Redirection Lan vers Wan
-
Bonjour,
Je vous explique je fais un telnet IP PUBLIC du port 80 sur un serveur IIS7 depuis une free box nikel j'y accède.
Je fais un telnet IP PUBLIC du port 80 depuis le lan ca passe pas.
Comme le dns est gérée par gandi, pfsense ne laisse pas passer une IP du LAN vers le wan.
Bizarre une idée?
Merci
-
Ce comportement est normal. La solution est "dns slip horizon". En pratique il vous suffit de renseigner le dns forwarder : Services: DNS forwarder, cocher l'option "Enable DNS forwarder" puis, plus bas, renseigner le nom d'hôte avec son ip privée. Vous aurez une résolution fonctionnel depuis le lan comme depuis wan.
Il existe une autre possibilité appelée "Nat reflection" que je vous déconseille.
-
Bonjour,
Je suis desolé mais je debute en pfsense.
J'ai actuellement deux serveurs dns en interne qui fonctionne bien et requête bien.
Si je fais un nslookup de support.xxx.com j'ai bien l'IP 84.14.xxx.xxx.
Si je fais telnet en interne de 84.14.xxx.xxx 80 ca bloque.
Si je fais pareil depuis ma free ca bloque pas.
Est ce vraiment un problème de dns ?
Merci
-
@ccnet : non pas de "dns split horizon", je ne vois qu'un problème de filtrage.
La base, pour n'importe quelle machine, est d'avoir 4 éléments (strictement de base) :
- adresse ip,
- masque réseau,
- passerelle (gateway),
- serveur dns.
"Comme le dns est gérée par gandi, pfsense ne laisse pas passer une IP du LAN vers le wan."
Qu'est ce que vous voulez dire ?pfSense, comme n'importe quel firewall, peut filtrer le trafic d'une zone vers l'autre.
Donc, 2 éléments à regarder :
- quelles sont les règles présentes dans l'onglet LAN ?
- y a-t-il le package Squid installé et l'option "proxy transparent" est-elle activée ?
-
Je présume une config "simple" !
Internet <-> Freebox <-> (WAN) pfSense (LAN) <-> réseau interne
Avec des réglages "évidents" (et normaux) :
- adressages WAN et LAN différents,
- NAT en automatic (= pas de NAT outbound manual)
(Il faut JAMAIS commencer par faire des choses compliquées …)
-
Je ne vois pas l'intérêt dans une config simple d'avoir 2 serveurs dns en interne : juste chercher des problèmes quand on ne maitrise pas !
Pensez simple !!!
-
-
Bon je vous explique
Un acces sdsl colt 32 IP.
Un serveur Web avec une ip public qui heberge un site.
De l'exterieur le site accessible.
En interne pas accessible.
J'ai deux controlleur de domaine avec dns intégré à l'AD pour resoudre les noms en interne et oui deux c'est mieux en cas de crash non !!
Dns externe chez gandi.
Je fais nslookup toto.toto.fr j'ai en retour une L'ip public du serveur Web.
Donc dns repondent bien
Mais voila ca passe pas.
-
Le IIS est bien en interne avec un nat de l'ip publique vers l'ip privée ?
-
Oui pas de souci sinon ça ne marcherais pas en externe
Telnet depuis un portable sur freebox ippublic 80 ok
Telnet depuis machine du lan sur ippublic 80 no.Voila
-
Franchement, vous pensez avoir expliqué correctement votre problème ?
Soit le serveur web est interne, et il faut penser "dns split horizon".
Soit le serveur web est externe, et il faut penser règles !Dans les 2 cas, le problème est mal exposé et la question est peu sensée :
quand on fourni un serveur web, on pense à l'accès tant en externe qu'en interne, et cela passe par la compréhension de dns. -
Soit le serveur web est interne, et il faut penser "dns split horizon".
Soit le serveur web est externe, et il faut penser règles !Je souscrit à 100%. Comprendre dns est indispensable dans cette histoire.
-
Oui mais dans votre histoire je suis obligé de faire pointer mes utilisateurs vers l'adresse pfsense pour les dns ?
car actuellement mes users ont en dns les deux AD et pour les requêtes externe ces dns Gandi qui répond.
Merci
-
(Vous n'expliquez toujours aussi peu de choses sur la problématique … c'est usant !)
Il y a vraiment incompréhension du fonctionnement du dns et de la méthode "dns split horizon" !
Avec un serveur web local, il est TRES naturel, pour les utilisateurs locaux, de faire une traduction "locale" des noms de domaines !
C'est le principe du "dns split horizon" !
Et cela facilite la config d'un firewall ... -
Oui mais dans votre histoire je suis obligé de faire pointer mes utilisateurs vers l'adresse pfsense pour les dns ?
1. Ce n'est pas notre histoire mais c'est de la gestion dns.
2. Vous sans doute pouvez le faire avec vos dns AD.C'est comme cela que ca se gère et pas avec un aller retour par l'extérieur. Ce qui pose des problèmes de sécurité.
Enfin le serveur web devrait être dans une dmz.