Pb d'accès entre zones



  • Salut à tous

    Voici ma petite infra (contexte perso) :

    Je dois mettre en place une regle pour que de mon poste je puisse administrer ma borne wifi (router configuré en point d'acces).

    Mon réseau vert est le LAN
    Mon réseau bleu est le OPT1

    REGLE sur l'interface LAN (192.168.15.254)

    REGLE sur l'interface OPT1 (192.168.16.254)

    Avec ces regles je ne peux toujours pas ping ma borne wifi, ni y accéder via l'interface web … :(

    Help ?



  • Si le but est d'administrer depuis le LAN, la règle sur l'interface OPT1 n'est pas nécessaire.

    Quelles sont les routes ?



  • Le titre aurait être 'Problème d'accès entre zones'. (pas de routage)

    La règle de retour est inutile. Renommez l'interface en WIFI !

    Vous ignorez la nature de TCP et UDP : ce sont des protocoles IP, qui sont utilisés ensuite par d'autres : ex HTTP=80/TCP
    cf http://www.frameip.com/entete-ip

    En particulier, ping utilise un autre protocole ip, que votre règle 1 n'autorise pas !

    Je ne saurais que conseiller la lecture approfondie de Christian CALECA …



  • Bonjour,

    Merci pour vos réponses, effectivement j'ai omis le fait que pour le ping il s'agit d'icmp. Mea culpa.

    Voici la regle que j'ai modifié sur mon LAN :



  • 1 - je pense que tu comprends bien que la règle suivante recouvre cette règle, donc même si tu supprimes cette règle, tu devrais avoir accès avec la règle suivante.
    2 - cette règle à un log activé => que vois tu dans le log ?
    3 - active également un log pour "tout" afin de voir ce qui se passe
    4 - quelles sont les routes ?  ;)



  • 4- routes :

    je découvre totalement PFSENSE, j'ai conscience que le pb est au niveau de la couche 8 ^^

    Pour mes interfaces : em0 = WAN  // em1 = LAN // em2 = OPT1

    Question : à quoi correspondent les link#x ?

    2- Effectivement j'ai activé le log au cas où, j'imagine qu'on trouve le résultat ici (system logs / Firewall), comme ci dessous

    3- Tu veux que j'active un log sur chaque regles du LAN ?



  • Il y a une option dans la conf système qui permet d’activer le log "pour tout" de mémoire



  • Attention, si j'ai écrit règle 1 et 2, c'était en regard des lignes surlignées !

    Prenez de bonnes habitudes : évitez les * dans les règles !

    • une règle de l'onglet LAN : la source devrait LAN net ou une valeur précise
    • un port 80 ou 443 implique TCP car HTTP=80/tcp et HTTPS=443/tcp
    • une règle pour icmp et une règle pour les proto tcp


  • Bonjour  :)

    Pour le port source, je suis bien obligé de laissé *. Les trois autres règles affichées dans l'onglet LAN ont été créée par pfsense.

    Ma borne s'administre uniquement via le port 80. Selon vous, ma règle est bonne ?
    Rappel :

    Concernant mes routes je n'ai pas constaté de pb (voir screenshot ci-dessus)



  • Sur ce screenshot (12h46),

    La règle 1 : le proto devrait être TCP, la source devrait être 'LAN Net'
    La règle 2 (surlignée) : est correcte mais est inutile puisque située après une règle qui 'la couvre' ! A placer avant de préférence (du particulier au général) avec l'explication.

    L'intérêt de pfSense est de pouvoir utiliser des 'alias' : à utiliser sans modération !
    (Alias : vous prévoir une règle de dénomination : srvXXXX, portXXX, lanXXX, …)

    Si vous passer la ligne 2 en 1ère position, la faire précéder d'une ligne pour le proto icmp / echo request=8 : vous pourrez vérifier ainsi que le ping fonctionne.

    Petit point de détail : êtes vous sûr de la config du boitier wifi ? toujours les 4 paramètres : ip, masque, passerelle et dns !



  • Pour info :

    Cette regle a été ajouté par PFSENSE lors de l'install.

    Ok merci, je regarde ma borne ce soir. Je pense que la conf est bonne car elle fonctionne bien, je l'ai administré depuis un pc que j'ai mis dans son network. Je vais rajouter une regle de ping pour faire des tests.



  • Mea culpa, j'ai mal lu : 'anti-lockout' est une règle de sécurité : explicitement cela autorise l'accès en admin au pfSense !
    (Pourtant il y a l'indication Destination=LAN Address = l'ip LAN du firewall)

    Donc il faut lire

    La règle 2 (surlignée) : est correcte mais est inutile puisque située après une règle qui 'la couvre' !

    Je maintiens le conseil :
    la faire précéder d'une ligne identique pour le proto icmp/echo request, pour pouvoir tester la réponse au ping

    NB : au cas où le ping ou http ne répondrait pas, bien vérifier les 4 infos du point d'accès Wifi !



  • @nomiss

    • Le fait que tes règles se superposent ne te permet pas de déduire rapidement si il y a bien une activité au niveau pfSense pour les sources et destinations en question dans la colonne "state".
    • tu devrais par ailleurs être en mesure de voir, dans les logs, si ta requête vers ton point d'accès Wifi est acceptée au niveau de l'interface LAN (ce qui doit être de tout évidence le cas compte tenu des règles), mais tu devrais ensuite voir si il y a bien un retour. Et le retour dépend de :
    • tes règles au niveau de l’interface OPT1
    • de la route par défaut sur le point d'accès wifi lui-même


  • J'ai mis une route static sur ma borne wifi :

    Destination : 192.168.15.50 (mon pc)
    Subnet : /24
    Gateway : 192.168.16.254

    Et quand je veux accéder j'ai un acces forbidden .. c'est bon signe, mais je dois voir pourquoi je suis en forbidden ..



  • @nomiss:

    Et quand je veux accéder j'ai un acces forbidden .. c'est bon signe, mais je dois voir pourquoi je suis en forbidden ..

    Forbidden… sur l'interface web ?
    Peut-être simplement parce que l'interface web n'accepte pas de connexion de réseau autre que le "LAN" de ton point d'accès  ;)



  • Le fil (inratable) A LIRE EN PREMIER indique un formulaire type à utiliser et sous-entend qu'il faut donner de l'info.
    A vous de vous remettre en cause …

    J'ai recommandé d'ajouter une règle pour le ping et de vérifier les 4 infos fondamentales ip d'un matériel.
    Pas de retour ! Pourtant c'est la base de ce qu'il faut faire avec tout matériel ...

    administrer ma borne wifi (router configuré en point d'acces)

    Si vous ne décrivez rien de mieux sur votre façon de 'configurer', il n'est pas impossible que pfSense n'y soit pour rien ! Selon votre branchement, la passerelle (gateway) imaginée n'est peut-être même pas accessible, alors une route statique …



  • @chris4916 Oui c'est ce que je me disais .. c'est fort dommage si c'est ça. Ceci dit une fois que la borne est configurée, je n'ai pas besoin d'y retoucher…  ::)



  • @jdh:

    Le fil (inratable) A LIRE EN PREMIER indique un formulaire type à utiliser et sous-entend qu'il faut donner de l'info.
    A vous de vous remettre en cause …

    J'ai recommandé d'ajouter une règle pour le ping et de vérifier les 4 infos fondamentales ip d'un matériel.
    Pas de retour ! Pourtant c'est la base de ce qu'il faut faire avec tout matériel ...

    administrer ma borne wifi (router configuré en point d'acces)

    Si vous ne décrivez rien de mieux sur votre façon de 'configurer', il n'est pas impossible que pfSense n'y soit pour rien ! Selon votre branchement, la passerelle (gateway) imaginée n'est peut-être même pas accessible, alors une route statique …

    J'ai connecté mon laptop sur mon réseau bleu (celui de la borne), je le ping bien depuis mon réseau vert et inversement. Ma passerelle fonctionne puisque j'ai acces à internet.

    Je mettrais à jour mon post ce soir avec mes nouvelles règles.

    Pour l'instant, je ne comprend pas trop pourquoi j'ai du rajouter une route statique sur ma borne pour communiquer avec le réseau vert (LAN). Je vais continuer de creuser ce soir.



  • Je pense que vous ne comprenez pas le sens de ce que veux dire, à moins que je m'exprime mal.

    Il existe des point d'accès Wifi et des routeurs Wifi.

    Le point d'accès comporte, généralement, une prise d'alimentation électrique, un port réseau RJ45, et c'est tout.
    Le routeur  comporte, généralement, un prise d'alimentation électrique, un port réseau RJ45 WAN et un bloc de prises RJ45 LAN (souvent 4).

    Exemple chez Netgear :

    Un routeur Wifi peut devenir point d'accès, dans les conditions suivantes :

    • on ne connecte rien sur WAN, mais on définit quand même WAN en adressage statique du genre 192.168.254.254/24,
    • on connecte l'interface pfSense sur une prise LAN,
    • on définit la passerelle par défaut du routeur comme interface pfSense (pas toujours possible !!).
      (Cela fonctionne bien avec la 3ième condition remplie, mais c'est un seul signal SSID !).

    (En entreprise, j'ai parfois configuré des routeurs en point d'accès, je ne le fait plus : j'achète des points d'accès, directement multi-ssid.)



  • @jdh:

    Je pense que vous ne comprenez pas le sens de ce que veux dire, à moins que je m'exprime mal.

    Il existe des point d'accès Wifi et des routeurs Wifi.

    Le point d'accès comporte, généralement, une prise d'alimentation électrique, un port réseau RJ45, et c'est tout.
    Le routeur  comporte, généralement, un prise d'alimentation électrique, un port réseau RJ45 WAN et un bloc de prises RJ45 LAN (souvent 4).

    Exemple chez Netgear :

    Un routeur Wifi peut devenir point d'accès, dans les conditions suivantes :

    • on ne connecte rien sur WAN, mais on définit quand même WAN en adressage statique du genre 192.168.254.254/24,
    • on connecte l'interface pfSense sur une prise LAN,
    • on définit la passerelle par défaut du routeur comme interface pfSense (pas toujours possible !!).
      (Cela fonctionne bien avec la 3ième condition remplie, mais c'est un seul signal SSID !).

    (En entreprise, j'ai parfois configuré des routeurs en point d'accès, je ne le fait plus : j'achète des points d'accès, directement multi-ssid.)

    Ok je comprend mieux.

    Je possède un routeur wifi TP-LINK Archer D2. Il n'y a rien de branché sur la prise WAN. L'adressage statique du WAN n'est pas définit sur ma borne (pour le moment).
    Je regarde ma conf ce soir en rentrant.

    Merci beaucoup du temps que vous m'accordez @chris @jdh ;)  :)



  • Ce modèle est récent et plutôt haut de gamme. C'est un routeur.

    Le site tp-link donne quelques indications :

    • il y a un port 'ADSL' = ligne tél -> modem ADSL inclus
    • il y a 4 ports RJ45, dont le 4 est noté LAN/WAN : c'est le port prévu pour une autre source que l'ADSL : fibre ou autre, cf Datasheet, notation 'ADSL/EWAN'
      Le port 4 ne sera donc jamais utilisé !

    Je ne vois pas, sur le site, de doc complète sur le paramétrage type 'User Guide'. (Le Quick Install Guide est trop court …)
    Naturellement, la config se fait via un port LAN : il faudra suivre l'interface web et s'assurer de suivre la méthode que je préconise (adressage WAN statique + gateway = pfSense/LAN).



  • Je ne comprends pas pourquoi il faut (faudrait) configurer le port WAN si celui-ci n'est pas utilisé.

    Je n'ai pas regardé la doc de ce modèle mais celle-ci devrait te dire si celui-ci est configurable en mode "access point" (c'est assez courant par exemple chez Cisco / Linksys d'avoir le choix du mode de fonctionnement dans les options de paramétrage) et tu verras par ailleurs si il y a, par défaut, des restrictions d'accès à l'interface d’administration en fonction de l'adresse IP du client qui veut administrer. ça aussi c'est assez courant  ;)

    Mais dans tous les cas, ce sont 2 choses différentes  8)



  • Hello !

    Voici quelques screen des différents parametres présents sur la borne :

    Config LAN

    Config du mode

    Config de la route statique

    Config ACL (désactivé pour le moment)

    Config NAT

    Est ce qu'il serait intéressant de mettre à jour le firmware ? Peut etre que je pourrai corriger le soucis de non-acces depuis un autre network..

    a l'avenir seul mes clients (tel et laptop) wifi pourront acceder à la conf de la borne. L'intéret de ce reseau est que les guest ne soit pas sur mon LAN, et habitant en appart, je ne connais pas tous mes voisins ^^

    @jdh tu proposes que je configure mon WAN du coup, sachant que le port ne sert à rien  ?



  • Tu montres plein de copies d'écran mais la réponse se trouve probablement dans "operation mode"  ;)



  • J'ai noté l'absence de doc complète sur le site web …

    'Operation mode' qui devrait convenir ne contient pas la bonne piste ...

    La seule solution semble être la route statique ... à condition de bien l'écrire (= ce qui n'est pas le cas).
    Semble -> semblait : les routes semble devoir passer par WAN !

    Cela me parait cuit ...

    Pour info, si vous laissez une config WAN non faite, il est probable que cela ne fonctionne pas,
    d'où une 'fausse' config en statique ... Autrefois j'ai configuré avec succès des routeurs ainsi.

    Seul un véritable point d'accès multi-ssid permet de séparer des utilisateurs différents ...



  • Salut salut

    je confirme pour l AP , le model que vous utilisé là, est un router avec en plus un accès wifi.
    Il est plus que préférable de passer pour un vrai AP quelques soit la marque.
    Sauf erreur il faut.

    • le wan du router tp link vers la patte wifi pf.

    • mettre le pf comme passerelle du router.

    • mettre un autre segment coté wifi car le suppose que le router/wifi fait aussi dhcp

    • verifier si il gere le multi ssid pas toujours le cas.

    Perso je suis avec deux ap tplink des WA701N v1 en multi ssid depuis quelques temps déjà meme s'ils datent un peu et qu'ils sont en 10/100, j'en suis content.



  • @chris4916:

    Tu montres plein de copies d'écran mais la réponse se trouve probablement dans "operation mode"  ;)

    Oui mais il n'y a pas d'autres parametre ici.

    @jdh:

    J'ai noté l'absence de doc complète sur le site web …

    'Operation mode' qui devrait convenir ne contient pas la bonne piste ...

    La seule solution semble être la route statique ... à condition de bien l'écrire (= ce qui n'est pas le cas).
    Semble -> semblait : les routes semble devoir passer par WAN !

    Cela me parait cuit ...

    Pour info, si vous laissez une config WAN non faite, il est probable que cela ne fonctionne pas,
    d'où une 'fausse' config en statique ... Autrefois j'ai configuré avec succès des routeurs ainsi.

    Seul un véritable point d'accès multi-ssid permet de séparer des utilisateurs différents ...

    Ma route fonctionne puisque j'ai accès au serveur web de la borne, il me retourne un forbidden mais je l'atteint. Qu'est ce que je dois corriger ? j'aurais dû mettre le network plutot que l'adresse de mon poste en question ?

    Dest : 192.168.15.0/24
    Gateway : 192.168.16.254

    @Tatave:

    Salut salut

    je confirme pour l AP , le model que vous utilisé là, est un router avec en plus un accès wifi.
    Il est plus que préférable de passer pour un vrai AP quelques soit la marque.
    Sauf erreur il faut.

    • le wan du router tp link vers la patte wifi pf.

    • mettre le pf comme passerelle du router.

    • mettre un autre segment coté wifi car le suppose que le router/wifi fait aussi dhcp

    • verifier si il gere le multi ssid pas toujours le cas.

    Perso je suis avec deux ap tplink des WA701N v1 en multi ssid depuis quelques temps déjà meme s'ils datent un peu et qu'ils sont en 10/100, j'en suis content.

    Alors oui, je sais que c'est un router, il y avait une promo c'est pour ça que je l'ai pris. Je l'utilise simplement en borne wifi et en switch si des invités veulent un accès cablé (gigabit).
    Sur ce router j'ai configuré le 5Ghz avec un perso / et un guest. La fréquence 2.4GHz est down pour le moment, je n'en ai pas besoin.

    • Si je branche la patte WAN sur la patte wifi ça merde totalement.

    • La passerelle du router est avec la patte pf (192.168.16.254)

    • Le server dhcp du router est disable ;), mes clients wifi recoivent bien un bail issu du serveur dhcp de pfsense

    • Comme dit plus haut, je peux configurer plusieurs wifi une en 5Ghz et une en 2.4Ghz, pour chaque fréquence je peux faire en plus un réseau guest.



  • La route aurait dû s'écrire
    soit 192.168.15.50 / 255.255.255.255 (pc seul)
    soit 192.168.15.0 / 255.255.255.0 (ensemble du réseau)
    (Mais ne devrait pas s'écrire .50 /.0 !)

    En haut du réglage de route statique, il y a une choix de passerelle par défaut : WAN.
    On peut soit le comprendre comme impossible de choisir une passerelle autre soit comme la route doit passer par WAN.
    Avec mon pc perso (petit écran), j'ai pensé que les routes devaient passer par WAN : la vision complète semble me donner tort.

    Si la route, bien écrite, fonctionne (test de ping), alors c'est gagné. (lapalissade)

    Je ne pense pas qu'il soit possible d'utiliser un 'routeur configuré en point d'accès' comme multi-SSID (parce que le multi-SSID fonctionne avec du VLAN).
    En fait quand on gère le firewall (multi-zones), faut penser point d'accès … et, pis, c'est tout ... (même si ya des promos !)



  • @nomiss:

    Est ce qu'il serait intéressant de mettre à jour le firmware ? Peut etre que je pourrai corriger le soucis de non-acces depuis un autre network..

    Est-ce que mettre à jour le firmware est intéressant .

    • oui si ça corrige l'erreur (sauf si ce modèle en particulier ne supporte pas la fonctionnalité) relative au mode de fonctionnement qui n'est pas configurable (et qui du coup t'empêche de configurer ton device en WAP)
    • non si le but est d'avoir accès à l'interface de configuration depuis un réseau "étranger" car il est assez probable (je n'ai pas pris le temps de lire la doc) que cette fonctionnalité si elle n'est pas débrayable dans une option de configuration, soit là à dessein pour justement éviter que quelqu'un qui ne serait pas pas sur le LAN puisse modifier la conf en accédant à l'interface.

    Il faut lire un peu la doc, et également regarder si ton firmware est très en retard car une mise à jour peut aussi corriger des erreurs et autres failles de sécurité  ;)



  • @jdh:


    Avec mon pc perso (petit écran), j'ai pensé que les routes devaient passer par WAN : la vision complète semble me donner tort.

    Si la route, bien écrite, fonctionne (test de ping), alors c'est gagné. (lapalissade)

    Je ne pense pas qu'il soit possible d'utiliser un 'routeur configuré en point d'accès' comme multi-SSID (parce que le multi-SSID fonctionne avec du VLAN).
    En fait quand on gère le firewall (multi-zones), faut penser point d'accès ... et, pis, c'est tout ... (même si ya des promos !)

    Tout fonctionne alors, je vais me passer de l'admin depuis mon réseau vert. D'apres ce que m'a dit @chris certains routers bloquent l'acces par defaut des acces depuis un autre réseau.
    Je vais mettre à jour le firmware peut etre que ça ajoutera des features supplémentaires.



  • Salut salut.

    Bon la c'est bon, je stoppe.

    On vous dit que pour faire ce que vous voulez faire, votre router wifi n'est pas adapté, et qu'il faut passer par un vrai AP.
    Libre à vous de vous prendre la tete avec un produit inadapté à vos besoins.

    Bon courage.



  • @Tatave:

    Salut salut.

    Bon la c'est bon, je stoppe.

    On vous dit que pour faire ce que vous voulez faire, votre router wifi n'est pas adapté, et qu'il faut passer par un vrai AP.
    Libre à vous de vous prendre la tete avec un produit inadapté à vos besoins.

    Bon courage.

    J'ai bien compris merci. Mais je vais quand meme le mettre à jour pour des raisons de sécu. Et pour terminer, il fait le taf que je lui demande donc c'est nickel (sauf le détail de ne pouvoir y acceder depuis mon autre réseau).

    Merci à tous pour votre participation



  • D'autant que ça marche tout à fait bien comme ça également et que le changement de firmware peut permettre d'activer le mode WAP sur ce modèle.
    C'est vrai que les device qui ne font que WAP, c'est un peu plus simple dans ton cas mais utiliser un routeur n'est pas non plus rédhibitoire.

    Je le fait régulièrement avec des Linksys et Asus sans aucun soucis.

    Il ne faut juste pas t'attendre à ce que sa te donne un accès depuis ton réseau. Si ce point devenait indispensable, un petit proxy sur le LAN du WAP résoudra ton problème  ;)



  • hello,

    je rejoins les autres, ce genre de routeur n'est pas adapté "officiellement" à l'usage de point d'accès. Ceci dit, puisque tu le possède, et qu'il marche, je ne rejoins tout de même pas ceux qui te disent de le changer.

    Pour être constructif, voici plutôt la solution à ton problème :

    • ton point d'accès fonctionne, et "lie" ton réseau wifi (ssid de ton choix) en bridge vers ta panne "lan" de ce routeur. Jusque là tu as ce que tu veux.
    • la page d'admin, faite pour un "mini réseau" en mode bricolage amateur, ne répond pas aux ip venant d'autres réseaux.

    voici la solution :

    • créer un nat en sortie depuis ton pc vers ta borne (en gros ce sera l'ip du pfsense coté bleu, donc 192.168.16.254 qui ira se connecter à ta borne wifià
    • créer les règles en fonction de cela (en nat et en firewall)

    avec cela tu pourras continuer à utiliser ta borne wifi tout en l'administrant depuis ton pc :)

    bonne idée de mettre à jour la borne, ca règle souvent des petits soucis.

    Bon, pour être plus modéré que certains, je dirais que tu peux rester tel quel, mais si j'étais toi, au choix, 1) j'apprendrais vraiment sérieusement le fonctionnement IP / TCP car tes règles sont un peu fantaisiste 2) je ferais confiance à un routeur grand public :)

    bon courage pour ton NAT !



    1. je ferais confiance à un routeur grand public

    Si on parle de sécurité pas vraiment une bonne idée. Ensuite, pour reprendre votre expression :

    en mode bricolage amateur

    Alors nous ne parlons plus de la même chose, et surtout pas de sécurité. Par ailleurs, et de façon très basique, les réseaux lan (filaire) et wifi devrait être strictement séparés.
    Le reste relève du mode évoqué plus haut. Chacun exploite une configuration qui lui convient, mais certain peuvent souhaiter un niveau de sécurité réel. Ceci pour que les choses soient claires d'un point de vue professionnel.



  • Je ne sais pas quelle différence vous faites les un et les autres entre matériel grand public et le reste mais, dans ce qui se trouve facilement en magasin "grand public", il y a des équipements qui se configurent très simplement pour fonctionner soit en mode "routeur wifi", avec du LAN, "WAN" et Wifi, soit uniquement en WAP (wifi access point), certains supportant même le multi SID.
    C'est le cas chez Asus, Linksys et autre et beaucoup supportent des firmware alternatifs (pour les plus aventureux) qui vont offrir ces fonctionnalités.

    C'est pour cela que, sauf si il y a vraiment un problème avec le modèle dont nous discutons, je ne pense pas que le changement de hardware soit un point de passage obligatoire, ni que ça apporte un plus en terme de sécurité.

    Par contre, je suis d'accord que si l'objectif était de déployer, en entreprise, plusieurs points d'accès wifi, l'intérêt de choisir un matériel hybride n'existe pas et il est préférable de se simplifier la vie pour avoir une solution stable est maîtrisée. Et la simplicité est ici un atout en terme de sécurité, je suis d'accord  ;)  mais je ne pense pas que la question initiale soit dans ce cadre.