Pb d'accès entre zones
-
Salut à tous
Voici ma petite infra (contexte perso) :
Je dois mettre en place une regle pour que de mon poste je puisse administrer ma borne wifi (router configuré en point d'acces).
Mon réseau vert est le LAN
Mon réseau bleu est le OPT1REGLE sur l'interface LAN (192.168.15.254)
REGLE sur l'interface OPT1 (192.168.16.254)
Avec ces regles je ne peux toujours pas ping ma borne wifi, ni y accéder via l'interface web … :(Help ?
-
Si le but est d'administrer depuis le LAN, la règle sur l'interface OPT1 n'est pas nécessaire.
Quelles sont les routes ?
-
Le titre aurait être 'Problème d'accès entre zones'. (pas de routage)
La règle de retour est inutile. Renommez l'interface en WIFI !
Vous ignorez la nature de TCP et UDP : ce sont des protocoles IP, qui sont utilisés ensuite par d'autres : ex HTTP=80/TCP
cf http://www.frameip.com/entete-ipEn particulier, ping utilise un autre protocole ip, que votre règle 1 n'autorise pas !
Je ne saurais que conseiller la lecture approfondie de Christian CALECA …
-
Bonjour,
Merci pour vos réponses, effectivement j'ai omis le fait que pour le ping il s'agit d'icmp. Mea culpa.
Voici la regle que j'ai modifié sur mon LAN :
-
1 - je pense que tu comprends bien que la règle suivante recouvre cette règle, donc même si tu supprimes cette règle, tu devrais avoir accès avec la règle suivante.
2 - cette règle à un log activé => que vois tu dans le log ?
3 - active également un log pour "tout" afin de voir ce qui se passe
4 - quelles sont les routes ? ;) -
4- routes :
je découvre totalement PFSENSE, j'ai conscience que le pb est au niveau de la couche 8 ^^
Pour mes interfaces : em0 = WAN // em1 = LAN // em2 = OPT1
Question : à quoi correspondent les link#x ?
2- Effectivement j'ai activé le log au cas où, j'imagine qu'on trouve le résultat ici (system logs / Firewall), comme ci dessous
3- Tu veux que j'active un log sur chaque regles du LAN ?
-
Il y a une option dans la conf système qui permet d’activer le log "pour tout" de mémoire
-
Attention, si j'ai écrit règle 1 et 2, c'était en regard des lignes surlignées !
Prenez de bonnes habitudes : évitez les * dans les règles !
- une règle de l'onglet LAN : la source devrait LAN net ou une valeur précise
- un port 80 ou 443 implique TCP car HTTP=80/tcp et HTTPS=443/tcp
- une règle pour icmp et une règle pour les proto tcp
-
Bonjour :)
Pour le port source, je suis bien obligé de laissé *. Les trois autres règles affichées dans l'onglet LAN ont été créée par pfsense.
Ma borne s'administre uniquement via le port 80. Selon vous, ma règle est bonne ?
Rappel :
Concernant mes routes je n'ai pas constaté de pb (voir screenshot ci-dessus)
-
Sur ce screenshot (12h46),
La règle 1 : le proto devrait être TCP, la source devrait être 'LAN Net'
La règle 2 (surlignée) : est correcte mais est inutile puisque située après une règle qui 'la couvre' ! A placer avant de préférence (du particulier au général) avec l'explication.L'intérêt de pfSense est de pouvoir utiliser des 'alias' : à utiliser sans modération !
(Alias : vous prévoir une règle de dénomination : srvXXXX, portXXX, lanXXX, …)Si vous passer la ligne 2 en 1ère position, la faire précéder d'une ligne pour le proto icmp / echo request=8 : vous pourrez vérifier ainsi que le ping fonctionne.
Petit point de détail : êtes vous sûr de la config du boitier wifi ? toujours les 4 paramètres : ip, masque, passerelle et dns !
-
Pour info :
Cette regle a été ajouté par PFSENSE lors de l'install.
Ok merci, je regarde ma borne ce soir. Je pense que la conf est bonne car elle fonctionne bien, je l'ai administré depuis un pc que j'ai mis dans son network. Je vais rajouter une regle de ping pour faire des tests.
-
Mea culpa, j'ai mal lu : 'anti-lockout' est une règle de sécurité : explicitement cela autorise l'accès en admin au pfSense !
(Pourtant il y a l'indication Destination=LAN Address = l'ip LAN du firewall)Donc il faut lire
La règle 2 (surlignée) : est correcte
mais est inutile puisque située après une règle qui 'la couvre' !Je maintiens le conseil :
la faire précéder d'une ligne identique pour le proto icmp/echo request, pour pouvoir tester la réponse au pingNB : au cas où le ping ou http ne répondrait pas, bien vérifier les 4 infos du point d'accès Wifi !
-
- Le fait que tes règles se superposent ne te permet pas de déduire rapidement si il y a bien une activité au niveau pfSense pour les sources et destinations en question dans la colonne "state".
- tu devrais par ailleurs être en mesure de voir, dans les logs, si ta requête vers ton point d'accès Wifi est acceptée au niveau de l'interface LAN (ce qui doit être de tout évidence le cas compte tenu des règles), mais tu devrais ensuite voir si il y a bien un retour. Et le retour dépend de :
- tes règles au niveau de l’interface OPT1
- de la route par défaut sur le point d'accès wifi lui-même
-
J'ai mis une route static sur ma borne wifi :
Destination : 192.168.15.50 (mon pc)
Subnet : /24
Gateway : 192.168.16.254Et quand je veux accéder j'ai un acces forbidden .. c'est bon signe, mais je dois voir pourquoi je suis en forbidden ..
-
Et quand je veux accéder j'ai un acces forbidden .. c'est bon signe, mais je dois voir pourquoi je suis en forbidden ..
Forbidden… sur l'interface web ?
Peut-être simplement parce que l'interface web n'accepte pas de connexion de réseau autre que le "LAN" de ton point d'accès ;) -
Le fil (inratable) A LIRE EN PREMIER indique un formulaire type à utiliser et sous-entend qu'il faut donner de l'info.
A vous de vous remettre en cause …J'ai recommandé d'ajouter une règle pour le ping et de vérifier les 4 infos fondamentales ip d'un matériel.
Pas de retour ! Pourtant c'est la base de ce qu'il faut faire avec tout matériel ...administrer ma borne wifi (router configuré en point d'acces)
Si vous ne décrivez rien de mieux sur votre façon de 'configurer', il n'est pas impossible que pfSense n'y soit pour rien ! Selon votre branchement, la passerelle (gateway) imaginée n'est peut-être même pas accessible, alors une route statique …
-
@chris4916 Oui c'est ce que je me disais .. c'est fort dommage si c'est ça. Ceci dit une fois que la borne est configurée, je n'ai pas besoin d'y retoucher… ::)
-
@jdh:
Le fil (inratable) A LIRE EN PREMIER indique un formulaire type à utiliser et sous-entend qu'il faut donner de l'info.
A vous de vous remettre en cause …J'ai recommandé d'ajouter une règle pour le ping et de vérifier les 4 infos fondamentales ip d'un matériel.
Pas de retour ! Pourtant c'est la base de ce qu'il faut faire avec tout matériel ...administrer ma borne wifi (router configuré en point d'acces)
Si vous ne décrivez rien de mieux sur votre façon de 'configurer', il n'est pas impossible que pfSense n'y soit pour rien ! Selon votre branchement, la passerelle (gateway) imaginée n'est peut-être même pas accessible, alors une route statique …
J'ai connecté mon laptop sur mon réseau bleu (celui de la borne), je le ping bien depuis mon réseau vert et inversement. Ma passerelle fonctionne puisque j'ai acces à internet.
Je mettrais à jour mon post ce soir avec mes nouvelles règles.
Pour l'instant, je ne comprend pas trop pourquoi j'ai du rajouter une route statique sur ma borne pour communiquer avec le réseau vert (LAN). Je vais continuer de creuser ce soir.
-
Je pense que vous ne comprenez pas le sens de ce que veux dire, à moins que je m'exprime mal.
Il existe des point d'accès Wifi et des routeurs Wifi.
Le point d'accès comporte, généralement, une prise d'alimentation électrique, un port réseau RJ45, et c'est tout.
Le routeur comporte, généralement, un prise d'alimentation électrique, un port réseau RJ45 WAN et un bloc de prises RJ45 LAN (souvent 4).Exemple chez Netgear :
- point d'accès (soho) WAC120 / 1 prise RJ 45 : http://netgear.fr/business/products/wireless/soho-wireless/wac120.aspx
- routeur wifi (soho) JWNR2010 / 1 prise RJ45 W + 4 prises RJ45 L : http://netgear.fr/home/products/networking/wifi-routers/jwnr2010.aspx
Un routeur Wifi peut devenir point d'accès, dans les conditions suivantes :
- on ne connecte rien sur WAN, mais on définit quand même WAN en adressage statique du genre 192.168.254.254/24,
- on connecte l'interface pfSense sur une prise LAN,
- on définit la passerelle par défaut du routeur comme interface pfSense (pas toujours possible !!).
(Cela fonctionne bien avec la 3ième condition remplie, mais c'est un seul signal SSID !).
(En entreprise, j'ai parfois configuré des routeurs en point d'accès, je ne le fait plus : j'achète des points d'accès, directement multi-ssid.)
-
@jdh:
Je pense que vous ne comprenez pas le sens de ce que veux dire, à moins que je m'exprime mal.
Il existe des point d'accès Wifi et des routeurs Wifi.
Le point d'accès comporte, généralement, une prise d'alimentation électrique, un port réseau RJ45, et c'est tout.
Le routeur comporte, généralement, un prise d'alimentation électrique, un port réseau RJ45 WAN et un bloc de prises RJ45 LAN (souvent 4).Exemple chez Netgear :
- point d'accès (soho) WAC120 / 1 prise RJ 45 : http://netgear.fr/business/products/wireless/soho-wireless/wac120.aspx
- routeur wifi (soho) JWNR2010 / 1 prise RJ45 W + 4 prises RJ45 L : http://netgear.fr/home/products/networking/wifi-routers/jwnr2010.aspx
Un routeur Wifi peut devenir point d'accès, dans les conditions suivantes :
- on ne connecte rien sur WAN, mais on définit quand même WAN en adressage statique du genre 192.168.254.254/24,
- on connecte l'interface pfSense sur une prise LAN,
- on définit la passerelle par défaut du routeur comme interface pfSense (pas toujours possible !!).
(Cela fonctionne bien avec la 3ième condition remplie, mais c'est un seul signal SSID !).
(En entreprise, j'ai parfois configuré des routeurs en point d'accès, je ne le fait plus : j'achète des points d'accès, directement multi-ssid.)
Ok je comprend mieux.
Je possède un routeur wifi TP-LINK Archer D2. Il n'y a rien de branché sur la prise WAN. L'adressage statique du WAN n'est pas définit sur ma borne (pour le moment).
Je regarde ma conf ce soir en rentrant.Merci beaucoup du temps que vous m'accordez @chris @jdh ;) :)