Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Route Statique : Routeur vers Lan pfSense

    Scheduled Pinned Locked Moved Français
    10 Posts 2 Posters 2.7k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • ?
      A Former User
      last edited by

      Bonjour,

      Je suis totalement novice sur pfSense, j'essaye de prendre en main l'outil sur un réseau domestique.

      Voici mon architecture :

      Routeur TP-LINK Archer MR6000 :

      • Connecté à internet (routeur 4G)
      • Lan : 192.168.1.0 / 24
      • Gateway : 192.168.1.1

      Pare-feu PfSense :

      • WAN : 192.168.1.108
      • WAN Gateway : 192.168.1.1
      • LAN : 10.0.0.0 / 24
      • Deux cartes réseaux : LAN & WAN

      J'ai paramétré une route statique sur le routeur :

      • Destination : 10.0.0.0
      • Gateway : 192.168.1.1

      L'objectif est de pouvoir atteindre des machines depuis 192.168.1.0 vers 10.0.0.0.
      Après paramétrage sur le routeur ( et redémarrage) , pendant quelques temps, j'ai réussi à ping depuis 192.168 vers 10.0, mais maintenant, cela ne fonctionne plus.

      Est-ce qu'il y a dans pfSense un paramétrage à réaliser ?

      Merci à vous

      Cordialement

      1 Reply Last reply Reply Quote 0
      • J
        jdh
        last edited by jdh

        Vous êtes novice en pfSense et débutant en réseaux ... (mais ce n'est pas une tare !)

        Pour Internet, les 'lois' s'appellent des RFC (Request For Comments).

        La RFC1918 définit les adresses ip (v4) à utiliser pour un réseau interne (d'un particulier ou d'une entreprise quelque soit sa taille) :

        • 192.168.x.x (soit 256 réseaux de 254 adresses)
        • 172.16-31.x.x (soit 16 fois 256 réseaux de 254 adresses)
        • 10.x.x.x (beaucoup)

        Cela a 2 conséquences :

        • les autres adresses sont pour Internet (presque toutes : de 1.x.x.x à 223.x.x.x, le reste est destiné à autre chose)
        • les adresses privées ne peuvent pas 'circuler' sur les réseaux Internet

        Donc NECESSAIREMENT les réseaux privés ont un équipement 'en bordure' qui les relient à Internet : une box, un firewall, (un routeur). Et celui-ci effectue une Translation d'Adresses Réseau, en anglais NAT = Network Translation Address.

        D'où une notion de WAN et LAN : une box ADSL a pour NAT, le fil vers la ligne téléphonique, ...

        De facto, le réseau WAN NE PEUT PAS accéder au réseau LAN d'un firewall, d'une box, .. SAUF si on configure des règles précises, appelées DMZ (pour les Box) ou NAT Port Forward pour pfSense.

        Donc votre route NE PEUT PAS fonctionner !!
        (Et aucune règle ne le permettra, même si des règles spécifiques peuvent permettre certaines choses ...)

        A oublier les routes depuis un routeur (devant un firewall) !

        Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

        1 Reply Last reply Reply Quote 0
        • J
          jdh
          last edited by

          Pour expliquer un peu le fonctionnement de la NAT Network Address Translation.

          Un firewall (ou une box) avec 2 adresses : une WAN (193.193.193.193) et une LAN (192.168.10.254).
          Un PC dans le LAN d'adresse 192.168.10.10.

          Le pc essaie d'atteindre un serveur web :

          • le paquet envoyé est : type TCP, adr src 192.168.10.10 / port src 2258, adr dst 188.188.188.188 / port dst 80,
          • le firewall va transformer en : type TCP, adr src 193.193.193.193 / port src 4234, adr dst 188.188.188.188 / port dst 80,
          • le firewall reçoit : type TCP, adr srv 188.188.188.188 / port 80, adr dst 193.193.193.193 / port 4234,
          • le firewall envoie au pc interne : type TCP adr src 188.188.188.188 / port 80, adr dst 192.168.10.10 / port dst 2258.

          Et le client est capable d'échanger avec le serveur, malgré qu'il ne dispose pas d'une adresse Internet !

          Le firewall a créé une table des sessions et a changé le port source, mais sait, d'après la table, retourner le bon paquet au client interne. (Cela prend un peu de temps de modifier les paquets mais pas d'inquiétude, ça va assez vite ...)


          Que se passe-t-il dans le cas contraire : héberger un serveur web ?

          Un client externe va atteindre l'ip WAN sur le port 80/tcp.
          Via une règle NAT Port Forward, le trafic sera redirigé vers le serveur inter (192.168.10.x).
          Il y a alors 2 règles :

          • une dans Rules > WAN pour accepter le flux vers l'ip WAN et le port 80,
          • une dans NAT > Port Forward qui détaille la redirection vers l'ip interne.

          Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

          1 Reply Last reply Reply Quote 0
          • ?
            A Former User
            last edited by A Former User

            Bonjour @jdh ,

            Merci beaucoup pour vos réponses, j'apprécie grandement votre expertise et les explications associées.

            Mon besoin initial est de pouvoir "pinger" (ou atteindre) depuis 192.168.1.0 vers 10.0.0.0, pour pouvoir depuis ma box domotique sur 192.168.1.10 vérifier l'état de certains devices sur 10.0.0.0.

            Mais si je comprend bien cela n'est pas faisable, mise à part faire du NAT (port forwarding).

            D'ailleurs, hier, j'ai mis en place du NAT en ce sens : Internet > Routeur > PfSense > PC (sur le port 80) sans trop de problèmes.

            Je reviens sur la communication entre les deux réseaux 192.168 et 10.0, avant pfSense j'avais deux routeurs en LAN / WAN (LAN du routeur 1 connecté au WAN du routeur 2), via cette fameuse route sur routeur 1, je n'avais pas de problèmes.

            Au final, je me dis que pfSense est un peu surdimensionné par rapport à mes usages ; le truc qui me chiffonne, c'est la sécurité d'un routeur type TP-Link Archer MR600 vs Installation d'une pfSense sur mon installation vs mes usages.

            Merci encore

            1 Reply Last reply Reply Quote 0
            • ?
              A Former User
              last edited by

              @jdh

              Si je met pfsense en DMZ sur mon routeur, quel est l'impact ?

              1 Reply Last reply Reply Quote 0
              • J
                jdh
                last edited by

                Mettre en place un firewall (tel pfSense) se justifie par la volonté de contrôler parfaitement les flux vers et depuis Internet, en particulier dès qu'on héberge un service.

                Le plus usuel est donc de disposer d'une box, d'un câble direct vers WAN de pfSense, d'un switch branché sur le LAN, et d'un point d'accès Wifi connecté au switch ou à une 3ième interface du pfSense.

                (Donc pas de machines entre box et pfSense ...)

                Le matériel TPLink Archer MR6000 comporte 2 accès WAN (ADSL + sim 4G), en sus du point d'accès Wifi : il se marie donc assez mal d'un firewall ! C'est le cas aussi pour une box qui offre le Wifi : il faut s'en passer car ce flux ne passe pas par pfSense et ne peut être contrôlé !

                Avec une simple box,

                • on désactive le Wifi, il sera remplacé par un autre point d'accès côté LAN,
                • on place un câble direct Box - WAN,
                • et on active la fonction DMZ de la box.

                Avec votre routeur, idem box,

                • on désactive le Wifi (ou ne pas l'utiliser),
                • un câble direct Routeur - WAN,
                • et on active la fonction DMZ.

                Comparativement à une box, votre routeur apporte 2 accès WAN : Adsl + 4G, mais vous ne devez pas utiliser le Wifi (dans les 2 cas) ! Bref pas top ... (fallait se poser la question avant !)

                Moi, j'utilise un point d'accès économique type Xiaomi Router 4A : pas cher, et utilisable en point d'accès.

                Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

                ? 1 Reply Last reply Reply Quote 0
                • ?
                  A Former User @jdh
                  last edited by

                  @jdh

                  Merci donc si je résume, mon routeur bloque par ses fonctionnalités donc ça ne sert à rien d’essayer quoi que ce soit ?
                  J’ai bien branché un Lan du routeur vers le wan pfsense
                  Merci

                  1 Reply Last reply Reply Quote 0
                  • J
                    jdh
                    last edited by

                    Relisez, j'ai tout décrit ...

                    Pour moi, votre matériel est un mauvais choix si vous comptez utiliser pfSense.
                    Surtout rien 'devant' pfSense : juste un matériel qui comme accès à Internet, en ethernet.

                    Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

                    ? 1 Reply Last reply Reply Quote 0
                    • ?
                      A Former User @jdh
                      last edited by

                      @jdh Merci beaucoup pour le temps passé aux explications.

                      Au final, je vais revoir mes usages / configuration.

                      Encore merci, c'est en faisant des erreurs que l'on apprend :) !

                      1 Reply Last reply Reply Quote 0
                      • J
                        jdh
                        last edited by jdh

                        Mon dernier post est un peu brutal :

                        • si on choisi un routeur avec wifi : ce matériel a de grands avantages
                        • si on veut utiliser un firewall, on a intérêt à disposer de 2 matériels : une box ou un routeur simple, et une borne wifi (de préférence un access-point).

                        Quand vous avez choisi ce matériel, vous ne saviez pas les contraintes avec un firewall. N'utiliser que la fonction WAN Adsl+sim 4G, ou à l'inverse que la fonction Wifi est dommage et onéreux ...

                        Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

                        1 Reply Last reply Reply Quote 0
                        • First post
                          Last post
                        Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.