2 ip pour un wan



  • Bonjour à tous,
    j'espere etre le plus précis possible et ne pas me recevoir de gifle de votre part lol.

    Je sui actuellement dans une société multi-site ou chacun possede un PFsense virtuel.
    Tout les sites sont interconnecté entre eux dont 1 site maitre qui possède le serveur dns ainsi que toute les infrastructures d'exploitation pour utilisateur.

    Derriere chaque vm pfsense, se trouve un routeur cisco brancher sur une box orange fournissant l'ip public.
    Ce routeur cisco possede une interface avec 2 ip, 1 ip WAN et 1 ip LAN.
    Chaque vm pfsense possede donc une interface physique (sortant du routeur cisco) pouvant tout voir et à partir de cela, les interfaces wan/lan/vlan font le boulot (jusque la tout va bien)

    Exemple de configuration pfsense d'un site:
    WAN: 50.50.3.2
    gateway (cisco): 50.50.3.1

    Lan: 192.168.5.240
    gateway (cisco): 192.168.5.250

    Les routes statiques sont configuré pour l'interface LAN afin de pouvoir joindre le "site maitre" et récupérer son dns etc....
    En role LAN nous avons une regle ouvrant tout sur l'interface pour accéder à internet
    En role WAN nous avons aussi cette regle + les autorisations pour les sites distants
    Le NAT est écrit automatiquement.
    TOUT CELA FONCTIONNE

    Nous avons décidé de virer certains esxi donc nous passons au pfsense sg-5100 avec comme interface IGB0 (WAN) IGB1 (LAN)
    Je réécris toute la configuration systeme exactement comme sur la vm jusqu'à bloquer sur mon probleme.

    Souvenez-vous, les gateway de mon WAN/LAN se trouvent sur la meme interface du routeur cisco, donc je n'ai qu'un cable qui sort du cisco et arrive sur le WAN du pfsense.
    j'ai donc ajouter une regle de route static pour indiquer au pfsense que pour toute demande LAN (IGB1), il devra sortir par l'interface IGB0 (WAN) pour trouver sa gateway et faire ce qu'il doit faire.

    Ben mon interface WAN voit mon cisco (WAN/LAN), mais mon interface LAN ne voit personne, donc ma gateway reste down et je ne peux sortir du pfsense.

    Il y a 3 jours (veille de week end), j'avais réussi à voir chaque gateway correspondant à chaque interface (la gateway WAN vu uniquement par l'interface WAN et la gateway LAN vu uniquement par l'interface LAN).
    Suite à cette bonne nouvelle, j'avais prévu de faire du NAT hybrid sur le WAN mais en revenant sur site, ma gateway ne remonte plus.
    J'ai éffectué un reboot, une recharge de filtre et meme un update (acte désespéré) mais rien y fait.

    J'ai 2 problemes:

    • Ma gateway LAN n'est plus accessible
    • Dans le cas ou elle remonte, je n'accede pas à mon site distant malgré le fait que je le ping depuis mon pfsense

    Dans le cas d'une incompréhention je peux envoyer des screenshot de la VM pfsense et du pfsense physique si besoin.

    Merci d'avance



  • Il y a un 'formulaire' de présentation standardisé dans A LIRE EN PREMIER, mais là le problème semble en amont des pfSense.

    Ce n'est pas clair du tout !
    Un schéma, clair et simple, serait plus qu'utile ...
    De même le titre ne dit RIEN : '2 ip pour un wan'

    'une société multi-site où [chaque site] possede un PFsense virtuel' : dans l'ordre, il faut privilégier des appliances (physiques), des vieux serveurs (physiques), des VM (virtuels) . Pour le virtuel, cela exige une compétence affirmée sur la virtualisation. Donc, installer une appliance est une excellente idée !

    'Derriere (Devant) chaque vm pfsense, se trouve un routeur cisco brancher sur une box orange fournissant l'ip public' : quel est le rôle de ces routeurs Cisco ? Un bon schéma c'est un routeur et un pfSense, pas 2 routeurs successifs (Box + Cisco) !

    Le point clé est à ce niveau et, perso, je ne comprends pas : je ne dois pas être le seul !

    Et là, il y a 'les routes statiques'.
    S'il y avait juste un pfSense sur chaque site, il n'y aurait que des liens Ipsec entre fw et aucune route statique (les liens Ipsec suffisant à indiquer les routes).


    En fait, je présume que votre opérateur (Orange) vous a vendu un VPN intersites via les Box+Cisco (peut-être même avec leur fameux 'accès central à Internet'). Donc il a été défini un réseau pour chaque site (=le LAN du Cisco), et ces réseaux communiquent (via la config desdits Cisco). Ce type de VPN est assez incompatible avec des fw locaux ...

    Or, maintenant en placant des pfSense, vous avez, sur chaque site, un nouveau LAN différent et distinct de l'ancien LAN, et vous voulez que ces nouveaux LAN se voient. Alors vous pensez ajouter des 'routes' mais il faudrait que le firewall ne fassent pas de NAT : translation d'adresse : le trafic du LAN intérieur sort avec l'ip WAN du pfSense !

    Votre problème est donc de

    • casser les routeurs Cisco
    • créer un pfSense pour chaque routeur, et créer le réseau VPN intersite

    Et là il n'y a aucune route, et les réseaux communiquent ...


Log in to reply