1 WAN et 2 LANs - Accès a internet impossible depuis LAN 2



  • Bonjour,

    Je suis nouveau sur pfsense et je viens d'installer mon server avec 1 accès WAN et 2 LAN qui doivent tous les deux pouvoir accéder a internet.

    J'ai dans un premier temps fait l'installation avec 1 WAN et 1 LAN tout marche bien.

    J'ai ensuite assigné une nouvelle interface LAN et créer une règle dans le firewall pour autoriser le traffic depuis l'interface LAN 2.

    J'arrive bien depuis le LAN 2 a pinger le server pfsense mais aucune adresse ip exterieur et bien sure pas de resolution DNS.

    Est ce qu'il y a qqch que j'ai oublié de faire (peut-etre une creation d'une route?)

    Merci d'avance



  • Quand on installe un pfSense neuf, il est prévu en WAN + LAN et créé une règle par défaut (assez laxiste) LAN vers 'any' pour 'any' protocole.

    Si on créé la même règle depuis LAN2, cela doit fonctionner de la même manière (assez laxiste).

    Avec un esprit un peu curieux et observateur, il doit être possible d'apprendre assez vite en expérimentant car l'interface est assez intuitive …
    (Cela ne dispense pas de lire la doc ...)
    Ne pas oublier de "penser alias" car c'est une grande force de pfSense.
    A associer avec une "norme" d'écriture du nom des alias : p.e. srvxxxx pour un serveur, lanxxxx pour un réseau, portxxxx pout un n° de port, ...



  • Effectivement je me suis rendu compte de ce comportement par defaut de pfsense et j'ai créer les deux regles pour autoriser tout IPV4 et tout IPV6.

    A partir de ce moment la j'ai pu acceder a mon server pfsense depuis le LAN 2 ce que je ne pouvais pas faire avant.

    Par contre pas moyen d'acceder au web.

    Y'a t il qqch a faire le NAT aussi?



  • He oui, encore et toujours : RTFM
    C'est quand même ahurissant le nombre de posts que l'on trouve ici pour dire que ça ne marche pas comme on veut, sur des fonctions basiques, de gens qui n'ont pas lu le minimum du documentation, qui ne lisent probablement pas ce qui est écrit dans l'interface du produit.
    Dans Pfsense, lors de l'ajout d'une interface, aucun trafic n'est autorisé depuis le réseau connecté vers cette interface. Je crois me souvenir que c'est indiqué dans l'onglet Rules de l'interface nouvellement ajoutée. Donc des règles à ajouter.
    Si on lit un peu de doc, on y apprend que Pfsense gère automatiquement tout le routage des réseaux correspondants aux interfaces définies. Donc pas de route à ajouter.
    Sur cette base on comprend que a minima, pour accéder à internet en http et https, il faut disposer du service dns et autoriser ces flux du lan concerné vers l'interface connecté à ce lan. Penser aux alias bien sûr.
    Pour la résolution dns deux solutions : dns externe, ce qui nous ramène au problème précédent, ou bien DNS Forwarder de Pfsense.
    Une réponse entre temps ! Mais ce message reste toujours autant d'actualité !



  • Bonsoir,

    je suis un peu surpris de votre réaction, certe je n'ai peut-etre pas lu la intégralement la documentation mais participant depuis longtemps a de nombreuses communauté libre sur internet je sais que les questions posées sur un forum sans s'etre documenté avant peuvent agacer.

    Si vous reprenez mon premier message vous verrez que les règles permettant de laisser passer le traffic ont été crée, peut-etre me suis-je tromper en les creant (je me suis basé sur celles existantes pour le LAN1) mais je l'avais lu dans la doc.

    Concernant les DNS, j'utilise un DNS externe qui fonctionne sur la connexion LAN1 donc il semble bien configuré, de plus je ne pense pas que mon problème vienne du DNS car je n'arrive pas a pinguer depuis mon réseau LAN2 vers internet.

    Merci néanmoins d'avoir pris le temps de me répondre, je vais aller relire la doc comme vous l'avez si bien dit.

    Bonne soirée



  • Dns = udp/53
    ping = Icmp

    => règles a créer sur l'interface lan 2 ou BETEMENT copier la règle créer par défaut sur lan lors de l'installation !

    tout ça n'est que du BASIQUE !!!!

    j'ai mis en production chez moi mon tout 1er pf sans aucun problème et sans lire aucune doc !!!!! simplement en respectant les règles BASIQUE/GENERALE de fonctionnement d'un réseau !!!!



  • A partir de ce moment la j'ai pu acceder a mon server pfsense depuis le LAN 2 ce que je ne pouvais pas faire avant.

    Par contre pas moyen d'acceder au web.

    Les règles :
    lan2 subnet any vers any pour icmp echo request ,53/udp, 80/tcp 443 /tcp. Les postes clients utilisent alors le dns public.

    Y'a t il qqch a faire le NAT aussi?

    Pour le trafic sortant non, le nat est dynamique et automatique par défaut.



  • Bonjour,

    Je viens de résoudre mon problème, j'avais fait une erreur de protocole dans la création des règles du firewall.

    Je vous remercie.



  • Bonsoir
    Je bute sur le même probleme coté lan. J'ai une capture d'écran de mon config au niveau des régles LAN
    J'ai pas d'acces internet depuis mon interface lan. Est ce quelqu'un peut m'aider pour acceder a internet.

    Merci d'avance

    ![LAN RULES.PNG](/public/imported_attachments/1/LAN RULES.PNG)
    ![LAN RULES.PNG_thumb](/public/imported_attachments/1/LAN RULES.PNG_thumb)



  • Deux règles d'usage pour commencer.
    1. Nouvelle question, nouveau fil.
    2. Trop peu d'informations, lire https://forum.pfsense.org/index.php?topic=79600.0
    A la lecture de votre unique copie d'écran, je peux supposer une foule de problèmes potentiels. Mais je n'ai aucun moyen de savoir lequel est à l'origine de vos difficultés.



  • Merci pour l'aide

    Je suis nouveau dans pfsense et je viens d'installer la version 2.4.3 sous une machine HP avec deux interfaces gigabit (em0 et em).

    em0 = wan dhcp network 192.168.1.140 /24

    em1 = lan static network 192.168.222.0 /24

    Ping vers la passerelle wan marche sur la console pfsense mais pas depuis lan

    Les ping vers internet ne passent pas aussi depuis ma console pfsense

    Coté LAN; j'ai un réseau en production avec un serveur active directory bien configuré et opérationnel mais je n'ai opté pour la segmentation de mon réseau. Le réseau 192.168.222.0/24 inclut les clients sur le cable et wifi aussi.

    Pour des besoins de rationnaliser la bande passante (10 méga); j'ai voulu mettre un parefeu (squid + snort) enfin bloquer l'acces certains sites et protéger mon réseau.

    Le hic c'est que j'ai virtualiser pfsense avec vmware fusion et tout fonctionné très bien mais je ne sais plus qu'est ce qui ne marche pas

    Merci d'avance



  • Toujours incomplet. Mais essayons. Principe de base lors d'une installation de Pfsense : on s'assure que la version de base, sans package fonctionne. Est-ce le cas ?
    Vous ne dites rien de la connectivité à Internet (box en configuration routeur probablement) , rien de dns, de la config réseau de base d'un poste.

    Si depuis pfsense aucun ping ne passe vers internet vous avez un premier problème fort probable avec votre box (si c'est une box …). Mais qu'essayez vous de pinguer ?

    PS :Je ne vois pas le rapport entre la rationalisation de la bande passante et snort.



  • Slt
    J'ai un modem routeur TPlink qui est bien connecté. Mon ordi sur le reseau wan {192.168.1.10} accède à Internet sans problème. Mes dns côté WAN sont fournis par mon FAI. J'ai rebooté mon pfsense plusieurs fois et accède normalement à l'interface web côté l'an. Je vous mets les captures de mes configs

    Mon box tplink= 192.168.1.1 /24
    Passerelle = 192.168.1.1
    DNS = 213.154.64.9  - 213.154.95.16

    J'ai réinstallé pfsense et il n'y a aucun package. Juste le noyau pfsense de base.
    Pour ce qui est de rationaliser mon débit Internet, je veux bloquer le streaming ( YouTube, dailymotion etc) et des sites comme Facebook pendant les heures de travail.
    Snort pour pour avoir un coup d'œil sur mon trafic et détecter les attaques.

    Comme dit precemment, j'ai déjà installer le tout en VM vmware et tout était clean ( proxy squid et snort ok)

    Merci



  • Slt
    J'ai un modem routeur TPlink qui est bien connecté. Mon ordi sur le reseau wan {192.168.1.10} accède à Internet sans problème. Mes dns côté WAN sont fournis par mon FAI. J'ai rebooté mon pfsense plusieurs fois et accède normalement à l'interface web côté l'an. Je vous mets les captures de mes configs

    Mon box tplink= 192.168.1.1 /24
    Passerelle = 192.168.1.1
    DNS = 213.154.64.9  - 213.154.95.16

    J'ai réinstallé pfsense et il n'y a aucun package. Juste le noyau pfsense de base.
    Pour ce qui est de rationaliser mon débit Internet, je veux bloquer le streaming ( YouTube, dailymotion etc) et des sites comme Facebook pendant les heures de travail.
    Snort pour pour avoir un coup d'œil sur mon trafic et détecter les attaques.

    Comme dit precemment, j'ai déjà installer le tout en VM vmware et tout était clean ( proxy squid et snort ok)

    Merci

    ![LAN RULES.PNG](/public/imported_attachments/1/LAN RULES.PNG)
    ![LAN RULES.PNG_thumb](/public/imported_attachments/1/LAN RULES.PNG_thumb)
    ![WAN blogons.PNG](/public/imported_attachments/1/WAN blogons.PNG)
    ![WAN blogons.PNG_thumb](/public/imported_attachments/1/WAN blogons.PNG_thumb)
    ![LAN RULES.PNG](/public/imported_attachments/1/LAN RULES.PNG)
    ![LAN RULES.PNG_thumb](/public/imported_attachments/1/LAN RULES.PNG_thumb)
    ![Tableau de bord pfsense.PNG](/public/imported_attachments/1/Tableau de bord pfsense.PNG)
    ![Tableau de bord pfsense.PNG_thumb](/public/imported_attachments/1/Tableau de bord pfsense.PNG_thumb)



  • Quel config de l'interface Wan, la gateway configurée ?
    PS : 2 fois les règles lan !



  • Oui c une erreur de ma part, j'ai ajouté la capture de la règle LAN deux fois. Malheureusement je ne suis plus au bureau pour ajouter la capture de l'interface WAN. Par contre, j'ai les configs suivants sur le WAN.

    Pour le WAN: @ip 192.168.1.140 /24
    Passerelle : 192.168.1.1
    DNS: fourni par le FAI

    Je ne sais si je dois mettre une règle sur mon interface WAN. Sur mon lab test de vmware, j'avais laissé le WAN dans règle (WAN en bridge sur ma carte wifi et le LAN sur vmnet 3 et les deux clients sur vmnet3, tout marche correctement.

    Merci



  • Je ne sais si je dois mettre une règle sur mon interface WAN

    Vous n'hébergez aucun service en interne donc non.


 

© Copyright 2002 - 2018 Rubicon Communications, LLC | Privacy Policy