Pas de Trafic entre VLAN apres activation dual-wan



  • Bonjour,

    J'ai une architecture réseau en plusieurs VLAN, la communication entre les VLAN passe par Pfsense.

    Je viens de configuré le DUAL WAN.
    Quand je change dans rule la Gateway avec le groupe de WAN pour chaque VLAN,
    Je n'ai plus de trafic qui passe du VLAN serveur vers le VLAN VoIP.

    Config Rule VLAN Serveur
    8bd33255-6446-4130-b8cd-4ef573a28b8d-image.png

    Config rule pour vlan VoIP

    2c9a5e35-4970-4385-a074-89a180dacd3d-image.png

    Tous le trafic et rediriger vers mon 1er WAN

    alors quand je ping l'IP du firewall du VLAN VoIP elle répond

    a415384e-6287-4228-a3e0-850aa7e1065f-image.png

    Ping serveur VoIP

    b08f5e74-6d9b-44bd-a2b5-7fdffc64c64b-image.png

    Ci-dessous la capture de packet via pfsense

    18:09:42.952459 IP 10.6.2.101 > 10.6.3.252: ICMP echo request, id 1, seq 1348, length 40
    18:09:42.953037 IP 196.179.231.235 > 10.6.2.101: ICMP host 10.6.3.252 unreachable - admin prohibited filter, length 36
    18:09:43.956901 IP 10.6.2.101 > 10.6.3.252: ICMP echo request, id 1, seq 1349, length 40
    18:09:43.957570 IP 196.179.231.235 > 10.6.2.101: ICMP host 10.6.3.252 unreachable - admin prohibited filter, length 36
    18:09:44.962382 IP 10.6.2.101 > 10.6.3.252: ICMP echo request, id 1, seq 1350, length 40
    18:09:44.963011 IP 196.179.231.235 > 10.6.2.101: ICMP host 10.6.3.252 unreachable - admin prohibited filter, length 36
    18:09:45.967835 IP 10.6.2.101 > 10.6.3.252: ICMP echo request, id 1, seq 1351, length 40
    18:09:45.968340 IP 196.179.231.235 > 10.6.2.101: ICMP host 10.6.3.252 unreachable - admin prohibited filter, length 36
    18:09:46.973228 IP 10.6.2.101 > 10.6.3.252: ICMP echo request, id 1, seq 1352, length 40
    18:09:46.973718 IP 196.179.231.235 > 10.6.2.101: ICMP host 10.6.3.252 unreachable - admin prohibited filter, length 36



  • Je pense que la réponse est sous vos yeux !

    Une règle 'Serveur net' vers '*' n'est pas suffisante !
    Il vaut bien mieux N règles :
    'Serveur net' vers 'Vlan_utilisateur net'
    'Serveur net' vers 'Vlan_voip'
    et ainsi de suite

    Quand on prépare les règles d'un firewall, il faut construire un tableau carré avec les N interfaces, en ligne les interfaces sources, en colonne les interfaces destination, et à l'intersection on écrit les règles utiles. (Bien sur la diagonale, n'est pas utilisée : le trafic d'une interface vers la même interface ne passe pas par le firewall !)


Log in to reply