Perte des Rules en activant Gateway sur LAN



  • Bonjour,

    Je me permets ce post car je viens de passer une heure à chercher sur le forum une solution ou un cas similaire et je n'ai rien trouvé. J'ai aussi cherché sur le forum EN. J'espère ne pas être passé à travers une éventuelle réponse ou piste … Enfin simplement pour dire que j'ai fait quelques recherches au préalable ... :-\

    Voilà, je suis confronté à une perte totale de règles de firewall sur l'interface LAN quand j'active une Gateway sur cette même interface.

    La Gateway est associé à deux routes (deux sous réseaux différents). Lorsque je renseigne la GW sur l'interface LAN. QUelques temps après ou après un simple reboot de pfSense, le moindre ping par exemple ne passe plus c'est comme si j'avais sur mon interface LAN un :
    "Block"- Proto . Any - Source . Any - Destination & Port range . Any
    Alors que c'est la règle par défaut qui a été laissé, c'est à dire :
    "Pass"- Proto . Any - Source . Any - Destination & Port range . Any
    Par contre je ping bien l'interface LAN

    J'ai refait le pfSense à neuf et tant que je n'active pas la Gateway tout fonctionne. Mais dès que je l'active, j'ai plus d'accès, plus de règle d'active, même explicite.

    J'ai accès au net mais seulement en l'activant à travers le proxy de pfSense, via Squid.

    A ce sujet, j'ai comme package d'installé :

    • Squid
    • SquidGuard
    • Lightsquid
    • OpenVPN Client Export Utility

    Ma configuration :

    Lan (192.168.0.x) - pfSense (IP 192.168.0.1 LAN - IP Publique WAN) - Routeur FT (IP Publique) - Net

    Gateway LAN :
    GWLan : 192.168.0.254

    Gateway WAN :
    GWWan : IP Routeur

    Routes :
    Routeur FT - GWWan (default)
    192.168.1.x - GWLan
    192.168.2.x - GWLan

    Avez-vous déjà rencontré ce souci ou est-ce une erreur de ma part, de config  ???

    D'avance merci pour vos conseils.
    A+



  • Voilà, je suis confronté à une perte totale de règles de firewall sur l'interface LAN quand j'active une Gateway sur cette même interface.

    J'ai en production un certain nombre de config de ce type sans avoir rencontré ce probléme.
    Cela dit je ne comprend pas votre configuration. Vous indiquez des ip privées pour les routeurs FT en faisant etat au dessus d'ip publiques …



  • Bonsoir,

    Merci pour votre réponse.

    @ccnet:

    J'ai en production un certain nombre de config de ce type sans avoir rencontré ce probléme.

    Et comment avez-vous procédé pour déclarer une "Gateway" présent sur votre LAN et desservant d'autres subnet sans affecter le comportement de pfSense ?

    Car je viens de réaliser à nouveau un test sur mon LAN (à la maison) et dès que je déclare une Gateway sur l'interface LAN (même fictive), Je me retrouve comme coupé du WAN. Un tracert vers 8.8.8.8, par exemple me donne mon interface LAN de pfSense et plus rien ou plutôt une non réponse à l'infini … Pourtant si je ping l'ip de l'interface WAN, cela fonctionne mais rien ne "sort". Même si j'active un règle de type Pass-Any-Any-Any sur l'onglet LAN. Pas de ping, pas de ftp, pas de web, rien quoi ... et là j'ai un accès direct sans proxy, aucun package d'installé. Le serveur OpenVPN est disabled. Mon interface WAN est client DHCP derrière une BOX. Par conséquent la configuration de la Gateway sur WAN est dynamique.

    Je suis allé dans System -> Advanced -> Firewall NAT, j'ai coché "Bypass firewall rules for traffic on the same interface", mais cela ne change rien.

    @ccnet:

    Vous indiquez des ip privées pour les routeurs FT en faisant etat au dessus d'ip publiques …

    Non point d'IP privées sur le routeur FT ou je me suis mal exprimé …
    Enfin rien de tel qu'un schéma pour illustrer la configuration.

    Merci encore pour votre aide car là je ne vois pas du tout.
    Où, je me trompe complètement de "mode" de configuration pour déclarer des routes sur mon interface LAN.

    Des idées ?
    Bonne nuit.



  • Bonjour,

    @Nandymous:

    Un tracert vers 8.8.8.8, par exemple me donne mon interface LAN de pfSense et plus rien ou plutôt une non réponse à l'infini … Pourtant si je ping l'ip de l'interface WAN, cela fonctionne mais rien ne "sort". Même si j'active un règle de type Pass-Any-Any-Any sur l'onglet LAN. Pas de ping, pas de ftp, pas de web, rien quoi ...

    Voilà pour illustrer mes dires :

    Bonne journée.



  • Avec un routeur interne, il faut des routes (forcément).
    Pour écrire une route, il faut une gateway.
    Pour une route interne, on aura une gateway interne …. qui ne devra certainement pas être utilisée pour des règles vers Internet !



  • En effet vous vous trompez totalement. Le schéma est bien plus clair. La confusion semble venir d'une mauvaise compréhension du routage en général et de la passerelle par défaut. Vous ne devez pas toucher à la passerelle par défaut de l'interface lan mais ajouter des routes statiques sur Pfsense à l'emplacement prévu pour cela. De mémoire System-> Statics routes. Pfsense fera le travail de routage qui convient.
    Votre compréhension initiale du problème était erronée. Les règles n'étaient pas perdues, le trafic était envoyé dans un cul de sac.



  • Bonjour,

    Merci à vous deux.  :)

    Comme indiqué dans mon premier message, j’ai bien déclaré une Gateway et les routes qui vont avec :

    Mais, je m’obstinais à vouloir m’être une passerelle sur l’interface LAN et non une confusion dans le routage. Quoi que  ;)
    Dans ce cas à quoi, pourquoi et comment cette option ? Dans quel cas, dans quelle situation l’utilise-t-on ?  ???
    Sachant que la passerelle par défaut était bien la Gateway attachée à l’interface WAN.

    Concernant les règles vers internet c’était pour essayer de "tester", de rétablir un accès. Qui comme le dit ccnet, tout le trafic était envoyé vers un cul de sac.

    J’ai donc remis sur "none" la Gateway sur l’interface LAN. En me connectant en SSH, pfSense reconnait bien les différents subnet.

    En tout cas merci encore une fois à vous deux d’avoir pris le temps de me répondre. Je passe en résolu.

    Bonne journée.
    A Bientôt.



  • Dans ce cas à quoi, pourquoi et comment cette option ? Dans quel cas, dans quelle situation l’utilise-t-on ?

    Un cas typique est celui où l'on utilise deux liaisons Wan. Par exemple une SDSL pour les flux messagerie, vpn, autres applications selon besoins et une ADSL bon marché pour le surf. Les règles utiliseront alors la gateway qui convient selon la nature des flux autorisés. On utilise le terme gateway, sans préciser qu'il s'agit de la passerelle par défaut, c'est en dire en l'absence de route explicite pour une destination donnée.


Log in to reply