[résolu]Problème lors de désactivation du NAT



  • Rebonjour, Je reviens encore avec un problème réseau, décidément je n'arrete pas ….

    Je vous ai fait un petit schéma :
    Actuellement je dispose de deux Pfsense, l'un sur la derniere version stable et l'autre en 2, beta.
    Le 1er fait office de pare feu, de dual Wan. Je me sert de ma deuxieme connection Web pour des test ( la partie ou la neufbox est connecté)
    Le deuxième est destinée à un filtrage Web. et n'est placé là que de manière temporaire pour les tests, (il sera par la suite dessous le 1er Pfsense), je compte essayer de le passer dans sa position finale ce midi, donc ne vous cassez pas la tête sur mon problème… Juste si quelque chose vous parait évident ça me rassurerait beaucoup =)

    Mon souci est le suivant : Lorsque le nat est activé sur C, Je n'arrive plus a accéder au web, via la neufbox…
    je peux toujours la pinguer depuis les postes du lan. Et je ne peut plus la pinguer depuis B, le ping ne marche pas, mais je vois les echo reply revenir si je fais un packet capture !!!

    Je suis un peu perdu.
    étant donné que je comptais passer ce proxy entre le lan et mon firewall, en mode routeur (sans filtrage) cette après midi. J'aurais aimé d'abbord comprendre ce problème.

    Si vous désirez d'autre informations, schéma, Screenshoot N'hesitez pas a me demander.
    Merci beaucoup pour vos réponses et suggestion.

    Je souis en train de m'arracher les tifs ^_^



  • Le souci se précise, j'ai testé cette archi :

    Un ordi –- Pfsense 2.0 --- neufbox

    Avec une route sur la neufbox pour qu'elle connaisse le chemin vers le PC,
    quand le Nat est activé sur le pfsense, tout marche a merveille, et dans le cas contraire, le même probleme :

    Ping PC => neufbox Ok !
    NSlookup OK !
    Ping PC => après la box : Fail :(
    Tracert d'une Ip après la box : le pfsense répond mais pas la box ...

    une idée ??

    Merci



  • Pareil sur pfsense 1.2.3 …

    Config Réseau Du pf :

    WAN :
    IP: 192.168.70.45/24
    Gw : 192.168.70.1
    Pas de nat (case coché dans avanced : no filtering, ou outbound nat disabled)

    LAN :
    192.168.99.1/24

    Config Neufbox

    Ip lan : 192.168.70.1/24
    Static route 192.168.99.0/24 Via 192.168.70.45



  • Et voila résolu !!! tout seul :D mais merci quand même.

    Bon le problème venait de la neuf box, qui ne nat vers l'exterieur que la plage de son réseau connecté.



  • J'arrive après la bataille. Pour moi l'architecture n'est pas la bonne et celle qui a été retenu vous complique (vous l'avez vu par vous même) inutilement la tâche et induit une complexité inutile.

    Reprenons. Pour le proxy on utilise Pfsense v2 beta4. Ceux qui me lisent de temps à autre vont peut être s'en étonner puisque j'ai déjà plusieurs fois indiqué mon aversion pour l'installation du proxy sur Pfsense. Cela n'a pas changé. Ce qui a changé c'est qu'ici la proposition est d'utiliser Pfsense V2 non comme firewall mais comme appliance pour un proxy.
    Les conditions de mise en oeuvre :
    1. Utiliser Pfsense V2
    2. Le configurer avec une seule interface (Wan)
    3. La machine n'est pas le firewall du réseau.

    A partir de ces hypothèses j'ai testé en 30 mn l'infrastructure suivante.

    Le réseau existant comporte un lan et deux dmz mais un seul FAI donc un seul wan. Le firewall est Pfsense 1.2.3.

    • Téléchargement de la dernière beta de Pfsense.
    • Création d'une vm sur l'ESX de la dmz interne.
    • Installation de Pfsense V2 avec une seule interface.
    • Installation de Squid 2.x
    • Paramétrage de base avec authentification sur base locale.
    • Paramétrage du navigateur pour utiliser le proxy sur le port 3128.

    Et fin car cela fonctionne du premier coup.

    Pas de problème de nat multiples, si je rajoute une interface Wan j'ai juste besoin d'une règle de "policie routing" pour le trafic http par exemple pour utiliser une box quelconque. La box est neutre dans cette architecture. Tous mes flux restent centralisés sur mon firewall, pas de système à gérer côté Wan.

    Dans votre cas on ajoute un patte au firewall (ou pas) et on met le proxy dans la nouvelle zone (ou pas). Le firewall gère le muti-wan et le routage.



  • Merci, c'est exactement ce que je suis en train de faire, sans la virtualisation. =)


Locked