Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    LiveBox+4 LAN

    Scheduled Pinned Locked Moved Français
    16 Posts 7 Posters 6.6k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • M
      makensy13
      last edited by

      Bonjour,

      Ma configuration:

      Pfsense2.0 RC1+ un PC équipé de  5 cartes réseaux

      WAN–-> Connecté à la Livebox ----> 192.168.1.0/24
      LAN1 ---> Connecté au réseaux 01 ----> 192.168.2.0/24
      LAN2 ---> Connecté au réseau 02 ----> 192.168.3.0/24
      LAN3 ---> Connecté au réseau 03 ----> 192.168.4.0/24
      LAN4 ---> Connecté au réseau 04 ----> 192.168.10.0/24

      Le but étant de fournir un accès internet à chaque sous réseaux tout en les isolent.

      J'ai créé la règle de sortie pour chaque LAN.

      J'ai configurer l'interface WAN avec une IP fixe---> 192.168.1.253/24 Passerelle 192.168.1.1 (adresse ip de la livebox).

      Il est impossible à partir de Pfsense via l'interface WAN de pinguer l’extérieur ou la livebox.

      Cela ne fonctionne pas!

      J'ai désactivé dans la configuration de l'interface l'exclusion des plages IP privées, cela n'a rien changé.

      Y a t'il une spécificité pour la mise en place avec la livebox (Orange).

      Merci encore

      Cordialement,

      1 Reply Last reply Reply Quote 0
      • J
        jdh
        last edited by

        Il n'y a aucune spécificité Livebox comparativement à une autre box.
        (Il est presqu'impossible de passer la Livebox en mode bridge mais cela n'est pas un problème majeur.)

        En matière de test, il est important d'être très méthodique et de tester de proche en proche.

        Il faut tester le ping directement sur pfSense (soit en ouvrant une session shell soit avec l'option idoine du menu).

        Si la connectivité Wan de pfSense ne fonctionne pas du premier coup (comme cela devrait), qu'est ce que cela va être de la suite …

        Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

        1 Reply Last reply Reply Quote 0
        • T
          Trisogol
          last edited by

          Bonjour,

          Je vois que tu que tu précises avoir indiqué la passerelle, mais est ce que tu as bien indiqué dans le menu General Setup de pfSense que ton dns sera ta box ?

          1 Reply Last reply Reply Quote 0
          • C
            ccnet
            last edited by

            je ne pense pas que l'indication du dns soit fondamental pour pinguer 192.168.1.1 depuis 192.168.1.254.

            La réalisation de capture de trames sur Pfsense pourrait permettre d'avancer dans le diagnostic. Que se passe t il après un echo request ? Quid de arp request ?

            1 Reply Last reply Reply Quote 0
            • T
              Trisogol
              last edited by

              @ccnet:

              je ne pense pas que l'indication du dns soit fondamental pour pinguer 192.168.1.1 depuis 192.168.1.254.

              La réalisation de capture de trames sur Pfsense pourrait permettre d'avancer dans le diagnostic. Que se passe t il après un echo request ? Quid de arp request ?

              Non mais pour pinguer un nom de domaine extérieur cela peut être une piste

              Le fait de ne pas pouvoir pinguer une box mais la possibilité de pinguer l extérieur n est pas une aberation

              J adore cette ambiance bon enfant

              1 Reply Last reply Reply Quote 0
              • J
                jdh
                last edited by

                Attendez, la connexion entre une box et pfSense NE DEVRAIT PAS poser le moindre problème.

                Il est clair que le plus simple est d'être en adresse statique (adresse ip, masque, passerelle).
                Il est logique de saisir un dns dans les paramètres généraux.
                Un câble (croisé) doit relier le port de la carte réseau WAN et la box.
                Ensuite, sur la console ou via l'option du menu, on teste un ping avec l'adresse ip, puis on test un ping distant et enfin on tente de résoudre un nom.

                Pas de quoi s'emmêler les pinceaux, rien que de très basique …

                Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

                1 Reply Last reply Reply Quote 0
                • M
                  makensy13
                  last edited by

                  Bonjour,

                  Pour les DNS se sont ceux de Orange qui sont configurés. J'ai essayé avec ceux de la passerelle (192.168.1.1).

                  Les tests de ping sont fait à partir de la console shell (7) et de l'interface web (outils diagnostique).

                  Aucun retour d'echo pour l'adresse 192.168.1.1 ou bien pour une adresse public.

                  J'ai relié la carte WAN et la livebox avec un câble droit.

                  Faut il un câble croisé? Je ne crois pas à mon sens. Mais apparemment cela a été soulevé par JDH.

                  Merci pour vos réponses.

                  Cordialement,

                  1 Reply Last reply Reply Quote 0
                  • J
                    jdh
                    last edited by

                    Les dns DOIVENT être ceux de la passerelle (et non ceux d'Orange).

                    Normalement, il faut utiliser un câble croisé mais la Livebox peut être auto MDI …

                    Il faudrait peut-être substituer un PC à la machine pfSense, le configurer statiquement comme il faut, et vérifier.
                    Si le PC fonctionne, il va falloir vérifier le choix d'interface ...

                    Enfin tout cela est très basique, il faut être juste méthodique ...

                    Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

                    1 Reply Last reply Reply Quote 0
                    • A
                      aabadie
                      last edited by

                      Quel est le type de PC ?
                      5 cartes réseau … ne pourrait-il pas s'agir d'un conflit matériel ? un pb d'IRQ ?

                      1 Reply Last reply Reply Quote 0
                      • B
                        baalserv
                        last edited by

                        Bonjour,

                        Y a-t'il une raison particulière justifiant l'utilisation d'une livebox ?
                        1/ Cela induit un double NAT compliquant la gestion d'éventuel flux entrant ou autres VPN
                        2/ Elles ne sont pas spécialement reconnu pour leur fiabilités
                        3/ De base elles peuvent êtres flasher à tout moment par Orange avec reset des configurations

                        Personnellement, avec des Adsl Orange j'utilise un modem éthernet basique connecté directement à une interface de pFsense; le PPPoE étant établie par pFsense.
                        1/ Plus simple
                        2/ Plus fiable.
                        3/ Pour ~40€ le modem, on en achète 2 => dépannage très rapide en cas d'éventuel problème.
                        Mais cela n’engage que moi  :)

                        Cdt

                        Si la connerie humaine fournissait de l'énergie, la Terre serait sauvée …

                        1 Reply Last reply Reply Quote 0
                        • M
                          makensy13
                          last edited by

                          Bonsoir,

                          Tout est Ok; cela était dû aux cartes Ethernet. J 'ai installé des cartes identiques D-Link.

                          Il reste cependant une question:

                          Est il normal que chaque sous réseaux puisse se pinguer???

                          Le but étant d'isoler chaque sous réseau afin que chacun est leur domaine associé et de partager un accès internet.

                          Rappel de la configuration:

                          Ma configuration:

                          Pfsense2.0 RC3+ un PC équipé de  5 cartes réseaux

                          WAN–-> Connecté à la Livebox ----> 192.168.1.0/24
                          LAN1 ---> Connecté au réseaux 01 ----> 192.168.2.0/24
                          LAN2 ---> Connecté au réseau 02 ----> 192.168.3.0/24
                          LAN3 ---> Connecté au réseau 03 ----> 192.168.4.0/24
                          LAN4 ---> Connecté au réseau 04 ----> 192.168.10.0/24

                          Le but étant de fournir un accès internet à chaque sous réseaux tout en les isolent.

                          J'ai créé la règle de sortie pour chaque LAN.

                          J'ai configurer l'interface WAN avec une IP fixe---> 192.168.1.253/24 Passerelle 192.168.1.1 (adresse ip de la livebox). DNS 192.168.1.1

                          Chaque sous réseaux (LAN1 à LAN4) est configuré dans PFsense avec une passerelle de type 192.168.x.254/24. Le x représente la valeur du sous réseaux associé.

                          Merci de votre aide.

                          Cordialement,

                          1 Reply Last reply Reply Quote 0
                          • L
                            LostInIgnorance
                            last edited by

                            Désolé si ma traduction est pas correct, je suis en utilisant Google translate pour que cela aidera.

                            Ce que vous devez faire est de configurer chaque interface de bloquer les autres réseaux. Ceci peut être accompleshed utilisant des pseudonymes ou en ajoutant à chaque segment de réseau dans les règles.

                            La première règle sur l'exemple est utilisé pour bloquer l'administration sur le pare-feu à partir des réseaux non autorisés / IPS. C'est une règle optionnelle, mais il est suggéré d'ajouter à toutes les interfaces qui ne nécessitent pas l'accès à la configuration du firewall. Les ports qui sont bloqués sur qui sont 22 et 443 (depuis que j'ai SSH et HTTPS mis en place comme l'administration sur le pare-feu).

                            A la fin des règles énoncées si vous avez besoin d'ajouter un "tout" règle (ou des règles plus précises si vous souhaitez limiter les utilisateurs à certains ports et / ou protocoles).

                            Rules.jpg
                            Rules.jpg_thumb

                            1 Reply Last reply Reply Quote 0
                            • B
                              baalserv
                              last edited by

                              Bonjour,

                              1/ Les règles sur pfsense s'appliquent aux trames émises sur/vers l'interface concerné.
                              2/ Les règles son traité dans un certain ordre, du bas de la liste vers le haut. (c'est écris en bas de la page ''rules'' de l'interface)
                              3/ Quand il faut isolé les interfaces les unes des autres, l'ordre de lecture des règles devient crucial car il faut bloquer puis autorisé.
                              4/ Comme précisé dans le post précédent, il convient d'utilisé des ''Alias'' pour simplifier l'écriture des règles.

                              Example:

                              http://www.sirf.info/pub/pfsense/rule-pf.jpg

                              MAILS et SURF sont des alias de type ports contenant la listes des ports désiré.
                              BlocAll est un alias de type réseau contenant pour l'interface concerné la liste des autres sous réseaux.

                              Cdt

                              Si la connerie humaine fournissait de l'énergie, la Terre serait sauvée …

                              1 Reply Last reply Reply Quote 0
                              • C
                                ccnet
                                last edited by

                                1/ Les règles sur pfsense s'appliquent aux trames émises sur/vers l'interface concerné.

                                Elles s'appliquent aux trames venant de l'extérieur vers Pfsense. Pas à celle émise depuis l'interface.

                                2/ Les règles son traité dans un certain ordre, du bas de la liste vers le haut. (c'est écris en bas de la page ''rules'' de l'interface)

                                C'est l'inverse. La première règle (en haut) est évaluée. Si elle est vérifiée elle est appliquée et l'évaluation cesse. Sinon on passe à la suivante, etc …

                                Il manque une précision critique : les règles de nat sont appliquées avant les règles de filtrage.

                                PS: Un peu d'attention à l'orthographe serait agréable.

                                1 Reply Last reply Reply Quote 0
                                • B
                                  baalserv
                                  last edited by

                                  Bonjour,

                                  J'ai peut être mal compris quelque chose, merci de me corrigé si ce que j'avance n'est pas exact.

                                  Quand j'ai noté dans mon post précédant ''sur/vers l'interface'', j'avais en tête un cas précis.
                                  Celui de l'utilisation de l'outil PING du Webgui de pfsense, on renseigne l'ip/url de destination mais aussi l'interface depuis laquelle on ''lance'' le ping. (menu déroulant)

                                  Si la connerie humaine fournissait de l'énergie, la Terre serait sauvée …

                                  1 Reply Last reply Reply Quote 0
                                  • C
                                    ccnet
                                    last edited by

                                    @baalserv:

                                    Bonjour,

                                    J'ai peut être mal compris quelque chose, merci de me corrigé si ce que j'avance n'est pas exact.

                                    C'est ce que je fais. Vous aviez effectivement mal compris l'ordre d'application des règles.

                                    Quand j'ai noté dans mon post précédant ''sur/vers l'interface'', j'avais en tête un cas précis.
                                    Celui de l'utilisation de l'outil PING du Webgui de pfsense, on renseigne l'ip/url de destination mais aussi l'interface depuis laquelle on ''lance'' le ping. (menu déroulant)

                                    C'est inexact aussi. Si, depuis l'option ping du webgui de Pfsense, on choisi l'interface Wan pour pinguer www.google.fr (qui est un nom et pas une url, on ne ping pas une url) on obtiendra une réponse. Que les règles sur Wan autorisent ou non icmp. On voit bien que les règles s'appliquent uniquement au trafic entrant sur l'interface. Le trafic sortant n'est jamais filtré par les règles de l'interface.

                                    Je recommande une lecture attentive de la documentation et quelques travaux pratiques pour vous mettre les idées au clair.

                                    1 Reply Last reply Reply Quote 0
                                    • First post
                                      Last post
                                    Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.