ch:
Je n'ai plus de problèmes pour l'instant : mon pc peut accéder au webconfigurator par l'ip fixe de l'interface wan de l'appliance pfsense.
???
1 - ton interface WAN a normalement une IP dynamique puisque le routeur est serveur DHCP et que l'interface WAN est supposée être configurée comme "client DHCP" (pour le moment du moins)
2 - je te déconseille très très fortement d'autoriser l'accès à l'interface web de pfSense depuis le WAN => ça voudrait dire que n'importe qui depuis internet peut faire pareil et comme il n'y a pas d'outil qui prévient les "brute force attack", n'importe qui peut facile prendre la main sur ta machine
3 - par défaut, je ne pense pas qu'il y ait un accès possible sur l'interface WAN, donc sauf si tu as changé les règles, il y a un mélange en terme d'interfaces… je pense ;)
