Réseau DMZ non utilisable

Jey-B

Salut,

Là, je tourne en rond !

J'ai un pf 2.0.1 avec :
LAN - 10.10.18.1 /24
Wan1
Wan2
Wan3
DMZ - 10.10.188.1 /24
WiFi

J'ai configurer des VPN  IPsec Site2Site, du OpenVPN RoadWarrior, du filtrage, failover, etc.

Là je sèche avec l'interface DMZ. Je l'ai activé et configurée.
J'ai branché l'interface à un switch dédié DMZ.
J'y ai mis 2 machines, elles se pinguent entre elle.
Moi depuis le LAN, je ping l'IP de l'interface DMZ (10.10.188.1).
Mais j'obtiens ça quand je pingue une machine de la DMZ : Réponse de 10.10.18.1 : Impossible de joindre l'hôte de destination.
Entre l'interface DMZ et les 2 machines en DMZ, ça ne se pingue pas.

J'ai bien ajouté, pour le test, une règle firewall qui autorise tout depuis la DMZ :

• • INT_DMZ net * * * * none

J'ai utilisé le PACKET CAPTURE sur l'interface DMZ et je n'ai que ce genre de lignes :
11:56:31.378818 e4:e7:ac:08:32:54 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 42: Ethernet (len 6), IPv4 (len 4), Request who-has 10.10.188.107 tell 10.10.188.1, length 28

Je ne vois rien concernant les ICMP Echo Requests envoyés depuis 10.10.188.106 et 10.10.188.107.

Je tourne en rond, alors que je dois mettre un serveur en DMZ au plus vite.

J'ai oublié quelque chose ?!

D'avance, merci pour votre aide.

Jey-B

J'ai aussi changé le câble réseau, l'emplacement du port sur le switch, et ai connecté l'interface DMZ directement à une machine (port autosense, donc ça devait passer).

J'espère que je n'oublie pas un point pourtant basique…

Jey-B

Même problème avec l'interface WiFi tout juste activée et configurée + DHCP + et règles permettant tout dans tous les sens, le temps de chercher.

Cette fois ci l'interface est connectée à une borne WiFi (avant, elle était connectée au 1er switch pour tester).

Pas mieux, elle est également injoignable…

Depuis pfSense, un ping vers l'IP des 2 interfaces fonctionnent. Pas vers les machines connectées aux interfaces...

jdh

J'ai bien ajouté, pour le test, une règle firewall qui autorise tout depuis la DMZ :
*  *    INT_DMZ net    *    *    *    *    none

Ne pas oublier que les règles firewall (Firewall > Rules) sont classées par onglet : l'onglet désigne l'interface d'arrivée du paquet.
Cette règle (trop laxiste) doit IMPERATIVEMENT être dans l'onglet DMZ.
(INT_DMZ devrait être remplacé par "DMZ subnet")

ccnet

Je propose deux vérifications sur les machines de la dmz :
1 les masques utilisés dans la config réseau
2 le routage et en particulier la passerelle par défaut.

Le message récupéré depuis la capture sur pfsense est normale (who as arp) l'interface dmz de pfsense émet une requête arp pour récupérer l'adresse mac de la machine de destination du ping. Elle émet donc un broadcast au niveau liaison de données.

Je suggère aussi de tenter un ping directement depuis pfsense (interface dmz) vers chacune des machines en dmz.

Pas de filtrage sur les machines elles mêmes ?

ccnet

@jdh:

J'ai bien ajouté, pour le test, une règle firewall qui autorise tout depuis la DMZ :
*   *    INT_DMZ net    *    *    *    *    none

Ne pas oublier que les règles firewall (Firewall > Rules) sont classées par onglet : l'onglet désigne l'interface d'arrivée du paquet.
Cette règle (trop laxiste) doit IMPERATIVEMENT être dans l'onglet DMZ.
(INT_DMZ devrait être remplacé par "DMZ subnet")

Oui bien vu je pense …

Jey-B

@jdh:

J'ai bien ajouté, pour le test, une règle firewall qui autorise tout depuis la DMZ :
*   *    INT_DMZ net    *    *    *    *    none

Ne pas oublier que les règles firewall (Firewall > Rules) sont classées par onglet : l'onglet désigne l'interface d'arrivée du paquet.
Cette règle (trop laxiste) doit IMPERATIVEMENT être dans l'onglet DMZ.
(INT_DMZ devrait être remplacé par "DMZ subnet")

Cette règle est bien dans l'onglet DMZ.
Elle est trop laxiste, comme je l'ai indiqué, que le temps de tester.

Elle est aussi, bien configuré avec le "INT_DMZ Subnet".

ccnet

Et avec any pour test ?

Jey-B

@ccnet:

Je propose deux vérifications sur les machines de la dmz :
1 les masques utilisés dans la config réseau
2 le routage et en particulier la passerelle par défaut.

Le message récupéré depuis la capture sur pfsense est normale (who as arp) l'interface dmz de pfsense émet une requête arp pour récupérer l'adresse mac de la machine de destination du ping. Elle émet donc un broadcast au niveau liaison de données.

Je suggère aussi de tenter un ping directement depuis pfsense (interface dmz) vers chacune des machines en dmz.

Pas de filtrage sur les machines elles mêmes ?

1 - Les masques sont bien en /24 de tous les côtés.
2 - je n'ai rien vu de particulier au niveau routage.
De toute façon, je n'arrive pas à communiquer entre les machines de la DMZ et la passerelle de la DMZ, donc je ne parle pas encore de routage (même si plus haut j'ai indiqué le résultat de quelques tests).

Le ping depuis pfSense, interface DMZ, vers les 2 machines dans la DMZ, ne donne rien.

Idem avec ANY dans la règle.

baalserv

Bonjour,

C'est peut être un problème sur le matériel, avez-vous essayer de changer de carte ethernet ?

Jey-B

Oui, j'ai inversé avec la carte dédiée avec le WiFi public (avec les assignation de cartes), j'ai le même prb.
Et comme indiqué plus haut, j'ai le MEME problème avec l'interface WiFi public, que je viens d'activer…

J'y pensais, mais je suis étonné.
Je vais voir trouver une autre carte réseau...

Jey-B

J'ai trouvé une carte Intel Pro en PCIe, je l'ai mise à la place de la TPlink (oui bon… ;) ), et rien de mieux !

pfSense se ping bien son interface DMZ mais pas les 2 machines.
Les 2 machines se pinguent, mais pas l'interface DMZ.

Les NETid et netmasks sont bons.
Pas d'erreur de prise/câblage.

Je deviens fous !

:o

(en plus j'ai perdu 2h, j'ai flingué toutes les attributions d'interface au reboot après ajout de la carte Intel, plus rien ne fonctionnait, et une fois remis, il a fallu reconfigurer les interfaces sous l'interface Web, régler le PRB du DHCP qui ne voulait plus démarrer (config foireuse, la les interfaces WIFIPUBLIC et DMZ se sont inversées, les config DHCP ne correspondaient plus aux interfaces, etc.).

ccnet

Peut on tester une 3eme machine en dmz ?
Quelque chose dans les logs system de Pfsense ? En particulier sur le comportement des cartes ?

Jey-B

Je peux mettre une 3e machine, mais ça fera la même chose. La 1ere est une virtualisée, la seconde mon portable perso que je connais bien.

Je vais fouiller plus en détails les logs dans la journée.

Merci les gars ! :)

jdh

Le pfSense n'est pas virtualisé (au moins) ?

Parce que

• vérif adressages,
• vérif règles, bon onglet, bon proto,
• vérif câble,
• vérif carte réseau,
  ça devrait suffire SAUF si virtualisé !

ccnet

Je peux mettre une 3e machine, mais ça fera la même chose.

Je ne sais pas et si j'en étais certain je saurais déjà dans quelle direction chercher.

Ce qui est vraiment gênant c'est de voir que les arp request ne reçoive pas de réponse. Ce qui laisse penser à un problème transport. Le switch ?

Jey-B

Nop, le pfSense est sur une machine physique.

J'ai essayé de contourner le switch par un câble direct entre pfSense et un PC.
Je vais tester en branchant sur un gros switch utilisé tous les jours.

Jey-B

Après avoir activé et mis en prod 2 FWA-3030 achetés chez OSnet (mise en prod d'interfaces LAN, 2xWans et 1 interface pour réseau WiFi public) sans aucun problème, je me suis repenché sur mon routeur principal (PC).

J'ai revérifié les conf, les interfaces, tout recréé ainsi que la règle de filtrage (pour tout autoriser).
Je pingue l'interface DMZ depuis le pfSense mais pas les machines (dont une 3e, nouvelle) branchées soit en direct, soit par le petit switch.
Les machines se pinguent entre elles (carte Intel Pro).

Idem avec l'interface WiFi Public.

Je ne vois rien dans les logs. Je regarderai après le prochain reboot possible.

Ca me pose un sacré problème là… :(

ccnet

J'imagine bien. Si on reprend les données depuis le début nous avons arp qui ne fonctionne pas puisque sur un ping depuis l'interface dmz vous ne recevez pas de réponse au paquet arp request. Une machine ajoutée au réseau dmz peut atteindre les autres. Les trois machines de la dmz savent se joindre. Si l'on écoute le trafic depuis une machine en dmz, que se passe t il lors d'un ping depuis l'interface dmz de pfsense vers cette machine ? Le paquet est il reçu ? Si oui on observera la réponse éventuellement envoyée, sinon il faut comprendre pourquoi une trame émise depuis Pfsense ne parvient pas à la machine. Je ne vois qu'une approche méthodique pour, dans un premier temps, juste comprendre le problème.
Je n'ai pas mieux à proposer à distance.

Jey-B

Ouaip.
La semaine dernière nous avons capturé les paquets des 2 côtés : avec WireShark depuis un PC, depuis l'outil dédié dans pfSense.
La résolution ARP ne se fait pas, on ne voit pas passer les Echo Requests.

Voici une capture (par pfSense), pendant laquelle 5 pings ont été lancés (depuis pfSense, via l'interface DMZ) :

11:39:23.656972 00:1b:21c5:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 42: Ethernet (len 6), IPv4 (len 4), Request who-has 10.10.188.110 tell 10.10.188.1, length 28
11:39:24.656586 00:1b:21c5:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 42: Ethernet (len 6), IPv4 (len 4), Request who-has 10.10.188.110 tell 10.10.188.1, length 28
11:39:25.657054 00:1b:21c5:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 42: Ethernet (len 6), IPv4 (len 4), Request who-has 10.10.188.110 tell 10.10.188.1, length 28
11:39:26.657553 00:1b:21c5:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 42: Ethernet (len 6), IPv4 (len 4), Request who-has 10.10.188.110 tell 10.10.188.1, length 28
11:39:27.657147 00:1b:21c5:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 42: Ethernet (len 6), IPv4 (len 4), Request who-has 10.10.188.110 tell 10.10.188.1, length 28

J'avais le même problème en tentant de mettre en prod l'interface WiFi public.

Je n'ai aucun prb avec LAN, WAN1, WAN2 et WAN3.

Un grand merci pour ton aide !