Wan+lan+wifi+dmz?

supperdd

Bonjours, je suis novice ds pfsense …
j'ai installer récement pfsense 2.0.1 sur une cf dans un "vieux" pc (pentium3 1Ghz) avec 4 cartes reseaux une pour le wan une pour le lan une pour le wifi et une pour une éventuelle dmz
j'ai plusieurs machines sous différent os , mon pc principale sous windows7 un sous osx et un autre sous ubuntu , j'ai également un "media center" un pc qui tourne avec xbmc/ubuntu un nas (encore un vieux pc) sous freenas et un vieux netbook sans ecran sous ubuntu server comme serveur domotique , par la suite j'aimerai rajouter des caméras ip
pour plus de clarté voici un schema

ma premiere question est pourquoi depuis les différents périphériques wifi je n'ai pas acces au net alors que j'ai accès au lan (je compte augmenté la sécurité par la suite)
et du lan j'ai acces au net et je me suis basé sur la regle du lan pour crée celle du wifi?!

ma 2eme question concerne l'éventuelle dmz si c'est une bonne idée pour un server/reseau domotique? et est-ce que c'est ce qui conviendrait le mieux (dmz n'est q une façon de configurer les règles du firewall)
ou un vlan speciale pour acceuillir les différents éléments domotique + un vlan pour le reseau lan

surement d'autres questions plus tard

jdh

1ière question :
pfSense organise les règles par "interface d'arrivée" : tous les flux autorisés pour les machines en wifi doivent avoir une règle dans l'onglet "wifi" !
Faire l'inventaire des flux à autoriser, puis créer les règles correspondantes (dans l'onglet Wifi).
Ne pas hésiter à user (et abuser) des alias !

2ième question :
Une DMZ n'est pas qu'une règle firewall !
Le schéma de base c'est : Internet <-> (Wan) firewall (Dmz) <- (dmz) -> (Dmz) Firewall (Lan) <-> lan
Comme cela pouvait paraître couteux de disposer de 2 firewall (à 2 interfaces), on a trouvé l'idée d'un firewall à 3 interfaces.
L'idée de DMZ est d'avoir 3 groupes de règles :

• les règles de NAT, port forward : accès depuis Internet aux serveurs en DMZ,
• les règles de LAN vers DMZ : accès depuis le LAN aux serveurs en DMZ,
• les règles de DMZ vers LAN : accès depuis les serveurs en DMZ d'une ressource situé dans le LAN.
  La logique est que le 3ième groupe de règles soit le plus réduit possible : cela empêche/permet le rebond !
  Si on ne dispose pas de vrai DMZ, un pc/serveur en LAN, s'il est compromis permet un accès total au LAN !

Il y a des cas où il faut un flux DMZ vers LAN : le relais mail en DMZ reçoit les mails et les transfère au serveur mail interne !
Et il y a d'autres exemples …

ccnet

Nous sommes manifestement dans un cadre domestique mais le bon travail de présentation mérite que l'on donne des pistes pour tenter de résoudre le problème.

A vous lire mon premier soupçon se porte sur un problème de résolution dns. Objectivement je n'ai pas d'élément pour justifier cela. Il faudrait donc réaliser une série de tests méthodiquement.
1. ping de la passerelle par défaut (on supposant que tout est correct dans le segment Wifi).
2. ping d'un hôte connu pour répondre (par exemple 194.2.0.20, serveur de nom Oleane)
3. ping www.google.fr

Évidement ceci vient en complément de la réponse précédente à laquelle je souscris pleinement.

supperdd

Merci de vos réponses(et pour les compliments :P) je vais voir comment faire pour metre en place tout ça…
je ne voulais pas sous estimer le role d'une dmz mais plustôt demander si c'est ce qui conviendrait dans mon cas pour un serveur domotique ou serait il mieux dans le lan ??

je me répond a moi même car j'ai trouver la réponse a la première question :
pour l'interface wifi dans la page :"Services: DHCP server" a l'option Static ARP il faut cocher la case "Enable Static ARP entries" et hop d'un coup le net sur le wifi (j'avoue je ne sais pas a quoi ça sert mais je vais me renseigner

supperdd

j'ai un gros soucis je ne sais pas pourquoi ni comment mais je n'ai plus eut acces aux pages de configuration de pfs j'ai donc reseter la config mais par la suite plus moyen d'avoir internet sur mes autres machines et j'ai l'impression que qd je coche la case "Enable Static ARP entries" je perd de nouveau acces a pfs et a internet ?? me trompe-je ???

supperdd

pourquoi j'ai internet sur une de mes machines de mon reseau lan mais pas sur les autres ??

auto-réponse parce-que mes autres ordi sont en dhcp et qu'ils recoivent une mauvaise adresse dns
maintenant la question est : pourquoi ils recoivent une dns qui est l'ip de sortie de ma DMZ et surtout où dois-je configurer pour qu'il(s) soit correct

avez vos des infos ??

ccnet

Pour tout dire la façon dont le problème a été résolu ne m'a pas convaincu.
IL peut y avoir de multiples réponses à votre problème. Il faudrait reprendre la procédure de test de proche en proche indiquée plus haut, puis vérifier la résolution dns.

psylo

Voici quelques questions qui me viennent à l'esprit:

• Quels sont les masque de sous-réseau de vos différentes interfaces? Vu les différentes adresses indiquées sur le schéma, il semble que les plages sont "recouvrantes". Avez-vous configuré les interfaces du pfSense en bridge?

• Que se passe-t-il si vous connectez un PC en câblé directement sur le pfSense (interface wifi je veux dire)?

• Votre dd-wrt est-il un AP ou un routeur? Si c'est un routeur, le NAT est-il activé?

Par contre, je suis comme ccnet: je ne vois pas en quoi cette option a solutionné votre problème… Elle permet de limiter l'accès aux machines présentes dans la liste des réservations DHCP (plus bas dans la page).

jdh

Avoir accès à Internet signifie avoir une résolution dns qui fonctionne !

DHCP + ARP static : on commence d'abord par du DHCP "normal" avant de "fixer" les adresses !
Il serait bon de vérifier si DHCP fournit les bonnes informations !
En aucun cas, un ARP static ne peut fonctionner sans qu'un dhcp standard fonctionne.

Je rappelle que

• les 4 infos nécessaires : adresse ip, masque, passerelle, et serveur dns
• les tests à faire : ping de la passerelle (ip), ping d'un serveur lointain (ip), ping d'un serveur lointain (dns)

Il faut vérifier de proche en proche :

• pfsense : la config wan est-elle ok ? 3 tests de ping depuis pfsense
• un pc en static dans une zone : 3 tests de ping
• un pc en dhcp dans une zone : valeurs correctes ? 3 tests de ping

Attention à ne pas faire l'erreur de croire qu'une chose non testée est correcte !

supperdd

Quels sont les masque de sous-réseau de vos différentes interfaces? Vu les différentes adresses indiquées sur le schéma, il semble que les plages sont "recouvrantes". Avez-vous configuré les interfaces du pfSense en bridge?

touts les mask sont /27 ce qui fait que sur le lan j'ai des ip de 192.168.0.1 a 192.168.0.30 plus que suffisent :-) pour wifi de 192.168.0.32 a 192.168.0.62 et pour la DOMO (j'ai changer son nom vu que c'est pas vraimant une dmz…) de 192.168.0.64 a 192.168.0.94

Que se passe-t-il si vous connectez un PC en câblé directement sur le pfSense (interface wifi je veux dire)?

via le point d'acces mes devices obtienne bien l'ip que je leurs donne dans pfsense  
et avec un pc dirrectement a la place de l'AP qd je ping l'ip 192.168.0.32 (l'interface reseau "wifi") sous linux il marque do you want to ping broadcast? Then -b car ma passerelle et mon DNS sont 192.168.0.32 je pensse que le probleme est la ??!!
qd je ping mon pc1 qui est sur le lan ou google 8.8.8.8 il marque connect: Network is unreachable même chose via l AP

Votre dd-wrt est-il un AP ou un routeur? Si c'est un routeur, le NAT est-il activé?

c'est un routeur wrt54g2 mais configurer en AP (j'avoue ne pas etre un expert loin de la je ne sait pas vraiment comment configurer le NAT ??

les 4 infos nécessaires : adresse ip, masque, passerelle, et serveur dns

ip wan dhcp (founit par la box) ok
ip lan dhcp (fournit par pfsense) j'ai les bonnes ip sur les differentes machines du lan et du wifi et sur le lan j'ai internet (maintenant sur toutes les machines)
ip wifi dhcp (fournit par pfsense) pas internet ni acces au lan malgré une règle "any" temporaire
ip passerelle lan 192.168.0.1 ip dns lan 192.168.0.1 pour ces 2 la j'ai fait comme qd je configurais mon reseau SANS pfsense
ip passerelle/dns wifi 192.168.0.32 je ne sais pas tres bien comment et où les changer
le masque /27 ou 255.255.255.224

jdh

Conseil pratique : usuellement quand on utilise l'adressage privé 192.168.x.x, on utilise un sous réseau /24 parce que cela permet de séparer sur la base du 3ième octet : 192.168.0.x, 192.168.1.x, 192.168.2.x, …

Bien sûr, votre adressage peut (et doit) fonctionner mais c'est tellement plus lisible humainement avec des /24 que cela évite de se tromper.

Je préconise de tester d'abord en ip fixe avec les 4 bons éléments.
NB : attention de bien vérifier que la passerelle est bien accessible (avec le subnetmask).
Et là c'est facile quand on utilise /24 !

"un routeur wrt54g2 mais configurer en AP" : cela veut dire que le port WAN ne doit pas être utilisé !!

supperdd

Je préconise de tester d'abord en ip fixe avec les 4 bons éléments.

c'est quoi les 4 éléments ??

de mes différents pc sur LAN j'arrive a pinger tout les pc du lan , google et pfsense mais pas les 2 autres réseaux

NB : attention de bien vérifier que la passerelle est bien accessible (avec le subnetmask) Et là c'est facile quand on utilise /24 !

la passerelle est différentes pour chaque réseau ?? ou c'est la même ?? moi avec mon ancien routeur je mettais l'ip du routeur comme passerelle (192.168.0.1) mais là comme j'ai 3 réseaux je met l ip des interfaces de sorties de pfsense (192.168.0.1 pour lan , 192.168.0.32 pour wifi et 192.168.0.64 pour domo )??
ou 192.168.0.1 pour les 3 ??
et pour le dns même question ?

jdh

On est là sur du basic !

Chaque PC doit avoir une adresse ip, un masque, une passerelle et un serveur dns !
La passerelle doit être accessible depuis le PC. Déduction la passerelle est spécifique de chaque réseau !

Si vous utilisez la même passerelle pour chaque réseau, il y a certitude que cela ne fonctionne pas !!
Puisque les réseaux étant distincts, les passerelles sont distinctes !!

De bons adressages :

• lan : 192.168.1.x/24, passerelle (=LAN de pfSense) : 192.168.1.1, et en même temps dns
• dmz : même chose avec .2. à la place de .1.
• wifi : même chose avec .3. à la place de .1.

supperdd

Chaque PC doit avoir une adresse ip, un masque, une passerelle et un serveur dns !

ça je m'en doutais mais ce que je veux savoir c'est où dois-je configurer ces paramètres
dans "Services: DHCP server" ou dans "System: General Setup"

en fait je met tout mon reseau en 192.168.0.X car je ne suis pas le seul a utilisé la box qui est en 192.168.1.X et je préfère …
je suppose que la passerelle est le "passage" par lequelle passe tout les infos d'un même sous-réseau pour "remonter" vers internet par example
et pour le serveur dns il peux etre exterieur au sous reseau (voir inexistant si on n'a pas de connexion internet (sauf si je me trompe))

jdh

Un PC standard, dans une zone, doit avoir les 4 éléments.

Un pfSense avec 4 zones doit avoir … 10 éléments !

• une adresse ip et un masque par interfaces, soit 2 * 4,
• une gateway et un serveur dns, soit 2

Exemple :
Internet <-> box <-> (WAN) pfSense (LAN/DMZ/WIFI) <->

box : 192.168.1.1/24 (fournit dns)

pfSense (WAN) : 192.168.1.10/24
(LAN) : 192.168.2.1/24
(DMZ) : 192.168.3.1/24
(WIFI) : 192.168.4.1/24
gateway : = box (192.168.1.1)
dns : = box (192.168.1.1)
=> Total : 10 éléments !

Il est notable, par exemple, qu'un PC en WIFI doit avoir la passerelle 192.168.4.1 soit (WIFI) de pfSense.
Mais il peut avoir comme dns 192.168.4.1 ou 192.168.1.1, au choix.

Je pense nécessaire que vous vérifiez vos adressages, et notamment que la passerelle soit bien accessible depuis le PC !
Avant de faire du DHCP, configurez donc un PC en static, avec les BONNES valeurs.
Vérifiez qu'il accède bien à Internet (avec une règle dans le bon onglet). (Au besoin les 3 tests de ping.)
Puis passez le PC en dhcp, et vérifiez que le serveur DHCP fournit bien les BONNES valeurs.

NB : Il y a un champ "Gateway" dans "DHCP Server" avec le texte suivant "The default is to use the IP on this interface of the firewall as the gateway. Specify an alternate gateway here if this is not the correct gateway for your network. " qui me parait parfaitement clair. Je laisse TOUJOURS ce champ en blanc parce que la bonne passerelle est très normalement fournie sans avoir besoin de le remplir.

supperdd

bon du côté de mon lan pas de probleme :-)
maintenant du coté du wifi (avec ou sans access point c'est le même résultat) avec un pc sous windows en dhcp et  en static j'ai le net et acces au lan et acces a pfsense mais pas en tapant l'ip de la passerelle ?! il faut que je tape la passerelle de la dmz ?!
et sous linux en ip fix et en dhcp  je n'ai acces a rien pareil sur mon android
or en dhcp que ce soit sous win ou lin il me donne les bonnes infos (ip dhcp lease, passerelle, dns …)
je penssait que les reglages de mon AP n'etait pas bon je l'ai donc brancher sur le lan ... et la tout est ok acces au net ...je suppose donc que le probleme ne viens pas de là ?

je ne comprend pas comment j'arrive a avoir mes adresses ip (les bonne ) si je n'ai pas acces a la passerelle (uniquement sous unix ???!!!)

jdh

Le basic de l'adressage, c'est que

• la passerelle affectée doit être accessible depuis l'ip de la machine compte tenu du masque réseau affecté.

Il est donc parfaitement anormal d'utiliser une passerelle d'un autre réseau que le sien.
Tant que cela ne vous choquera pas, vous passerez à côté des réalités.

Il y a juste un conseil : reconfigurer TOUT avec des adressages SIMPLES.
Et commencez par faire des tests en config manuel avec les bonnes valeurs !

ccnet

@supperdd:

Chaque PC doit avoir une adresse ip, un masque, une passerelle et un serveur dns !

ça je m'en doutais mais ce que je veux savoir c'est où dois-je configurer ces paramètres
dans "Services: DHCP server" ou dans "System: General Setup"

en fait je met tout mon reseau en 192.168.0.X car je ne suis pas le seul a utilisé la box qui est en 192.168.1.X et je préfère …
je suppose que la passerelle est le "passage" par lequelle passe tout les infos d'un même sous-réseau pour "remonter" vers internet par example
et pour le serveur dns il peux etre exterieur au sous reseau (voir inexistant si on n'a pas de connexion internet (sauf si je me trompe))

J'en remet une couche. Les questions de routage et de passerelle par défaut (en fait c'est le même sujet : routage) sont mal comprises. Sans information de routage une machine ip ne sait communiquer qu'avec les machines du même sous réseau, passerelle comprise. Donc la passerelle de la dite machine qui veut causer ailleurs que dans son réseau doit être dans le sous réseau. Il n'y a ni supposition, ni choix, c'est ainsi par construction.

supperdd

voila j ai mis 192.168.2.1 pour le wifi et 192.168.3.1 pour le domo et ca marche merci d'avoir insister (je suis un peut beaucoup têtu) mon probleme actuele est que maintenant avec mon ap j'ai un conflit qd je le branche sur le lan pas de problemes quand je le met sur le wifi il plante des que je m'y connect que se soit en wifi ou par cabke (depuis mon pc vers l'interface de configuration (ps j'ai changer mon routeur wrt54g2 contre un tp-link TL-WA901ND))
(question subsidiaire quel etait mon erreur dans mon ancienne configuration vu que ça aurrai du etre possible??)

supperdd

salut me revoilà
toujours avec ce dernier problème :
quand je branche mon point d’accès tplink TL-WA901ND sur mon interface dédier au wifi mes devices wifi (smartphone et portable) s'y connecte et ont accès au net pendant une 20aine de secondes puis plus rien le wifi disparaît
sur le dashboard je vois le graph de traffic qui retombe a zero
sans changer aucun parametres sur le AP (il est en DHCP) je le met sur le reseau lan et sa marche tres bien .
que faire ???