Redirection de port (2 fs en fo et 1whs 2011)
-
Bonjour,
J'ai petit soucis avec mes ports forward et l'accès vers un whs 2011
- Internet ==> bbox
Router ==> deux pfsense 2.1 release cpu and
Serveur ==> un whs 2011
Clients ==> windows 7 et 8
Les ports en TCP que je dois rediriger sont :
- 80
443
4125
Schéma :
bbox –--- 2 pfsense --- lan
Avant de vous demander conseil, j'ai fait quelques petites vérifications :
- le whs 2011 derrière la box j'ai accès aux sites qui sont sur le whs 2011
- le whs 2011 derrière les deux pfsense
- un client en directe sur la zone de la box
- un client en directe sur la zone lan des pfsense
Les paramètres de Nat
WAN TCP * * WAN address 80 (HTTP) 192.168.3.16 80 (HTTP)
WAN TCP * * WAN address 443 (HTTPS) 192.168.3.16 443 (HTTPS)
WAN TCP * * WAN address 3389 (MS RDP) 192.168.3.16 3389 (MS RDP)
WAN TCP * * WAN address 4125 192.168.3.16 4125Les paramètre des règles sur la carte wan
IPv4 TCP * * 192.168.3.16 80 (HTTP) * none NAT
IPv4 TCP * * 192.168.3.16 443 (HTTPS) * none NAT
IPv4 TCP * * 192.168.3.16 3389 (MS RDP) * none NAT
IPv4 TCP * * 192.168.3.16 4125 * none NATsi j'ai bien suivi ce qui se disait sur le forum et d'autre site traitant le sujet, d'où ma demande de conseil, j'ai beau retourner le problème dans ma caboche, j'ai l'impression de tourner en rond.
merci
- Internet ==> bbox
-
Bonjour,
Dans vos règles de Nat, essayez en remplacant dans la destination ''Wan Adresse'' par ''Any''
Cordialement
-
Re,
@ baalserv
je fais les modifications et je vois
merci
-
(Je ne pense pas que c'est WAN address ni Any !)
Vous n'insistez pas assez sur "2 pfsense" !
Est ce un "cluster" de 2 pfSense ?
Si c'est le cas, cela signifie que chaque pfsense du cluster dispose de sa propre "WAN Address" et partage la vraie ip publique (p.e. ipWAN en alias).
Si c'est la cas, la règle NAT (et la règle WAN induite) doivent indiquer comme adresse de destination … ipWAN !
-
Re
@Baalserv ==> nok
- effectivement c est un cluster de deux pfsense en failover
les deux pf ont 4 cartes réseaux (dont une qui sert de synchro pf/pf)
- 1 wan
1 lan
1 synchro
1 non attribué pour l'instant
- par contre je suis pas sûr de comprendre , en faite non je ne comprends pas se que vous voulez dire par " la règle NAT (et la règle WAN induite) doivent indiquer comme adresse de destination … ipWAN ! "
Les paramètres de Nat
WAN TCP * * WAN ipcarp 80 (HTTP) 192.168.3.16 80 (HTTP)
WAN TCP * * WAN ipcarp 443 (HTTPS) 192.168.3.16 443 (HTTPS)
WAN TCP * * WAN ipcarp 3389 (MS RDP) 192.168.3.16 3389 (MS RDP)
WAN TCP * * WAN ipcarp 4125 192.168.3.16 4125Les paramètre des règles sur la carte wan
IPv4 TCP * * 192.168.3.16 80 (HTTP) * none NAT
IPv4 TCP * * 192.168.3.16 443 (HTTPS) * none NAT
IPv4 TCP * * 192.168.3.16 3389 (MS RDP) * none NAT
IPv4 TCP * * 192.168.3.16 4125 * none NAT- autre question ne faudrait il pas que je mets en place des alias ou un dns forwarder ?
-
re all, j'ai ne parti trouvé
merci a vous deux
il fait que dans le nat je fasse
If Proto Src. addr Src. ports Dest. addr Dest. ports NAT IP NAT Ports Description
WAN TCP * * alisa ou ip public 80 (HTTP) 192.168.3.16 80 (HTTP)
WAN TCP * * alisa ou ip public 443 (HTTPS) 192.168.3.16 443 (HTTPS)
WAN TCP * * alisa ou ip public 3389 (MS RDP) 192.168.3.16 3389 (MS RDP)
WAN TCP * * alisa ou ip public 4125 192.168.3.16 4125
bon apres restera le soucis du changement d'ip si mon fai le fait
-
Les alias sont absolument nécessaires, surtout avec un cluster !
Le principe du cluster, c'est de partager des adresses ip : le master les possèdent, le slave les récupèrent quand le master ne répond plus.
Dans les règles NAT ou les règles d'interfaces classiques, on utilisera non pas "WAN Address" mais l'alias de l'ip WAN partagée.
Cluster :
- machine 1 : ipWAN1, ipLAN1, ipDMZ1
- machine 2 : ipWAN2, ipLAN2, ipDMZ2
- adresses partagées : ipWAN, ipLAN, ipDMZ
Les règles doivent être écrites en utilisant les alias des adresses partagées !
Par contre, on utilisera "LAN subnet", "WAN subnet" ou "DMZ subnet" puisque c'est la même valeur pour chaque machine !NB : on ajoute normalement des règles "croisées" d'accès à l'interface d'administration d'une machine vers l'autre, pour permettre l'échange "CARP" !
(Je présume que vous n'avez pas mis en place vous-même le cluster …)
