Nouvelle interface



  • bonjour,

    tout d'abord voici mon architecture:

    Radius/DHCP
                                          |
                                          |
    WEB–------Firewall-------------------WAN/PFsense/LAN------------clients
                                                                    opt1
                                                                      |
                                                                      |
                                                                    clients

    J'ai dans un premier temps, assigné mes interfaces WAN et LAN. Avec la wan, je ping bien le radius.
    Avec la lan je ping bien mes clients (côté LAN).
    Le problème est que je ne ping pas les clients du côté OPT1.

    Je n'ai créé aucune règle nat ou dans le firewall (à part autorisé tout type de trafic, en provenance de toute adresse et tout protocole - on ne peut pas être plus permissif).
    Les clients sont dans le même réseau que OPT1 avec le même masque.
    Je ne comprends vraiment pas pourquoi je ne peux pas pinger l'interface opt1 depuis mes clients ou mes clients depuis opt1.

    J'ai surement loupé une étape. Si quelqu'un à la réponse



  • Je ne sais pas très bien ce que vous voulez faire avec cela mais bref …
    Deux choses pour débugger votre configuration :
    1. activer les logs sur toutes vos règles et regarder ensuite les journaux.
    2. Si le problème n'est pas identifié, lancer une capture de trame sur OPT1, puis ping depuis client OPT1.
    Le masque est il correct dans la définition de l'interface OPT1 ? Par exemple 192.168.1.254/24 et non /32 ? (un classique)



  • re,

    mon pfsense était sur un machine virtuelle. Mon architecture vous semble bizarre car en fait j'utilise des vlans. Seulement je fais venir les vlans sur ma machine hôte, puis j'ai créé trois interfaces à ma VM que j'ai bridgé sur mes wmnet contenant les vlans.

    ex:

    eth0.1 (contenant le vlan 1) sur la machine hote -> eth0 dans ma VM -> LAN dans pfsense
    etho.2 -> eth1 -> WAN
    etho.3 -> eth2 -> OPT1

    j'ai effectué un tcpdump et me suis apperçu qu'OPT1 n'entendait rien du tout.
    aucun soucis dans mes vlans, mes clients se ping sans problème, les vlans sont bien acheminés…

    Entre deux je suis passé sur une machine physique et la aucun problème avec OPT1.
    JE soupconne donc vmware de me jouer un mauvais tour. Enfin la combinaison vmware/vlan/pfsense

    Je vais resté sur ma machine physique en attendant de trouvé la solution.



  • j'ai aussi une petite question. J'ai lu sur ce forum que le portail captif ne fonctionnait que sur l'interface LAN. Est-ce vrai?

    je l'ai configuré sur ma OPT1 et je pingé mes clients mais ceux-ci ne pouvaient le faire.

    J'ai mis le portail captif sur ma LAN, les clients OPT1 peuvent pingé OPT1. De plus les clients de la lan ('linterface lan me sert exclusivement pour la supervision) ping toujours l'interface LAN.

    Comment pouvons-nous faire fonctionner le portail captif sur une autre interface que la LAN?



  • j'ai aussi une petite question. J'ai lu sur ce forum que le portail captif ne fonctionnait que sur l'interface LAN. Est-ce vrai?

    J'en ai encore installé un la semaine passée sur une interface OPT2. Sur Wan il n'est pas supporté.

    JE soupconne donc vmware de me jouer un mauvais tour. Enfin la combinaison vmware/vlan/pfsense

    N'avez vous pas lu le message qui stiuple qu'il faut au moins deux interfaces physiques lors de la configuration initiale ? Vmware est décidément à la mode et le moins que l'on puisse dire c'est que beaucoup font tout et surtout n'importe quoi avec ce produit (excellent par ailleurs mais pas n'importe lequel ? et pas n'importe comment).
    Utiliser les produits hors de leurs spécifications reste un moyen très sûr pour rencontrer des problèmes.



  • @ccnet:

    J'en ai encore installé un la semaine passée sur une interface OPT2. Sur Wan il n'est pas supporté.

    merci de votre réponse je peux continuer à chercher où ça bloque.

    N'avez vous pas lu le message qui stiuple qu'il faut au moins deux interfaces physiques lors de la configuration initiale ?
    Utiliser les produits hors de leurs spécifications reste un moyen très sûr pour rencontrer des problèmes.

    je pense fortement avoir les bases requises pour savoir si j'ai besoin ou non d'utiliser vmware et comment le faire. De plus une machine virtuelle voit les interfaces virtuelles comme des interfaces physiques et les gère de la même façon!

    cordialement



  • Des ennuis vois dis-je. http://forum.pfsense.org/index.php/topic,11787.0.html.
    Et ce n'est pas sûre même avec ESXi et encore moins avec un autre Vmware.
    http://hsc.fr/ressources/presentations/cio-virtualisation/img0.html
    Et avec un seul interface réseau n'en parlons même pas.



  • ca y est avec ma VM je peux pingé le client!!!

    Par contre je suis désolé, mais je suis incapable de vous dire ce qui j'ai changé! A force de modifier ma conf ca marche finalement mais pourquoi?

    Cependant cette réussite m'ammène à un nouveau problème ^^. Mon dhcp relay ne relais pas vraiment :S (que ce soit avec une machine physique ou VM)

    Ma configuration sur ma machine physique est la suivante:

    LAN -> 172.31.0.10 vlan 100 untagged (donc non déclaré)
    WAN -> pas d'adresse ip je m'en sers pour créer mes VLANs
    OPT1 -> vlan 101 taggé sur interface WAN en 172.27.3.254
    OPT2 -> vlan 102 taggé sur interface WAN en 192.168.7.240

    le firewall PFsense est actif mais pour plus de simplicité sur toute les interfaces j'ai tout autorisé sur toutes les interfaces(voir imprim écran n°2).

    L'interface OPT2 ping bien mon DHCP. OPT1 ping mon client (quand je lui mets une adresse statique).

    Je vous joint aussi les logs que je peux voir sur mon PFsense lors d'une requête DHCP.

    J'ai aussi effectué un tcpdump sur mon interface OPT1, elle voit la requète DHCP. Cependant OPT2 ne la voit pas passer.








  • Mon dhcp relay ne relais pas vraiment :S (que ce soit avec une machine physique ou VM)

    Le DHCP Relay est prévu pour traiter le problème des broadcasts ip qui ne sont diffusés par un routeur. A ma connaissance le dhcp relay n'est pas concerné par la couche liaison de données. Or, dans le protocole dhcp, le client envoi son premier paquet (dhcpdiscover) en utilisant un broadcast ethernet car il ne peut faire autrement puisqu'il ignore justement l'adresse (les adresses mac et ip en fait) du serveur dhcp. Il se trouve que vous avez deux vlans qui justement interdisent les brodcasts ethernet d'un segment vers l'autre. Je crains que le dhcpdiscover ne parvienne pas au dhcp relay. Il faudrait pousser l'analyse un peu plus loin sur votre réseau pour valider l'hypothèse.



  • bonjour,

    je suis entièrement d'accord avec votre réponse. Ce que j'ai oublié (encore!!!) de préciser c'est que mon dhcp relay est configuré sur mon OPT1.

    Je pense à un problème de routage, OPT1 ping OPT2
    Cependant OPT1 ne ping pas le DHCP se trouvant du côté OPT2

    Pour reprendre mon architecture:

    Radius/DHCP
                                              |
                                              |
    Internet–----Firewall-------VLAN910-----------OPT2/PFsense/OPT1------------VLAN810 (clients)
                                                                                LAN
                                                                                  |
                                                                                  |
                                                                            Supervision

    Je vous mets les routes déclarées sur mon PFsense.

    Je précise aussi que j'ai réalisé un tcpdump sur OPT1, elle voit arrivé la trame DHCP. Par contre OPT2 ne la voit pas...

    Cdt




  • c'est bien un problème de routage qui me bloque.

    Pourtant les routes sont bien déclarées. Faut il activer le routage? Je pensais que le routage était effectué de base…(ce n'est pas fondé mais je n'ai rien lu mentionnant le fait d'activer le routage).



  • Sans créer de route je suggère que vous testiez avec un protocole autre que DHCP, vous verrez ce qu'il en est. je ne suis ni certain que la création des routes soit nécessaire, ni que ce soit un problème de routage. Mais j'avoue ne pas avoir plus de temps pour tester le problème en lab.



  • aucun soucis je comprends tout à fait.

    je n'ai pas rajouté les routes, c'est celles crées par défaut lors de la création de mes interfaces. J'ai essayé avec le protocole ICMP (ping tout simple ^^). le ping entre OPT1 et OPT2 fonctionne parfaitement (quoi de plus normal). Mais avec OPT1 je ne peux pas joindre les machines se trouvant sur le réseau du côté d'OPT2

    je continue mais recherches et je vous tient au courant. Si vous avez quelques choses pour moi d'ici la, je suis preneur!

    bonne fin de journée.



  • le ping entre OPT1 et OPT2 fonctionne parfaitement (quoi de plus normal). Mais avec OPT1 je ne peux pas joindre les machines se trouvant sur le réseau du côté d'OPT2

    Une faute de frappe ?



  • Non. Si je reprends, OPT1 adressée en 172.27.3.254, OPT2 en 192.168.7.240. Machine cliente du côté d'OPT2 en 192.168.7.100.

    Ping d'OPT1 vers OPT2 -> ok
    ping d'OPT2 vers client -> ok
    ping OPT1 vers client -> problème.

    C'est ce pourquoi je pense à un problème de routage. Je vous ai lié précédemment mes règles de routage et on observe bien la règle permettant de joindre le réseau 192.168.7.0/24.



  • Je comprend mieux. Il serait intéressant d'observer le trafic venant de opt2 lorsque vous émettez une requête icmp depuis opt1 vers ue machine connecté à OPT2. En toute logique on devrait voir l'émission d'un arp request sur le réseau connecté à OPT2, c'est à dire un broadcast ethernet.



  • je viens d'effectuer un "tcpdump -i vlan0 arp" sur le pfsense alors que j'effectuai un ping de l'OPT1 (172.31.3.254) vers mon DHCP en 192.168.7.100. L'interface vlan0 est mon OPT2 adressé en 192.168.7.240.

    je vous joint mes résultats




  • j'ai du nouveau!

    le routage marche enfin. Je vous mets ma conf des vlans, rien de particulier mais maintenant ca marche! Quelques soucis avec le dhcp relay, je ne chope toujours pas d'adresse mais je sens que je ne suis pas loin ^^. en tout cas le problème des pings est résolu. Je peux avec ma patte lan ou avec mon interface dans le vlan810 pingé des machines se trouvant du côté du vlan950!!!






  • j'ai un doute concernant le circuit ID dans le DHCP relay. Pour moi le circuit ID correspond à l'ID du vlan configuré sur l'interface servant pour effectuer le relay. Est-ce bien le cas sur Pfsense? Car entre parenthèse il y a marqué "pfsense interface number". Qu'est ce que l'interface number?

    je demande ça car dans mon dhcp, j'ai un range pour chaque VLAN, grâce à des classes préalablement définis. Et pour que l'utilisateur soit redirigé dans une classe, je me sers de l'ID du vlan véhiculé grâce au circuit ID.


Log in to reply