[MultiWAN] accept tout flux désiré par wan
-
Dans le contexte de mon multiwan, (juste deux WAN), je fais expressément transiter tout flux a destination d'un réseau vers WAN.
J'ai donc créer un alias 'CRDP' dans lequel j'ai mis les différentes classes d'adresses ip (privées) …
Cet alias est le fameux réseau qu'il me faut impérativement passer par WAN.De LAN vers WAN, les logs montrent que c'est bon.
Par contre, de WAN vers LAN, le flux est bloqué.Deux choses :
- il m'avait semblé comprendre que tout flux relatif à LAN passait au-travers de WAN (généralement).
- pour tester, j'ai même créé une règle relative, dans l'onglet Firewall>WAN, ce qui vient de mon alias vers le réseau LAN, j'accepte ...
Les logs montrent que c'est bel et bien bloqué.
Que n'aies-je donc pas compris ?! -
Quelles sont vos règles de NAT sur la carte WAN ? Ce traffic ne devrait surement pas se retrouver NATé si vous souhaitez une communication bi-directionnelle.
Sinon, n'y aurait-il pas la règle "Block private subnet" d'activée sur votre carte WAN ? (option à décocher dans la configuration de votre carte WAN) -
Quelles sont vos règles de NAT sur la carte WAN ? Ce traffic ne devrait surement pas se retrouver NATé si vous souhaitez une communication bi-directionnelle.
Sinon, n'y aurait-il pas la règle "Block private subnet" d'activée sur votre carte WAN ? (option à décocher dans la configuration de votre carte WAN)NAT : juste, en automatique sur Outbound. rien en 1:1 ou en port forwarding
"Block private subnet" est décochée.Petite précision : je suis en mode bridge LAN : WAN. (mais bon, je ne pense pas que cela soit influent).
-
Deux choses:
- désactiver tout NAT en sortie si pas besoins de NAT
- multiwan + bridge je ne vois pas comment celà peut marcher… (multiwan se fonde sur le routage et vous vous avez monté un pont.).
-
Deux choses:
- désactiver tout NAT en sortie si pas besoins de NAT
- multiwan + bridge je ne vois pas comment celà peut marcher… (multiwan se fonde sur le routage et vous vous avez monté un pont.).
tout d'abord merci !
1/ le réglage NAT, que j'ai indiqué est celui par défaut … rien de plus n'étant configuré par défaut à ce niveau
2/ alors, j'ai besoin de comprendre pourquoi le loadbalancing fonctionne - puisque le flux http est cumulé - et le failover aussi ... pour avoir testé à faire tomber physiquement les lignes d'un côté puis de l'autre ! ... ?
Dois-je comprendre que, vu que ce n'est pas prévu, cela fonctionne forcément mal ? -
Ce n'est pas un setup très cohérent et le fonctionnement peut se réveler aléatoire. Comment avez vous configuré votre carte WAN ? dans un pont, les cartes n'ayant pas de gateway car ne portant pas d'IP, comment avez vous configuré votre pool d'équilibrage ?
Si vous avez bridgé LAN et WAN alors seule deux règles sufisent:
- Une sur la carte LAN pour autoriser le LAN a se connecter au subnet côté WAN, en premiere position avec gateway *
- Une sur la carte WAN pour autoriser ces subnet à se connecter au LAN, en premiere position avec gateway *
Pour le NAT lorsqu'on utilise un pont, il est conseillé de supprimer tout NAT c'est à dire se mettre en mode manuel et supprimer la règle automatiquement créée pour le NAT du subnet LAN coté WAN, celà sera plus propre.
-
Ce n'est pas un setup très cohérent et le fonctionnement peut se réveler aléatoire. Comment avez vous configuré votre carte WAN ? dans un pont, les cartes n'ayant pas de gateway car ne portant pas d'IP, comment avez vous configuré votre pool d'équilibrage ?
les interfaces LAN et WAN sont toutes deux en IP Static …
- LAN bridgé WAN : réseau privé de classe A, segment machine : 252 ; masque de réseau : 24bits ( soit : 10.x.y.252/24 en notation CIDR ) ; coché la case 'Disable the userland FTP-Proxy application'
- WAN : réseau privé de classe A (même segment réseau !), segment machine : 253 ; masque de réseau : 24 bits ( soit 10.x.y.253/24 ) ; passerelle : toujours même segment réseau et segment machine : 254 ! (soit 10.x.y.254 )
Ensuite le pool d'équilibrage, j'ai ni plus ni moins suivie la doc pfsense MultiWAN1.2.
Et, puisque les images valent mieux que mille mots :p
Si vous avez bridgé LAN et WAN alors seule deux règles sufisent:
- Une sur la carte LAN pour autoriser le LAN a se connecter au subnet côté WAN, en premiere position avec gateway *
- Une sur la carte WAN pour autoriser ces subnet à se connecter au LAN, en premiere position avec gateway *
Pour le NAT lorsqu'on utilise un pont, il est conseillé de supprimer tout NAT c'est à dire se mettre en mode manuel et supprimer la règle automatiquement créée pour le NAT du subnet LAN coté WAN, celà sera plus propre.
Concernant le NAT, je suis votre conseil.
Merci de prendre le temps nécessaire à m'aider à mieux appréhender tout cela ;-) -
Il faut revoir la configuration de l'ensemble et comprendre le fonctionnement d'un pont. Un pont est transparent au niveau IP et les cartes le constituant ne devraient pas porter une IP dans le subnet sur lequel ce pont est installé (ou pas d'IP du tout). Vous avez monté un hybride pont/routeur qui certes semble fonctionner en partie mais qui ne sera pas viable selon moi, cela marche actuellement grace au PBR mais la couche de routage statique est totalement ignorée par le pont.
Qu'elle est la gateway déclarée sur les postes clients ? -
Qu'elle est la gateway déclarée sur les postes clients ?
GW : 10.x.y.252 (qui est l'IP de la carte ethernet LAN)
Avec un routage vers 10.x.y.254 pour les routes concernant le réseau nommé 'CRDP'. -
Donc totalement mal configuré, le pont ne devrait jamais être addressé (il ne possède pas de MAC).
Il faut revoir la configuration et supprimer ce pont. -
Donc totalement mal configuré, le pont ne devrait jamais être addressé (il ne possède pas de MAC).
Il faut revoir la configuration et supprimer ce pont.Okidoki, merci pour toutes ces précisions !
-
tu peut jeter un œil sur http://forum.pfsense.org/index.php/topic,20973.0.html
y a des tutos intéressants