[resolu]probleme firewall + plusieurs vlan sur interface "Wan" et "lan"



  • Bonjour…

    Nouvelle question :
    J'ai 2 pfsense en loadBalancing, carp, failover avec des vlan sur les interfaces coté "Wan" ainsi que sur le coté "Lan"

    Si je fait des pingues d'un vlan (X-Wan) vers un autre vlan (Y-Wan), je n'ai aucune pertes, mais impossible de faire du trasfert de fichier, ou tres difficille d'envoyer des mails sous outlook...(deco puis reco etc...)

    Mon pfsense bloque des access aleatoirement meme si j'ai mis une regle d'acceptation du genre :

    Access-->proto any-->source any-->port src any -->dest any-->port dst any-->gw default

    ou

    Access-->tcp/udp-->source @VlanX-->port src any -->dest @vlanY-->port dst Application(outlook)-->gw default

    ou

    Access-->proto any --->source @VlanX-->port src any -->dest any-->any -->gw default

    lorsque je vais sur la page de logs, je vois bien des requetes qui sont bloqués, avec en cliquant sur la croix le message suivant :

    @348 block drop out log quick all label "Default deny rule" ==>je n'ai evidement aucune regle de deny !!!

    Il me semble bizarre que meme si sur la page "Firewall-->rules" je ne met pas de blocage, le pfsense me bloque quand meme des paquets...

    Par contre une fois que je vais sur l'onglet System et Advanced et si je coche la case "Disables all paquet filtering", cela fonctionne sans problème...

    Cela provient bien de cette regle qui filtre "en sortie" de l'interface...En plus dans le fichier /tmp/rules.debug, la dernière lignes de ce fichiers est :

    block out log quick all label "default deny rule"

    Je comprend tres bien qu'il arrive d'un interface physique identique a la sortie meme si cela se trouve sur un autre vlan...Ceci dit, pourquoi ce filtre...(meme si je ne sais pas a quoi correspond "label" j'iimagine que cela concerne les interfaces)...

    qqun pourrait-il m'expliquer comment desactivé cette dernière règles...ou trouver un moyen de contournement efficace et perenne...

    je cherche de mon cote, mais peut etre que qqun a deja eu cela...

    Merci de votre aide...

    Si je commente la ligne dans ce fichier ( temporaire !!!), cela fonctionne aussi...J'en conclue donc soit un mauvais routage, soit un probleme de filtre...

    J'ai bien essayer de faire les meme regles sans garder l'etat de la conexion en memoire, mais idem...meme probleme...



  • Donc premiere info :

    Le fichier de construction des regles est : /etc/inc/filter.inc

    faire une recherche avec vi…et trouver la ligne qui va bien (enfin celle que je cherche)...

    une fois fait si je fait : pfctl -sr, je n'ai plus la regle qui m'interessait...meme avec le reboot...

    1er resultat, C'est pas ca le probleme, toujours pareil, transfert de fichier impossible, et deco outlook regulierement...



  • QQun pourrait-il me dire :

    Si j'ai plusieurs vlan sur un interface, dont ma route par default, qu'elle options dois-je mettre dans l'onglet system/Advanced fonctions…

    Shared physiqual network
    This will suppress arp message when interfacces share thsame physical network = oui / non==>j 'ai repondu oui (puisque vlan)

    use sticky connection = oui /non ==> oui  (puisque load balancing)

    disable reply-to on wan rules = oui /non (essaie oui et non...pas de changement visible)...

    et enfin Disable Hardware checksum offloading...coché puis non coché, aucune difference...

    Je sais il y a plein de tuto, je les lis et relis, mais des fois une bonne explication et mieux que tout...Alors merci d'avance a ceux qui voudrons bien repondre a ce post...



  • Cela provient bien de cette regle qui filtre "en sortie" de l'interface..

    Pfsense ne filtre pas en sortie des interfaces.

    Sinon avez vous jeté un oeil ici ?
    http://forum.pfsense.org/index.php/topic,7001.0.html



  • Merci j'ai visionné le post, effectivement, c'est interessant…je vais verifier quelques trucs...

    Et en fouillant un peu plus j'ai trouvé un post en anglais...sur le meme probleme que moi :

    http://forum.pfsense.org/index.php/topic,23356.0.html

    Donc en gros :

    Go to System \ Advanced

    Check Bypass Firewall rules for traffic on the same interface

    Le problème c'est que j'aurai bien voulu avoir des regles de firewall entre les reseaux sur les memes interfaces...

    Puis j'essaierai de faire du routage aussi...afin d'avoir toutes mes routes par defaults qui passent par le meme vlan...on verra mercredi...

    Merci ccnet pour votre reponse...je vais aussi fouiller le forum anglais...pfffff...shakespeare n'etait pas mon fort, mais quand faut y aller faut y aller....



  • J'ai trouve une solution de contournement :

    1er interface physique du pfsense est relié : Routeur1==>pfsense vlandefault==>lan
    2em interface physique du pfsense relié    : Routeur1==>pfsense vlan autres

    on se retrouve donc avec 2 interfaces pfsense relié au routeur 1 (wan) mais dans des vlans differents…avec notament le vlan par default uniquement sur un interface et les autres vlan sur un autres...Comme ca tous mes vlans sont flitres en entré sur le pf, et le routage en sortie de la route par default passe par l'autre interface...

    Je fait ca mercredi (long we)...



  • J'ai trouve une solution de contournement :

    1er interface physique du pfsense est relié : Routeur1==>pfsense vlandefault==>lan
    2em interface physique du pfsense relié    : Routeur1==>pfsense vlan autres

    on se retrouve donc avec 2 interfaces pfsense relié au routeur 1 (wan) mais dans des vlans differents…avec notament le vlan par default uniquement sur un interface et les autres vlan sur un autres...Comme ca tous mes vlans sont flitres en entré sur le pf, et le routage en sortie de la route par default passe par l'autre interface...

    Je fait ca mercredi (long we)...



  • Votre problème de communication est dû à un routage asymétrique et donc à un porblème d'architecture réseau.

    la cause de vos déconnexions: L'aller ou le retour passe par pfsense et pas l'inverse, du coup le moteur statefull de pf détruit l'état de la connexion TCP car il est invalide.

    Si vous gérez vos vlan dans pfsense, il n'y a aucune option particulière à cocher. Les VLAN doivent être assignés dans le menu Interfaces/Assign/Vlan et associés à une interface logique (par ex VLAN10). dans le menu Interfaces/Assign. Ensuite vos VLAN apparaissent dans le menu Firewall/Rules et vous pouvez filtrer.
    Enfin, chaque VLAN doit avoir comme gateway l'IP de l'interface logique Pfsense dans ce vlan, le routage intervlan dans les switch doit impérativement être désactivé.



  • @Juve:

    Votre problème de communication est dû à un routage asymétrique et donc à un porblème d'architecture réseau.
    la cause de vos déconnexions: L'aller ou le retour passe par pfsense et pas l'inverse, du coup le moteur statefull de pf détruit l'état de la connexion TCP car il est invalide.

    Gros doute…mais raison est donné a Juve...J'ai bien la confirmation que le routage intervlan fait son oeuvre...

    @Juve:

    Si vous gérez vos vlan dans pfsense, il n'y a aucune option particulière à cocher. Les VLAN doivent être assignés dans le menu Interfaces/Assign/Vlan et associés à une interface logique (par ex VLAN10). dans le menu Interfaces/Assign. Ensuite vos VLAN apparaissent dans le menu Firewall/Rules et vous pouvez filtrer.

    Bon, la ca va…les conf sont donc bonnes...
    Par contre !!!
    @Juve:

    le routage intervlan dans les switch doit impérativement être désactivé.

    Bon ben la j'ai effectivement laissé le routage intervaln par default, et j'ai comme l'impression que le bougre me fait une jolie farce…donc je vais de ce pas arreté le rouatge intervlan...J'avais bien un gros doute, mais je me disais avec un epu de chance, il n'a pas de conduite par default...ben si surement...alors merci a toi juve je vais de ce pas aller voir ce routage intervlan sur mon gros entarasys n7...et revient vous dire si cest ok...



  • ;D



  • Bon ben voila…cela fonctionne...

    J'ai essayer d'enlever le routage intervlan...alors en fait c'etait pire...avec l'intervlan j'arrivai a aller sur mes serveurs et sur google...sans l'intervlan, impossible (bon je sais l'archi est tres bizarre...mais ma logique n'est malheureusement propre qu'a moi...enfin bref...)...J'ai rajouter des routes en static sur les routeurs, mis des gateway sur les pfsenses pour les interfaces qui m'interessait...pour finalement en arriver a une conclusion des plus bete...enfin surtout une question...

    Pourquoi ai je besoin du loadbalancing...puisque j'ai le carp avec failover...ce n'est pas pareil, certes mais l'important n'est il pas pour mes clients de ne jamais avoir de coupures...et le load balancing fait de la repartition de charges...en aije vraiment besoin avec des lien gigabits...???

    La reponse fut non, j'ai donc enlever le load balancing, et miracle de l'informatique, cela fonctionne super mega bien...j'ai bien mon failover, mes clients pointe sur la passerelle du carp, comme ca il y a quand meme l'un des 2 qui travaille...je vais voir a la longue si un est vraiment plus surchargé que l'autre, mais d'apres ce que j'avais vu, il semblait tous les 2 tourner a 2% de charges !!! (oui bon mon patron aime bien ecraser une mouche avec un marteau...autrement dit, il m'a acheté 2 machines surdimenssionner pour ce qu'il y avait a faire...)...

    Bref...en resumé :

    Sur mes 2 pfsenses, j'ai mes vlans sur un interfaces, et LE vlan par default sur un autre...comme ca je peux filtrer tous mes vlan avant qu'il ne repartent sur le reseau...j'ai mon failover...j'ai mon carp qui regroupe bien mes 2 adresses...j'ai mes virtuals ip qui pointes vers mes serveurs dans mon lan,mon dhcp pour le reseau client exterieur qui delivre bien des ip sur le bon vlan...enfin bref...la vie est belle...

    Merci a vous juve et ccnet  pour vos conseils qui a chaque fois me donne la solution...

    des que je pourrai je mettrai des copie ecran de mon taf, afin d'aider peut etre qqun...enfin des que je peux...


Log in to reply