Redirection de port (2 fs en fo et 1whs 2011)



  • Bonjour,

    J'ai petit soucis avec mes ports forward et l'accès vers un whs 2011

    • Internet ==> bbox
      Router    ==> deux pfsense 2.1 release cpu and
      Serveur  ==> un whs 2011
      Clients    ==> windows 7 et 8

    Les ports en TCP que je dois rediriger sont :

    • 80
      443
      4125

    Schéma :

    bbox –--- 2 pfsense --- lan

    Avant de vous demander conseil, j'ai fait quelques petites vérifications :

    • le whs 2011 derrière la box j'ai accès aux sites qui sont sur le whs 2011
    • le whs 2011 derrière les deux pfsense
    • un client en directe sur la zone de la box
    • un client en directe sur la zone lan des pfsense

    Les paramètres de Nat

    WAN TCP * * WAN address 80 (HTTP)         192.168.3.16 80 (HTTP)  
    WAN TCP * * WAN address 443 (HTTPS)         192.168.3.16 443 (HTTPS)  
    WAN TCP * * WAN address 3389 (MS RDP) 192.168.3.16 3389 (MS RDP)  
    WAN TCP * * WAN address 4125                 192.168.3.16 4125

    Les paramètre des règles sur la carte wan

    IPv4 TCP * * 192.168.3.16 80 (HTTP)         * none   NAT 
    IPv4 TCP * * 192.168.3.16 443 (HTTPS)         * none   NAT 
    IPv4 TCP * * 192.168.3.16 3389 (MS RDP) * none   NAT 
    IPv4 TCP * * 192.168.3.16 4125                 * none   NAT

    si j'ai bien suivi ce qui se disait sur le forum et d'autre site traitant le sujet, d'où ma demande de conseil, j'ai beau retourner le problème dans ma caboche, j'ai l'impression de tourner en rond.

    merci



  • Bonjour,

    Dans vos règles de Nat, essayez en remplacant dans la destination ''Wan Adresse'' par ''Any''

    Cordialement



  • Re,

    @ baalserv

    je fais les modifications et je vois

    merci



  • (Je ne pense pas que c'est WAN address ni Any !)

    Vous n'insistez pas assez sur "2 pfsense" !

    Est ce un "cluster" de 2 pfSense ?

    Si c'est le cas, cela signifie que chaque pfsense du cluster dispose de sa propre "WAN Address" et partage la vraie ip publique (p.e. ipWAN en alias).
    Si c'est la cas, la règle NAT (et la règle WAN induite) doivent indiquer comme adresse de destination … ipWAN !



  • Re

    @Baalserv ==> nok

    @jdh

    • effectivement c est un cluster de deux pfsense en failover

    les deux pf ont 4 cartes réseaux (dont une qui sert de synchro pf/pf)

    • 1 wan
      1 lan
      1 synchro
      1 non attribué pour l'instant
    • par contre je suis pas sûr de comprendre , en faite non je ne comprends pas se que vous voulez dire par " la règle NAT (et la règle WAN induite) doivent indiquer comme adresse de destination … ipWAN ! "

    Les paramètres de Nat

    WAN    TCP    *    *    WAN ipcarp    80 (HTTP)            192.168.3.16    80 (HTTP)       
    WAN    TCP    *    *    WAN ipcarp    443 (HTTPS)            192.168.3.16    443 (HTTPS)       
    WAN    TCP    *    *    WAN ipcarp    3389 (MS RDP)    192.168.3.16    3389 (MS RDP)       
    WAN    TCP    *    *    WAN ipcarp    4125                    192.168.3.16    4125

    Les paramètre des règles sur la carte wan

    IPv4 TCP    *    *    192.168.3.16    80 (HTTP)            *    none        NAT     
    IPv4 TCP    *    *    192.168.3.16    443 (HTTPS)            *    none        NAT     
    IPv4 TCP    *    *    192.168.3.16    3389 (MS RDP)    *    none        NAT     
    IPv4 TCP    *    *    192.168.3.16    4125                    *    none        NAT

    • autre question ne faudrait il pas que je mets en place des alias ou un dns forwarder ?


  • re all, j'ai ne parti trouvé

    merci a vous deux

    il fait que dans le nat je fasse

    If         Proto Src. addr Src. ports Dest. addr         Dest. ports NAT IP         NAT Ports Description

    WAN TCP           *          *                 alisa ou ip public 80 (HTTP) 192.168.3.16 80 (HTTP)

    WAN TCP           *          *                 alisa ou ip public 443 (HTTPS) 192.168.3.16 443 (HTTPS)

    WAN TCP           *          *                 alisa ou ip public 3389 (MS RDP) 192.168.3.16 3389 (MS RDP)

    WAN TCP           *          *                 alisa ou ip public 4125 192.168.3.16 4125

    bon apres restera le soucis du changement d'ip si mon fai le fait



  • Les alias sont absolument nécessaires, surtout avec un cluster !

    Le principe du cluster, c'est de partager des adresses ip : le master les possèdent, le slave les récupèrent quand le master ne répond plus.

    Dans les règles NAT ou les règles d'interfaces classiques, on utilisera non pas "WAN Address" mais l'alias de l'ip WAN partagée.

    Cluster :

    • machine 1 : ipWAN1, ipLAN1, ipDMZ1
    • machine 2 : ipWAN2, ipLAN2, ipDMZ2
    • adresses partagées : ipWAN, ipLAN, ipDMZ

    Les règles doivent être écrites en utilisant les alias des adresses partagées !
    Par contre, on utilisera "LAN subnet", "WAN subnet" ou "DMZ subnet" puisque c'est la même valeur pour chaque machine !

    NB : on ajoute normalement des règles "croisées" d'accès à l'interface d'administration d'une machine vers l'autre, pour permettre l'échange "CARP" !

    (Je présume que vous n'avez pas mis en place vous-même le cluster …)


Log in to reply