Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Redirection de port ne fonctionne pas

    Scheduled Pinned Locked Moved Français
    3 Posts 2 Posters 511 Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • A
      archinoe
      last edited by

      Bonjour à tous

      Je vous expose mon problème

      Contexte : C'est en milieu pro, je suis développeur web et je suis le seul à avoir la main sur PfSense (version 2.0.1) déjà en place et fonctionnel pour nos internautes

      Besoin : Ajouter d'autres redirection NAT à celui déjà en place (* -> 80)

      Schéma :

      WAN (modem/routeur/box) : L'adresse IP WAN est une IP publique, directement branchée à notre fournisseur Fibre

      LAN : 1 réseau LAN (192.168.10.0), baux d'adresse fixe

      DMZ : aucune

      WIFI : aucun

      Autres interfaces : aucun

      Règles NAT :
      Port forward : WAN *:80 -> haproxy:90 (pfsense) cette règle fonctionne et est utilisée
      1:1 : Aucun
      Outbound : Auto

      Règles Firewall :
      Aucune

      Packages ajoutés : haproxy

      Autres fonctions assignées au pfSense : Service HAProxy sur ip LAN:90 avec un pool de 15 serveurs:80

      Question :
      Il existe déjà une règle NAT, sur le port 80, en place et utilisée qui permet à nos internautes d'atteindre notre haproxy sur le LAN avec nos serveurs WEB (15)
      Tout fonctionne très bien.
      Cependant, j'aimerai ajouter le port https grâce à une machine du LAN qui fait du SSL, avec certificats valide.

      En effet, nous avons, sur un autre domaine, un PfSense (Version 1.2.3) qui fonctionnement de la même manière, mais avec une machine haproxy dans le LAN et non pas dans le service de ce Pfsense.

      A partir du moment où je tente d'ajouter ce port, l'accès est en timeout tout le temps..
      Idem pour tout autre ajout de port (WAN:8080 -> LANTEST:80)

      Pistes imaginées

      Recherches : J'ai tenté d'ajouter les règles NAT à chaque fois en tentant plusieurs solutions avec les sources et destination. Avec les règles générées automatiquement, mais impossible d'activer le port HTTPS

      Logs et tests : en images

      Merci d'avance de m'aider, au pire de comprendre NAT et RULES avec les sources et destination, au mieux de m'aider à résoudre le problème.
      Pour mettre à jour l'autre pfsense, qui est trop vieux, il ne faut pas que je coupe le service donc j'aimerai basculer d'un domaine à un autre

      pfsense1.JPG
      pfsense1.JPG_thumb
      pfsense2_NAT_port_80_haproxy.JPG
      pfsense2_NAT_port_80_haproxy.JPG_thumb
      pfsense3_NAT_port_443_haproxyhttps.JPG
      pfsense3_NAT_port_443_haproxyhttps.JPG_thumb
      pfsense4_rules.JPG
      pfsense4_rules.JPG_thumb

      1 Reply Last reply Reply Quote 0
      • A
        archinoe
        last edited by

        Je vous joint deux images du réseau actuel et du réseau que l'on aimerai.
        Comprenez que l'on a deux domaine (.fr et .net)

        reseau_existant.png
        reseau_existant.png_thumb
        reseau_souhait.png
        reseau_souhait.png_thumb

        1 Reply Last reply Reply Quote 0
        • C
          ccnet
          last edited by

          Deux généralités tant je ne sais par ou commencer dans ce plat de spaghettis.
          1. Si une configuration Pfsense + reverse fonctionne alors rien à toucher sur Pfsense. Celui ci est ouvert sur wan pour Tcp 80 etg 443: règle de filtrage. Puis translation vers le reverse qui fait l'aiguillage selon l'URL de base vers le serveur web de destination.
          2. Une architecture rationnelle et plus sûre serait en effet Pfsense avec la configuration wan déjà décrite. Une troisième interface pour une dmz dans laquelle se trouve le reverse HAproxy ou autre (Kemp Free Loadmaster est très bien). Les serveurs web sont dans lan. Ceux ci n'acceptant de connexion que venant de la dmz. Les règles de filtrage sont dans Pfsense. Le reverse fait l'aiguillage selon l'URL de base demandée.
          Que vous ayez un, deux ou trente domaines ne change strictement rien.

          Faites simple, maintanable et en prime sûr. Vous pourrez centraliser la gestion de nombreux paramètres sur le reverse.

          Je ne comprend pas ce que vous essayez de faire avec vos règles notamment 443 en port source.
          Et le précédente qui ouvre tout, ou presque !

          1 Reply Last reply Reply Quote 0
          • First post
            Last post
          Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.