Réseau DMZ non utilisable
-
Je peux mettre une 3e machine, mais ça fera la même chose. La 1ere est une virtualisée, la seconde mon portable perso que je connais bien.
Je vais fouiller plus en détails les logs dans la journée.
Merci les gars ! :)
-
Le pfSense n'est pas virtualisé (au moins) ?
Parce que
- vérif adressages,
- vérif règles, bon onglet, bon proto,
- vérif câble,
- vérif carte réseau,
ça devrait suffire SAUF si virtualisé !
-
Je peux mettre une 3e machine, mais ça fera la même chose.
Je ne sais pas et si j'en étais certain je saurais déjà dans quelle direction chercher.
Ce qui est vraiment gênant c'est de voir que les arp request ne reçoive pas de réponse. Ce qui laisse penser à un problème transport. Le switch ?
-
Nop, le pfSense est sur une machine physique.
J'ai essayé de contourner le switch par un câble direct entre pfSense et un PC.
Je vais tester en branchant sur un gros switch utilisé tous les jours. -
Après avoir activé et mis en prod 2 FWA-3030 achetés chez OSnet (mise en prod d'interfaces LAN, 2xWans et 1 interface pour réseau WiFi public) sans aucun problème, je me suis repenché sur mon routeur principal (PC).
J'ai revérifié les conf, les interfaces, tout recréé ainsi que la règle de filtrage (pour tout autoriser).
Je pingue l'interface DMZ depuis le pfSense mais pas les machines (dont une 3e, nouvelle) branchées soit en direct, soit par le petit switch.
Les machines se pinguent entre elles (carte Intel Pro).Idem avec l'interface WiFi Public.
Je ne vois rien dans les logs. Je regarderai après le prochain reboot possible.
Ca me pose un sacré problème là… :(
-
J'imagine bien. Si on reprend les données depuis le début nous avons arp qui ne fonctionne pas puisque sur un ping depuis l'interface dmz vous ne recevez pas de réponse au paquet arp request. Une machine ajoutée au réseau dmz peut atteindre les autres. Les trois machines de la dmz savent se joindre. Si l'on écoute le trafic depuis une machine en dmz, que se passe t il lors d'un ping depuis l'interface dmz de pfsense vers cette machine ? Le paquet est il reçu ? Si oui on observera la réponse éventuellement envoyée, sinon il faut comprendre pourquoi une trame émise depuis Pfsense ne parvient pas à la machine. Je ne vois qu'une approche méthodique pour, dans un premier temps, juste comprendre le problème.
Je n'ai pas mieux à proposer à distance. -
Ouaip.
La semaine dernière nous avons capturé les paquets des 2 côtés : avec WireShark depuis un PC, depuis l'outil dédié dans pfSense.
La résolution ARP ne se fait pas, on ne voit pas passer les Echo Requests.Voici une capture (par pfSense), pendant laquelle 5 pings ont été lancés (depuis pfSense, via l'interface DMZ) :
11:39:23.656972 00:1b:21
c5:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 42: Ethernet (len 6), IPv4 (len 4), Request who-has 10.10.188.110 tell 10.10.188.1, length 28
11:39:24.656586 00:1b:21c5:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 42: Ethernet (len 6), IPv4 (len 4), Request who-has 10.10.188.110 tell 10.10.188.1, length 28
11:39:25.657054 00:1b:21c5:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 42: Ethernet (len 6), IPv4 (len 4), Request who-has 10.10.188.110 tell 10.10.188.1, length 28
11:39:26.657553 00:1b:21c5:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 42: Ethernet (len 6), IPv4 (len 4), Request who-has 10.10.188.110 tell 10.10.188.1, length 28
11:39:27.657147 00:1b:21c5:f0 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 42: Ethernet (len 6), IPv4 (len 4), Request who-has 10.10.188.110 tell 10.10.188.1, length 28J'avais le même problème en tentant de mettre en prod l'interface WiFi public.
Je n'ai aucun prb avec LAN, WAN1, WAN2 et WAN3.
Un grand merci pour ton aide !
-
Request who-has 10.10.188.110 tell 10.10.188.1
Ok à ce stade 10.10.188.1 recherche l'adresse mac de 10.10.188.110. Dans le même temps que voit on sur 10.10.188.110 ? 10.10.188.110 reçoit il les trames arp request ?
On va bien finir par comprendre d'où vient le problème ! -
Je refais le teste de l'autre côté dès que je peux. De mémoire, rien est vu des 2 côtés.
-
L'idée est de lancer le ping depuis Pfsense et de regarder ce qui arrive ou pas sur la machine 10.10.188.110.