Environnement test incluant pfsense sous env. prod avec pfsense (résolu)
-
Réécriture du problème :
Vous avez réécrit votre problème en introduisant les 'sections' conseillées … mais vous n'avez pas compris le sens de ce formulaire, qui est de décrire sans ambiguité !En effet, ce que vous éditez n'apporte ... rien (même pas presque rien).
Votre schéma (un schéma vaut mille mots) laisse tant de doutes qu'aucun mot ne vienne lever : les 2 plus fréquents intervenants sont comme moi : ils ne comprennent pas, c'est qu'il y a une raison !Le 'Contexte' : contexte pro, ok, mais, je pense que vous n'êtes pas le concepteur de la partie gauche du schéma, vous êtes celui qui a été chargé d'ajouter la partie droite, en mode stagiaire peut-être ?
Log et tests : Internet fonctionne pas mais je suis capable de me connecter au PFSENSE de production par le VLAN test.
Que veut dire 'me connecter' ?
Il est notable que pfSense dispose d'une analyse de trafic (Diagnostics > Packet capture) qui n'aura aucune peine à vérifier qu'un paquet requête dns a ou non une réponse !Le forum est rempli de fils avec présentations ambigües, peu claires, demandes de précision …
Votre schéma :
Remarque 1 :- Il s'agit d'un schéma 'logique' (fonctionnel).
- Mais AUCUNE info sur le schéma physique : où y a-t-il des switchs ? Y a-t-il de la virtualisation (avec switchs) ? combien exactement d'interfaces a chaque pfsense (nombre, noms, adressage) ?
Remarque 2 :
A gauche, il y a 'pfsense01' et 'pfsense02'; et de multiples 'traits' vers un groupe de 3 boites.En bas à gauche, les 3 boites 'Serveur', 'Prod' et 'ctc' DOIVENT ou DEVRAIENT être dans un même réseau logique, que j'appellerai 'LAN'.
En haut à gauche, les 2 'pfsense01' et 'pfsense02' DOIVENT ou DEVRAIENT être un cluster de pfsense (l'un master, actif, l'autre slave, passif).
Mais le lien, indiqué, entre les 2 étant mal disposé met le doute …
Voyez, si chaque pfsense01 ou 02 était correctement décrit ...Usuellement, avec un cluster (physique conseillé), il y a 2 pfsense avec, chacun 3 interfaces (WAN, LAN, LINK), et 2 switchs généraux (l'un sur WAN, l'autre sur LAN), LINK pouvant être un simple câble croisé.
Chaque pfSense dispose de ses 3 propres adresses (sur chaque interface).
Et il y a 2 adresses ip virtuelles (l'une sur WAN, l'autre sur LAN) qui basculeront d'un pfsense à l'autre au gré de la bascule master/slave.
De facto, il faut ajouter des règles de 'sortie', sur chaque interface : le flux doit sortir, par interface, avec l'ip virtuelle, et non l'ip réelle de chacun des pfsense !Votre greffe (d'un pfsense de test) sur seul l'un des membres d'un cluster, et sur une interface non précisée est DELICATE !
Tant à faire (vous), qu'à imaginer (lecteurs) !Avant d'aller plus loin, je pose, donc, 2 questions :
- êtes vous concepteur de la partie gauche ?
- pfsense01 et 02 sont-ils en cluster ?
(Je suppose NON et OUI.)
Il reste la question majeure, dont la réponse ne peut qu'être exprimée qu'avec des mots (qui viennent aisément) : que voulez vous faire ?
(La façon de faire se déduit de ce qu'on veut faire. Parfois, même pour les meilleurs, ce qu'on fait ne correspond pas à ce qu'on veut faire ! ATTENTION : profond)
En particulier, faire un pfsense de test autour d'un cluster se réalise, normalement, en se branchant sur le switch WAN (s'il y a des ip dispos) !
(Je suppose que, faute de clarté sur l'objectif, faute de compréhension exhaustive de la solution existante, la déduction est très incorrecte et la mise en oeuvre … non fonctionnelle.) -
Merci! Je commence a comprend ce que vous ne comprenez pas. Ce que je veux faire est prendre le réseau tel qu'il est en se moment (que je n'ai pas monter) et en faire un copie conforme (en changeant les adresses de toutes les machines) pour pouvoir faire des test. Étape #1 : faire une copie du pfsense puisque en se moment il a été configurer par quelqu'un d'autre et je n'ai pas plus d'info que cela sur le sujet.
La plan d'adresse est bon, rien n'es interposé, tout le monde est différent. Si vous voulez un exemple, PFSense01 est 192.168.0.1, pfsense02 est 10.0.0.1 et test-pfsense est 172.16.0.1.
Si vous voulez aller plus loin, le vlan d'utilisateur reçoit 192.168.1.1, serveur 192.168.2.1, etc, etc tout le monde en /24.La création du vlan a été fait sur la switch qui relie toute les machines. Dans le schéma elle serait entre pfsense01/02 et tout le reste. PFsense 02 est supposer etre en sync avec pfsense01 pour faire de la HA. Je dit bien supposer, parce que l'une des multiples raison de tout se charabia est que tout fonctionne bien parce que çà fonctionne. Notre haute-disponibilité n'est pas des disponible et c'est un problème pour un autre jour~
LA seule sécurité que je veux est que je ne veux pas que les deux environnement se "touche", que même si les adresses soient identique, il n'y ai pas de conflit. C'est demander beaucoup, mais je peux toujours rêver.
"me connecter" = accéder ? Je pose une question parce que connecter veux dire connecter, je ne vois pas trop comment le reformuler.
Mon client, si je le configure pour recevoir une adresse du pfsense01 (sous le vlan test) à aucun problème pour se connecter a internet. c'est "seulement" quand je le fait à travers test-pfsense.
Pour la virtualisation vous m'avez perdu…. j'ai des serveurs virtuel, mais encore je ne veux pas refaire le réseau au complet (pour l'instant) quand mon problème est seulement entre deux machines.
Chaque pfsense ? ils ont tous 4 interfaces physique et plein de vlan, mais pour test-pfsense seulement 2 d'utiliser puisque mon problème est avec le WAN et le LAN (j'imagine).Switch WAN ? La machine qui fournis internet a toute les autre machine est pfsense01. La "seule" différence entre comment celle ci est fait physiquement est que test pfsense doit etre connecter a une switch avant de se rendre a pfsense01.
Voici une version a jour du plan et j'ai enlever les trucs qui semble vous chicotez, parce que (pour l'instant) il ne sont pas nécessaire et c'est la raison première pourquoi je vais tout ça (ex pfsense02 qui est supposer être en cluster mais il n'y a rien d'installer dessus) : https://imgur.com/a/M9dzI
J'y suis aller du coq à l'âne mais bon, je pense avoir répondu a tous.
-
Vous répondez (mal) aux questions que je me pose (que les lecteurs doivent se poser) … et vous ne rassurez en aucune manière.
La partie gauche, vous ne l'avez pas conçue. Et il semble clair que vous ne la maitrisez pas.
pfSense01/02 sont en cluster (mais il n'y aurait rien dessus ???). Très flou aussi !
L'expression de besoin est peu claire (= pas nette et franche).Je n'ai aucune confiance dans votre capacité à gérer (je suis désolé, c'est mon impression).
Je vais, donc, me garder de vous donner le moindre conseil.
En particulier,
- votre réponse sur 'je peux me connecter' est trop peu claire,
- de mon point de vue, l'attente de l'objectif (avoir une infra identique mais séparée) devrait passer par un branchement sur le switch WAN et non directement au niveau d'un pfSense
Au regret.
-
Merci tout de même d'avoir essayé de comprendre, je crois ? Vous comprendrez que votre manière de répondre à mes questions sans y répondre ne me donne pas confiance en votre capacité d'analyser le problème.
Je ne sais toujours pas ce que vous voulez dire par connexion a la switch WAN, puisque comme j'ai écris plus haut, la personne qui a fait la partie de gauche a connecter le câble internet directement dans le pfsense01. Les pfsense 01 et 02, a cause de cela, ne peuvent être en haute-disponibilité puisque si pfsense01 ne fonctionne plus, l'internet ne passe plus. Et "rien dessus" sous entendait qu'il est configurer de base, donc, de mon côté, j’imagine que la personne a commencer le travail mais ne l'a pas terminer. Parce que je suis certain que vous poserez la question : non je ne peux pas connecter le fil dans la switch. Cela à été configuré par mon prédécesseur et cela fonctionne (pour l'instant) donc je n'y toucherai pas tant que je ne serai pas 100% certain que la production continue pendant les test.
Mais nous nous égarons, les autres problème de la "partie gauche" ne peuvent être résolu tant que la partie droite soient faite. De la même manière que de dire plus d'une fois que je n'ai pas fait la partie gauche m’empêche d'une manière ou d'une autre de faire la partie de droite ? Je ne vois pas en quoi vouloir corriger les problèmes (multiples) du serveur change le fait que le pfsense que j'ai installer dans mon vlan de test ne ping pas internet. Vous voulez que je vous fasse un contre-rendu de l'installation ? Je peux même prendre des photo-écran juste pour que vous me croyez.
Mais sérieux, je n'ai pas juste ça à faire de me répéter. Vous avez bien le droit de croire que je ne maîtrise pas assez la matière pour recevoir de l'aide, mais alors, pourquoi me faire perdre du temps a essayer de vous expliquer ? Je vous dit que j'ai de la difficulté avec la question #3 et vous me dites: "ah! et bien si tu ne peux pas répondre à la question 12 je ne peux pas t'aider, arrange toi". Comment devrais-je réagir a ce moment ? Tout abandonner et si jamais ces informations deviendraient utiles a un autre (en bien ou en mal), qu'il s'arrange! Si t'as pas 20 ans d'expérience avec un logiciel qui en fait 10 ca vaut pas la peine de répondre aux questions.
Et puis, mon commentaire de "je ne peux pas me connecter", en quoi est-ce que cela est pas claire ? Comment accédez-vous au pfsense de votre côté ? La magie ? J'imagine qu'il y a une machine cliente connecter par des fils qui se rendent de point A à point B et qui, éventuellement, se rendent jusqu'à la machine qui vous sert de serveur pfsense. Ainsi, si la machine cliente se connecte bien à l'interface graphique de pfsense, j'imagine qu'il y a connexion entre les deux. Non ? Peut-être que communication vous irais plus ?
Retour au problème principale.
Mon wan se connecte au DHCP du lan. J'ai désactivé le dhcp dans le lan et maj le wan, mais il reprend tout de même la même adresse. J'essaie de trouver comment le faire connecter au pfsense01 mais rien a faire, l'info m'échappe.
Mon cerveau est en compote, j'ai ajouter/enlever/modifier/etc des règles des deux côté et test-pfsense se connecte toujours pas à internet. le LAN a aucun probleme, lan à wan non plus.
Quel info de plus est-ce que je peux donner pour aller plus loin ? La seule règle qui n'est pas par defaut est un pass de tout (any) dans le wan.
Juste pour aider au problème mes clients s'éteignent au 10 minutes et je ne sais pas pourquoi, la joie~Par ailleurs, tu peux assez simplement vérifier si ton pfSense de test (je parle bien ici du pfSense lui même et pas d'un PC sur le LAN de test) accède à internet. si ce n'est pas le cas, il est illusoire de tester depuis le LAN.
Enfin, il peut y avoir tout un tas de bonnes raisons pour que ça ne fonctionne pas: des règles de firewall bien sûr mais également des routes qui manquent 8)
Je viens tout juste de relire ton message et, j'en suis désolé, complètement passé a côter de ces phrases.
Quand je dit que test-pfsense ne se connecte pas à internet, je parle bien du serveur en tant que tel qui ne ping pas. Faire un traceroute ressort rien. Pour un problème de route je ne vois pas comment puisque la route est bien définis :
Internet –> pfsense01 --> vlan test --> switch --> vlan test --> test-switch --> test-pfsense & test-client
J'ai ajouter les switch et vlan, mais elle communique déjà ensemble donc ne devrais pas être un problème.Si je configure mon client pour qu'il se connecte au pfsense01 (au travers du gateway de la vlan test) il à accès à internet. Donc, comme écris plus haut, mon test-client n'est pas en cause, ni le vlan.
Le lan de test-pfsense fonctionne, je m'y connecte avec le test-client, mais, internet ne fonctionnant pas, je peux rien faire de plus.Les seules rêgles qu'il y a sont celles par défault + une rĝle de wan pass any. J'ai tester plusieurs type de rĝle et à date rien n'a changer....
Si le problème est pfsense01, il y a une rĝle NAT pour laisser passé tout ce qui se passe dans la vlan test.Théoriquement cela devrait fonctionner, mais je suis encore pris...
-
Vous êtes vraiment très, très difficile à comprendre et terriblement imprécis.
Quand je dit que test-pfsense ne se connecte pas à internet, je parle bien du serveur en tant que tel qui ne ping pas. Faire un traceroute ressort rien.
Ne ping pas: depuis quelle interface vers quelle destination ?
Un trace route qui ne donne aucun résultat ? c'est inquiétant !Pour un problème de route je ne vois pas comment puisque la route est bien définis :
Internet –> pfsense01 --> vlan test --> switch --> vlan test --> test-switch --> test-pfsense & test-clientVotre définition d'une route est assez étonnante et je ne sais pas comment vous implémentez cela dans une configuration.
Dans un premier temps c'est le chemin inverse qui nous intéresse.
Pour moi la définition d'une route c'est par exemple (Windows) la ligne de commande :route ADD 192.168.35.0 MASK 255.255.255.0 192.168.0.2
Je ne vois pas ce que le vlan , le switch font dans votre définition d'une route ! Ils n'ont rien à y faire.
J'ai ajouter les switch et vlan, mais elle communique déjà ensemble donc ne devrais pas être un problème.
Je ne comprend pas cette phrase.
Au milieu de ce fatras une piste peut être : la configuration dns ? Mais si le routage n'est pas correct cela ne changera rien.
Dernier point votre architecture, du moins pour ce que l'on en comprend est complètement aberrante pour ce que vous souhaitez faire.
Log et tests : Internet fonctionne pas mais je suis capable de me connecter au PFSENSE de production par le VLAN test.
et
Que je ne soit pas capable de communiquer avec le réseau de production est super, mais j'aimerais au moins avoir internet pour mes test!
Complètement contradictoire. Bref.
En terme d’architecture la solution de JDH est la plus conforme à ce que vous dites vouloir faire. L'isolation est maximum (si c'est correctement implémenté).
Ensuite vous pouvez aussi connecter Pfsense test sur une interface dédié de Pfsense-01 mais avec vos histoires de cluster assez aléatoire …. nous ne sommes sûrs de rien. Normalement on devrait le faire sur la vip du cluster paramétrée à cet effet.Recherche : Ici et sur reddit, à date personne ne semble avoir fait.
Que neni ! J'ai d'ailleurs en ce moment quelque chose de ce genre en plus épicé puisque c'est réalisé avec un Arkoon 360 et un ASA 5510.
Les objectifs n'étant pas les mêmes, l’architecture est différente.Pas facile d'y voir clair, quel fouillis. Je pense aussi que vous avez les bras trop courts pour boxer dans cette catégorie. C'est une expression.
-
Je pense avoir analysé et essayé de comprendre.
Puis j'ai indiqué des éléments de pratiques utiles, que l'on rencontre dans la vrai vie.Je ne doute pas que votre tache soit complexe : il n'est jamais facile, même expérimenté, de reprendre une infra que l'on a pas conçu, avec peu de doc.
(Alors avec peu d'expertise …)Si votre but est d'avoir une solution de repli parce que le cluster ne fonctionne pas comme attendu,
la méthode simple est- un papier, un crayon
- de la réflexion, beaucoup de réflexion : quels sont les réseaux ? quels sont les vlan ? quels sont les adressages ? quels sont les flux à autoriser (dans les 2 sens) ?
- un seul et unique pfSense
L'identification est le travail ESSENTIEL : mieux vous aurez identifié, plus facile est la config ...
Créer 20, 30 alias n'est pas très long quand on normalise bien les noms ... (C'est MAJEUR)
Créer 10, 20 règles ne prend pas très long quand un tableau croisé (zones vers zones) est bien rempli ...Mettons 20' pour installer pfSense sur un hardware.
Mettons 15' pour configurer chaque interface ...
Mettons 20' pour les alias ...Je ne pense pas que le job d'identification soit suffisant : il faudrait être bien plus précis que vous le montrez depuis le début : il ne faut AUCUNE ambigüité !
-
Vous êtes vraiment très, très difficile à comprendre et terriblement imprécis.
Quand je dit que test-pfsense ne se connecte pas à internet, je parle bien du serveur en tant que tel qui ne ping pas. Faire un traceroute ressort rien.
Ne ping pas: depuis quelle interface vers quelle destination ?
Un trace route qui ne donne aucun résultat ? c'est inquiétant !Depuis le LAN vers 8.8.8.8. Le traceroute me dit qu'il communique avec le test-pfsense et qu'il timeout par la suite. Oui inquiétant, merci, je pense être au courant.
Pour un problème de route je ne vois pas comment puisque la route est bien définis :
Internet –> pfsense01 --> vlan test --> switch --> vlan test --> test-switch --> test-pfsense & test-clientVotre définition d'une route est assez étonnante et je ne sais pas comment vous implémentez cela dans une configuration.
Dans un premier temps c'est le chemin inverse qui nous intéresse.
Pour moi la définition d'une route c'est par exemple (Windows) la ligne de commande :route ADD 192.168.35.0 MASK 255.255.255.0 192.168.0.2
Je ne vois pas ce que le vlan , le switch font dans votre définition d'une route ! Ils n'ont rien à y faire.
On se comprend la dessus! Alors pourquoi tout le monde me demande des info sur celles ci ?
Si vous voulez la route en ip à partir de test-pfsense :
172.16.1.1 255.255.255.0 (test-pfsense) –> 172.16.0.1 255.255.255.0 (vlan test dans pfsense01) --> 192.168.0.1 255.255.255.0 (pfsense01) --> internet
J'ai l'impression d'être dans un jeu de charade. Comme dit plusieurs fois, la connexion entre test-pfsense et pfsense01 ne se fait pas bien que l'un est installer sous l'autre.J'ai ajouter les switch et vlan, mais elle communique déjà ensemble donc ne devrais pas être un problème.
Je ne comprend pas cette phrase.
On a déjà établie que les switch et vlan n'ont rien a faire avec le problème, donc j'en parle plus.
Au milieu de ce fatras une piste peut être : la configuration dns ? Mais si le routage n'est pas correct cela ne changera rien.
Dernier point votre architecture, du moins pour ce que l'on en comprend est complètement aberrante pour ce que vous souhaitez faire.
Log et tests : Internet fonctionne pas mais je suis capable de me connecter au PFSENSE de production par le VLAN test.
et
Que je ne soit pas capable de communiquer avec le réseau de production est super, mais j'aimerais au moins avoir internet pour mes test!
Complètement contradictoire. Bref.
Et c'est a ce moment ci que je retourne sur ma parole. La vlan test est importante, le seul moment ou elle l'est en fait. Je peux me connecter au pfsense01 SEULEMENT par la vlan et rien d'autre. Les serveur et client qui sont dans le vlan prod sont intouchable. Dès que je configure le test-pfsense cette connection ne se produit plus puisque le WAN prend une adresse du LAN.
En terme d’architecture la solution de JDH est la plus conforme à ce que vous dites vouloir faire. L'isolation est maximum (si c'est correctement implémenté).
Ensuite vous pouvez aussi connecter Pfsense test sur une interface dédié de Pfsense-01 mais avec vos histoires de cluster assez aléatoire …. nous ne sommes sûrs de rien. Normalement on devrait le faire sur la vip du cluster paramétrée à cet effet.Oublier le cluster et la seul interface disponible est le vlan. Çà donne presque la même chose…
Recherche : Ici et sur reddit, à date personne ne semble avoir fait.
Que neni ! J'ai d'ailleurs en ce moment quelque chose de ce genre en plus épicé puisque c'est réalisé avec un Arkoon 360 et un ASA 5510.
Les objectifs n'étant pas les mêmes, l’architecture est différente.Je voulais bien dire de la manière que je le fait, les yeux bander et les bras attaché dans le dos.
J'ai aussi déjà fait en machine virtuel, mais tout semble plus facile quand il n'Y a pas de pièces physique dans le chemin….Je ne pense pas que le job d'identification soit suffisant : il faudrait être bien plus précis que vous le montrez depuis le début : il ne faut AUCUNE ambigüité !
Ce qui est sympatique avec cette phrase est que la personne qui a créer le pfsense ne savais pas plus ce qu'ils faisait. La personne qui a essayer d'améliorer a dû laisser le travaille a moitié fait et moi on me demande de faire des test. Alors je fais des test.
L'identification est le travail ESSENTIEL : mieux vous aurez identifié, plus facile est la config …
Je sais déjà ce qui devrais être où, le problème est qu'il n'y a pas seulement le pfsense, ce n'est que la premiere étape. Refaire un pfsense de 0 ? deviner ce que j'essaie de faire, mais je passe plus de temps à répondre a des messages qui passe a 1000 km de la question. Si faire avec ce que j'ai est trop compliqué, bah merci, passer au suivant. Je ne cherche pas de me rendre la tâche simple, j'essaie de trouver une solution au problème que j'ai en se moment.
PFSense n'est pas m'a priorité dans les serveurs a reconfigurer. J'ai d'autres chats a fouetter et tant que je n'ai pas d'environnement test, je ne pourrai le faire. L'environnement test ne fonctionnera pas si je ne peux pas me connecter à internet. Si c'est si compliqué à comprendre, arrêter de me dire que je n'y connais rien et donner moi des sources.
-
Terminé pour moi. Vous n'êtes pas capable d'exposer clairement les données d'un problème, avec la rigueur nécessaire. On ne vous demande pas des discours ni des circonvolution verbales. Le tout au milieu d'un magma orthographique et d'informations contradictoires.
-
Ça tombe bien le problème c'est résolu!
J'ai refait un nouveau CD de pfsense et recommencer de 0 pour la énième fois et cette fois-ci tout passe.
Je ne pourrais dire si la version de pfsense que j'installais n'étais pas bonne ou s'il y avais un typo en quelque part, mais mon installation fonctionne super maintenant!Merci bien pour l'argumentation~
-
Tout cela a fini par tomber en marche !