Un WAN pour deux LAN



  • Bonjour,

    Je rencontre aujourd'hui un petit problème, je pense avoir louper quelque chose.
    J'ai fait le tour de la documentation et du forum mais je ne trouve pas de solution à mon problème.

    Je possède 3 interfaces sur mon PfSense virtualisé, une WAN, une LAN et une OPT1 qui me pose problème.
    Mon problème : le réseau OPT1 n'accède pas à internet (ping,dns...) .
    Le LAN accède bien à internet.
    J'ai créé une règle dans OPT1 qui autorise tout le traffic sortant (identique à celle de base dans l'interface LAN) pour tester. Le trafic passe par le firewall car je le vois autorisé dans les logs.

    Autre chose, internet à bien accès à OPT1 car en créant une règle NAT (WAN->OPT1) j'accède à l'interface web de mon service.
    Je pense plus à un problème de routage, j'ai bien une default GW de défini au niveau du PFSense.
    Version PFSense : 2.4-5
    1 module installé : PFBlockerNG (configuré uniquement pour l'interface LAN)
    log.PNG
    Règle OPT1.PNG
    res VM.PNG



  • Le fil A LIRE EN PREMIER fourni un schéma pour décrire sa situation : merci d'y penser ....

    Un mot : virtualisation.
    Non, la virtualisation ne fonctionne pas forcément telle qu'on l'a rêvé !

    Il est très clair que la virtualisation complique la perception de la réalité, y compris pour ceux qui maitrisent tant la virtualisation que le firewall ...

    Plutôt que le log des règles, l'analyse du trafic par tcpdump est plus intéressante : on y voit les trames entrantes et sortantes !



  • Bonjour,

    Effectivement je l'ai préparé j'ai juste oublié de l'ajouter dans les photos.
    Synoptique.jpg

    J'ai déjà eu des soucis avec la virtualisation et PfSense mais c'était un bug de driver et documenté chez PfSense.
    Ici ce n'est pas le même problème, mais je pense qu'il s'agit bien d'un problème de virtualisation tout de même.

    Sur la capture prise au niveau du firewall, on voit l'IP 10.0.0.5 (Transmission) effectuer un ICMP resquest sur l'IP 192.168.1.7 (IP LAN du Proxmox), on ne voit pas le retour pourtant j'ai bien une réponse.
    Par contre in ping sur l'IP 192.168.1.254 (Box internet) ne répond pas, alors que la vm serveur web (Web ->Box) dans le 192.168.10.0/24 obtient bien une réponse.

    Capture sur le Firewall
    17:03:37.055422 IP 10.0.0.5 > 192.168.1.7: ICMP echo request, id 18037, seq 1, length 64
    17:03:38.056268 IP 10.0.0.5 > 192.168.1.7: ICMP echo request, id 18037, seq 2, length 64
    17:03:39.057632 IP 10.0.0.5 > 192.168.1.7: ICMP echo request, id 18037, seq 3, length 64
    17:03:40.058211 IP 10.0.0.5 > 192.168.1.7: ICMP echo request, id 18037, seq 4, length 64
    17:03:42.784220 IP 10.0.0.5 > 192.168.1.254: ICMP echo request, id 18046, seq 1, length 64
    17:03:43.783870 IP 10.0.0.5 > 192.168.1.254: ICMP echo request, id 18046, seq 2, length 64
    17:03:44.783656 IP 10.0.0.5 > 192.168.1.254: ICMP echo request, id 18046, seq 3, length 64
    17:03:45.783104 IP 10.0.0.5 > 192.168.1.254: ICMP echo request, id 18046, seq 4, length 64

    Capture prise sur le serveur web, réception et réponse des icmp entre Transmission et Serveur web.
    On voit le ttl décrémenté pour un paquet sur deux, mais aucune trace dans le firewall ni dans le proxmox aucune idée de où ces paquets sont décrémentés.

    root@web:~# tcpdump -i eth0 icmp -nnvvv
    tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
    15:17:43.344530 IP (tos 0x0, ttl 63, id 39746, offset 0, flags [DF], proto ICMP (1), length 84)
    10.0.0.5 > 192.168.10.30: ICMP echo request, id 18563, seq 60, length 64
    15:17:43.344550 IP (tos 0x0, ttl 64, id 27484, offset 0, flags [none], proto ICMP (1), length 84)
    192.168.10.30 > 10.0.0.5: ICMP echo reply, id 18563, seq 60, length 64
    15:17:44.368557 IP (tos 0x0, ttl 63, id 39961, offset 0, flags [DF], proto ICMP (1), length 84)
    10.0.0.5 > 192.168.10.30: ICMP echo request, id 18563, seq 61, length 64
    15:17:44.368576 IP (tos 0x0, ttl 64, id 27623, offset 0, flags [none], proto ICMP (1), length 84)
    192.168.10.30 > 10.0.0.5: ICMP echo reply, id 18563, seq 61, length 64
    15:17:45.392541 IP (tos 0x0, ttl 63, id 40045, offset 0, flags [DF], proto ICMP (1), length 84)
    10.0.0.5 > 192.168.10.30: ICMP echo request, id 18563, seq 62, length 64
    15:17:45.392562 IP (tos 0x0, ttl 64, id 27670, offset 0, flags [none], proto ICMP (1), length 84)
    192.168.10.30 > 10.0.0.5: ICMP echo reply, id 18563, seq 62, length 64
    15:17:46.416531 IP (tos 0x0, ttl 63, id 40293, offset 0, flags [DF], proto ICMP (1), length 84)
    10.0.0.5 > 192.168.10.30: ICMP echo request, id 18563, seq 63, length 64
    15:17:46.416551 IP (tos 0x0, ttl 64, id 27734, offset 0, flags [none], proto ICMP (1), length 84)
    192.168.10.30 > 10.0.0.5: ICMP echo reply, id 18563, seq 63, length 64



  • @jdh said in Un WAN pour deux LAN:

    Le fil A LIRE EN PREMIER fourni un schéma pour décrire sa situation : merci d'y penser ....

    Un mot : virtualisation.
    Non, la virtualisation ne fonctionne pas forcément telle qu'on l'a rêvé !

    Il est très clair que la virtualisation complique la perception de la réalité, y compris pour ceux qui maitrisent tant la virtualisation que le firewall ...

    Plutôt que le log des règles, l'analyse du trafic par tcpdump est plus intéressante : on y voit les trames entrantes et sortantes !

    Merci pour ces réponses :)


Log in to reply