LiveBox+4 LAN



  • Bonjour,

    Ma configuration:

    Pfsense2.0 RC1+ un PC équipé de  5 cartes réseaux

    WAN–-> Connecté à la Livebox ----> 192.168.1.0/24
    LAN1 ---> Connecté au réseaux 01 ----> 192.168.2.0/24
    LAN2 ---> Connecté au réseau 02 ----> 192.168.3.0/24
    LAN3 ---> Connecté au réseau 03 ----> 192.168.4.0/24
    LAN4 ---> Connecté au réseau 04 ----> 192.168.10.0/24

    Le but étant de fournir un accès internet à chaque sous réseaux tout en les isolent.

    J'ai créé la règle de sortie pour chaque LAN.

    J'ai configurer l'interface WAN avec une IP fixe---> 192.168.1.253/24 Passerelle 192.168.1.1 (adresse ip de la livebox).

    Il est impossible à partir de Pfsense via l'interface WAN de pinguer l’extérieur ou la livebox.

    Cela ne fonctionne pas!

    J'ai désactivé dans la configuration de l'interface l'exclusion des plages IP privées, cela n'a rien changé.

    Y a t'il une spécificité pour la mise en place avec la livebox (Orange).

    Merci encore

    Cordialement,



  • Il n'y a aucune spécificité Livebox comparativement à une autre box.
    (Il est presqu'impossible de passer la Livebox en mode bridge mais cela n'est pas un problème majeur.)

    En matière de test, il est important d'être très méthodique et de tester de proche en proche.

    Il faut tester le ping directement sur pfSense (soit en ouvrant une session shell soit avec l'option idoine du menu).

    Si la connectivité Wan de pfSense ne fonctionne pas du premier coup (comme cela devrait), qu'est ce que cela va être de la suite …



  • Bonjour,

    Je vois que tu que tu précises avoir indiqué la passerelle, mais est ce que tu as bien indiqué dans le menu General Setup de pfSense que ton dns sera ta box ?



  • je ne pense pas que l'indication du dns soit fondamental pour pinguer 192.168.1.1 depuis 192.168.1.254.

    La réalisation de capture de trames sur Pfsense pourrait permettre d'avancer dans le diagnostic. Que se passe t il après un echo request ? Quid de arp request ?



  • @ccnet:

    je ne pense pas que l'indication du dns soit fondamental pour pinguer 192.168.1.1 depuis 192.168.1.254.

    La réalisation de capture de trames sur Pfsense pourrait permettre d'avancer dans le diagnostic. Que se passe t il après un echo request ? Quid de arp request ?

    Non mais pour pinguer un nom de domaine extérieur cela peut être une piste

    Le fait de ne pas pouvoir pinguer une box mais la possibilité de pinguer l extérieur n est pas une aberation

    J adore cette ambiance bon enfant



  • Attendez, la connexion entre une box et pfSense NE DEVRAIT PAS poser le moindre problème.

    Il est clair que le plus simple est d'être en adresse statique (adresse ip, masque, passerelle).
    Il est logique de saisir un dns dans les paramètres généraux.
    Un câble (croisé) doit relier le port de la carte réseau WAN et la box.
    Ensuite, sur la console ou via l'option du menu, on teste un ping avec l'adresse ip, puis on test un ping distant et enfin on tente de résoudre un nom.

    Pas de quoi s'emmêler les pinceaux, rien que de très basique …



  • Bonjour,

    Pour les DNS se sont ceux de Orange qui sont configurés. J'ai essayé avec ceux de la passerelle (192.168.1.1).

    Les tests de ping sont fait à partir de la console shell (7) et de l'interface web (outils diagnostique).

    Aucun retour d'echo pour l'adresse 192.168.1.1 ou bien pour une adresse public.

    J'ai relié la carte WAN et la livebox avec un câble droit.

    Faut il un câble croisé? Je ne crois pas à mon sens. Mais apparemment cela a été soulevé par JDH.

    Merci pour vos réponses.

    Cordialement,



  • Les dns DOIVENT être ceux de la passerelle (et non ceux d'Orange).

    Normalement, il faut utiliser un câble croisé mais la Livebox peut être auto MDI …

    Il faudrait peut-être substituer un PC à la machine pfSense, le configurer statiquement comme il faut, et vérifier.
    Si le PC fonctionne, il va falloir vérifier le choix d'interface ...

    Enfin tout cela est très basique, il faut être juste méthodique ...



  • Quel est le type de PC ?
    5 cartes réseau … ne pourrait-il pas s'agir d'un conflit matériel ? un pb d'IRQ ?



  • Bonjour,

    Y a-t'il une raison particulière justifiant l'utilisation d'une livebox ?
    1/ Cela induit un double NAT compliquant la gestion d'éventuel flux entrant ou autres VPN
    2/ Elles ne sont pas spécialement reconnu pour leur fiabilités
    3/ De base elles peuvent êtres flasher à tout moment par Orange avec reset des configurations

    Personnellement, avec des Adsl Orange j'utilise un modem éthernet basique connecté directement à une interface de pFsense; le PPPoE étant établie par pFsense.
    1/ Plus simple
    2/ Plus fiable.
    3/ Pour ~40€ le modem, on en achète 2 => dépannage très rapide en cas d'éventuel problème.
    Mais cela n’engage que moi  :)

    Cdt



  • Bonsoir,

    Tout est Ok; cela était dû aux cartes Ethernet. J 'ai installé des cartes identiques D-Link.

    Il reste cependant une question:

    Est il normal que chaque sous réseaux puisse se pinguer???

    Le but étant d'isoler chaque sous réseau afin que chacun est leur domaine associé et de partager un accès internet.

    Rappel de la configuration:

    Ma configuration:

    Pfsense2.0 RC3+ un PC équipé de  5 cartes réseaux

    WAN–-> Connecté à la Livebox ----> 192.168.1.0/24
    LAN1 ---> Connecté au réseaux 01 ----> 192.168.2.0/24
    LAN2 ---> Connecté au réseau 02 ----> 192.168.3.0/24
    LAN3 ---> Connecté au réseau 03 ----> 192.168.4.0/24
    LAN4 ---> Connecté au réseau 04 ----> 192.168.10.0/24

    Le but étant de fournir un accès internet à chaque sous réseaux tout en les isolent.

    J'ai créé la règle de sortie pour chaque LAN.

    J'ai configurer l'interface WAN avec une IP fixe---> 192.168.1.253/24 Passerelle 192.168.1.1 (adresse ip de la livebox). DNS 192.168.1.1

    Chaque sous réseaux (LAN1 à LAN4) est configuré dans PFsense avec une passerelle de type 192.168.x.254/24. Le x représente la valeur du sous réseaux associé.

    Merci de votre aide.

    Cordialement,



  • Désolé si ma traduction est pas correct, je suis en utilisant Google translate pour que cela aidera.

    Ce que vous devez faire est de configurer chaque interface de bloquer les autres réseaux. Ceci peut être accompleshed utilisant des pseudonymes ou en ajoutant à chaque segment de réseau dans les règles.

    La première règle sur l'exemple est utilisé pour bloquer l'administration sur le pare-feu à partir des réseaux non autorisés / IPS. C'est une règle optionnelle, mais il est suggéré d'ajouter à toutes les interfaces qui ne nécessitent pas l'accès à la configuration du firewall. Les ports qui sont bloqués sur qui sont 22 et 443 (depuis que j'ai SSH et HTTPS mis en place comme l'administration sur le pare-feu).

    A la fin des règles énoncées si vous avez besoin d'ajouter un "tout" règle (ou des règles plus précises si vous souhaitez limiter les utilisateurs à certains ports et / ou protocoles).




  • Bonjour,

    1/ Les règles sur pfsense s'appliquent aux trames émises sur/vers l'interface concerné.
    2/ Les règles son traité dans un certain ordre, du bas de la liste vers le haut. (c'est écris en bas de la page ''rules'' de l'interface)
    3/ Quand il faut isolé les interfaces les unes des autres, l'ordre de lecture des règles devient crucial car il faut bloquer puis autorisé.
    4/ Comme précisé dans le post précédent, il convient d'utilisé des ''Alias'' pour simplifier l'écriture des règles.

    Example:

    http://www.sirf.info/pub/pfsense/rule-pf.jpg

    MAILS et SURF sont des alias de type ports contenant la listes des ports désiré.
    BlocAll est un alias de type réseau contenant pour l'interface concerné la liste des autres sous réseaux.

    Cdt



  • 1/ Les règles sur pfsense s'appliquent aux trames émises sur/vers l'interface concerné.

    Elles s'appliquent aux trames venant de l'extérieur vers Pfsense. Pas à celle émise depuis l'interface.

    2/ Les règles son traité dans un certain ordre, du bas de la liste vers le haut. (c'est écris en bas de la page ''rules'' de l'interface)

    C'est l'inverse. La première règle (en haut) est évaluée. Si elle est vérifiée elle est appliquée et l'évaluation cesse. Sinon on passe à la suivante, etc …

    Il manque une précision critique : les règles de nat sont appliquées avant les règles de filtrage.

    PS: Un peu d'attention à l'orthographe serait agréable.



  • Bonjour,

    J'ai peut être mal compris quelque chose, merci de me corrigé si ce que j'avance n'est pas exact.

    Quand j'ai noté dans mon post précédant ''sur/vers l'interface'', j'avais en tête un cas précis.
    Celui de l'utilisation de l'outil PING du Webgui de pfsense, on renseigne l'ip/url de destination mais aussi l'interface depuis laquelle on ''lance'' le ping. (menu déroulant)



  • @baalserv:

    Bonjour,

    J'ai peut être mal compris quelque chose, merci de me corrigé si ce que j'avance n'est pas exact.

    C'est ce que je fais. Vous aviez effectivement mal compris l'ordre d'application des règles.

    Quand j'ai noté dans mon post précédant ''sur/vers l'interface'', j'avais en tête un cas précis.
    Celui de l'utilisation de l'outil PING du Webgui de pfsense, on renseigne l'ip/url de destination mais aussi l'interface depuis laquelle on ''lance'' le ping. (menu déroulant)

    C'est inexact aussi. Si, depuis l'option ping du webgui de Pfsense, on choisi l'interface Wan pour pinguer www.google.fr (qui est un nom et pas une url, on ne ping pas une url) on obtiendra une réponse. Que les règles sur Wan autorisent ou non icmp. On voit bien que les règles s'appliquent uniquement au trafic entrant sur l'interface. Le trafic sortant n'est jamais filtré par les règles de l'interface.

    Je recommande une lecture attentive de la documentation et quelques travaux pratiques pour vous mettre les idées au clair.


Log in to reply