Problème accès internet VM derrière Pfsense



  • Bonsoir,

    Je suis novice dans le domaine et je souhaite m'améliorer mais après avoir retourner le web, je vous poste mon problème.
    J'ai mis en place un Proxmox avec un Pfsense qui doit avoir pour but de rediriger les ports de mes futures VM ( via ce tuto https://computerz.solutions/pfsense-rediriger-ports-pat/ )
    Le problème est comme écrit dans le titre, au niveau de l'accès internet depuis ma VM.

    Voici le schéma simplifié de mon réseau :

    WAN : Ip Publique : 163.172.210.x –---> vmbr0(163.172.210.1) pFsense vmbr1(192.168.1.1) ------> VM : 192.168.1.10

    Je prend pour référence 8.8.8.8 pour ping, depuis proxmox, aucun soucis que ça soit pour cette dernière ou pour ping la VM, vmbr0 et 1.

    Par contre, coté VM : ping KO vers 8.8.8.8 et vmbr0, ping OK vers vmbr1, l'ip publique.

    Au niveau de firewall -> NAT, j'ai mis ces deux règles là :
    http://prntscr.com/e7ixkd

    et ces règles aux niveaux du Firewall :
    http://prntscr.com/e7iyfc

    Malgré ça, toujours pas accès à internet, auriez vous une idée sur la source du problème ?

    Merci d'avance,



  • Salut salut

    Etes vous sur du sens de vos flux réseaux ?

    Commençons par ordre méthode :

    ping
    – wan pf ==> internet ====> ok / nok ?
    -- lan pf ==> vm client ====> ok /nok ?
    -- vm client ==> exterieur ====> ok/nok ?
    / Le ping dans ces cas la n'est pas toujours probant dans ces cas là. /
    / par défaut pf laisse passer tous les flux du lan vers le wan pas l'inverse. /

    Les Pistes :

    1- sur le pf

    • Le ping vers l'extérieur passe ? wan ==> passerelle ou ip sur votre réseau apres le proxmox
    • Faire un tracert pour valider la route vers l'extérieur toujours vers 1 ip de votre réseau après le proxmox
    • Le ping vers une ip a l'intérieur passe ? lan ==> ip vm cliente qui n'a pas de pare-feu ouvert ou plutôt autorisant les requêtes icmp

    2- sur la vm cliente

    • Se loguer sur l'interface web du pf
    • Sur le wan la passerelle est elle la bonne ?
    • Sur le wan les dns sont ils bons ? (pas nok)
    • Sur le Lan si vous vous servez du service dhpc est il en adéquation avec votre segment lan ?

    3- sur proxmox

    • Savez vous que votre virtualiser sert de passerelle à vos vm en frontale, et pas pour les vm derrière le pf qui lui leur sert de passerelle ?

    En résumé :
    soit votre choix des vnet et type de vnet ne sont pas bon pour le pf.
    soit vos paramétrages ne sont pas bons sur le pf et le proxmox.
    soit vos choix de vnet et paramétrages ne sont pas bons.

    Cordialement



  • @Tatave:

    Salut salut

    Etes vous sur du sens de vos flux réseaux ?

    Commençons par ordre méthode :

    ping
    – wan pf ==> internet ====> ok / nok ?
    -- lan pf ==> vm client ====> ok /nok ?
    -- vm client ==> exterieur ====> ok/nok ?
    / Le ping dans ces cas la n'est pas toujours probant dans ces cas là. /
    / par défaut pf laisse passer tous les flux du lan vers le wan pas l'inverse. /

    Les Pistes :

    1- sur le pf

    • Le ping vers l'extérieur passe ? wan ==> passerelle ou ip sur votre réseau apres le proxmox
    • Faire un tracert pour valider la route vers l'extérieur toujours vers 1 ip de votre réseau après le proxmox
    • Le ping vers une ip a l'intérieur passe ? lan ==> ip vm cliente qui n'a pas de pare-feu ouvert ou plutôt autorisant les requêtes icmp

    2- sur la vm cliente

    • Se loguer sur l'interface web du pf
    • Sur le wan la passerelle est elle la bonne ?
    • Sur le wan les dns sont ils bons ? (pas nok)
    • Sur le Lan si vous vous servez du service dhpc est il en adéquation avec votre segment lan ?

    3- sur proxmox

    • Savez vous que votre virtualiser sert de passerelle à vos vm en frontale, et pas pour les vm derrière le pf qui lui leur sert de passerelle ?

    En résumé :
    soit votre choix des vnet et type de vnet ne sont pas bon pour le pf.
    soit vos paramétrages ne sont pas bons sur le pf et le proxmox.
    soit vos choix de vnet et paramétrages ne sont pas bons.

    Cordialement

    Salut,

    Qu'entends tu par flux réseaux ?

    wan pf ==> internet : ko
    lan pf ==> vm client : ok
    vm client ==> exterieur : ko

    1- sur le pf

    • Le ping vers l'extérieur passe ? Ping ko sur la "patte" WAN du pfsense
    • Faire un tracert pour valider la route vers l'extérieur toujours vers 1 ip de votre réseau après le proxmox : La commande me retourne 1 - * * * , 2 * * * etc
    • Le ping vers une ip a l'intérieur passe ? lan ==> ip vm : Le ping fonctionne

    2- sur la vm cliente

    • Se loguer sur l'interface web du pf
    • Sur le wan la passerelle est elle la bonne ?  Oui, elle est bien renseignée
    • Sur le wan les dns sont ils bons ? (pas nok) Oui DNS bien renseigné
    • Sur le Lan si vous vous servez du service dhpc est il en adéquation avec votre segment lan ? Nan j'utiliserai que des IP fixe pour le LAN

    3- sur proxmox

    • Savez vous que votre virtualiser sert de passerelle à vos vm en frontale, et pas pour les vm derrière le pf qui lui leur sert de passerelle ? Hmmm j'ai pas bien compris ta phrase ^^'

    Merci d'avance,



  • Salut salut.

    Si le pf est bien monté en situation normale on a :

    • ping extérieur ===> wan-pf ===> nok
    • ping interieur ==> lan-pf ==> wan-pf ===> exterieur ===> ok

    Si le pf est mal monté en situation anormal on a :

    • ping extérieur ===> wan-pf ===> machine cliente ===> ok
    • ping interieur ==> lan-pf ==> nok

    Donc pour moi vous vous êtes planté entre la zone wan et la zone lan, donc vos explications le pare-feu est actif sur la patte lan et non comme il devrait l’être sur le wan.
    Problème facile a identifier sur un pf physique, plus complexe quand on virtualise et que l'on ne maitrise pas ou mal la virtualisation.

    Cordialement.