Problème d'accès LAN depuis WLAN

meirick

Bonsoir,

J'ai installé pfsense 2.0.1 sur une HP DC7900, pour une usage domestique. J'y ai ajouté deux cartes réseau (Intel et Dlink), pour en avoir trois.

Sur l'une d'elle (WLAN), j'y ai connecté mon vieux router Netgear WNR854T, configuré en point d’accès (désactivé son SPI Firewall et son serveur DHCP).
Le LAN ne me sert actuellement qu'a connecter mon NAS (FreeNAS) au réseau.

Mon problème est que je n'arrive pas à accéder au NAS depuis le WLAN, page web de FreeNas ou partage Samba.

Voici mon type d'adressage
WLAN 10.0.1.1/24
LAN 10.0.2.1/29

Voici mes règles firewall
WLAN
pass UDP PC * Server_DNS 53 (DNS) * none
pass * PC * NAS * * none  
pass TCP PC * * Ports_Web WAN none  
pass TCP PC * * Ports_Mail WAN none  
reject * * * * * * none

Je n'ai rien configuré dans l'onglet Floating, tout bloqué dans WAN et tout rejeté dans le LAN.

Quelqu'un pourrait-il m'aiguiller à résoudre mon problème.

Merci

Meirick

ccnet

Quid des transfert de port ?
Votre configuration actuelle, avec la deuxieme regle est une passoire.

meirick

Salut ccnet,

Ok avec toi pour la deuxième règle, c'est seulement pour voir quel port utilise tous mes protocole entre mon PC et le NAS (j'ai certain doute avec SAMBA). C'est donc pour des essais actuellement.
Malgré cette passoire je ne reçois rien.
Pour les NAT, je n'ai rien configuré. Une piste?

Merci

Meirick

ccnet

Oui, les bases, la doc !! Comme cela ne vous parle pas, je comprend que les bases ne soit pas acquises. Il est urgent de consulter http://irp.nain-t.net/doku.php/130netfilter:040_nat. Au minimum. D'autres articles du site sont peut être à lire si certaines choses ne sont pas claires pour vous.
Utiliser, j’entends administrer un firewall, sans la connaissance précise de ces concepts reste un exercice d'une dangerosité extrême.

meirick

Salut ccnet,

Merci pour ce lien, t'as raison je ne pense pas maitriser tout.
Je vais lire ton lien + doc pfsense et reviens vers toi si j'ai un problème.

Merci

Meirick

meirick

Salut,

J'ai regardé le lien fourni par ccnet, et je ne vois toujours pas ce que je dois faire. C'est surtout je ne comprend pas pourquoi je dois modifier quelque chose pour accéder à la page web de FreeNAs, alors qu'avec ma config actuelle,  j’accède normalement au web.
Si quelqu'un pourrait m'éclaire,r ce serait sympa.

Merci d'avance

Meirick

ccnet

Vous n'avez pas lu la doc de Pfsense ?
Basiquement pour accéder à une ressource interne (ou en dmz) depuis l'interface Wan, celle qui est en principe connecté à internet, il faut, par défaut, mettre en place un transfert de port. On le fait depuis l'interface depuis Firewall: NAT: Port Forward. Pfsense vous proposera de créer automatique la règle nécessaire sur Wan.
Exemple type, on vent accéder un serveur Web depuis internet à l'adresse (fictive) 213.45.19.2. Derrière le firewall ce serveur est à l'ip 172.16.1.1 (par exemple). On mettra donc en place une translation de 213.45.19.2 vers 172.16.1.1 pour le port TCP 80, et d'autres si besoin.
Dans Pfsense basiquement tout ce qui passe par l'interface Wan est translaté dynamiquement en sortie et selon les règles de nat en entrée.

meirick

Bonjour,

Dans un premier temps on va essayer de faire simple, j'essaie uniquement d’accéder à la page web de FreeNAs, en HTTP.
J'ai donc créer une adresse virtuelle 10.0.1.4 de type Proxy ARP.
Ensuite j'ai créer une règle NAT Port forward

If Proto Src. addr Src. ports Dest. addr Dest. ports   NAT IP NAT Ports Description
WLAN TCP  *          *           10.0.1.4    80 (HTTP)      NAS   80 (HTTP)

NAS est un alias qui comprend l'adresse réel de mon NAS.
Cette règle a bien créé automatiquement une règle dans le firewall WLAN, qui autorise les accès vers l'adresse NAS protocol HTTP. J'ai logué cette règle.

Quand j’essaie d'accéder à l'adresse 10.0.1.4:80, je n'ai toujours rien (mon navigateur m'indique "Le serveur à l'adresse 10.0.1.4 met trop de temps à répondre.")
Dans les logues, je vois bien autorisé l’accès à mon NAS.

Ou peut être mon erreur? Est ce que je m'y suis bien pris?

Merci

Meirick

jdh

"Pourquoi faire simple quand on peut faire compliqué !"

Pour quelle raison créez vous une adresse virtuelle ?
Comment testez vous la règle NAT que vous venez de créer : notamment où est le micro source ?
(usuellement une règle NAT s'applique à l'interface WAN puisque dans le sens sortant vers WAN on masque l'ip interne, il faut bien un "truc" spécial pour que WAN accède à un serveur interne =en DMZ)

Si le problème correspond au sujet "accès LAN depuis WLAN", ce n'est bien sur pas une règle NAT qui convient mais juste une règle Rules !

Selon toute vraisemblance, vous ne semblez pas comprendre l'ESSENTIEL : quel est le sens du flux (pour créer la bonne règle Rules ou NAT qui convient) ?
En sus, bien évidemment, de quel est le protocole ?

meirick

Salut,

Je n'ai jamais parlé du WAN car c'est pas de la que je veux accéder au NAS, seulement d'un réseau interne que j'ai appelé WLAN.
Je joins un plan de mon réseau pour mieux comprendre.

C'est donc uniquement entre deux réseaux internse que je veux communiquer, mais je n'y arrive pas.

Je joins également mes régles du pare feu pour être plus clair

Merci de vos aides

jdh

Le trafic voulu est dans le sens PC vers NAS.

Donc, il faut une règle Rules / onglet WLAN puisque PC est dans la zone WLAN.

La règle 1 de Rules / onglet WLAN est sensé correspondre au trafic voulu (à ceci près : elle ne précise aucun protocole TCP !)
Il serait bon d'être précis dans les protocoles …
Par exemple, il serait juste de créer une règle pour ICMP/8 qui permettrait de pinger le NAS depuis PC !

Maintenant, il faut s'assurer que PC tente bien d'atteindre NAS. Par exemple avec la bonne ip !
tcpdump (en ligne de commande sur pfSense) me parait l'outil idéal pour vérifier que le flux passe bien (en jouant sur l'interface par -i) !

(Je suppose que les réglages ip de chaque matériel sont corrects : adresse ip, masque, passerelle, serveur dns.
Cela est quand même à vérifier)

meirick

Salut,

Pour les alias, ils sont ok car je les ai vérifiés plusieurs fois. J'arrive à surfer sur le net et recevoir/envoyer des mail. Il n'y as que l’accès au NAS que pose problème.

J'ai branché mon NAS sur WLAN, pour pouvoir vérifié si je n'avait des limitation d’accès qui serait resté. Je n'ai rien trouvé, donc mon NAS accepte toute les connexion en principe. En même temps je l'ai pingé de mon PC, c'est OK. Pour finir je l'ai remis sur LAN car pour moi il est OK.

Pour les serveur DNS, j’utilisai ceux de OpenDNS. Je suis revenue à la configuration d'origine, toujours NOK

J'ai activé une règle sur WLAN autorisant les ping vers NAS, comme tu l'as suggéré jdh, mais impossible de pingé le NAS depuis mon PC. Pourtant sur les log je vois bien que le pare feu accepte bien le flux ICMP de PC vers NAS.

Sur le shell de pfsense, j'arrive a pingé mon NAS.
Toujours sur le shell, j'ai activé tcpdump, dont voici les résultats après une tentative d’accès au NAS (em1 c'est l'interface sur lequel est branché mon NAS)

[2.0.1-RELEASE][admin@pfSense.localdomain]/root(7): ping -c5 10.0.2.4
PING 10.0.2.4 (10.0.2.4): 56 data bytes
64 bytes from 10.0.2.4: icmp_seq=0 ttl=64 time=0.112 ms
64 bytes from 10.0.2.4: icmp_seq=1 ttl=64 time=0.070 ms
64 bytes from 10.0.2.4: icmp_seq=2 ttl=64 time=0.069 ms
64 bytes from 10.0.2.4: icmp_seq=3 ttl=64 time=0.067 ms
64 bytes from 10.0.2.4: icmp_seq=4 ttl=64 time=0.069 ms

--- 10.0.2.4 ping statistics ---
5 packets transmitted, 5 packets received, 0.0% packet loss
round-trip min/avg/max/stddev = 0.067/0.077/0.112/0.017 ms
[2.0.1-RELEASE][admin@pfSense.localdomain]/root(6): tcpdump -i em1
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on em1, link-type EN10MB (Ethernet), capture size 96 bytes
11:35:47.740006 IP 10.0.1.10.52987 > 10.0.2.4.http: Flags [s], seq 2225295860, win 8192, options [mss 1460,nop,wscale 2,nop,nop,sackOK], length 0
11:35:47.991844 IP 10.0.1.10.52988 > 10.0.2.4.http: Flags [s], seq 2847026302, win 8192, options [mss 1460,nop,wscale 2,nop,nop,sackOK], length 0
11:35:50.748492 IP 10.0.1.10.52987 > 10.0.2.4.http: Flags [s], seq 2225295860, win 8192, options [mss 1460,nop,wscale 2,nop,nop,sackOK], length 0
11:35:50.999122 IP 10.0.1.10.52988 > 10.0.2.4.http: Flags [s], seq 2847026302, win 8192, options [mss 1460,nop,wscale 2,nop,nop,sackOK], length 0
11:35:56.749816 IP 10.0.1.10.52987 > 10.0.2.4.http: Flags [s], seq 2225295860, win 8192, options [mss 1460,nop,nop,sackOK], length 0
11:35:56.999870 IP 10.0.1.10.52988 > 10.0.2.4.http: Flags [s], seq 2847026302, win 8192, options [mss 1460,nop,nop,sackOK], length 0
11:36:09.008249 IP 10.0.1.10.52990 > 10.0.2.4.http: Flags [s], seq 4286980715, win 8192, options [mss 1460,nop,wscale 2,nop,nop,sackOK], length 0
11:36:12.017080 IP 10.0.1.10.52990 > 10.0.2.4.http: Flags [s], seq 4286980715, win 8192, options [mss 1460,nop,wscale 2,nop,nop,sackOK], length 0
11:36:18.019186 IP 10.0.1.10.52990 > 10.0.2.4.http: Flags [s], seq 4286980715, win 8192, options [mss 1460,nop,nop,sackOK], length 0
^C
9 packets captured
9 packets received by filter
0 packets dropped by kernel

Tous cela me semble correcte. J'ai également essayer de laisser tous passer depuis LAN, même résultat. J'ai donc remis la règles qui rejette tout venant de LAN.

Merci de vos aides.

Meirick

[/s][/s][/s][/s][/s][/s][/s][/s][/s]

jdh

IP 10.0.1.10.52987 > 10.0.2.4.http: Flags ~~ça c'est bon … mais seulement si c'est sur l'interface LAN ! (em1 est-il bien l'interface LAN ?)

Mais on voit qu'il n'y a pas le paquet retour :

• Syn ->
• <- Syn+Ack
• Ack ->
  (cf TCP hand shake)

Etes vous parfaitement sûr de la config ip du NAS ? (adresse, masque, gateway, dns)
Etes vous parfaitement sur de chaque config du pfSense (surtout le masque) ?

On est dans le détail ! Là est le diable !~~

meirick

Salut jdh,

Pour les adresse ip, oui je suis sûr. Tu peux même constater que j'arrive à pingé 10.0.2.4 depuis le shell de pfsense. Par contre pour les autres infos (masque, gateway, dns) je n'ai rien configuré de spéciale. J'ai procédé de la suite.
pfsense
interfaces -> opt1 : je l'ai renommé LAN, puis tpe Static, IP adress 10.0.2.1/29
Sercices -> DHCP Server onglet LAN : j'ai activé le serveur DHCP
Connaissant l'adresse MAC de mon NAS je lui ai réservé l'adresse 10.0.2.4

Freenas
sur son shell, j'ai lancé la configuration automatique de l'adresse IP. Il m'a répondu qu'il est accessible sur HTTP:\10.0.2.4:80 normale.

Voilà tout. je vais essayer d'avoir les infos manquantes (un peu de manipulation d'écran, car actuellement il est sans écran et sans clavier).

Meirick

jdh

Opt1 renommé en LAN ? C'est opt1 qui aurait du être renommé en WLAN !

Il doit y avoir quelque chose à regarder du côté de NAT …

Tout cela sent l'impréparation !
Il faut faire SIMPLE :

• LAN n'a pas à être renommée puisque LAN va réellement exister
• Opt1 (relié au routeur wifi) aurait du être renommé en WIFI (WLAN peut être confondu)
  Je préconise la réinstall depuis la base : c'est pas long de créer des règles ...

meirick

Salut,

Ok je vais refaire ma config en laissant le LAN à sa place et je renommerais OPT1 en WLAN.
Je pensais que ce que je faisais été possible, car LAN, WLAN sont  pour moi que des étiquettes.

Penses-tu également que cela peut provenir d'un problème de carte réseau (actuellement Intel 82567LM Gigabit intégrée à la carte mère pour le LAN, Intel PRO/1000 CT en PCI Express pour l’OPT1, et une D-Link DGE-530T en PCI pour le WAN). Dans Status -> Interfaces, je n'ai aucune collision ou erreur d'indiqués.

Meirick

meirick

Salut tous le monde,

Problème résolu.

J'ai donc suivi le conseil de jdh pour une réinstallation propre, et plus même. Je m'explique.

Réinitialisation de pfsense en config d'origine + attribution de interface réseau. Pas de changement par rapport à ma première config.

Par doute, j'ai contrôlé le branchement de mes cartes réseau. J'ai peu constater que ma carte fille Intel PRO/1000 CT en PCI Express n'était pas enfiché complétement et qu'il manquait 1mm. J'ai joué sur les vis entre la carte et le bracket low profil pour que ce soit OK. Pour info c'est sur cette carte qu'était et est encore branché mon NAS.

Redémarrage, reconfig comme initialement, à l'exception des noms des interfaces. LAN est resté LAN et OPT1 se nome maintenant LAN2.
Mes règles pare feu sont comme celles indiquées précédemment, et maintenant j'accède à mon NAS sans problème.

Je ne sait pas dire avec certitude d’où venait mon problème, mais maintenant tout est OK.

Merci à ccnet et jdh pour le temps qu'ils m'ont consacré.

A+

Meirick