[BOX Bouygues] Impossibilité à accéder à l'interface web en LAN (RÉSOLU)
-
Contexte :
- milieu : perso
- niveau expertise de l'administrateur : Plutôt bas que haut...
- âge de la solution firewall : Materiel acheté en janvier 2012
- CPU : Geode(TM) Integrated Processor by AMD PCS
Besoin : Accéder à l'interface web de la box depuis le réseau LAN.
Schéma :
- WAN (modem/routeur/box) : Box Bouygues, plus un PC de test
- LAN : plusieurs postes clients (raspberry, client maison), serveurs (calculs, NAS), mediacenter
- DMZ : aucune
- WIFI : aucun
- CPL : aucun
Rôle :
- Utilisation de pfSense comme firewall, et serveur DHCP.
- Pour le DNS, configuration est la suivante (par ordre dans pFsense, onglet « System Information », « DNS server(s) » ) :
- 127.0.0.1
- 192.168.1.254
- 9.9.9.9
- 1.1.1.1
- 208.67.222.222
- 208.67.220.220
Règles NAT :
- Port Forward : vide
- 1-to-1 : vide
- Outbound : Automatic outbound NAT rule generation (IPsec passthrough included)
- Automatic rules : Régles automatiques créées par pFsense (pour le WAN)
- NPt : vide
Règles Firewall :
-
WAN : 2 règles en mode « block »
- 1 règle avec « Source » : RFC 1918 networks
- 1 règle avec « Source » : Reserved/not assigned by IANA
- les « ID » (valeur : Vide), « Proto » (valeur : *), « Port » (valeur : *), « Destination » (valeur : *), « Port » (valeur : *), « Gateway » (valeur : *), « Queue » (valeur : *), « Schedule » (valeur : Vide), « Description » (valeur : Block Private networks) des 2 règles sont identiques.
-
LAN : 3 règles en mode « pass »
- 1 règle « ID » (valeur : Vide), « Proto » (valeur : *), « Source » (valeur : *), « Port » (valeur : *), « Destination » (valeur : LAN Address), « Port » (valeur : 443 et 80), « Gateway » (valeur : *), « Queue » (valeur : *), « Schedule » (valeur : Vide), « Description » (valeur : Anti-Lockout Rule)
- 1 règle avec « Proto » (valeur : IPv4 *) et « Description » (valeur : Default allow LAN to any rule)
- 1 règle avec « Proto » (valeur : IPv6 *) et « Description » (valeur : Default allow LAN IPv6 to any rule )
- les « ID » (valeur : Vide), « Source » (valeur : LAN Net), « Port » (valeur : *), « Destination » (valeur : *), « Port » (valeur : *), « Gateway » (valeur : *), « Queue » (valeur : none), « Schedule » (valeur : Vide) des 2 règles sont identiques.
Packages ajoutés : Aucun packet ajouté. Le minimum me suffit :-)
Autres fonctions assignées au pfSense : Rien, sauf les fonctions mentionnées plus haut
Problématique : Depuis la fin de l'année (entre mi-novembre et fin décembre), je n'arrive plus à accéder à l'interface web de la box depuis le réseau LAN, mais j'y arrive depuis le réseau WAN.
Pistes imaginées :
- J'ai essayé depuis le système d'un poste client et depuis un live, ça ne fonctionne pas. Pour info, c'est le même PC (même ordinateur et même live usb) que j'ai utilisé pour accéder à la box depuis le réseau WAN.
- Ça peut paraître bizarre, j'ai essayé de passer en IPv4 et en IPv6, mais ça ne change rien.
Recherches :
- Je suis allé voir les logs de la box, sans résultat probant...
- J'ai cherché au niveau des postes clients (modification des adresses IP en IPv4 et IPv6), sans y arriver...
- Je suis allé regarder au niveau du contrôle d’accès de la box, et pfSense est autorisé (la box ne que pfSense, pas les postes en LAN)
- J'ai cherché au niveau des logs de pfSense, et il y a une info intéressante... Quand je rentre l'adresse IP de la box (192.168.1.254), ça se modifie automatiquement en https://mabbox.bytel.fr, et là dans le fichier log, le retour est le suivant :
- Act : block
- Time : Feb 25 18:09:11
- IF : WAN
- Source : 192.168.1.254
- Destination : 224.0.0.1
- Proto : IGMP
Logs et tests :
- Logs de la bbox : rien de spécial
- Logs de pfSense : Voir dans la zone de recherches, le log en question
Question :
- Au vue du problème, est-ce normal que la box veille accéder à 224.0.0.1 quand je souhaite accéder à son interface web ?
- Est-il possible que l'impossibilité d'accéder à la box vienne de là ?
Je vous remercie pour les réponses.
Bonne soirée.
-
La Box Bouygues est bien en mode "routeur" ? Si oui comment le WAN est configuré sur le PFSENSE ?
Généralement les box, on les laisse en routeur et on fait du double NAT car le bridge n'est pas possible ou trop omplexe avec la TV / VOIP.
Par curiosité c'est quelle box et quel type d’accès internet ? (Fibre / ADSL / Cable).
-
(Bravo pour le suivi du formulaire, je ne peux que vous féliciter !)
Vous avez un pfSense, dont le WAN est connecté à une box Bouygues.
(Je suppose que WAN est configuré avec une ip statique.)La logique serait de définir comme unique dns du pfsense la box Bouygues. (Et non la grande liste de serveurs dns que vous mentionnez !)
Ainsi la définition 'mabbox.bytel.fr' qui est 'fabriqué' à la volée par la box, fonctionnerait.
Pensez à utiliser la syntaxe de test (sous Windows) : nslookup (nom) (serveur)A défaut, si le pfSense fournit le dsn à votre LAN, faites la définition.
Chez Free, c'est la définition 'mafreebox.freebox.fr', chez Orange, c'est la définition 'livebox'. cela permet d'accéder aisément à la box et à son interface web de config.
NB : Attention, votre WAN étant en adressage privé (puisque box en mode routeur), ne pas bloquer les ip privées (RFC1918) !
-
Bonjour,
Merci pour vos différents messages.
@yathus said in [BOX Bouygues] Impossibilité à accéder à l'interface web en LAN (EN COURS):
La Box Bouygues est bien en mode "routeur" ? Si oui comment le WAN est configuré sur le PFSENSE ?
La box est configuré en routeur. Le WAN (sur pfSense) est en IP statique
@yathus said in [BOX Bouygues] Impossibilité à accéder à l'interface web en LAN (EN COURS):
Généralement les box, on les laisse en routeur et on fait du double NAT car le bridge n'est pas possible ou trop omplexe avec la TV / VOIP.
Je n'ai pas branché la box télé (d'ailleurs, ça sert à quoi une box télé ?), et je ne suis pas en VOIP.
@yathus said in [BOX Bouygues] Impossibilité à accéder à l'interface web en LAN (EN COURS):
Par curiosité c'est quelle box et quel type d’accès internet ? (Fibre / ADSL / Cable).
C'est une box qui peut recevoir la fibre, mais je suis en ligne ADSL classique.
@jdh said in [BOX Bouygues] Impossibilité à accéder à l'interface web en LAN (EN COURS):
(Bravo pour le suivi du formulaire, je ne peux que vous féliciter !)
Merci.
@jdh said in [BOX Bouygues] Impossibilité à accéder à l'interface web en LAN (EN COURS):
Vous avez un pfSense, dont le WAN est connecté à une box Bouygues.
(Je suppose que WAN est configuré avec une ip statique.)Yes ;-)
@jdh said in [BOX Bouygues] Impossibilité à accéder à l'interface web en LAN (EN COURS):
La logique serait de définir comme unique dns du pfsense la box Bouygues. (Et non la grande liste de serveurs dns que vous mentionnez !)
Je suis trop parano pour passer par le dns de Bouygues.
@jdh said in [BOX Bouygues] Impossibilité à accéder à l'interface web en LAN (EN COURS):
Ainsi la définition 'mabbox.bytel.fr' qui est 'fabriqué' à la volée par la box, fonctionnerait.
Pensez à utiliser la syntaxe de test (sous Windows) : nslookup (nom) (serveur)Tous les clients à la maison sont sous GNU/Linux - UNIX.
En cherchant sur le net, j'ai réussi à résoudre le problème...@jdh said in [BOX Bouygues] Impossibilité à accéder à l'interface web en LAN (EN COURS):
A défaut, si le pfSense fournit le dsn à votre LAN, faites la définition.
J'avoue, je suis largué : la rousse ne connaît pas...
Blague à part, je ne vois pas trop...@jdh said in [BOX Bouygues] Impossibilité à accéder à l'interface web en LAN (EN COURS):
Chez Free, c'est la définition 'mafreebox.freebox.fr', chez Orange, c'est la définition 'livebox'. cela permet d'accéder aisément à la box et à son interface web de config.
NB : Attention, votre WAN étant en adressage privé (puisque box en mode routeur), ne pas bloquer les ip privées (RFC1918) !
Ça signifie que je dois passé pfSense en NAT ? La question a peut-être aucun rapport avec votre NB, mais l'informatique (et le réseau par la même occasion), ce n'est ni mon cursus universitaire, ni mes domaines de compétences...
Mais (grâce à des forums - merci Benjamin), le problème est résolu : j'ai simplement mis 192.168.1.254 mabbox.bytel.fr dans le fichier hosts...
Et clac le tour est joué...
Bonne fin de week-end.
-
Je suis trop parano pour passer par le dns de Bouygues.
=> Il n'y a pas de raison, et rien ne vous empêche d'avoir un micro avec une définition spécifique ...Tous les clients à la maison sont sous GNU/Linux - UNIX.
=> 'nslookup' fonctionne sous Debian, mais vous pouvez traduire avec 'host' ou 'dig'j'ai simplement mis 192.168.1.254 mabbox.bytel.fr dans le fichier hosts.
=> le fichier 'hosts' (/etc/hosts pour Linux, c:\windows\system32\drivers\etc\hosts pour Windows) réalise une 'définition dns' pour le pc. Sous pfSense, il doit y avoir un menu Unbound où on peut faire cela pour tous les clients.Entrainez vous un peu sur dns, c'est un outils 'de base' et nécessaire ...
-
Bonjour JDH,
Je vous remercie pour votre réponse.
@jdh said in [BOX Bouygues] Impossibilité à accéder à l'interface web en LAN (RÉSOLU):
Je suis trop parano pour passer par le dns de Bouygues.
=> Il n'y a pas de raison, et rien ne vous empêche d'avoir un micro avec une définition spécifique ...Tous les clients à la maison sont sous GNU/Linux - UNIX.
=> 'nslookup' fonctionne sous Debian, mais vous pouvez traduire avec 'host' ou 'dig'OK, merci pour l'info. Je viens d'essayer depuis un autre poste sous GNU/Linux, et ça focntionne.
@jdh said in [BOX Bouygues] Impossibilité à accéder à l'interface web en LAN (RÉSOLU):
j'ai simplement mis 192.168.1.254 mabbox.bytel.fr dans le fichier hosts.
=> le fichier 'hosts' (/etc/hosts pour Linux, c:\windows\system32\drivers\etc\hosts pour Windows) réalise une 'définition dns' pour le pc. Sous pfSense, il doit y avoir un menu Unbound où on peut faire cela pour tous les clients.Entrainez vous un peu sur dns, c'est un outils 'de base' et nécessaire ...
OK, merci pour le conseil.
J'ai cherché le menu « Unbound » sous pfSense, sans le toruver. J'ai cru comprendre que c'était un plugin à ajouter... N'ayant que 2 postes qui doivent se connecter à l'interface web de la box : je pense laisser la configuration dans l'état actuelle des choses.
Une configuration - sûrement un peu bancale - mais qui fait le boulot...Bonne fin de journée et bon week-end.