Le fait dans discuter avec quelqu'un au lieu de rester seul dans son coin ça permet d'ouvrir l'esprit.

Puis que j'y suis j'ai une autre question.

J'ai 2 sites distants, ceci étaient séparés il y a peu, j'ai donc sur chacun des sites un accès internet indépendant et un PFSense indépendant.

Depuis peu on a regroupé par réseau radio les 2 sites.

voila le schéma :

Site 1 :
25 machines (192.168.0.X+1->X+26)---------Pfsense1 (192.168.0.X)------ BOX1
|
lien radio entre réseau
|
15 machines (192.168.0.Y+1 ->Y+16) -----Pfsense2 (192.168.0.Y) ----- BOX2
Site 2

J'espère qu'il est assez clair.

Je voudrais donc joindre les 2 parefeux (création de l'adresse virtuelle, ...) mais créer une route pour que les machines du site 1 passe par la box 1 et les machines du site 2 passe par la Box 2.

J'ai vu quelques tutos pour la création de la redondance du parefeu, mais j'ai pas encore vu pour routage, aurais tu des conseils, des pièges à éviter ?

(Ce type de question a déjà été posée ...)

On doit avoir

Onglet LAN

• règle d'autorisation : ip de LAN qui doivent avoir accès à LAN2
• règle d'interdiction : LAN vers LAN2
• règle d'autorisation : LAN vers 'any'

Onglet LAN2

• règle d'autorisation : ip de LAN2 qui doivent avoir accès à LAN
• règle d'interdiction : LAN2 vers LAN
• règle d'autorisation : LAN2 vers 'any'

Bien évidemment utiliser des 'alias'. Je préconise de nommer les 'alias' de façon régulière : srvXXX pour désigner un serveur, ipXXX pour désigner une adresse ip publique, extXXX pour désigner un prestataire externe, ....

• autorisant mon alias d'adresse IP de mon réseau LAN vers mon réseau OPT1,
• puis la règle qui bloque mon réseau LAN vers mon réseau OPT1,
• et enfin la règle par défaut du réseau LAN.

Ce qui permettrait de bloquer tous les acces vers la réseau OPT1 sauf pour les adresses IP contenu dans l'alias et qui ne bloquerait pas internet

Si vos réglages ne fonctionnent pas, avez vous essayé autre chose ?

Le filtrage fonctionne de la façon suivante :

• règles examinées de haut en bas,
• dès qu'une règle fonctionne (en ACCEPT ou en REJECT), les règles suivantes ne sont pas examinées.

De façon pratique, on place les règles d'interdiction (REJECT) au début puis on finit par des règles générales (en ACCEPT).

il est connu que les règles avec 'WAN net' ne peuvent fonctionner, car la plupart du temps le WAN net ne correspond pas à Internet : exemple votre fournisseur vous a installé un routeur avec une range de 8 adresses (moins 3).

Internet est donc 'any' + interface WAN.
Mais comme 'any' couvre aussi les autres interfaces, il faut commencer par interdire.

Il est très clair qu'il faut

• une règle d'interdiction
• puis une règle d'autorisation à Internet (=Any + interface WAN).