Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Problème de NAT

    Scheduled Pinned Locked Moved Français
    1 Posts 1 Posters 375 Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • D
      dododu47
      last edited by

      Bonjour,

      Je vous expose le contexte.
      Je travaille dans une mairie qui gère tous les services de la ville.
      Beaucoup ont leur propre LAN avec leur propre IP PUBLIQUE.
      J'ai un serveur web en DMZ (GLPI) et je fais du NAT sur l'interface WAN du pfSense afin de rediriger les requête en http et https vers mon serveur web.
      Je filtre ce NAT avec les IP PUBLIQUES des différents services de la ville.
      Jusque là pas de problème.

      Le problème se pose pour le renouvellement de mon certificat Let's Encrypt.
      Les IP des serveur Let's Encrypt pouvant être amenées à changer je ne peut réaliser de filtrage sur le NAT avec ces IP.

      Des nom de domaines Let's Encrypt peuvent à priori être utilisés pour valider le renouvellement de certificat :
      acme-v01.api.letsencrypt.org
      acme-staging.api.letsencrypt.org
      acme-v02.api.letsencrypt.org
      acme-staging-v02.api.letsencrypt.org
      Bien que seul "acme-v02.api.letsencrypt.org" est requis pour le bon fonctionnement d'un client Let's Encrypt.

      J'ai donc pensé à faire un Alias avec ces nom de domaine dans le pare feu de pfSense et a utiliser cet alias sur ma règles de NAT.
      PfSense doit normalement mettre à jour la résolution de nom des alias toutes les 300s par défaut.
      Or le renouvellement de certificat ne fonctionne pas car les flux sont bloqués.

      Si je fais une règle pass all le certificat se renouvelle bien.

      Ma question est donc comment faire pour que pfsense puisse détecter que les ip entrantes sont bien celles de Let's Encrypt correspondantes aux nom de domaine de mon alias et les laisse passer ?

      Merci!

      Bonne journée .

      1 Reply Last reply Reply Quote 0
      • First post
        Last post
      Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.