Configuration Pfsense avec 2 LAN qui ne discute pas ensemble


  • Bonjour,

    Première question:

    J'ai sur mon réseau un WAN, et 2 LAN (LAN= LAN1 192.168.0.0/24, et OPT1= LAN2 192.168.1.0/24).

    Je voudrais configurer mon PFSense pour que mes 2 LAN ne se voit pas.

    J'ai donc désactivé la règle par défaut de mon réseau LAN et j'en ai créer une ou j'autorise tout de LAN Net vers WAN Net.

    J'ai donc créer la même règle entre mon OPT1 (LAN2) et WAN Net.

    Hors mes réseaux LAN n'accède pas a internet.

    Deuxième question :

    Je voudrais que certaines machines puissent accéder d'un LAN à l'autre.

    par exemple : les IP de 192.168.0.10 à 192.168.0.20 de LAN1 accède au LAN2

    Est ce qu'on peut le faire sur un plage d'adresse ou on doit autoriser adresse par adresse ?

    Merci a tous

    Edit : Pour le deuxieme problème j'ai trouvé, il faut que je crée un alias d'adresse IP.


  • (Evitez d'utiliser les adressages trop 'basiques' 192.168.0 ou 192.168.1, par exemple utilisez votre n° de département !)

    Si vos réglages ne fonctionnent pas, avez vous essayé autre chose ?

    Le filtrage fonctionne de la façon suivante :

    • règles examinées de haut en bas,
    • dès qu'une règle fonctionne (en ACCEPT ou en REJECT), les règles suivantes ne sont pas examinées.

    De façon pratique, on place les règles d'interdiction (REJECT) au début puis on finit par des règles générales (en ACCEPT).

    il est connu que les règles avec 'WAN net' ne peuvent fonctionner, car la plupart du temps le WAN net ne correspond pas à Internet : exemple votre fournisseur vous a installé un routeur avec une range de 8 adresses (moins 3).

    Internet est donc 'any' + interface WAN.
    Mais comme 'any' couvre aussi les autres interfaces, il faut commencer par interdire.

    Il est très clair qu'il faut

    • une règle d'interdiction
    • puis une règle d'autorisation à Internet (=Any + interface WAN).

  • Donc ce que tu veux dire, si je comprends bien, c'est que je dois avoir en haut la règle :

    • autorisant mon alias d'adresse IP de mon réseau LAN vers mon réseau OPT1,
    • puis la règle qui bloque mon réseau LAN vers mon réseau OPT1,
    • et enfin la règle par défaut du réseau LAN.

    Ce qui permettrait de bloquer tous les acces vers la réseau OPT1 sauf pour les adresses IP contenu dans l'alias et qui ne bloquerait pas internet


  • Renommez OPT1 en LAN2 : tout ce qui est plus visuel est bon !

    On doit avoir

    Onglet LAN

    • règle d'autorisation : ip de LAN qui doivent avoir accès à LAN2
    • règle d'interdiction : LAN vers LAN2
    • règle d'autorisation : LAN vers 'any'

    Onglet LAN2

    • règle d'autorisation : ip de LAN2 qui doivent avoir accès à LAN
    • règle d'interdiction : LAN2 vers LAN
    • règle d'autorisation : LAN2 vers 'any'

    Bien évidemment utiliser des 'alias'. Je préconise de nommer les 'alias' de façon régulière : srvXXX pour désigner un serveur, ipXXX pour désigner une adresse ip publique, extXXX pour désigner un prestataire externe, ....


  • Merci, ça marche


  • Il suffit de comprendre le fonctionnement et de déduire la façon d'écrire. Et puis c'est très simple de faire des essais successifs ...

    (Ce type de question a déjà été posée ...)


  • Oui justement, je faisais des essais depuis un moment mais cela ne marchait pas, pourtant j'avais lu sur la doc de pfsense le fonctionnement du parefeu.

    Le fait dans discuter avec quelqu'un au lieu de rester seul dans son coin ça permet d'ouvrir l'esprit.

    Puis que j'y suis j'ai une autre question.

    J'ai 2 sites distants, ceci étaient séparés il y a peu, j'ai donc sur chacun des sites un accès internet indépendant et un PFSense indépendant.

    Depuis peu on a regroupé par réseau radio les 2 sites.

    voila le schéma :

    Site 1 :
    25 machines (192.168.0.X+1->X+26)---------Pfsense1 (192.168.0.X)------ BOX1
    |
    lien radio entre réseau
    |
    15 machines (192.168.0.Y+1 ->Y+16) -----Pfsense2 (192.168.0.Y) ----- BOX2
    Site 2

    J'espère qu'il est assez clair.

    Je voudrais donc joindre les 2 parefeux (création de l'adresse virtuelle, ...) mais créer une route pour que les machines du site 1 passe par la box 1 et les machines du site 2 passe par la Box 2.

    J'ai vu quelques tutos pour la création de la redondance du parefeu, mais j'ai pas encore vu pour routage, aurais tu des conseils, des pièges à éviter ?


  • Ouvrez un nouveau fil ... avec plus d'informations !


  • Ok merci