Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Configuration impossible avec 2 Passerelles

    Scheduled Pinned Locked Moved Français
    4 Posts 2 Posters 3.4k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • X
      xhark
      last edited by

      Bonjour, je rencontre un souci avec pfSense 1.2.3 final.

      Je vais tenter d'expliquer ma situation :

      
---------------Routeur INTERNET completel ----------------------
                          |
                          |
   -------------SWITCH -------------------
   |                                    |
   |                                    |--- pfSense --- LAN_2 (192.168.x.x/24)
routeur_bis                                                   |
   |                                                          |_ clients en DHCP
   |
   ---- LAN_1----
           |
           |__ PC perso

IPs : 
inconnu   --- routeur completel --- 213.x.x.3
213.x.x.4 --- pfsense --- 192.168.1.254 (lan_2)
213.x.x.5 --- routeur_bis --- 192.168.0.254 (lan_1) , pas de NAT

      le SWITCH est sur le réseau publique internet afin de bénéficier de toutes les adresses IP publique dont je dispose (le seul port sur le routeur completel ne permettrait de connecter qu'une seule machine…)

      pfSense bénéficie d'une ip publique sur la première carte réseau directement reliée au web
      le routeur_bis bénéficie lui aussi d'une ip publique sur sa première carte réseau

      Configuration de pfSense :
      passerelle : @IP du routeur internet de completel
      DNS : ceux de complétel

      But de l'opération : que les clients dhcp puissent surfer (fonctionne)

      Voici donc la structure que j'ai pu mettre en œuvre sans encombre, tout fonctionne.

      Voici ce qui ne fonctionne pas :
      Je souhaite accéder à la machine pfSense via SSH (port 22) à partir de "PC PERSO".

      Ce que j'ai pu constaté c'est que pfSense reçoit bien la requête (je l'attaque en dur via l'IP) sur son interface, mais de mon côté avec PuTTY la fenêtre ne renvoi jamais l'authentification "login". La fenêtre PuTTY reste bloqué sur le fond noir sans aucun message d'erreur, et ce jusqu'à ce que je la force à se fermer.

      En réalité je pense avoir cerné le problème qui viendrait d'une route. Je ne sais pas pourquoi mais on dirait que le SSH a besoin d'une route de retour pour revenir vers mon PC PERSO. Sans cette route la trame file vers la passerelle par défaut (celle de completel).

      J'ai tenté d'ajouter une route statique du style :
      destination : réseau du pc perso + mask, passerelle = routeur_bis

      Mais cette règle ne semble pas prendre le dessus par dessus la route par défaut.

      Lorsque je remplace la passerelle par défaut de pfSense de celle du routeur completel vers routeur_bis, eureka le SSH fonctionne!
      Sauf que mes clients ne peuvent plus surfer avec cette passerelle… grr !

      J'ai également tenter de remplacer pfSense par une machine windows avec cygwin, résultat :

      • sans rien toucher, exactement le même problème qu'avec pfSense
      • en ajoutant la route destination : réseau du pc perso + mask, passerelle = routeur_bis cela fonctionne parfaitement !

      Voilà pourquoi je me dis que pfSense n'aime pas ma route par défaut (elle est pourtant bien prise en compte j'ai vérifié avec netstat -r).

      Si vous avez des idées, je prend. Je doit peut-être configurer du NAT (outbound ?).
      Bref je suis à court d'idées, merci par avance!

      Je précise que l'accès HTTPS pour manager pfSense fonctionne, je pense qu'il n'a pas besoin des mêmes spécifications concernant le retour des paquets. Je précise aussi qu'il n'y aucun filtrage sur le routeur_bis

      SysNetAdmin & Blogger on http://blogmotion.fr

      1 Reply Last reply Reply Quote 0
      • J
        jdh
        last edited by

        Peut-être qu'il serait utile de donner des précisions sur "routeur_bis" et notamment s'il fait du nat …

        En fait il y a beaucoup d'efforts à faire dans la présentation de votre problème :

        • adressages ip (en masquant les adresses ip publiques 80.x.x.124 p.e.),
        • rôle et fonctionnement de chaque élément,
        • configuration de pfsense : interfaces, nat, rules, ...,
        • tests menés et résultats.

        On ne sent pas une forte expertise, aussi il est important de ne pas partir sur des pistes qui s'avèreront fausses ...
        Pas d'à priori : une idée, des tests, et on passe à l'idée suivante, ...

        Par exemple :

        • Pourquoi y aurait-il besoin de route ? Si, comme je le suppose "routeur_bis" est un "routeur NAT", il n'y a AUCUN besoin de route ...
        • Avec le micro de test directement sur le switch public, que se passe-t-il ?

        Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

        1 Reply Last reply Reply Quote 0
        • X
          xhark
          last edited by

          @jdh, je viens d'éditer mon premier schéma en ajoutant quelques précisions

          Aucun dhcp fourni par le routeur completel, toutes les ip publiques sont configurées à la mano.

          La configuration de pfSense est pour l'instant très basique : du WAN avec IP publique d'un côté et un réseau privée de l'autre avec du DHCP qui permet aux clients de surfer (dns forwarder actif sur pfSense)

          C'est justement car il n'y a pas de NAT sur le routeur_bis que je pense qu'une route est nécessaire. C'est un peu une abération de ne pas avoir de NAT je pense d'ailleurs vu qu'on sort sur le web avec une ip en 192.168 sans NAT.

          Avec le PC de test directement sur le switch public je parviens à joindre pfSense sans problème via SSH (le pc de test utilisant une des ip publiques en configuration manuelle dans ce cas).

          SysNetAdmin & Blogger on http://blogmotion.fr

          1 Reply Last reply Reply Quote 0
          • X
            xhark
            last edited by

            J'ai fini par ajouter du NAT en sortie du routeur_bis, ce coup-ci tout fonctionne.

            Je pense que BSD réagit différemment des autres systèmes au niveau des routes avec pfSense.

            Merci pour votre aide

            SysNetAdmin & Blogger on http://blogmotion.fr

            1 Reply Last reply Reply Quote 0
            • First post
              Last post
            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.