Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    [Résolu] MultiWan - Problème de routage ?

    Scheduled Pinned Locked Moved Français
    9 Posts 2 Posters 2.8k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • H
      Holonsys
      last edited by

      Bonjour à tous !

      Suite à la panne de notre pfSense v2.0.1, j'ai du remettre en catastrophe l'ancien pfSense v1.2.3.

      Apparement, j'ai un problème de routage…
      Nous hébergeons depuis notre serveur de courriel ; suite à un blacklistage de notre adresse IP fixe de chez Orange (absence de PTR), nous décidâmes d'utiliser l'une des 6 adresses IP fixes de notre second opérateur. Nous avons donc ce schéma :

      Avec, comme adresses IP fixes, 92.X.Y.152/30. Je choisis 92.X.Y.154 que je définis comme Proxy ARP

      Je déclare mes NATs :

      Maheureusement, le serveur SMTP passe toujours par l'adresse IP d'Orange (193.x.y.99)…

      Je me rappelle de la translation 1:1 que j'applique :

      Malheureusement, le SMTP passe toujours par l'adresse d'Orange (193.x.y.99)…

      Mon serveur de courrier reçoit bien le POP en 110, mes DNS et reverse DNS donne la bonne adresse... Je penche donc pour un problème de routage...

      Merci d'avance à tous ceux qui pourrait voir où j'ai commis une erreur ou un oubli...

      Amicalement,

      Fabrice.

      1 Reply Last reply Reply Quote 0
      • C
        ccnet
        last edited by

        Avec, comme adresses IP fixes, 92.X.Y.152/30. Je choisis 92.X.Y.154 que je définis comme Proxy ARP

        Ou, comme sur le schéma, 92.103.113.142/30 ? Je ne comprend pas quelle est la bonne plage d'adresses.
        L'interface wan de Pfsense est bien 192.168.1.20 ?
        La gateway de l'interface Completel (vers le routeur) est bien défini dans Interfaces: Optional x (COMPLETEL) ?
        Dans la règle autorisant le trafic sortant la gateway par défaut est bien remplacée par COMPLETEL ?

        Par ailleurs si je me souviens bien une règle nat 1:1 "désactive" la translation de port qui serait concurrente.

        1 Reply Last reply Reply Quote 0
        • H
          Holonsys
          last edited by

          Bonjour à tous !

          @ccnet:

          Ou, comme sur le schéma, 92.103.113.142/30 ? Je ne comprend pas quelle est la bonne plage d'adresses.

          Déjà, première erreur de ma part, la plage d'adresses que nous loue Completel est 92.103.113.152/29 (en non 30 en CIDR), nous laissant donc bien 6 adresses IP fixes.

          @ccnet:

          L'interface wan de Pfsense est bien 192.168.1.20 ?

          L'adresse de l'interface WAN (Orange) est bien 192.168.1.20 ; j'ai omis qu'elle est la passerelle par défaut et que celle de Completel est bien 92.103.113.142.

          @ccnet:

          La gateway de l'interface Completel (vers le routeur) est bien défini dans Interfaces: Optional x (COMPLETEL) ?

          Absloument, voici une capture d'écran de l'interface :

          @ccnet:

          Dans la règle autorisant le trafic sortant la gateway par défaut est bien remplacée par COMPLETEL ?

          Je crois que c'est là où le bât blesse… J'ai le sentiment qu'il faut que je dise d'ouvrir le traffic du serveur de courrier vers l'adresse IP fixe que je veux utiliser... Voici mes captures d'écran :


          @ccnet:

          Par ailleurs si je me souviens bien une règle nat 1:1 "désactive" la translation de port qui serait concurrente.

          C'est vrai, je l'avais oublié… Pour plus de sécurité, je vais garder les NAT et enlever le 1:1.

          Je vais donc créer une règle Nat Outbound :

          • Interface : Completel
          • Source Type Network
              Adresse : 192.168.90.155/32
          • Destination : any
          • Translation : Vip 92.103.113.154

          Avant de mettre en place cette règle, j'aimerai voir un point de détail concernant les Virtual IPs. Le fait d'utiliser des règles sur le NAT oblige à utiliser des Vips de type Proxy ARP.
          Si j'avais choisi d'utiliser la règle 1:1, la Vips de type "other" aurait été suffisant ?

          Encore un immerse merci à ccnet qui me permets de regarder là où je n'ai pas l'habitude de mettre les pieds…

          Amicalement,

          Fabrice.

          1 Reply Last reply Reply Quote 0
          • C
            ccnet
            last edited by

            Pour votre serveur smtp, un nat 1:1 convient avec des ip virtuelles proxy ARP. J'en ai encore configuré un il y a quelque temps. Tout fonctionne sans problème.
            Pour le type Other je n'ai plus cela en tête et ps de doc sous la main pour vérifier.

            1 Reply Last reply Reply Quote 0
            • H
              Holonsys
              last edited by

              Merci encore ccnet.

              Toutefois, lors de l'écriture du NAT Outbound de la règle de sortie, j'ai l'erreur suivante :

              Bien que j'ai remis le 1:1, le courrier continue à passer par la passerelle par défaut, c'est-à-dire Orange…

              Pour les Vips, j'ai trouvé sur le forum cette réponse :http://forum.pfsense.org/index.php/topic,13893.msg74004.html#msg74004

              Les ip virtuelles sont des IP supplémentaires (en plus des IP configurées sur les cartes réseau) gérées par pfsense:
              Les IP de type "other" sont simplement des alias utilisé dans les règles de NAT
              les IP des type CARP et proxy ARP sont des IP qui seront accessible par le réseau. Les IP CARP sont principalement utilisée dans les configuration CLUSTER.

              EDIT : J'ai supprimé le 1:1, la règle Nat Outbound s'enregistre. Je l'ai positionnée en premier, rien n'y fait, le serveur passe encore par la passerelle par défaut…

              EDIT 2 : J'ai même rajouté une règle de LAN pour obliger tout port 25 à passer par la gateway Completel, pareille…

              1 Reply Last reply Reply Quote 0
              • C
                ccnet
                last edited by

                Normal pour le nat Outbound si nat 1:1 actif. Ok pour les vips.
                Ne voulez vous pas essayer la configuration nat 1:1 ? Je sais qu'elle fonctionne.
                Mais avant je veux bien voir une copie d'écran de la règle qui autorise la sortie du trafic smtp (optx à laquelle est connecté le serveur de mail.

                1 Reply Last reply Reply Quote 0
                • H
                  Holonsys
                  last edited by

                  @ccnet:

                  Mais avant je veux bien voir une copie d'écran de la règle qui autorise la sortie du trafic smtp (optx à laquelle est connecté le serveur de mail.

                  Voici la copie d'écran de Firewall : Rules : Edit LAN

                  Encore merci !

                  P.S. : Je ne sais si on voit bien, mais la passerelle choisie est celle de Completel (92.103.113.141).

                  1 Reply Last reply Reply Quote 0
                  • C
                    ccnet
                    last edited by

                    Ok pour la gateway. C'est normal le /31 sur "Source" ? Je ne crois pas surtout pour un single host. Avec un nat 1:1, sans outbound nat, ça devrait fonctionner.

                    1 Reply Last reply Reply Quote 0
                    • H
                      Holonsys
                      last edited by

                      @ccnet:

                      Ok pour la gateway. C'est normal le /31 sur "Source" ? Je ne crois pas surtout pour un single host. Avec un nat 1:1, sans outbound nat, ça devrait fonctionner.

                      Oui, car elle est grisée… Je ne peux pas la changer...

                      J'ai mis du Packet capture sur Completel avec 192.168.90.155 sur le port 25, nada.
                      Par contre, et là c'est normal, je vois les ports 110 et 5125 (SMTP extérieur)

                      14:02:25.356951 IP 217.128.228.248.53480 > 92.103.113.154.110: tcp 0
14:02:25.357996 IP 92.103.113.154.110 > 217.128.228.248.53480: tcp 0
14:02:25.396929 IP 217.128.228.248.53480 > 92.103.113.154.110: tcp 0
14:02:25.397375 IP 92.103.113.154.110 > 217.128.228.248.53480: tcp 0
14:02:25.397484 IP 92.103.113.154.110 > 217.128.228.248.53480: tcp 20
14:02:25.436916 IP 217.128.228.248.53480 > 92.103.113.154.110: tcp 0
14:02:25.437908 IP 217.128.228.248.53480 > 92.103.113.154.110: tcp 34
14:02:25.438489 IP 92.103.113.154.110 > 217.128.228.248.53480: tcp 0
14:02:25.438589 IP 92.103.113.154.110 > 217.128.228.248.53480: tcp 5
14:02:25.475929 IP 217.128.228.248.53480 > 92.103.113.154.110: tcp 0
14:02:25.492986 IP 217.128.228.248.53480 > 92.103.113.154.110: tcp 15
14:02:25.493590 IP 92.103.113.154.110 > 217.128.228.248.53480: tcp 0
14:02:25.504818 IP 92.103.113.154.110 > 217.128.228.248.53480: tcp 16
14:02:25.541967 IP 217.128.228.248.53480 > 92.103.113.154.110: tcp 0
14:02:25.543953 IP 217.128.228.248.53480 > 92.103.113.154.110: tcp 6
14:02:25.544328 IP 92.103.113.154.110 > 217.128.228.248.53480: tcp 0
14:02:25.544428 IP 92.103.113.154.110 > 217.128.228.248.53480: tcp 18
14:02:25.581976 IP 217.128.228.248.53480 > 92.103.113.154.110: tcp 0
14:02:25.587921 IP 217.128.228.248.53480 > 92.103.113.154.110: tcp 8
14:02:25.588424 IP 92.103.113.154.110 > 217.128.228.248.53480: tcp 0
14:02:25.588595 IP 92.103.113.154.110 > 217.128.228.248.53480: tcp 24
14:02:25.625930 IP 217.128.228.248.53480 > 92.103.113.154.110: tcp 0
14:02:25.627962 IP 217.128.228.248.53480 > 92.103.113.154.110: tcp 10
14:02:25.628416 IP 92.103.113.154.110 > 217.128.228.248.53480: tcp 0
14:02:25.629505 IP 92.103.113.154.110 > 217.128.228.248.53480: tcp 26
14:02:25.667949 IP 217.128.228.248.53480 > 92.103.113.154.110: tcp 0
14:02:25.672967 IP 217.128.228.248.53480 > 92.103.113.154.110: tcp 6
14:02:25.673356 IP 92.103.113.154.110 > 217.128.228.248.53480: tcp 0
14:02:25.673739 IP 92.103.113.154.110 > 217.128.228.248.53480: tcp 18
14:02:25.673923 IP 92.103.113.154.110 > 217.128.228.248.53480: tcp 0
14:02:25.712967 IP 217.128.228.248.53480 > 92.103.113.154.110: tcp 0
14:02:25.713472 IP 92.103.113.154.110 > 217.128.228.248.53480: tcp 0
14:02:25.714030 IP 217.128.228.248.53480 > 92.103.113.154.110: tcp 0
14:02:25.714520 IP 92.103.113.154.110 > 217.128.228.248.53480: tcp 0
14:02:25.732976 IP 217.128.228.248.53480 > 92.103.113.154.110: tcp 0
14:02:25.733476 IP 92.103.113.154.110 > 217.128.228.248.53480: tcp 0
14:02:25.752938 IP 217.128.228.248.53480 > 92.103.113.154.110: tcp 0
14:02:25.753415 IP 92.103.113.154.110 > 217.128.228.248.53480: tcp 0
14:02:25.792065 IP 217.128.228.248.53480 > 92.103.113.154.110: tcp 0
14:02:31.476580 IP 92.103.113.142 > 92.103.113.141: ICMP echo request, id 8842, seq 0, length 64
14:02:31.477036 IP 92.103.113.141 > 92.103.113.142: ICMP echo reply, id 8842, seq 0, length 64
14:02:32.499641 IP 92.103.113.142 > 92.103.113.141: ICMP echo request, id 8842, seq 1, length 64
14:02:32.500026 IP 92.103.113.141 > 92.103.113.142: ICMP echo reply, id 8842, seq 1, length 64
14:02:33.501575 IP 92.103.113.142 > 92.103.113.141: ICMP echo request, id 8842, seq 2, length 64
14:02:33.501955 IP 92.103.113.141 > 92.103.113.142: ICMP echo reply, id 8842, seq 2, length 64
14:02:34.502445 IP 92.103.113.142 > 92.103.113.141: ICMP echo request, id 8842, seq 3, length 64
14:02:34.502821 IP 92.103.113.141 > 92.103.113.142: ICMP echo reply, id 8842, seq 3, length 64
14:02:35.504326 IP 92.103.113.142 > 92.103.113.141: ICMP echo request, id 8842, seq 4, length 64
14:02:35.504703 IP 92.103.113.141 > 92.103.113.142: ICMP echo reply, id 8842, seq 4, length 64
14:03:04.638186 IP 89.2.48.82.54775 > 92.103.113.154.5125: tcp 0
14:03:04.639045 IP 92.103.113.154.5125 > 89.2.48.82.54775: tcp 0
14:03:04.692178 IP 89.2.48.82.54775 > 92.103.113.154.5125: tcp 0
14:03:04.692603 IP 92.103.113.154.5125 > 89.2.48.82.54775: tcp 0
14:03:04.695487 IP 92.103.113.154.5125 > 89.2.48.82.54775: tcp 44
14:03:04.751171 IP 89.2.48.82.54775 > 92.103.113.154.5125: tcp 15
14:03:04.751693 IP 92.103.113.154.5125 > 89.2.48.82.54775: tcp 0
14:03:04.754721 IP 92.103.113.154.5125 > 89.2.48.82.54775: tcp 146
14:03:04.813178 IP 89.2.48.82.54775 > 92.103.113.154.5125: tcp 12
14:03:04.813630 IP 92.103.113.154.5125 > 89.2.48.82.54775: tcp 0
14:03:04.813749 IP 92.103.113.154.5125 > 89.2.48.82.54775: tcp 18
14:03:04.869179 IP 89.2.48.82.54775 > 92.103.113.154.5125: tcp 42
14:03:04.869611 IP 92.103.113.154.5125 > 89.2.48.82.54775: tcp 0
14:03:04.869740 IP 92.103.113.154.5125 > 89.2.48.82.54775: tcp 18
14:03:04.924236 IP 89.2.48.82.54775 > 92.103.113.154.5125: tcp 14
14:03:04.924687 IP 92.103.113.154.5125 > 89.2.48.82.54775: tcp 0
14:03:04.934424 IP 92.103.113.154.5125 > 89.2.48.82.54775: tcp 31
14:03:04.991207 IP 89.2.48.82.54775 > 92.103.113.154.5125: tcp 45
14:03:04.991641 IP 92.103.113.154.5125 > 89.2.48.82.54775: tcp 0
14:03:04.991748 IP 92.103.113.154.5125 > 89.2.48.82.54775: tcp 14
14:03:05.049205 IP 89.2.48.82.54775 > 92.103.113.154.5125: tcp 35
14:03:05.049714 IP 92.103.113.154.5125 > 89.2.48.82.54775: tcp 0
14:03:05.050247 IP 92.103.113.154.5125 > 89.2.48.82.54775: tcp 14
14:03:05.115193 IP 89.2.48.82.54775 > 92.103.113.154.5125: tcp 6
14:03:05.115611 IP 92.103.113.154.5125 > 89.2.48.82.54775: tcp 0
14:03:05.115746 IP 92.103.113.154.5125 > 89.2.48.82.54775: tcp 37
14:03:05.179561 IP 89.2.48.82.54775 > 92.103.113.154.5125: tcp 1460
14:03:05.182460 IP 89.2.48.82.54775 > 92.103.113.154.5125: tcp 1152
14:03:05.183044 IP 92.103.113.154.5125 > 89.2.48.82.54775: tcp 0
14:03:05.238190 IP 89.2.48.82.54775 > 92.103.113.154.5125: tcp 5
14:03:05.238624 IP 92.103.113.154.5125 > 89.2.48.82.54775: tcp 0
14:03:05.239417 IP 92.103.113.154.5125 > 89.2.48.82.54775: tcp 37
14:03:05.497300 IP 89.2.48.82.54775 > 92.103.113.154.5125: tcp 0
14:03:07.795375 IP 89.2.48.82.54775 > 92.103.113.154.5125: tcp 0
14:03:07.795588 IP 89.2.48.82.54775 > 92.103.113.154.5125: tcp 6
14:03:07.795947 IP 92.103.113.154.5125 > 89.2.48.82.54775: tcp 0
14:03:07.796047 IP 92.103.113.154.5125 > 89.2.48.82.54775: tcp 0
14:03:07.796121 IP 92.103.113.154.5125 > 89.2.48.82.54775: tcp 15
14:03:07.796382 IP 92.103.113.154.5125 > 89.2.48.82.54775: tcp 0
14:03:07.851347 IP 89.2.48.82.54775 > 92.103.113.154.5125: tcp 0

                      EDIT à 14h24 : J'ai repris la règle du Firewall du LAN et j'ai changé le port 25 pour passer à "any"… Et cette fois ci, c'est bon !
                      L'en-tête de mon message que j'ai reçu a bien 92.103.113.154 comme adresse de serveur de courrier !!

                      Reste à savoir pourquoi le port 25 n'est pas suffisant…

                      Encore un grand merci, ccnet, pour ta gentilesse, tes questions et tes réponses qui m'ont permies de solutionner ce problème!!!

                      1 Reply Last reply Reply Quote 0
                      • First post
                        Last post
                      Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.