Port nat et serveur 2012 essential



  • bonjour,

    je me heurte a un problème et je ne vois pas comment le résoudre et ni pourquoi ca ne se passe pas correctement .

    la config:
    un serveur proxmox pour mes vm: ip 192.168.2.252
    un pfsense en 192.168.2.0/24 une pat wan en 192.168.1.2 sur freebox en 192.168.1.254.
    une vm serveur 2012 essential en 192.168.2.127:
    un nat des port 80 et 443 sur cette VM:

    essential 2012 fourni ce que l on appel access anywhere, ce qui permet via internet à avoir acces aux fichiers du serveur ainsi que du remote desktop  via hhtps.

    le nom de domaine est fournie par Ms via gooddaddy et fournie un domaine de type mondomaineamoi.remotewebaccess.com, ainsi qu un dyndns .

    lors de la configuration,  windows utilise UPNG pour nater les port 80 et 443 si c'est faisable .

    Sinon on nat a la mano.

    Sur mon pfsense j ai fais ça à la main, le problème c'est qu il n y a pas de résolution ip /mondomaineamoi.remotewebaccess .

    et je ne vois pas pourquoi.

    J ai essayer  l UPNG  et j ai pousser le vice a mettre de allow 1-65535 , aucune trace .

    J ai toujours un message de Windows me disant que mon routeur de gere pas l UPNG.

    Par contre quand je passe la VM sur ma freebox en direct je n ai aucun problème.

    Si je ping mondomaine.remotewebaccess.com et que la vm passe par pfsense , pas de réponse.

    Si je ping mondomaine.remotewebaccess.com et que la vm passe par la freebox , j ai une réponse.

    Donc j en deduis que le probleme de configuration ne viens pas de la vm, ni de l hyperviseur, ni de la freebox.

    Donc pour moi ce viens de ma config pfsense, que je n ai peut etre pas bien réglé.

    merci pour votre aide
    a+



  • Si je ping mondomaine.remotewebaccess.com et que la vm passe par pfsense , pas de réponse.

    Si je ping mondomaine.remotewebaccess.com et que la vm passe par la freebox , j ai une réponse.

    D'où est effectué le ping ? Quelle résolution attendez vous ?

    Ce que je peux dire de façon très générale :
    Pour utiliser un dns externe depuis le lan, il faut autoriser 53/UDP vers les dns externes.
    On peut configurer le service DNS forwarder sur Pfsense qui servira de cache dns pour les cibles publiques et qui fournira le split horizon pour une résolution interne.
    Selon le cas la configuration réseau de l'équipement qui souhaite disposer d'une résolution sera différente.
    En fait je ne comprend pas exactement ce que vous souhaitez obtenir, d'où des réponses très générales.



  • (je complète ccnet)

    Ce n'est pas clair du tout :

    • faites une description : schéma, adressage, nom dns choisi …
    • décrivez votre besoin : qu'est ce que vous voulez faire

    Concernant DNS, ce qui est usuel, c'est :

    • pfsense fournit le service dns au réseau local (via DNS forwarder)
    • au besoin, on peut fournir une adresse au client interne différente de l'adresse externe (principe du split horizon)
      (Au besoin, cherchez ce que signifie "split horizon" : il est probable que cela répond à votre besoin ...)

    Concernant UPNP (et non UPNG), on évite ce genre de daube car UPNP = risque de trou de sécurité.
    Le principe d'UPNP est de permettre l'ouverture automatique au niveau du routeur/firewall d'un port sur demande d'un serveur interne !
    C'est clairement éloquent d'un risque d'ouverture non contrôlé !



  • bonsoir,

    Oui UPNP et non UpNg  je n ai pas fait attention :-\

    je l ai activer le temps de mes tests surtout en ouvrant de 1-65536 ou 35 j ai un doute.

    Erreur généré par windows en pièce jointe.

    D'où est effectué le ping ? Quelle résolution attendez vous ?

    De mon pc perso(qui est dans le même réseau que ma VM windows) je test un ping sur mondomaine.remotewebacces , celui ci devrait me retourner mon adresse ip public, et la non, pas de réponse.

    Toujours de mon pc je ping une autre adresse que j ai chez ovh et qui point sur mon ip fixe perso, une redirection en fait. J ai un retour de ping avec mon ip public free.
    Donc j ai bien une résolution DNS qui ce fait et rien de bloque au niveau du firewall.

    1. Dans le cas d un serveur 2012 essential, on peut après une inscription chez microsoft, avoir un nom de domaine sous la forme indiqué plus haut (x.remotewebaccess) remotewebaccess.com appartient à MS, et lui fournit des sous domaines a ses utilisateurs. Ce nom de domaine est fournit avec un certificat (ce qui évite des petits problèmes .. ).

    2. Une fois tout ça paramétrés, microsoft  utilise  Windows Live Dynamic DNS servcie, pour avoir l ip public du serveur ( dans mon cas mon ip est fixe), ce qui permet l accès en tout lieu.

    Dans mon cas, il n y a pas de résolution de noms.

    Je ne sais pas si je suis clair, dans l explication, un schéma pourrait être utile:

    merci de votre aide .

    Si ce n est toujours pas assez clair, j essayerai de détailler plus le shema si je peux ou me poser cette nuit pour mettre ça plus clair.

    merci encore de vos réponse a un sujet peu clair..






  • C'est plus clair.

    je test un ping sur mondomaine.remotewebacces , celui ci devrait me retourner mon adresse ip public, et la non, pas de réponse.

    Pas de réponse ou pas de résolution ? Ce n'est pas la même chose. Pour avoir une réponse il faut que icmp soit autorisé sur Wan. Sur la commande

    ping mondomaine.remotewebacces.com
    

    Quelle est la réponse de Windows (si c'est un windows qui est utilisé) ? Reste une dernière hypothèse : le contenu dns n'est pas à jour chez Microsoft. La capture du trafic avec Wireshark nous renseignerait sur les causes probables. Ou une interrogation avec nslookup.



  • re,

    Pas de réponse ou pas de résolution ? Ce n'est pas la même chose. Pour avoir une réponse il faut que icmp soit autorisé sur Wan

    ni l un ni l autre,  l icmp est autorisé sur ma box, j ai une resolution et reponse ping lorsque je test avec mon autre sous domaine de chez OVH.

    J ai refait un test tard hier soir en mettant la VM sur la box , et ca passe bien, donc je me demande si j ai pas un problème de "re-routage", ma box free est rester en mode routeur pour des raison perso de facilite, perte wifi, freebox tv, etc..( j ai pas envie de me prendre la tête chez moi).
    Donc  il est fort possible que le serveur ne soit pas trouvé a cause de ca..

    Pour les test en direct  freebox, le retour de config est simple :

    Dans le dashboard du serveur 2012  a l onglet routeur, il met ip public de la box quand UPNP est activé, si UPNP desactive, l indique ip passerelle 192.168.1.254 et ca passe via le port nat sur la freebox

    Pour infos:'Windows Server 2012 Essentials embarque un client comparable à un "DynDNS".

    je pense que je vais mettre wireshark sur la vm pour voir ce qui est utilisé.

    Et je vais faire des recherches sur client comparable à un "DynDNS".

    merci



  • Je pense vraiment qu'il faudrait regarder du côté de "split horizon".

    Je constate que la présentation du schéma et du besoin n'est toujours pas faite.
    Prenez le temps de poser plutôt que de tester sans direction :

    Seneque : "il n'y a pas de vent favorable pour celui qui ne sait où il va"

    Sans comprendre le vrai besoin, je pense pourtant et vraiment qu'il faudrait regarder du côté de "split horizon".

    NB : Je connais assez bien Proxmox, et JAMAIS je n'installerai quoi que ce soit au niveau de l'hyperviseur !



  • bonjour,

    merci pour l infos , par contre je reconnais humblement que je ne sais pas ce qu est "split horizon".

    je vais revoir le besoin et schéma si j ai un peu de temps.

    L'hyperviseur est perso, pour les tests, Ms et autre ,sorte à tour de bras des modifs , et je n ai pas x machine pour tout installer.

    J ai un petit  alixboard que je vais mettre en place sur un reseau dont la config est identique sauf le serveur qui en en dur.

    mais c 'est bien , j apprend un peu plus chaque jour grâce a des problèmes de ce types, car quand on fait ça pour soi ca marche toujours en biaisant le system mais c 'est pas le but.

    j aime pfsense même si je n utilise qu une petite  partie et qu il y a pas mal de l aucune a mon niveau.

    Par contre ,j ai du rêvé hier ou les yeux pas en face des trous, mais quand la vm est sur le réseau freebox, j ai une resolution de nom mais pas de réponse au  ping bien que j ai activé la réponse au ping sur la freebool.

    Ca c 'est pour ccnet a qui j ai répondu que j avais une résolution et une réponse ping sur ma box.

    je vais calmer le jeux pour ce soir..

    Mais merci encore de votre aide et de mon éducation :) ;D

    a+

    tres bon

    "il n'y a pas de vent favorable pour celui qui ne sait où il va"

    ;D



  • bonsoir

    la j ai vraiment besoin d une explication de texte, car je suis dans l erreur profonde depuis longtemps.

    Pour éviter des manip , j ai mis pfsense en dmz sur la freebox, pour que tout le trafic vienne dessus, ça me semblait une bonne idée , étant donnes que j ai rien sur la box appart freeboxtv.

    donc pour voir j ai entree une regle nat sur la freebox ;redirige le port 443 et 80 sur mon pfsense 192.168.1.2.

    et bien ca marche , mon serveur 2012 est configuré .

    Je suis prés a recevoir toutes les foudres du monde  et des posteurs du site, afin de comprendre mon erreur.. :o :'(

    merci
    a+



  • La freebox en pont n'est pas envisageable dans votre cas ? c'est quand même beaucoup plus simple. Pas de double nat pas de doute sur ce qui passe ou pas.



  • Bonjour,

    J'utilise à la maison une freebox (révolution) en mode routeur avec pseudo dmz activé vers IP wan de Pf et je ne me pose aucune question de double nat car tout arrive bien sur le wan de pf.
    Du coup je fait mes Nat seulement sur pf et je n'ai aucun pb.

    cordialement



  • bonsoir

    La freebox en pont n'est pas envisageable dans votre cas ? c'est quand même beaucoup plus simple. Pas de double nat pas de doute sur ce qui passe ou pas.

    non car je perds le wifi, et des petite chose que je n ai pas le temps de configurer et aussi,si je suis pas la et que ca marche pas je vais dormir avec le Lapin :)

    Bonjour,

    J'utilise à la maison une freebox (révolution) en mode routeur avec pseudo dmz activé vers IP wan de Pf et je ne me pose aucune question de double nat car tout arrive bien sur le wan de pf.
    Du coup je fait mes Nat seulement sur pf et je n'ai aucun pb.

    cordialement

    C 'est mon cas aussi, mais la curieusement, ca ne fonctionnait pas,
    Autant un rdp  avec une redir PFsense ne m a pas poser de problème autant la ..

    Peut être que la vérification des ports est fait de l extérieur vers l intérieure, (supposition, je serai a moitie suppris de MS, )je sais pas trop , il faut que je relance un wireshark, la j avais focalise sur ICMP, SSDP.

    La question qui m interpelle aussi, c 'est que UPNP etait active sur PF, et après la redi des port 443 et 80 sur la box vers PF, ceux-ci ont ete enregister.

    Je vais vraiment regarder ca de plus pres!!!! c'est bizard!!!

    merci pour votre aide
    a+



  • @baalserv:

    Bonjour,

    J'utilise à la maison une freebox (révolution) en mode routeur avec pseudo dmz activé vers IP wan de Pf et je ne me pose aucune question de double nat car tout arrive bien sur le wan de pf.
    Du coup je fait mes Nat seulement sur pf et je n'ai aucun pb.

    cordialement

    J'en suis convaincu. mais manifestement notre utilisateur a connu quelques déboires pour savoir ce qui se passe, on non, entre sa Freebox et Pfsense. Puis c'est tombé en marche. Ma suggestion vise l'utilisateur modérément expérimenté qui peut se laisser déborder …