access to web gui only when i disabled pf
-
Bonjour a tous,
Je me permet de venir vous sollicitez car je rencontre un petit soucis sur pfsense.
Mon PF est bien en place, il a une patte dans mon wan (192.168.0.X) et un patte dans mon lan(10.100.0.X).
J'ai une règle sur l'interface WAN qui est la suivante ==> allow tcp source:192.168.0.0/24 port:* Dest:Wan adresse port:443.
Mon soucis est le suivant:
Quand je fais une modification (ajout de règle par ex.) je suis obligé de faire un pfctl -d sur le pf pour retrouvé l’accès à l'interface.
un reboot du routeur va corrigé le problème temporairement. une petite idée d'ou vient le soucis ?Merci d'avance
-
N'essayez vous pas d'administrer Pfsense par son interface wan ? Il n'est pas prévu pour cela.
A moins que nous n'ayez supprimé la règle anti lockout ? -
Merci pour votre réponse.
Oui j’essaye bien d'administrer depuis le WAN. cependant la règle anti lockout est bien désactivée. de plus la règle cités dans mon post précédant doit me donner accès depuis mon WAN. -
une petite idée d'ou vient le soucis ?
Pfsense n'est pas conçu pour cela et c'est une mauvaise pratique. Ce qui ne signifie pas pour autant qu'il n'est pas possible d'administrer depuis l'extérieur. La bonne configuration consiste à configurer un vpn (Openvpn) qui permettra une administration sécurisée (jusqu’à un certain point qui dépend de vos besoins de sécurité et de nombreux détails de mise en œuvre). Vous pourrez donc lancer votre connexion vpn et administrer normalement Pfsense sur l'interface Lan et vous connectant au firewall par le vpn.
-
@ccnet
Oui je comprend bien que la pratique n'est pas correcte. après c'est un lab et je n'ai pas de machine pour le moment dans le LAN. ce qui me parait bizarre tout de même c'est qu'une règle est une règle, best practise ou non. c'est plus ça qui me pose problème... maintenant pour ce qui est du VPN je vais surement finir par ça. vaut mieux que je l'installe sur une machine coté LAN ? ou sur le pfsense directement ? -
@flyeur78 said in access to web gui only when i disabled pf:
ce qui me parait bizarre tout de même c'est qu'une règle est une règle,
Il y a des règles implicites, dans Pfsense, comme dans tout firewall d'ailleurs.
après c'est un lab
A quoi sert un lab avec une mauvaise utilisation du produit ? Je ne comprend pas très bien ce que l'on peut en faire, ni quel bénéfice on peut en tirer.
maintenant pour ce qui est du VPN je vais surement finir par ça. vaut mieux que je l'installe > sur une machine coté LAN ?
Il est rare que l'on configure un client vpn côté lan même si c'est possible. La configuration la plus proche du cas d'usage général est une machine côté wan avec son client vpn.
ou sur le pfsense directement ?
Je ne comprend pas. Ce qui sera configuré sur Pfsense, c'est le serveur OpenVPN.
-
@ccnet
Merci du retour (très) rapide !!!
Le but du LAB c'est d'y avoir accès depuis l’extérieure (les jours ou je ne suis pas chez moi par exemple) ça faisait donc partis du "besoin".
un petit raspberry, fera très bien l'affaire je suppose ?
Quand je parle de configurer le VPN sur pfsense, je pensais à télécharger le package VPN (s'il existe) et d'utiliser le serveur pfsense comme serveur VPN également. -
@flyeur78 said in access to web gui only when i disabled pf:
Le but du LAB c'est d'y avoir accès depuis l’extérieure (les jours ou je ne suis pas chez moi par exemple)
Donc besoin tout à fait standard. Vous avez confondu le besoin et la solution technique.
Le besoin est classique et parfaitement légitime, j'ai des dizaines d'utilisateurs chez mes clients qui fonctionne comme cela pour différents besoin métiers.
La solution technique est la configuration d'un vpn (de type Openvpn) qui est parfaitement adapté aux utilisateurs distants (ou nomades). Vous pourrez accéder aux ressources du Lan, y compris l’administration de Pfsense.un petit raspberry, fera très bien l'affaire je suppose ?
Pour faire quoi ?
Quand je parle de configurer le VPN sur pfsense, je pensais à télécharger le package VPN (s'il existe) et d'utiliser le serveur pfsense comme serveur VPN également.
Il n'y a rien à télécharger. Pfsense comporte nativement les solutions vpn OpenVPN et IPSec.
Je pense que vous n'avez pas tout compris et que la lecture de la documentation ne vous fera pas de mal. -
@ccnet
Je vais me rabattre sur cette solution je penses. merci pour vos retours