Migration Ipcop vers Pfsense



  • Salut à tous.

    Souhaitant utiliser plusieurs liaisons wan afin de renforcer la disponibilité et la bande passante disponible, je souhaite faire évoluer mon installation actuelle dont voici le schéma :

    Je possède plusieurs adresses ips en 1 classe 23 complète depuis plusieurs années  : x.x.XX7.X et x.x.XX8.x car nous en avons eu besoin fut un temps…
    Le schéma indique la répartition des ips.
    A l'heure actuelle j'ai créé un alias pour chaque adresse IP publique sur la carte wan/rouge d'ipcop, puis un transfert de port pour chaque service vers leur adresse privée de la dmz/orange. J'ai effectué manuellement une translation SNAT pour chacun des six serveur afin qu'ils respectent tous le reverse dns. Le serveur est configuré comme proxy web pour le réseau Lan uniquement. Tout fonctionne parfaitement depuis des années.

    Demeurant en province profonde, où la bande passante et les câblo-opérateurs se font rare, ma sdsl 2mo est régulièrement saturée ce qui provoque des coupures de la voip et des indisponibilités des services web, mail ,ftp ...

    J'ai choisi la version 1.2.1 RC1 car j'administre plusieurs serveurs sous Freebsd et la version 7 apporte le support de beaucoup plus de pilotes (dont les cartes intel gigabit intégrées), elle est bien plus rapide en SMP et cette version gère plusieurs liaisons wan.

    Je souhaite donc évoluer vers une infrastructure où je conserve la sdsl pour les services dns, http, smtp, pop, imap et webmail  et affecter une adsl pour la navigation http du lan et les ftp de la dmz, une réservée pour la voip, voire une troisième en failover des 2 premières.

    J'ai commencé à configurer pfsense dans ce sens mais je bute déjà sur plusieurs soucis si je conserve mes adressages ip actuels :

    • j'ai pour cela suivi l'exemple suivant : http://doc.m0n0.ch/handbook/examples.html#id11641322
    • j'ai réaffecté les mêmes adresse ip à l'interface Lan et Wan et opt1/dmz et créé opt2/wan2 en IP statique vers un modem pppoe
    • j'ai tout d'abord tenté de faire un 1:1 nat pour les serveurs de la dmz en créant une rêgle pour autoriser tout le trafic en sortie depuis le lan et la dmz sauf wan->lan et dmz->lan,
    • j'ai créé des alias ip (virtual ip) en proxy arp pour chaque ip publique des serveurs virtuels supplémentaires ( mais pas pour ceux en 1:1 nat),
    • j'ai créé une règle pour autoriser le trafic de chaque service du wan vers les serveurs dmz et pour chaque serveur,
    • j'ai autorisé le trafic dmz->wan et interdit dmz->lan,

    Je rencontre à ce niveau 2 problèmes :

    • le serveur dns 1 fonctionne mais pas son ftp
    • le serveur web n°1 fonctionne mais pas son ftp
    • le serveur mail n°1 ne fonctionne ni sur smtp/pop3/imap ni son webmail
    • aucun serveur n°2 fonctionne

    J'ai alors essayé de refaire le même type de mappage que sous ipcop à savoir :

    • transfert de chaque service/port vers chaque serveur en lui laissant le soin de créer les règles automatiquement,
    • création d'une règle outbound nat manuelle pour chaque serveur + une automatique pour le lan

    Et le résultat est pire plus aucun service n'est accessible sauf le dns, les logs montrent que tout ce qui entre est bloqué ainsi que les mails qui veulent sortir. J'ai donc réinstallé ma première sauvegarde qui semblait mieux fonctionner …

    Je ne sais plus ou chercher, merci d'avance de m'aider...

    EG ???



  • Je souhaite donc évoluer vers une infrastructure en conservant la sdsl pour les serveurs dns, web et mail  et affecter une adsl pour la sauvegarde / ftp et une pour la voip, et une en failover.

    Dédier une liaison à la vois sir ip me semble une décision sage et à vrai dire quasi incontournable.

    Avant d'entrer dans le détail, et pour vérification, ne perdez pas de vue que Pfsense applique d'abord la translation d'adresse puis les règles de filtrage. Je suggère dans un premier temps de vérifier que vos règles en tiennent compte. De préférence sur un exemple simple (en laissant de coté le ftp provisoirement).

    Sur l'interface 192.168.1.254, avez vous déjà mis en place les vlans ? si oui comment ?



  • Une panne sur une base sql m'a privé du "plaisir" de continuer mes tests avant ce matin…

    Tout d'abord merci du coup de main...

    Sur l'interface 192.168.1.254, avez vous déjà mis en place les vlans ? si oui comment ?

    Pour les vlans je les gère par ports directement sur les switchs niveau 2 étendus ou niveau 3...

    Voici une copie d'écran de chacun des onglets de la rubrique Firewall :

    1-1 NAT

    Rules LAN

    Rules WAN

    Rules DMZ

    Outbound NAT

    Ports Forward

    Virtual-ips

    Dans l'attente d'une aide pour enfin progesser…



  • Avant d'entrer dans le détail, et pour vérification, ne perdez pas de vue que Pfsense applique d'abord la translation d'adresse puis les règles de filtrage. Je suggère dans un premier temps de vérifier que vos règles en tiennent compte. De préférence sur un exemple simple (en laissant de coté le ftp provisoirement).

    L'avait vous fait ? Puisqu'il semble que rien ne fonctionne, pouvez vous commencer par quelque chose de simple ?

    Pour les vlans je les gère par ports directement sur les switchs niveau 2 étendus ou niveau 3…

    Sur le schéma les lignes sont en partie supperposées, il y a donc une interface pour chaque réseau 1921.168.1.0 et 192.168.2.0



  • L'avait vous fait ? Puisqu'il semble que rien ne fonctionne, pouvez vous commencer par quelque chose de simple ?
    Comme le montre les copies d'écran les seules règles en service concerne chacun des services de chaque serveur, le dns pour les 2 serveurs dns (cela fonctionne sur dns1, mais pas sur le dns2), smtp/pop/imap/http/htps pour serveur mail (aucun service entrant ou sortant),…

    Sur le schéma les lignes sont en partie supperposées, il y a donc une interface pour chaque réseau 1921.168.1.0 et 192.168.2.0
    J'ai refait le schéma initial afin d'être encore plus clair.
    Je n'ai pas continué la configuration complète tant que la dmz ne fonctionne pas... J'utilise 2 ports gigabits intel sur la carte mère + 1 carte 4 ports gigabits intel soit:
    em0 - lan
    em1 - wan
    em2 - dmz
    em3 - wan2 - configuré sauf pour l'instant au niveau des règles et du failover
    em4 - wan3 - non configuré pour l'instant au niveau des règles ni du failover
    em5 - voip - non configuré pour l'instant au niveau des règles ni du failover



  • Tout est journalisé, c'est une bonne chose pour la mise au point. Que disent vos logs ? Par exemple sur une tentative de session smtp ?



  • Tout est journalisé, c'est une bonne chose pour la mise au point. Que disent vos logs ? Par exemple sur une tentative de session smtp ?

    Oui, comme j'ai de la place de libre avec 2X80 Go en raid1, j'ai activé les logs pour pouvoir mieux m'en sortir. Pour le smtp, par exemple, en entrée comme en sortie, j'obtiens une croix rouge aussi bien en provenance du wan (serveur gmail) qu'en provenance de la dmz (192.168.211.27:25)… C'est à ce demander si la 1.2.1 RC1 build du 2/10 n'est pas buguée...  ???



  • Ok, je ne pense pas à ce point. Quel est la définition de mail dans Aliases ?
    Depuis la console Pfsense, pouvez vous pinguer chaque machine ?



  • Ok, je ne pense pas à ce point.

    Dans le doute je viens de lancer une mise à jour vers la 1.2.1 RC1 build du 15/10, on ne sait jamais…
    Voila c'est fait !

    Quel est la définition de mail dans Aliases ?
    Désolé pour l'oubli, voici la liste des alias :

    Depuis la console Pfsense, pouvez vous pinguer chaque machine ?
    Oui, bien sûr, le ping fonctionne parfaitement vers chacune des machines du lan, de la dmz et même vers le routeur sdsl…



  • J'ai repris ma config à zéro afin de la mener à bien pas à pas comme je l'ai toujours fais depuis que j'ai commencé unix et freebsd en 1999…

    Le premier obstacle c'est la définition du NAT, si je choisis l'option 1:1 dois-je aussi crée une adresse ip viruelle au format carp (comme je l'ai lu dans un tuto anglais) pour chaque serveur, ou la seule translation nat suffit ?

    Plus d'infos au prochain numéro... ;)


Log in to reply