Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Migration ipcop vers pfsense

    Scheduled Pinned Locked Moved Français
    15 Posts 3 Posters 5.2k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • S
      someferdi
      last edited by

      bonjour,
      Je reviens à la charge sur la configuration de pfsense. Je l'avais tenté mais n'ayant pas reussi à le faire fonctionner, j'ai dû l'abandonner pour ipcop. J'espère cette fois-ci reussir avec votre contribution.
      Mon problème est le suivant:
      j'ai un LAN (10.10.1.0/24), une DMZ (10.10.3.0/24) et un WAN (xx.xx.xx.0/24). La configuration des interfaces(LAN-DMZ-WAN) est sans problème pour moi. Dans la partie DMZ j'ai un serveur de messagerie (10.10.3.4) et un serveur web (10.10.3.5).
      J'ai configuré l'interface WAN et associé une passerelle

      1ère difficulté je ne peux pas pinguer la passerelle associée côté WAN donc impossible d'accéder à Internet

      1 Reply Last reply Reply Quote 0
      • J
        jdh
        last edited by

        Step by step !

        Avant de tester n'importe quoi, on regarde les câbles, les switchs, l'adressage, les masques, …
        Et on teste de proche en proche : pfsense, sur son écran de base, permet de pinguer ce qu'on veut.

        Tester le ping vers la passerelle, oui, mais depuis quoi ?

        Au pire, on place un PC sur le réseau (et étant sûr de CORRECTEMENT configurer adresse ip, masque, gateway, dns), et on regarde ce qui se passe.

        La description est très vague, les tests sont vagues, la méthode semble inexistante ...

        Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

        1 Reply Last reply Reply Quote 0
        • C
          ccnet
          last edited by

          Des tests méthodiques s'imposent. J'ai installé assez de Pfsense pour dire avec une quasi certitude que vos paramétrages sont très probablment en cause. Pfsense fonctionne bien.

          et un WAN (xx.xx.xx.0/24)

          Public, privée ? Quelle connectivité vers internet ?

          1 Reply Last reply Reply Quote 0
          • S
            someferdi
            last edited by

            Bonjour,
            l'adresse IP wan est publique 41.216.xx.129/29 avec comme passerelle 41.216.xx.254/24, mes DNS sont 41.216.146.83 et 41.216.146.82.
            Vous allez m'excuser de vous parler de ipcop mais j'ai cette configuration sur ipcop qui marche. J'ai crée deux virtual IP de type IP
            Ma configuration PFSENSE est la suivante voir image:

            Merci pour l'aide

            Aliases.png
            Aliases.png_thumb
            Nat:1:1.png
            Nat:1:1.png_thumb
            Outbound.png
            Outbound.png_thumb
            FirewallRuleLan.png
            FirewallRuleLan.png_thumb
            FirewallRuleWan.png
            FirewallRuleWan.png_thumb
            FirewallRuleDmz.png
            FirewallRuleDmz.png_thumb

            1 Reply Last reply Reply Quote 0
            • J
              jdh
              last edited by

              Commençons pas les images fournies :

              • pour les alias, je "norme" les nom d'alias en commençant par "lan", "port", "srv", cela facilite la sélection à la saisie.

              • pour le mail, non, il ne faut pas ouvrir pop(s), imap(s), non il ne faut pas ! un webmail pourquoi pas, mais pas pop/imap !

              • le NAT 1:1 n'a d'intérêt que si on héberge 2 fois le même protocole, on peut LARGEMENT se contenter de port forward !

              • pour le Outbond NAT, je laisse souvent en automatic, cela est souvent suffisant et c'est très bien avec du port forward.

              • rule LAN : pourquoi permettre à toute le monde de requêter du dns : seul le serveur dns y a le droit, et encore il peut passer par pfSense,

              • quel est l'objectif de pouvoir pinger la WAN address ? pour moi, c'est 0 intérêt,

              • pourquoi permettre à tout le monde de faire du http ? Il n'y a pas de proxy ?

              • rule WAN : c'est bien de permettre le ping de l'adresse WAN mais inutile de loguer !

              • la 2ième règle n'a pas de sens.

              • rule DMZ : les règles 1 et 2 sont incohérentes et à revoir vers du port forward

              • la règle 3 est inutile

              • la règle 4 est inacceptable car totalement insecure

              Passons au texte :

              l'adresse IP wan est publique 41.216.xx.129/29 avec comme passerelle 41.216.xx.254/24

              Cela pose un problème !
              41.216.xx.129/29 indique que, nativement, la machine peut voir de 41.216.xx.129 à .134 (il faut exclure .128 et .135 !).
              Donc ne peut pas causer avec .254 (sans masque, please).

              mes DNS sont 41.216.146.83 et 41.216.146.82

              Ah bon vous hébergez vous même votre dns ?
              De grâce, laisser cela à un pro !
              En plus, je peux imaginer qu'héberger (sérieusement) un dns nécessite 2 ranges d'ip publiques distinctes !
              Ca, c'est NON !

              Je pense qu'il y a à revoir sérieusement, reposer et penser simplement (KISS = Keep It Simple and Stupid)

              Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

              1 Reply Last reply Reply Quote 0
              • S
                someferdi
                last edited by

                bonsoir,
                Il ya une erreur dans mon écrit précédent l'adresse IP côté wan est 41.216.xx.129/24 et non en /29

                • J'ai normé les noms d'alias
                • J'ai ouvert les ports pour le mail car le serveur de mail doit être accessible en interne comme de l'exterieur
                • j'ai remplacé le NAT 1:1 par du Port Forward
                • Les machines situées sur le LAN doivent acceder à Internet
                • Les DNS mentionnés sont ceux que j'ai renseigné dans l'onglet "General setup" dans les case DNS server 41.216.146.83 et 41.216.146.82

                J'ai corrigé les règles également
                Merci

                Aliases.png
                Aliases.png_thumb
                FirewallRulesLan.png
                FirewallRulesLan.png_thumb
                FirewallRuleWan.png
                FirewallRuleWan.png_thumb
                PortForward.png
                PortForward.png_thumb
                VirtualIP.png
                VirtualIP.png_thumb

                1 Reply Last reply Reply Quote 0
                • J
                  jdh
                  last edited by

                  Il ya une erreur dans mon écrit précédent l'adresse IP côté wan est 41.216.xx.129/24 et non en /29

                  Votre FAI vous a fourni 254 (256) adresses ip publiques ???? Quel gâchis incroyable ! M'étonne pas qu'il y en a plus !

                  Les DNS mentionnés sont ceux que j'ai renseigné dans l'onglet "General setup" dans les case DNS server 41.216.146.83 et 41.216.146.82

                  Oui et alors ? Ces adresses ip (allouées) correspondent-elle à un serveur dns ?
                  Je ne connais personne directement qui, pour le compte de son entreprise de 10 à 7500 personnes, hébergent elle-même le dns du domaine de l'entreprise.
                  Soit c'est le fai qui l'héberge pour nous avec la possibilité d'ajouter sous 24h le moindre record qui nous serait nécessaire.
                  Soit c'est un hébergeur "classique" genre Gandi, 1et1, Ovh, Amen, … pour les petites entreprises, et avec une gestion web tradi.

                  Je ne sais si cela fonctionne ou pas, mieux ou pas ...

                  Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

                  1 Reply Last reply Reply Quote 0
                  • S
                    someferdi
                    last edited by

                    Oui le masque du sous reseau côté paraît du gachis mais rassurez vous car le FAI prétend qu'il ya une configuration spéciale de son côté pour limiter le nombre d'adresses IP. La preuve est que je n'ai droit qu'à quatre (4) adresses IP à savoir la 129, 130, 131 et la 132.

                    1 Reply Last reply Reply Quote 0
                    • S
                      someferdi
                      last edited by

                      Bonjour,
                      J'arrive à acceder à internet à présent à partir de mon LAN, mais je n'ai pas accès à mon serveur web et de messagerie situés en DMZ.
                      L'adresse IP serveur web: 10.10.3.5 (virtual IP: 41.216.147.132)
                      Adresse IP serveur mail: 10.10.3.4  (virtual IP: 41.216.147.130)
                      Quelles règles me faut-il pour accéder à ces serveurs situés en DMZ?
                      Merci

                      1 Reply Last reply Reply Quote 0
                      • J
                        jdh
                        last edited by

                        Pourquoi ne pas faire simple ?

                        On peut très bien, ici, ne pas utiliser d'ip virtuelles : on ne doit utiliser des ip virtuelles que si on a 2 serveurs différents  offrant le MEME service (et encore).

                        • l'adresse wan externe et pas de virtual ip (de quel type ?),
                        • juste une règle NAT de type portforwarding et le NAT outbound automatic standard

                        Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

                        1 Reply Last reply Reply Quote 0
                        • S
                          someferdi
                          last edited by

                          J'utilise des IP virtuel de type IP car dans la configuration de mon ancien firewall ipcop j'ai defini des alias avec ces adresses virtuelles. J'ai réutilisé ces adresses pour garder la cohérence avec ipcop.
                          Ci-joint une architecture réseau

                          architecture.png
                          architecture.png_thumb

                          1 Reply Last reply Reply Quote 0
                          • S
                            someferdi
                            last edited by

                            bonsoir,
                            Je sais que vous m'avez une fois dit qu'il etait inutile d'avoir un serveur DNS en DMZ. Mais je voudrais le garder en DMZ car pour mes sous domaines je les gère moi-même. J'ai le domaine mon_domaine.bf qui est declaré chez mon registrar avec des adresses IP pour le serveur secondaire et primaire. Mon registrar ne gère que mon_domaine.bf; les sous domaine test1.mon_domaine.bf, test2.mon_domaine.bf sont declarés sur mon serveur DNS à moi.

                            Actuellement je peux atteindre mon serveur DNS que par son adresse IP 10.10.3.4, la résolution de nom ne marche pas
                            Question: quelle règle me permettra d'atteindre mon serveur DNS en DMZ aussi bien à partir du LAN que du WAN?

                            Merci

                            1 Reply Last reply Reply Quote 0
                            • J
                              jdh
                              last edited by

                              Assez peu clair !

                              Il est assez normal et logique de faire du split-domaine :

                              • sur Internet, l'adresse ip d'un serveur ftp en dmz sera l'adresse publique du firewall (le port forward faisant le reste),
                              • en interne, le même nom sera résolu avec l'ip privée dudit serveur en dmz.

                              Comme cela ne va concerner que quelques machines et quelques noms, cela peut être fait par pfSense lui-même.
                              Inutile de créer un bind pour cela !

                              Mais il suffit de s'organiser pour avoir une logique simple de serveur dns interne : je fais cela souvent avec le dns du DC windows du lan qui est server dhcp et dns local, …

                              Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

                              1 Reply Last reply Reply Quote 0
                              • S
                                someferdi
                                last edited by

                                bonjour,
                                j'ai resolu mon problème de resolution DNS en utilisant le split-domaine; à partir du LAN la résolution DNS fonctionne, il me reste à vérifier si de l'extérieur (Internet) mes serveurs sont accessibles.
                                Pour autoriser la résolution DNS à partir de l'exterieur doive je faire du forward sur le port 53?
                                Merci

                                1 Reply Last reply Reply Quote 0
                                • J
                                  jdh
                                  last edited by

                                  Certainement pas ! (Et c'est assez évident : que va-t-on faire d'une ip privée ???)

                                  Je ne crois pas que vous ayez bien compris ce qu'est le "split-domain" : relisez Christian CALECA ou cherchez un peu sur Internet (dns split domain)

                                  Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

                                  1 Reply Last reply Reply Quote 0
                                  • First post
                                    Last post
                                  Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.