Configuration impossible avec 2 Passerelles



  • Bonjour, je rencontre un souci avec pfSense 1.2.3 final.

    Je vais tenter d'expliquer ma situation :

    
    ---------------Routeur INTERNET completel ----------------------
                              |
                              |
       -------------SWITCH -------------------
       |                                    |
       |                                    |--- pfSense --- LAN_2 (192.168.x.x/24)
    routeur_bis                                                   |
       |                                                          |_ clients en DHCP
       |
       ---- LAN_1----
               |
               |__ PC perso
    
    IPs : 
    inconnu   --- routeur completel --- 213.x.x.3
    213.x.x.4 --- pfsense --- 192.168.1.254 (lan_2)
    213.x.x.5 --- routeur_bis --- 192.168.0.254 (lan_1) , pas de NAT
    
    

    le SWITCH est sur le réseau publique internet afin de bénéficier de toutes les adresses IP publique dont je dispose (le seul port sur le routeur completel ne permettrait de connecter qu'une seule machine…)

    pfSense bénéficie d'une ip publique sur la première carte réseau directement reliée au web
    le routeur_bis bénéficie lui aussi d'une ip publique sur sa première carte réseau

    Configuration de pfSense :
    passerelle : @IP du routeur internet de completel
    DNS : ceux de complétel

    But de l'opération : que les clients dhcp puissent surfer (fonctionne)

    Voici donc la structure que j'ai pu mettre en œuvre sans encombre, tout fonctionne.

    Voici ce qui ne fonctionne pas :
    Je souhaite accéder à la machine pfSense via SSH (port 22) à partir de "PC PERSO".

    Ce que j'ai pu constaté c'est que pfSense reçoit bien la requête (je l'attaque en dur via l'IP) sur son interface, mais de mon côté avec PuTTY la fenêtre ne renvoi jamais l'authentification "login". La fenêtre PuTTY reste bloqué sur le fond noir sans aucun message d'erreur, et ce jusqu'à ce que je la force à se fermer.

    En réalité je pense avoir cerné le problème qui viendrait d'une route. Je ne sais pas pourquoi mais on dirait que le SSH a besoin d'une route de retour pour revenir vers mon PC PERSO. Sans cette route la trame file vers la passerelle par défaut (celle de completel).

    J'ai tenté d'ajouter une route statique du style :
    destination : réseau du pc perso + mask, passerelle = routeur_bis

    Mais cette règle ne semble pas prendre le dessus par dessus la route par défaut.

    Lorsque je remplace la passerelle par défaut de pfSense de celle du routeur completel vers routeur_bis, eureka le SSH fonctionne!
    Sauf que mes clients ne peuvent plus surfer avec cette passerelle… grr !

    J'ai également tenter de remplacer pfSense par une machine windows avec cygwin, résultat :

    • sans rien toucher, exactement le même problème qu'avec pfSense
    • en ajoutant la route destination : réseau du pc perso + mask, passerelle = routeur_bis cela fonctionne parfaitement !

    Voilà pourquoi je me dis que pfSense n'aime pas ma route par défaut (elle est pourtant bien prise en compte j'ai vérifié avec netstat -r).

    Si vous avez des idées, je prend. Je doit peut-être configurer du NAT (outbound ?).
    Bref je suis à court d'idées, merci par avance!

    Je précise que l'accès HTTPS pour manager pfSense fonctionne, je pense qu'il n'a pas besoin des mêmes spécifications concernant le retour des paquets. Je précise aussi qu'il n'y aucun filtrage sur le routeur_bis



  • Peut-être qu'il serait utile de donner des précisions sur "routeur_bis" et notamment s'il fait du nat …

    En fait il y a beaucoup d'efforts à faire dans la présentation de votre problème :

    • adressages ip (en masquant les adresses ip publiques 80.x.x.124 p.e.),
    • rôle et fonctionnement de chaque élément,
    • configuration de pfsense : interfaces, nat, rules, ...,
    • tests menés et résultats.

    On ne sent pas une forte expertise, aussi il est important de ne pas partir sur des pistes qui s'avèreront fausses ...
    Pas d'à priori : une idée, des tests, et on passe à l'idée suivante, ...

    Par exemple :

    • Pourquoi y aurait-il besoin de route ? Si, comme je le suppose "routeur_bis" est un "routeur NAT", il n'y a AUCUN besoin de route ...
    • Avec le micro de test directement sur le switch public, que se passe-t-il ?


  • @jdh, je viens d'éditer mon premier schéma en ajoutant quelques précisions

    Aucun dhcp fourni par le routeur completel, toutes les ip publiques sont configurées à la mano.

    La configuration de pfSense est pour l'instant très basique : du WAN avec IP publique d'un côté et un réseau privée de l'autre avec du DHCP qui permet aux clients de surfer (dns forwarder actif sur pfSense)

    C'est justement car il n'y a pas de NAT sur le routeur_bis que je pense qu'une route est nécessaire. C'est un peu une abération de ne pas avoir de NAT je pense d'ailleurs vu qu'on sort sur le web avec une ip en 192.168 sans NAT.

    Avec le PC de test directement sur le switch public je parviens à joindre pfSense sans problème via SSH (le pc de test utilisant une des ip publiques en configuration manuelle dans ce cas).



  • J'ai fini par ajouter du NAT en sortie du routeur_bis, ce coup-ci tout fonctionne.

    Je pense que BSD réagit différemment des autres systèmes au niveau des routes avec pfSense.

    Merci pour votre aide


Locked