Problème de NAT
-
Bonjour,
Je vous expose le contexte.
Je travaille dans une mairie qui gère tous les services de la ville.
Beaucoup ont leur propre LAN avec leur propre IP PUBLIQUE.
J'ai un serveur web en DMZ (GLPI) et je fais du NAT sur l'interface WAN du pfSense afin de rediriger les requête en http et https vers mon serveur web.
Je filtre ce NAT avec les IP PUBLIQUES des différents services de la ville.
Jusque là pas de problème.Le problème se pose pour le renouvellement de mon certificat Let's Encrypt.
Les IP des serveur Let's Encrypt pouvant être amenées à changer je ne peut réaliser de filtrage sur le NAT avec ces IP.Des nom de domaines Let's Encrypt peuvent à priori être utilisés pour valider le renouvellement de certificat :
acme-v01.api.letsencrypt.org
acme-staging.api.letsencrypt.org
acme-v02.api.letsencrypt.org
acme-staging-v02.api.letsencrypt.org
Bien que seul "acme-v02.api.letsencrypt.org" est requis pour le bon fonctionnement d'un client Let's Encrypt.J'ai donc pensé à faire un Alias avec ces nom de domaine dans le pare feu de pfSense et a utiliser cet alias sur ma règles de NAT.
PfSense doit normalement mettre à jour la résolution de nom des alias toutes les 300s par défaut.
Or le renouvellement de certificat ne fonctionne pas car les flux sont bloqués.Si je fais une règle pass all le certificat se renouvelle bien.
Ma question est donc comment faire pour que pfsense puisse détecter que les ip entrantes sont bien celles de Let's Encrypt correspondantes aux nom de domaine de mon alias et les laisse passer ?
Merci!
Bonne journée .