Migration ipcop vers pfsense



  • bonjour,
    Je reviens à la charge sur la configuration de pfsense. Je l'avais tenté mais n'ayant pas reussi à le faire fonctionner, j'ai dû l'abandonner pour ipcop. J'espère cette fois-ci reussir avec votre contribution.
    Mon problème est le suivant:
    j'ai un LAN (10.10.1.0/24), une DMZ (10.10.3.0/24) et un WAN (xx.xx.xx.0/24). La configuration des interfaces(LAN-DMZ-WAN) est sans problème pour moi. Dans la partie DMZ j'ai un serveur de messagerie (10.10.3.4) et un serveur web (10.10.3.5).
    J'ai configuré l'interface WAN et associé une passerelle

    1ère difficulté je ne peux pas pinguer la passerelle associée côté WAN donc impossible d'accéder à Internet



  • Step by step !

    Avant de tester n'importe quoi, on regarde les câbles, les switchs, l'adressage, les masques, …
    Et on teste de proche en proche : pfsense, sur son écran de base, permet de pinguer ce qu'on veut.

    Tester le ping vers la passerelle, oui, mais depuis quoi ?

    Au pire, on place un PC sur le réseau (et étant sûr de CORRECTEMENT configurer adresse ip, masque, gateway, dns), et on regarde ce qui se passe.

    La description est très vague, les tests sont vagues, la méthode semble inexistante ...



  • Des tests méthodiques s'imposent. J'ai installé assez de Pfsense pour dire avec une quasi certitude que vos paramétrages sont très probablment en cause. Pfsense fonctionne bien.

    et un WAN (xx.xx.xx.0/24)

    Public, privée ? Quelle connectivité vers internet ?



  • Bonjour,
    l'adresse IP wan est publique 41.216.xx.129/29 avec comme passerelle 41.216.xx.254/24, mes DNS sont 41.216.146.83 et 41.216.146.82.
    Vous allez m'excuser de vous parler de ipcop mais j'ai cette configuration sur ipcop qui marche. J'ai crée deux virtual IP de type IP
    Ma configuration PFSENSE est la suivante voir image:

    Merci pour l'aide














  • Commençons pas les images fournies :

    • pour les alias, je "norme" les nom d'alias en commençant par "lan", "port", "srv", cela facilite la sélection à la saisie.

    • pour le mail, non, il ne faut pas ouvrir pop(s), imap(s), non il ne faut pas ! un webmail pourquoi pas, mais pas pop/imap !

    • le NAT 1:1 n'a d'intérêt que si on héberge 2 fois le même protocole, on peut LARGEMENT se contenter de port forward !

    • pour le Outbond NAT, je laisse souvent en automatic, cela est souvent suffisant et c'est très bien avec du port forward.

    • rule LAN : pourquoi permettre à toute le monde de requêter du dns : seul le serveur dns y a le droit, et encore il peut passer par pfSense,

    • quel est l'objectif de pouvoir pinger la WAN address ? pour moi, c'est 0 intérêt,

    • pourquoi permettre à tout le monde de faire du http ? Il n'y a pas de proxy ?

    • rule WAN : c'est bien de permettre le ping de l'adresse WAN mais inutile de loguer !

    • la 2ième règle n'a pas de sens.

    • rule DMZ : les règles 1 et 2 sont incohérentes et à revoir vers du port forward

    • la règle 3 est inutile

    • la règle 4 est inacceptable car totalement insecure

    Passons au texte :

    l'adresse IP wan est publique 41.216.xx.129/29 avec comme passerelle 41.216.xx.254/24

    Cela pose un problème !
    41.216.xx.129/29 indique que, nativement, la machine peut voir de 41.216.xx.129 à .134 (il faut exclure .128 et .135 !).
    Donc ne peut pas causer avec .254 (sans masque, please).

    mes DNS sont 41.216.146.83 et 41.216.146.82

    Ah bon vous hébergez vous même votre dns ?
    De grâce, laisser cela à un pro !
    En plus, je peux imaginer qu'héberger (sérieusement) un dns nécessite 2 ranges d'ip publiques distinctes !
    Ca, c'est NON !

    Je pense qu'il y a à revoir sérieusement, reposer et penser simplement (KISS = Keep It Simple and Stupid)



  • bonsoir,
    Il ya une erreur dans mon écrit précédent l'adresse IP côté wan est 41.216.xx.129/24 et non en /29

    • J'ai normé les noms d'alias
    • J'ai ouvert les ports pour le mail car le serveur de mail doit être accessible en interne comme de l'exterieur
    • j'ai remplacé le NAT 1:1 par du Port Forward
    • Les machines situées sur le LAN doivent acceder à Internet
    • Les DNS mentionnés sont ceux que j'ai renseigné dans l'onglet "General setup" dans les case DNS server 41.216.146.83 et 41.216.146.82

    J'ai corrigé les règles également
    Merci












  • Il ya une erreur dans mon écrit précédent l'adresse IP côté wan est 41.216.xx.129/24 et non en /29

    Votre FAI vous a fourni 254 (256) adresses ip publiques ???? Quel gâchis incroyable ! M'étonne pas qu'il y en a plus !

    Les DNS mentionnés sont ceux que j'ai renseigné dans l'onglet "General setup" dans les case DNS server 41.216.146.83 et 41.216.146.82

    Oui et alors ? Ces adresses ip (allouées) correspondent-elle à un serveur dns ?
    Je ne connais personne directement qui, pour le compte de son entreprise de 10 à 7500 personnes, hébergent elle-même le dns du domaine de l'entreprise.
    Soit c'est le fai qui l'héberge pour nous avec la possibilité d'ajouter sous 24h le moindre record qui nous serait nécessaire.
    Soit c'est un hébergeur "classique" genre Gandi, 1et1, Ovh, Amen, … pour les petites entreprises, et avec une gestion web tradi.

    Je ne sais si cela fonctionne ou pas, mieux ou pas ...



  • Oui le masque du sous reseau côté paraît du gachis mais rassurez vous car le FAI prétend qu'il ya une configuration spéciale de son côté pour limiter le nombre d'adresses IP. La preuve est que je n'ai droit qu'à quatre (4) adresses IP à savoir la 129, 130, 131 et la 132.



  • Bonjour,
    J'arrive à acceder à internet à présent à partir de mon LAN, mais je n'ai pas accès à mon serveur web et de messagerie situés en DMZ.
    L'adresse IP serveur web: 10.10.3.5 (virtual IP: 41.216.147.132)
    Adresse IP serveur mail: 10.10.3.4  (virtual IP: 41.216.147.130)
    Quelles règles me faut-il pour accéder à ces serveurs situés en DMZ?
    Merci



  • Pourquoi ne pas faire simple ?

    On peut très bien, ici, ne pas utiliser d'ip virtuelles : on ne doit utiliser des ip virtuelles que si on a 2 serveurs différents  offrant le MEME service (et encore).

    • l'adresse wan externe et pas de virtual ip (de quel type ?),
    • juste une règle NAT de type portforwarding et le NAT outbound automatic standard


  • J'utilise des IP virtuel de type IP car dans la configuration de mon ancien firewall ipcop j'ai defini des alias avec ces adresses virtuelles. J'ai réutilisé ces adresses pour garder la cohérence avec ipcop.
    Ci-joint une architecture réseau




  • bonsoir,
    Je sais que vous m'avez une fois dit qu'il etait inutile d'avoir un serveur DNS en DMZ. Mais je voudrais le garder en DMZ car pour mes sous domaines je les gère moi-même. J'ai le domaine mon_domaine.bf qui est declaré chez mon registrar avec des adresses IP pour le serveur secondaire et primaire. Mon registrar ne gère que mon_domaine.bf; les sous domaine test1.mon_domaine.bf, test2.mon_domaine.bf sont declarés sur mon serveur DNS à moi.

    Actuellement je peux atteindre mon serveur DNS que par son adresse IP 10.10.3.4, la résolution de nom ne marche pas
    Question: quelle règle me permettra d'atteindre mon serveur DNS en DMZ aussi bien à partir du LAN que du WAN?

    Merci



  • Assez peu clair !

    Il est assez normal et logique de faire du split-domaine :

    • sur Internet, l'adresse ip d'un serveur ftp en dmz sera l'adresse publique du firewall (le port forward faisant le reste),
    • en interne, le même nom sera résolu avec l'ip privée dudit serveur en dmz.

    Comme cela ne va concerner que quelques machines et quelques noms, cela peut être fait par pfSense lui-même.
    Inutile de créer un bind pour cela !

    Mais il suffit de s'organiser pour avoir une logique simple de serveur dns interne : je fais cela souvent avec le dns du DC windows du lan qui est server dhcp et dns local, …



  • bonjour,
    j'ai resolu mon problème de resolution DNS en utilisant le split-domaine; à partir du LAN la résolution DNS fonctionne, il me reste à vérifier si de l'extérieur (Internet) mes serveurs sont accessibles.
    Pour autoriser la résolution DNS à partir de l'exterieur doive je faire du forward sur le port 53?
    Merci



  • Certainement pas ! (Et c'est assez évident : que va-t-on faire d'une ip privée ???)

    Je ne crois pas que vous ayez bien compris ce qu'est le "split-domain" : relisez Christian CALECA ou cherchez un peu sur Internet (dns split domain)


Log in to reply