Problème transfert de port - Novice sur Pfsense
-
Je viens de faire l'acquisition d'un boitier FUJITSU AMD G-T40N avec trois ports réseaux.
J'ai installé la dernière version de pfsense
2.4.4-RELEASE-p2 (amd64)
Basé sur Wed Dec 12 07:40:18 EST 2018
FreeBSD 11.2-RELEASE-p6Contexte : Utilisation à titre personnel, derrière une Freebox V6 en mode bridge avec une IP fixe
Besoin : Je besoin de faire du transfert de port, actuellement, j'utilise un edgerouter avec lequel je fais du transfert de port avec du nat, mais je souhaite passer sur pfsense
Schéma :
Interface n°1 : WAN (1er port intégré à la carte mère) avec l'ip fixe de free.
Interface n°2 : LAN ((1er port de la carte PCI supplémentaire)) avec l'ip 192.168.0.1 (sur laquelle j'ai branché mon switch)
Interface n°3 : OPT1 ((2ème port de la carte PCI supplémentaire) sans ip défini pour l'instantWAN (modem/routeur/box) : Freebox V6 en IP Fixe, Pfsense configurer en DHCP Ipv 4 & 6
LAN : nombre --> 1
vlan --> 0
dhcp server (Pfsense) 192.168.0.0/24 avec les DNS de free et googleDMZ : Aucune pour le moment
WIFI : Idenpendant, ubiquiti
Règles NAT : forward.
Règles Firewall : Isue des règles Nat
Packages ajoutés : Aucuns
Autres fonctions assignées au pfSense : Aucunes pour le moment
Question : Les transferts de port que je viens de faire ne fonctionnent pas, je n'ai pas accès depuis l'exterieur, pourtant j'ai suivis plusieurs tuto, à moins que j'ai mal fait que chose
J'ai essayé plusieurs configuration du transfert de port, mais rien.
Merci de m'indiquer si vous avez besoin de plus d'informations, j'ai essayé de renseigner ce poste au mieux.
Merci pour votre support
-
(C'est bien d'avoir suivi le formulaire pour présenter votre problème. A continuer ...)
Vous avez noté qu'il suffit de rédiger une règle dans NAT > Port Forward pour qu'une règle se créé automatiquement dans WAN. Il faut garder à l'esprit que l'on modifie seulement la règle créé dans NAS > Port Forward, et que l'on ne touche pas celle dans WAN !
Cela ne fonctionne pas comme attendu, et ... c'est 'normal' !
Par méconnaissance, vos règles NAT > Port Forward précise le port source, ce qui n'est pas correct : seul le port destination est nécessaire !
Exemple un trafic http se caractérise par
- ip destination = ip serveur
- port destination = 80
- protocole = TCP
Mais le port source est totalement variable (et >1024 en principe) : il ne peut en aucun cas être lui-aussi 80 !
Pour votre trafic c'est la même chose.
-
Bonsoir Jdh,
Merci pour cette réponse, j'ai donc modifié mes fordward comme ci-dessous
Mais bizarrement je n'ai que le port 10001 qui passe pour faire mes tests j'utilise le site https://www.yougetsignal.com/tools/open-ports/, les trois autres sont toujours close.
-
@karibou
Bonne nuit
Vous pouvez utiliser tcpdump (diagnostics/packet capture) pour localiser le problème
Par exemple ,
Interface lan
Protocol any
Port 12345
Host 192.168.0.8
Nous vérifions s'il y a des paquets à 192.168.0.8
Et s'il leur répond
Et je ne suis pas sûr que ce test fonctionne correctement
Il montre les ports TCP ouverts et udp montre que fermé
-
Une capture de trame sur Pfsense vous renseignera certe, tout comme les logs après les avoir activé sur les règles.
-
J'ai activé les logs sur la règle ouvrant le port 12345
Voici ce que j'ai
Ainsi que la capture
22:05:35.703711 IP 198.199.98.246.57810 > 88.162.XXX.XX.12345: tcp 0
22:05:35.734216 IP 88.162.XXX.XX.12345 > 198.199.98.246.57810: tcp 0
22:05:35.904533 IP 198.199.98.246.57811 > 88.162.XXX.XX.12345: tcp 0
22:05:35.905037 IP 88.162.XXX.XX.12345 > 198.199.98.246.57811: tcp 0
22:05:36.079196 IP 198.199.98.246.57815 > 88.162.XXX.XX.12345: tcp 0
22:05:36.079695 IP 88.162.XXX.XX.12345 > 198.199.98.246.57815: tcp 0
-
@karibou Tout est bon
cela montre que les paquets ont passé l'interface wan
Nous devons comprendre ce qui se passe ensuite
Montrez-moi ce que packet capture montre (lan interface)
-
Voici la capture réseau
22:05:35.703711 IP 198.199.98.246.57810 > 88.162.XXX.XX.12345: tcp 0
22:05:35.734216 IP 88.162.XXX.XX.12345 > 198.199.98.246.57810: tcp 0
22:05:35.904533 IP 198.199.98.246.57811 > 88.162.XXX.XX.12345: tcp 0
22:05:35.905037 IP 88.162.XXX.XX.12345 > 198.199.98.246.57811: tcp 0
22:05:36.079196 IP 198.199.98.246.57815 > 88.162.XXX.XX.12345: tcp 0
22:05:36.079695 IP 88.162.XXX.XX.12345 > 198.199.98.246.57815: tcp 0
-
@karibou C'est packet capture de WAN interface
et je suis intéressé par l'interface lan
-
22:11:09.127496 IP 198.199.98.246.59206 > 192.168.0.8.12345: tcp 0
22:11:09.157412 IP 192.168.0.8.12345 > 198.199.98.246.59206: tcp 0
22:11:10.325845 IP 198.199.98.246.59208 > 192.168.0.8.12345: tcp 0
22:11:10.329772 IP 198.199.98.246.59216 > 192.168.0.8.12345: tcp 0
22:11:10.356334 IP 192.168.0.8.12345 > 198.199.98.246.59208: tcp 0
22:11:10.356398 IP 192.168.0.8.12345 > 198.199.98.246.59216: tcp 0
22:11:12.212882 IP 198.199.98.246.59222 > 192.168.0.8.12345: tcp 0
22:11:12.243176 IP 192.168.0.8.12345 > 198.199.98.246.59222: tcp 0
22:11:12.413729 IP 198.199.98.246.59223 > 192.168.0.8.12345: tcp 0
22:11:12.414037 IP 192.168.0.8.12345 > 198.199.98.246.59223: tcp 0
22:11:12.599016 IP 198.199.98.246.59224 > 192.168.0.8.12345: tcp 0
22:11:12.629271 IP 192.168.0.8.12345 > 198.199.98.246.59224: tcp 0
-
@karibou out va bien, le port 12345 fonctionne
L'hôte 192.168.0.8 répond
-
@karibou Et une autre question
La connexion Internet fonctionne bien ?
Sans problème ?
-
-
@karibou Je suis intéressé par la question
Tous les sites ont-ils accès à partir d'un réseau lan ?
-
@konstanti
En fait ce ne sont pas des sites, c'est pour piloter mon alarme à distance :-)
Quand je remet mon edgerouter ubiquiti cela fonctionne.
Et quand je suis en local sur le même Lan cela fonctionne également
-
@karibou
Ça va
Essayez de le faire
system/advanced/networking/
-
@konstanti Pas mieux :-(
Ce qui est bizare c'est la règle sur le port 10001 fonctionne, mais pas les trois autres
-
@karibou Alors j'ai besoin d'un fichier PacketCapture ( download capture )
et plus diagnostics / command prompt / execute shell command /
ifconfig -m
-
@konstanti
PacketCaptur sur le lan ?
-
@karibou Oui
-
@konstanti
J'envois le download capture par mp
-
@karibou qu'est-ce que "mp"? ))
Envoyez-moi le fichier par e-mail
konstanti197@gmail.com
Et montrez la sortie de la commande " ifconfig-m"
-
Pardon MP == Message personnel
0_1547589119460_ifconfig -m.txt
-
@karibou
Voici ce que je vois
Pour une raison inconnue, 192.168.0.8 réinitialise la connexion
Êtes-vous sûr que 192.168.0.8 utilise le port 12345 ?
Pourquoi TCP RST envoyé immédiatement après SYN?
La raison peut être aussi un peu. Cela signifie généralement que le port sur lequel vous essayez d'ouvrir la connexion n'est pas disponible. Le serveur est désactivé, le serveur est occupé ou ce port est fermé. Par conséquent, SYN est réinitialisé et c'est tout.
