Firewall avec interco en 169.254.x.x et problème de routage normal



  • Bonjour je cherche a savoir si qq’un a une solution a mon problème.

    J'ai une interco avec mon routeur internet en 169.254.x.x/30
    J'ai donc la patte WAN de pfsense en 169.254.0.2/30 par exemple et mon routeur internet en 169.254.0.1/30
    La gateway de mon pfsense est 169.254.0.1
    depuis mon routeur internet je route bien mes ip publique sur 169.254.0.2
    La patte LAN du pfsense est bien en adressage IP Public 1.2.3.1/24
    J'ai des machines 1.2.3.10/24 et  1.2.3.11/24 qui on comme gateway mon pfsense en 1.2.3.1
    et j'ai pas de problème !

    Mon seul soucis c'est que PFSENSE ne vois pas internet donc pas de MAJ ar il sort en 169.254.0.2 et que c'est pas routable sur internet.

    Y a t'il selon vous une solution a ce petit problème.

    Merci a tous
    Aymeric



  • Quel tissu de bêtise !

    169.254.x.x est le "réseau" de l'absence de réponse à une requête DHCP !
    Ce N'EST PAS un réseau à utiliser !

    Si vous avez entendu parler de RFC, il FAUT regarder la RFC1918 qui donne les adresses à utiliser pour les réseaux privés.
    Mettez des adresses NORMALES et revoyez s'il y a un problème …



  • J'ai rarement vu un tel concentré de mauvaises pratiques dans l'adressage d'un réseau et de ses interconnexions. Bref, commencez par respecter les règles de bases de l'adressage tel qu'il a été conçu et ensuite nous verrons. A commencer par un adressage privé sur le lan plutôt que d'utiliser le réseau de kindinx.com qui ne vous appartient pas.



  • Bonjour j'ai donner le LAN 1.2.3.0/24 comme exemple d'une plage IP Public

    Pour l'interco sur le subnet 169.254.0.0/16  la RFC 3927 la nome comme link local http://tools.ietf.org/html/rfc3927  ce que je fait dans l'exemple donner cela evite d'utiliser un subnet /30 d'ip publique juste pour un link

    Donc finalement je suis pas si mauvais

    Enfin y a t'il qu’un qui a une idée de solution a mon problème plutôt que de critiquer



  • Si on lit l'Abstract de la RFC que vous citez on comprend bien que cela ne saurait régler votre problème :

    IPv4 Link-Local addresses are not suitable for communication with devices not directly connected to the same physical (or logical) link, and are only used where stable, routable addresses are not available (such as on ad hoc or isolated networks).

    Pour votre information le statut de la RFC 3927 est "Proposed Standards".

    La solution est donc encore une fois d'utiliser un adressage adapté.

    Parler d'économie d'un subnet /30 alors que l'on adresse un réseau local situé derrière 2 routeurs en adressage publique me laisse dubitatif.



  • Donc pas de solution pour faire passer le trafic interne au firewall (MAJ …) par l'IP du LAN a la place de l'IP du WAN si je comprends bien

    Pourquoi dubitatif
    J'ai bien une interco a faire entre mes 2 routeurs si je vous écoutes il me faudrait passer sur un réseaux public donc j'ai bien un /30 consommer pour chaque interco.
    Perso c'est ce que je fait en IPV6 avec un /124
    Mais il parait qu'il y a un rationnement d'IPV4 donc je cherche une solution a mes problèmes. le link local est une bonne technique sauf si vous connaissez une autre solution. dans ce cas je suis preneur !

    Aymeric



  • Donc pas de solution pour faire passer le trafic interne au firewall (MAJ …) par l'IP du LAN a la place de l'IP du WAN si je comprends bien

    ??



  • La RFC1918 est claire sur les n° de réseaux à utiliser pour des réseaux privés. (C'est LA référence !)

    Avec un routeur d'accès à Internet, voilà ce qu'on fait (et qui fonctionne immédiatement) :

    Internet <-> Routeur <-> (WAN) firewall (LAN) <-> switch du réseau interne <-> PC

    Il y a 2 réseaux :

    • entre le routeur et WAN : 192.168.1.0/24 avec, par exemple, 192.168.1.1 : routeur, et 192.168.1.10 : WAN
    • en deçà du LAN : 192.168.40.0/24 (pour des landais : 40 = Landes) avec 192.168.40.1 : LAN

    Voilà, c'est simple et ça fonctionne du premier coup.

    Plutôt qu'imaginer ou discutailler, faites des choses SIMPLES, et tout fonctionnera !
    NB : on ne critique pas : l'adressage indiqué est notoirement ridicule, c'est factuel. En plus on répond en donnant des explications voire des valeurs pratiques (qui, elles, fonctionnent). Quand à utiliser des adresses publiques en interne, ça n'est plus acceptable en 2013 !



  • jdh dans ta solution il est passé ou le /24 public ?
    Pour ce qui est de l'utilisation de 169.254.x.x pour l'interco je suis pas sur, dans le doute j'aurai plutôt choisi un bon vieux 192.168 mais ça mériterait de se pencher dessus.

    169.254.x.x est le "réseau" de l'absence de réponse à une requête DHCP !
    manifestement c'est un peu plus que ça: http://www.bortzmeyer.org/3927.html

    Quand à utiliser des adresses publiques en interne, ça n'est plus acceptable en 2013 !
    ??… En interne chez tata Yvette ok …  mais dans une salle machine ...

    bref personne ne répond à la question initiale qui est à mon sens intéressante, si qq'un a une réponse constructive, je suis preneur.


Log in to reply