Mon Pfsense n'a pas accès à Internet



  • Contexte: réseau wifi associatif communautaire 135 adhérents
    Pfsense tête de réseau en mode routeur, portail captif, dmz.
    wan: interco ip privée vers notre fournisseur fibre 1 gbps.
    lan: routage en ip publiques.

    Le problème: Pfsense n'a pas accès à Internet
    (du coup, pas de mises à jour, pas d'accès aux packages)

    Le diagnostic: lorsque Pfsense sort vers l'Internet, il utilise son ip wan qui n'est qu'une adresse d'interconnexion.

    Ma question: peut-on contourner le problème en utilisant l'adresse lan comme ip source de Pfsense ? Auriez-vous une autre idée pour que notre Pfsense ait accès à Internet.

    Grands mercis pour votre attention et entraide.
    JM.



  • Je ne sais pas ce que tu appelles "adresse d'interconnexion" mais à mon avis, la description de ton environnement n'est pas assez précise, voire erronée.
    Qu'y a t-il entre le WAN de pfSense et internet ?
    Un équipement pour passer de la fibre au cuivre (RJ45) ?
    un routeur ?

    Peux-tu préciser les adresses IP des différentes interfaces ?



  • Un schéma avec adressage et les équipements présents serait bienvenu pour comprendre votre architecture.

    Le diagnostic: lorsque Pfsense sort vers l'Internet, il utilise son ip wan qui n'est qu'une adresse d'interconnexion.

    Si ce que je comprend correspond à la réalité, c'est normal. Ensuite il y a la réalité, ce que vous souhaitez obtenir et ce que vous pensez être la solution. Avec un schéma on devrait pouvoir démêler tout cela.



  • Bonjour. Oui bien sûr, voici les précisions demandées

    <notre opérateur>-
    |
    <<routeur Mikrotik BGP annonce 185.106.x.y>>
    <<routeur Mikrotik patte lan 10.0.1.1>>
    |
    --interco 10.0.1.x/29
    |
    <<wanPfsense 10.0.1.6>>
    <<lanPfsense 185.106.161.1>>
    |
    réseau utilisateurs en 185.106.161.x/24

    Comme indiqué dans mon premier post descriptif, mon Pfsense d'accède pas à Internet.
    Il "sort" avec l'ip wan du Pfsense (10.0.1.6) et n'est pas routé.
    Je me demandais s'il était possible de faire en sorte que mon Pfsense "sorte" vers l'Internet avec son ip lan publique et donc routée !
    Bien cordialement.



  • Déjà, tu devrais modifier ton plan d'adressage sur le LAN pour utiliser une IP dans le range de la RFC1918.
    Ce n'est pas un problème de routage dès lors que le routeur Mikrotik prends en charge du NAT.

    • Est-ce que depuis pfSense tu "vois" 10.0.1.1 ?
    • quelles sont les règles de FW sur ton interface WAN pfSense ?


  • Et quand je regarde via whois, 185.106.161.1, c'est une adresse attribuée (à Castres)
    Si c'est la tienne, ou celle de ton association/organisation, pas trop de souci (et je pense que c'est le cas si je recoupe ton pseudo et le nom du contact correspondant dans RIPE) si ce n'est que tu devrais quand même garder ces IP publiques pour internet et utiliser des IP RFC1918 pour le LAN



  • Passer en ip RFC1918 devrait vous faciliter la vie. La configuration que vous avez tenté est "sportive". Possible mais à condition d'avoir le contrôle de tous les équipements. Le routeur Mikrotic n'est peut être pas d'accord pour ce mode de fonctionnement. Passez votre lan en ip privées et évitez les sempiternelles 192.168.0.0/24 et 192.168.1./24.



  • Bonjour,
    Quelques réponses:
    La Mikrotik ne fait pas de NAT. Elle route en BGP nos ip's publiques comme indiqué sur le schéma.
    Pas question pour moi de mettre le Lan en ip's privées. Le but étant que chaque usager du réseau (derrière le Lan) dispose d'une ip publique.
    Nous sommes Lir, les ip's publiques utilisées sont de notre ressort. (association LyreG3 en fait)

    J'essaye de repréciser ma demande d'entraide et conseils amicaux:

    • Notre Pfsense dispose d'une ip privée en wan (interco avec l'amont) et d'une ip publique en lan (routage des usagers en ip's publiques - réseau wifi).
    • Du coup notre Pfsense ne sort pas sur Internet car il utilise son ip wan qui est une ip privée non natée.
    • Du coup impossible d'effectuer les mises à jour ou add packages.
      Ma question:
      Auriez-vous une astuce pour que le Pfsense utilise son adresse lan pour sortir plutôt que son adresse wan ?
      Bien amicalement.
      JM


  • Pas question pour moi de mettre le Lan en ip's privées

    Il semble y avoir une raison, quelle est -elle ? Quel intéret d'un point de vue fonctionnel ?

    Auriez-vous une astuce pour que le Pfsense utilise son adresse lan pour sortir plutôt que son adresse wan ?

    C'est impossible si vous conservez Pfsense dans sa configuration de type routeur. Par construction et par défaut Pfsense translate les ip Lan en utilisant l'ip Wan.
    Ce mode fonctionnement peut être désactivé et Pfsense fonctionnera en demi pont.

    Autre scénario en restant en mode routeur, le NAT 1:1 Les ip publiques seront portées par l'interface wan de Pfsense chaque ip privée du lan sortira avec une ip publique définie.

    Tout cela est, de mon point de vue, beaucoup de complications pour accéder à Internet ....



  • Pas question pour moi de mettre le Lan en ip's privées

    Il semble y avoir une raison, quelle est -elle ? Quel intéret d'un point de vue fonctionnel ?

    Oui merci pour vos remarques.
    Il s'agit d'un réseau d'accès à Internet et donc il est logique que chaque utilisateur dispose d'une ip publique. D'un point de vue légal, cela évite de loguer les connexions. C'est beaucoup plus simple et cela permet à chacun d'avoir une ip publique ce qui est bien pratique (serveur perso, domotique, etc)

    Auriez-vous une astuce pour que le Pfsense utilise son adresse lan pour sortir plutôt que son adresse wan ?

    Ce mode fonctionnement peut être désactivé et Pfsense fonctionnera en demi pont.

    C'est exactement cela que je recherche. Comment désactiver ce fonctionnement et fonctionner en demi-pont comme vous l'indiquez ?

    Autre scénario en restant en mode routeur, le NAT 1:1 Les ip publiques seront portées par l'interface wan de Pfsense chaque ip privée du lan sortira avec une ip publique définie.

    Oui nous étions auparavant en nat 1:1 mais nous avons fait le choix de poser l'ip publique de chaque adhérent chez lui, dans son cpe perso.

    Tout cela est, de mon point de vue, beaucoup de complications pour accéder à Internet ....

    Ben non, ça marche très bien avec des latences et des débits très corrects. En revanche, je suis embêté pour les mises à jour de notre Pfsense, d'où ma demande d'entraide.
    Bien à vous tous.
    JM



  • Sortir avec l'IP LAN de pfSense n'a pas, d'un point de vue réseau, beaucoup de sens de mon point de vue.
    Mais, si la question est liée à BGP, qu'est-ce qui t'empêche d'utiliser sur le segment entre le routeur Mikrotik et le WAN de pfSense un range publique puisque tu as cette possibilité ?
    par exemple 185.106.161.252/30, avec Mikrotik en .254 et le WAN de pfSense en .254

    Là où ça devient rigolo, c'est que tu veux 131 adresses sur le LAN, donc plus de 126 ☺
    Il faut ruser un peu, à défaut d'avoir une autre plage d'adresses disponible.
    Par exemple 185.106.161.0/25 va te donner 126 adresses et 185.106.161.128/26 va t'en donner 62 autres. Donc au total assez pour couvrir tes besoins.
    Le seul effet de bord, mais peut-être est-ce un problème dans ton cas: tu vas avoir 2 IP LAN pour pfSense qui va voir passer tous les paquets entre le réseau /25 et le réseau /26

    Mais c'est une solution qui fonctionne dans utiliser d'adresse RFC1918 ☺



  • Bonjour

    Sortir avec l'IP LAN de pfSense n'a pas, d'un point de vue réseau, beaucoup de sens de mon point de vue.

    Et si justement cela avait du sens pour moi, comment faudrait-il que je fasse ?

    qu'est-ce qui t'empêche d'utiliser sur le segment entre le routeur Mikrotik et le WAN de pfSense un range publique puisque tu as cette possibilité ?

    Oui nous avions pensé à cette possibilité. Je l'avais écartée car je n'aime pas "depenser" inutilement des ip's publiques et faire le riche puisque c'est une ressource devenues rares.

    Il faut ruser un peu, à défaut d'avoir une autre plage d'adresses disponible.

    Je peux disposer d'un /30 ou /31 public et indépendant pour ça. Ou bien poser l'adresse 185.106.161.1/24 sur la Mikrotik. Ce n'était pas notre choix de départ mais c'est possible.

    Merci pour toutes ces remarques.
    Je regrette juste de ne pas savoir comment faire pour faire sortir le Pfsense avec son adresse Lan.
    A bientôt.
    JM.



  • tu as un /24 pour 131 utilisateurs => toutes les adresses que tu ne consomme pas sont gaspillées 😁
    Bref, plaisanterie mise à part, le problème n'est finalement pas que tu n'as pas d'accès à internet avec pfSense mais que tu veux utiliser pour le WAN une IP RFC1918 que tu ne routes pas et que donc tu cherches à sortir via l'interface WAN avec une IP gérée cotée LAN.
    Je ne sais pas faire mais je vais suivre avec attention ce fil, dès fois qu'un jour un gourou apporte une réponse



  • @jmguilbert said in Mon Pfsense n'a pas accès à Internet:

    Il s'agit d'un réseau d'accès à Internet et donc il est logique que chaque utilisateur dispose d'une ip publique. >D'un point de vue légal, cela évite de loguer les connexions. C'est beaucoup plus simple et cela permet à >chacun d'avoir une ip publique ce qui est bien pratique (serveur perso, domotique, etc)

    Je serai assez intéressé pour connaitre votre référence juridique le fait qu'utiliser une ip publique évite de loguer. Les FAI aussi seraient intéressés !

    Il y a longtemps que l'on sait traiter ces besoins (serveur perso, domotique) avec n'importe quel FAI. Par ailleurs l'usage d'une ip fixe augmente substantiellement votre surface d'exposition. Là aussi il y a de la complexité à traiter.

    Tout cela est, de mon point de vue, beaucoup de complications pour accéder à Internet ....

    Ben non, ça marche très bien avec des latences et des débits très corrects. En revanche, je suis embêté pour les mises à jour de notre Pfsense, d'où ma demande d'entraide.

    Je n'ai pas dit que cela ne marche pas. Je ne doute pas que cela fonctionne correctement pour celui qui est derrière le clavier. Je dis que votre idée est compliquée à mettre en œuvre pour un simple accès internet. La preuve.

    Par ailleurs vous cherchez absolument à faire fonctionner Pfsense (comme n'importe quel firewall) d'une façon qui ne correspond pas à la réalité. Votre problème est mal posé (sortir sur wan avec l'ip lan). Votre problème est comment router un réseau publique en passant pas un segment de réseau privé. Je n'ai pas le temps de cherche pour vous. Creusez dans cete direction, mais çà se fait.



  • Je serai assez intéressé pour connaitre votre référence juridique le fait qu'utiliser une ip publique évite de loguer. Les FAI aussi seraient intéressés !

    Nous préférons utiliser l'ip publique individuelle plutôt que de loguer. A notre avis, c'est largement suffisant pour répondre à toute demande judiciaire du type "qui était derrière telle ip tel jour à telle heure ?".
    Loguer ne sert à rien dans notre cas. D'autant que la loi (règles Arcep) n'accompagnent leurs règles d'aucune obligation de moyens.

    Par ailleurs vous cherchez absolument à faire fonctionner Pfsense (comme n'importe quel firewall) d'une façon qui ne correspond pas à la réalité.

    Je conviens effectivement que je me sers davantage de Pfsense comme d'un routeur plutôt que d'un firewall. Et c'est pas bien ... mais c'est historique dans notre réseau.
    Oui effectivement, il faut changer ça.
    A bientôt.