Accès WAN perdu
-
Bonjour,
Je suis le responsable informatique dans un établissement scolaire.
Ma question ne concerne que la partie WAN donc pour gagner un peu temps à taper ce post je vais "zapper" le schéma de ma PFSENSE.
Cette PFSENSE gère l'accès internet à tout l'établissement.
Explication du contexte de la perte du WAN :
Suite à une demande, je devais rendre accessible depuis l'extérieur un serveur, j'ai pas eu de souci sur ce point.
En regardant un peu les différents réglages de cette PFSENSE, (je suis en poste que depuis 9 mois et je découvre encore certain fonctionnement, mon prédécesseur ne m'ayant laissé aucune info...), j'ai remarqué que pour le WAN on avait fixé une connexion à 100Mb/Full Duplex alors que les autres interfaces sont en 1000Mb/FD et que notre réseau est en Gigabits partout.
J'ai alors décidé de changer la vitesse en 1000Mb/FD, le changement a bien fonctionné et l'interface était bien opérationnelle mais plus d'accès au net, je ping bien la gateway (box "orange buisness" en mode "bridge" car j'ai une ip publique) mais aucun site distant.
J'ai donc repassé la vitesse en 100Mb/FD mais pareil plus d'accès internet.Pour tester, j'ai branché un portable directement sur la box avec les paramètre de l'interface WAN et pas de souci pour l'accès au net, tout fonctionnait.
J'ai alors pensé à un souci de blocage de l'adresse MAC de la carte réseau de l'interface WAN par la box (?!) mais même en prenant la carte réseau d'une autre interface le problème a continué d'exister!
Donc maintenant je penche pour un "bug" dans la configuration de l'interface WAN avec cette adresse IP car, pour des raisons techniques, nous avons une deuxième PFSENSE avec un deuxième accès internet et si je met les paramètres WAN de la 2ème PFSENSE sur la1ère, j'ai alors accès à Internet !
Le plus amusant étant que si je mets les paramètres WAN de la 1ère PFSENSE sur la 2ème, j'ai également accès à Internet!
Je précise une chose : NON je ne peux pas laisser ça comme ça, les 2 accès internet sont différents et nous avons des redirections de site qui pointent sur nos adresses publiques.
Ma question : Auriez-vous une idée de l'origine de ce bug ?
Merci par avance!
Hugues.
P.S : Si vous souhaitez quand même le "schéma" je pourrais vous le mettre mais personnellement j'en vois pas l'utilité pour ce problème.
-
Des logs ? Oui sans doute ....
-
Bonjour,
Oui mais peu instructif :
Logs provenant de Gateway.log du moment ou j'ai changé la vitesse jusqu'à l'utilisation du 2ème accès internet pour résoudre "temporairement" mon souci :
Mar 15 13:49:42 pfSense apinger: SIGHUP received, reloading configuration. Mar 15 13:50:20 pfSense apinger: SIGHUP received, reloading configuration. Mar 15 14:18:05 pfSense apinger: Starting Alarm Pinger, apinger(16552) Mar 15 14:41:29 pfSense apinger: SIGHUP received, reloading configuration. Mar 15 14:58:16 pfSense apinger: SIGHUP received, reloading configuration. Mar 15 15:55:09 pfSense apinger: Starting Alarm Pinger, apinger(15784) Mar 15 16:09:24 pfSense apinger: SIGHUP received, reloading configuration. Mar 15 16:11:59 pfSense apinger: ALARM: GW_WAN(193.54.xxx.xxx) *** down *** Mar 15 16:12:45 pfSense apinger: alarm canceled: GW_WAN(193.54.xxx.xxx) *** down *** Mar 15 16:12:47 pfSense apinger: SIGHUP received, reloading configuration. Mar 15 16:13:15 pfSense apinger: SIGHUP received, reloading configuration. Mar 15 16:13:53 pfSense apinger: SIGHUP received, reloading configuration. Mar 15 16:16:34 pfSense apinger: SIGHUP received, reloading configuration. Mar 15 16:22:38 pfSense apinger: SIGHUP received, reloading configuration. Mar 15 16:35:52 pfSense apinger: SIGHUP received, reloading configuration. Mar 15 16:36:07 pfSense apinger: SIGHUP received, reloading configuration. Mar 15 16:50:22 pfSense apinger: ALARM: GW_WAN(193.54.xxx.xxx) *** down *** Mar 15 16:50:54 pfSense apinger: SIGHUP received, reloading configuration. Mar 15 16:50:54 pfSense apinger: alarm canceled (config reload): GW_WAN(193.54.xxx.xxx) *** down *** Mar 15 16:53:58 pfSense apinger: SIGHUP received, reloading configuration. Mar 15 16:55:22 pfSense apinger: Could not bind socket on address(194.250.xxx.xxx) for monitoring address 194.250.xxx.xxx(WANGW) with error Can't assign requested address Mar 15 16:55:23 pfSense apinger: Could not bind socket on address(194.250.xxx.xxx) for monitoring address 194.250.xxx.xxx(WANGW) with error Can't assign requested address Mar 15 16:55:24 pfSense apinger: Could not bind socket on address(194.250.xxx.xxx) for monitoring address 194.250.xxx.xxx(WANGW) with error Can't assign requested address Mar 15 16:55:25 pfSense apinger: SIGHUP received, reloading configuration.
-
On fait confiance, quelquefois à tort, à un câble réseau.
Quand un câble réseau est défectueux, on peut avoir une connexion à 100 Mb qui fonctionne, simple ou full duplex, et qui ne fonctionne pas au 1 Gb.
En principe, les ports ethernet sont par défaut en autoconfig, et ça fonctionne généralement bien ... avec un câble correct. Donc avant de passer en confg manuelle des ports ethernet, il faut tester avec un câble neuf ...
-
l'idée est bonne mais malheureusement ce n'est pas ça
Comme expliqué plus haut, j'ai changé les paramètres WAN avec ceux de ma deuxième PFSENSE,
Et depuis aucun souci de connexion avec une vitesse en auto fixée en 1Gb/FD sans changer le câble. -
Il reste la méthode 'brute'
- sauvegarde de la conf (fichier xml)
- réinstall à froid d'un pfsense (après téléchargement de l'iso)
- restauration de la conf
On peut restaurer en une seule étape ou en plusieurs étapes : en jouant sur le fichier xml, on restaure 'par bloc' : les réseaux, puis les alias, puis les services, puis les règles, ...
-
Bonjour,
J'y pense mais casser cette pfsense, c'est plutôt délicat.
-
Pouvez vous faire un test en désactivant le monitoring de la gateway ?
-
Bonjour,
Voici les dernières infos
J'ai fait un test, j'ai remis les paramètres WAN d'origine de ma PFSENSE principale.
Ce coup-ci je ping bien vers l'extérieur depuis l'outil Ping mais pas d'accès au net.
Et si je remets les autres paramètres WAN, j'ai de suite accès au net.
Vraiment bizarre...