Pas de Trafic entre VLAN apres activation dual-wan
-
Bonjour,
J'ai une architecture réseau en plusieurs VLAN, la communication entre les VLAN passe par Pfsense.
Je viens de configuré le DUAL WAN.
Quand je change dans rule la Gateway avec le groupe de WAN pour chaque VLAN,
Je n'ai plus de trafic qui passe du VLAN serveur vers le VLAN VoIP.Config Rule VLAN Serveur
Config rule pour vlan VoIP
Tous le trafic et rediriger vers mon 1er WAN
alors quand je ping l'IP du firewall du VLAN VoIP elle répond
Ping serveur VoIP
Ci-dessous la capture de packet via pfsense
18:09:42.952459 IP 10.6.2.101 > 10.6.3.252: ICMP echo request, id 1, seq 1348, length 40
18:09:42.953037 IP 196.179.231.235 > 10.6.2.101: ICMP host 10.6.3.252 unreachable - admin prohibited filter, length 36
18:09:43.956901 IP 10.6.2.101 > 10.6.3.252: ICMP echo request, id 1, seq 1349, length 40
18:09:43.957570 IP 196.179.231.235 > 10.6.2.101: ICMP host 10.6.3.252 unreachable - admin prohibited filter, length 36
18:09:44.962382 IP 10.6.2.101 > 10.6.3.252: ICMP echo request, id 1, seq 1350, length 40
18:09:44.963011 IP 196.179.231.235 > 10.6.2.101: ICMP host 10.6.3.252 unreachable - admin prohibited filter, length 36
18:09:45.967835 IP 10.6.2.101 > 10.6.3.252: ICMP echo request, id 1, seq 1351, length 40
18:09:45.968340 IP 196.179.231.235 > 10.6.2.101: ICMP host 10.6.3.252 unreachable - admin prohibited filter, length 36
18:09:46.973228 IP 10.6.2.101 > 10.6.3.252: ICMP echo request, id 1, seq 1352, length 40
18:09:46.973718 IP 196.179.231.235 > 10.6.2.101: ICMP host 10.6.3.252 unreachable - admin prohibited filter, length 36 -
Je pense que la réponse est sous vos yeux !
Une règle 'Serveur net' vers '*' n'est pas suffisante !
Il vaut bien mieux N règles :
'Serveur net' vers 'Vlan_utilisateur net'
'Serveur net' vers 'Vlan_voip'
et ainsi de suiteQuand on prépare les règles d'un firewall, il faut construire un tableau carré avec les N interfaces, en ligne les interfaces sources, en colonne les interfaces destination, et à l'intersection on écrit les règles utiles. (Bien sur la diagonale, n'est pas utilisée : le trafic d'une interface vers la même interface ne passe pas par le firewall !)