Accès au NAT du WAN depuis le LAN
-
Bonjour à tous,
Pas facile de trouver un titre pour mon problème.
J'ai créé deux règles NAT pour les ports 8061 et 4435 (port fictif) que je redirige vers un serveur sur mon LAN. Tout est ok quand je suis à l'extérieur, j'accède à mon serveur.
Mon problème est que parfois j'ai besoin, depuis le même périphérie, d'accéder au serveur mais depuis mon LAN sans possibilité d'indiquer à l'appli une ip local. Dans ce cas pas moyen d'accéder au serveur. Les ports sont ouverts sur l'interface LAN et je laisse tout sortir sur l'interface WAN.
Je suis en offre fibre pro chez Completel, est-ce un paramètre sur pfsense ou bien est-ce que je dois m'orienter vers mon opérateur ?
Merci d'avance.
Philippe. -
Il faut mettre en place une résolution DNS locale fonctionnelle. Je ne sais pas quel est votre dns interner (un DC active directory, le DNS forwarder de Pfsense) mais cela importe peu. Si votre machine est www.momdomaine.fr vous aurez une résolution dns publique qui ne change pas et une résolution locale qui ser par exemple
www.momdomaine.fr A 192.168.7.5 en supposant que ce soit l'ip privée de votre serveur.
Lorsque le dns local ne peut fournir la réponse depuis sa base de données, il fera appel aux dns externes (publics). Tout sera alors transparent pour vos utilisateurs.je laisse tout sortir sur l'interface WAN.
A prohiber.
-
A prohiber.
J'ai oublié de préciser que sur l'interface LAN je sélectionne les ports que je laisse passer et tout ce qui n'est pas connu est bloqué.
La résolution DNS fonctionnera à condition d'utiliser un nom de domaine, dans mon cas j'utilise l'ip public directement car c'est un service propre à notre usage et non à vocation du public. Pour être plus clair c'est notre serveur MDM.
Pour ce cas je peux passer par un VPN, mais dans le cas général est-ce qu'il existe un moyen de paramétrer pfsense pour atteindre l'interface WAN lorsqu'on se trouve sur le LAN ?
En tout cas merci pour ta réponse.
Philippe. -
salut salut
j'ai beau relire j'ai du mal, pour moi il manque des infos.
comme je suis un visuel , vous serait il possible de nous faire un schéma de votre montage ? s il vous plait.cordialement
-
La résolution DNS fonctionnera à condition d'utiliser un nom de domaine, dans mon cas
j'utilise l'ip public directement car c'est un service propre à notre usage et non à vocation du public. Pour être plus clair c'est notre serveur MDM.
Un peu contradictoire !
Pour ce cas je peux passer par un VPN, mais dans le cas général est-ce qu'il existe un moyen de paramétrer pfsense pour atteindre l'interface WAN lorsqu'on se trouve sur le LAN ?
Oui mais c'est une très mauvaise idée.
Rien ne vous empêche d'utiliser le nom uniquement en interne (la machine en possède un forcément) et de ne gérer qu'une résolution locale. D'une façon générale, utilisation totalement publique ou bien limitée, l'accès via des ip n'est pas une bonne idée. Cela provoque trop d'adhérence, comme dans votre cas. -
Un peu contradictoire !
Le serveur MDM est utilisé par nous et uniquement nous mais les périphéries (tablettes Apple) pouvant être sur le LAN ou alors extérieur à nos locaux (des commerciaux sur la route par exemple) donc arrivant par le WAN, parfois une même tablette peut être utilisé sur le LAN et sur le WAN.
Imaginons :
Côté LAN mon serveur MDM s'appelle svmdm01 correspondant à l'ip 192.168.6.154, dans mon DNS interne j'ajoute cette résolution, tout est ok.
Côté WAN mon ip public est 87.59.125.20 et n'a pas de nom DNS et n'est pas connu d'un DNS extérieur et n'a pas à vocation à être connu.Dans la config du MDM je dois indiquer l'adresse ip/domaine qu'utiliserons les périphéries pour ce connecter, dans mon cas 87.59.125.20, c'est aussi utilisé pour les échanges de certificats entre le MDM et la génération des APN (Apple). Dans ces cas lorsque la tablette est à l'extérieur pas de soucis elle peut atteindre le MDM. Maintenant le cas ou la tablette est connecté en Wifi à notre LAN, la connexion à l'ip 87.59.125.20 n'est pas accessible. Si j'inverse la config en donnant l'adresse de connexion svmdm01, lorsqu'une tablette est sur le LAN pas de problème mais lorsqu'elle se trouve à l'extérieur de nos locaux svmdm01 est totalement inconnu, sauf à ce qu'il y ai un VPN entre la tablette et notre réseau.
Lorsque j'ajoute une tablette au MDM, le serveur génère un paquet d'installation qui est automatiquement déployé sur la tablette sans que j'ai aucun paramétrage possible. Une fois fait les tablettes essaie de communiquer avec le MDM par l'adresse 87.59.125.20 et les ports prévue à cet effet. Elles n'ont pas connaissance de svmdm01 et encore moins de son IP.
C'est le serpent qui se mord la queue et plus j'avance et plus je me dis que la "meilleure" solution est le VPN. Qu'en pensez vous ?
Philippe.
-
Côté WAN mon ip public est 87.59.125.20 et n'a pas de nom DNS et n'est pas connu d'un DNS extérieur et n'a pas à vocation à être connu.
Et pourquoi pas ?
-
J'ai re-réfléchis à votre idée de DNS.
J'utilise OVH pour héberger notre site et j'ai accès au enregistrement dns du coups j'ai ajouté un sous domaine que j'ai nommé mdm.mondom.fr qui renvoie vers l'ip publique. Sur mon dns local (bind) j'ai ajouté un enregistrement de type A qui ressemble à :
mdm.mondom.fr A 192.168.xxx.xxx
J'ai relancé bind et depuis un pc du LAN je tente une résolution
nslookup service.mondom.fr Server: 192.168.xxx.xxx Address: 192.168.xxx.xxx#53 Non-authoritative answer: Name: mdm.mondom.fr Address: adresse public
Normalement il devrait me donner l'ip locale mais pas de chance il me donne l'ip public
Si j'ajoute mon domaine local alors ça marche :
nslookup mdm.mondom.fr.mondomaine.local Server: 192.168.xxx.xxx Address: 192.168.xxx.xxx#53 Non-authoritative answer: Name: mdm.mondom.fr.mondomaine.local Address: adresse local
Mais à l'extérieur mon domaine local n'est pas connu, du coups c'est pas bon.
Je sais que ça dépasse la configuration de pfsense mais si vous avez une piste je veux bien ;) -
Tout ça m'a l'air bien compliqué alors qu'il s'agit de faire un truc très simple.
Si le but est d'obtenir une résolution différente selon qu'on se situe à l'intérieur ou à l'extérieur, alors il faut bien sûr que le nom de domaine (c'est quoi cette histoire de sous-domaine ?) soit le même.L'idée du split-DNS, c'est qu'un même fqdn soit résolu avec une adresse IP privée lorsque la requête vient du LAN et avec une IP publique si la requête vient d'internet.
Dans ce que je comprends de ton explication, tu utilises des noms de domaine différents ???
-
c'est quoi cette histoire de sous-domaine ?
Pour mes tests j'utilise le domaine de notre site internet hébergé chez OVH, je créé un sous-domaine et au lieu de pointer vers l'ip du serveur d'OVH je l'envoie vers notre ip public.
Dans ce que je comprends de ton explication, tu utilises des noms de domaine différents ???
Pardon, une erreur de copié/collé, c'est bien mdm.mondom.fr que je veux utiliser pour le WAN ou pour le LAN. Sur le LAN mdm.mondom.fr me renvoie vers l'ip public. Si je veux obtenir une résolution vers l'ip LAN je suis obligé d'ajouter notre domaine local (qui est différent du domaine "internet"), soit : mdm.mondom.fr.mondomain.local
Du coups soit je me plante quelques par dans la config de notre bind soit j'ai pas compris un truc.
Edit :
J'ai regardé l'histoire du split-dns et c'est exactement ce que je cherche à faire ;) -
Pas facile de trouver un titre pour mon problème.
Genre : "DNS local ne fonctionne pas …..".
J'ai créé deux règles NAT pour les ports 8061 et 4435 (port fictif) que je redirige vers un serveur sur mon LAN. Tout est ok quand je suis à l'extérieur, j'accède à mon serveur.
Parfait.
Mon problème est que parfois j'ai besoin, depuis le même périphérie, d'accéder au serveur mais depuis mon LAN sans possibilité d'indiquer à l'appli une ip local. Dans ce cas pas moyen d'accéder au serveur. Les ports sont ouverts sur l'interface LAN et je laisse tout sortir sur l'interface WAN.
T'inquiète. J'ai compris. Il te faut un "nom" ou URL, genre blablabla.mon-lan.local
"mon-lan.local" est bien sur le "Domain" que t'as mis ici : System => General Setup
Il suffit que tu :(voir image)
192.168.100.100 est l'IP de ton serveur.
"blablabla" le nom du host - a choisir.Note : de demande jamais ton FAI s'il peuvent entrer dans le DNS d'un nom de domaine "sur le net" des hosts d'un réseau local - avec des IP non routables en plus. C'est peu comme demander au ministère dedu transport de changer le code de la route pour que les feu rouges seront des feux bleus …