[Résolu] Problèmes après installation 2.3.2_1



  • Bonjour à tous,

    Contexte : Suite à un problème de mise à jour avec une autre distribution pare feu chez un client, j'expérimente une machine Pfsense.
    Pour information la mise à jour qui coince est liée à DNSSEC non débrayable sur la distribution et il n'est pas possible de changer de FAI.
    J'installe donc une version 64 bits de Pfsense (from scratch) sur un serveur HP Proliant DL360 G6 que j'avais sous la main.
    Après le paramétrage de base des interfaces il semble que la distribution fonctionne. La web Gui signale que la version 2.3.2_1 est disponible.

    Besoin : Créer un pare feu avec Squid et Squidguard en prévision ainsi que faire du page-files.

    Schéma :

    WAN (modem/routeur/box) : 1 modem Tooway sat 1 IP publique aucune NAT connexion WAN en DHCP IPV4 (V6 non pris en charge FAI).

    LAN : 1 seul LAN en /24 IP fixe pour rester dans une configuration la plus simple possible pour les tests.

    DMZ : Aucune.

    WIFI : Aucun.

    Autres interfaces : DNS du DC détectés comme ceux du FAI en plus du loopback que j'ai fini par désactiver.

    Règles NAT : Default from scratch.

    Règles Firewall : Default from scratch.

    Packages ajoutés : Default from scratch. Testé avant formatage avec Shellcmd.

    Autres fonctions assignées au pfSense : Default from scratch.

    Question : Avant d'appliquer la mise à jour de version je constate que la passerelle WAN est inactive. Seule erreur dans les logs un problème de latence contre laquelle je ne peux rien faire c'est lié au FAI (latence autour de 1000 ms). Néanmoins, je peux éventuellement accéder à la liste des packages optionnels du package manager. Sans effectuer aucune modification (tout est par défaut) j'installe la mise à jour 3.2.3_1 qui se déroule parfaitement bien. Mais là les problèmes commencent! Plus possible d'accéder au package manager (installé ou pas) la passerelle est toujours inactive mais c'était déjà le cas avant MAJ et en lieu et place du up to date j'obtiens Unable to check for updates. Malgré de très nombreuses recherches sur le forum et Google rien ne change.

    Logs et tests : j'ai essayé à peu près tout ce que j'ai pu trouver, dites moi quels logs les plus pertinents dois-je vous fournir afin de résoudre le problème de gateway ainsi que l'accès aux MAJ. Rappel DNSSEC n'est pas supporté par le FAI, mais que la fonction soit active ou non le résultat est idem.

    Merci par avance pour votre aide.



  • @Nightwolf:

    Bonjour à tous,

    Contexte : …/...

    et donc ??? je ne comprends pas ce qu'est le problème  ???



  • Salut salut.

    La même.

    Quoi que j'ai une idée mais bon, il manque quand tout de même des informations

    • gateway
    • System / General Setup
      …/...


  • @Tatave:

    Quoi que j'ai une idée mais bon, il manque quand tout de même des informations

    :) il en manque une, bien plus importante que tout le reste, à mon avis  ;): LA question ou la description du problème.

    si le besoin est d'installer un proxy sur pfSense, il suffit d'installer le package Squid + Squidguard et, pour des besoins basiques, ça fonctionne "out-of-the-box"
    Sauf si il y un problème mais auquel cas il faut le dire  :P



  • Merci pour vos retours effectivement il en manquait un morceau ^^

    J'ai édité ;)



  • Peut-être un élément de réponse ici:
    https://forum.pfsense.org/index.php?topic=116223.0

    Et il y a plein de problème à peu près similaires décrits dans la section anglaise du forum  ;)



  • Salut salut

    il y a deux choses à contrôler et à faire :

    • 1 - il faut paramétrer l'interface wan et lui dire qu'il y a une gateway attachée à cette interface wan,

    • 2 - dans general setup fixer les dns de votre fai ou d'autre avec l'inteface gateway

    • option controler les règles nat/rules du pare-feu qui par défaut sont fonctionnel.

    Dernière chose au moment de la mise à jour semi automatique depuis les dernières versions conservent pas trop mal les paramètres, juste par précaution faire une sauvegarde avant de procéder.

    ++

    Edit

    • Dans    Services / DNS Resolver / General Settings
      il y une case a cocher ou décocher pour la gestion dnssec

    • Dans    Services / DNS forwarder
      il n'y a pas ce type de case pour activer ou inactiver la gestion dnssec.



  • @chris4916:

    Et il y a plein de problème à peu près similaires décrits dans la section anglaise du forum  ;)

    J'ai parcouru le forum de long en large et en travers avant de poster mon message de désespoir ;D

    @Tatave:

    • 1 - il faut paramétrer l'interface wan et lui dire qu'il y a une gateway attachée à cette interface wan,

    Et le problème était bien le paramétrage WAN qui plantait tout.
    Une connexion ADSL avec une latence autour des 800 - 1200 ms mettait tout en état down. La passerelle ne répondait pas.
    Ce qui m'a induit en erreur c'est que pour ce client, j'ai d'abord mis en place une VM Hyper-V pour tester les bases.
    En passant à la version hardware, je n'ai pas pris en compte le fait que le NIC est devenu frontal et non plus géré par un switch virtuel qui outrepasse ce phénomène de latence. Ce n'était pas une carte dédiée… Mais où sont passées les bests practices  :P

    @Tatave:

    • 2 - dans general setup fixer les dns de votre fai ou d'autre avec l'inteface gateway

    J'ai mis 8.8.8.8 et 8.8.4.4 je ne dois pas être le seul  ::)
    Par contre je confirme la corruption des requêtes DNS par le FAI qui détruit le DNSSEC. Mais bon, je ne suis pas là pour critiquer les FAI il y aurait trop à dire.

    @Tatave:

    juste par précaution faire une sauvegarde avant de procéder.

    Ca me parait être une sage précaution. Surtout que ce serveur risque de passer en semi production pour des tests avec des utilisateurs réels.
    Je marche sur des œufs, j'ai 41 clients (pas users) en attente d'une solution fiable (à bas coût) pour remplacer les anciens firewall que j'avais mis en place. Une MAJ majeure sans changement de build non débrayable remplaçant Bind par Unbound DNSSEC obligatoire sauf à modifier ou plutôt bidouiller le code source après chaque update…

    Merci pour votre aide.