Port nat et serveur 2012 essential

jdh

(je complète ccnet)

Ce n'est pas clair du tout :

• faites une description : schéma, adressage, nom dns choisi …
• décrivez votre besoin : qu'est ce que vous voulez faire

Concernant DNS, ce qui est usuel, c'est :

• pfsense fournit le service dns au réseau local (via DNS forwarder)
• au besoin, on peut fournir une adresse au client interne différente de l'adresse externe (principe du split horizon)
  (Au besoin, cherchez ce que signifie "split horizon" : il est probable que cela répond à votre besoin ...)

Concernant UPNP (et non UPNG), on évite ce genre de daube car UPNP = risque de trou de sécurité.
Le principe d'UPNP est de permettre l'ouverture automatique au niveau du routeur/firewall d'un port sur demande d'un serveur interne !
C'est clairement éloquent d'un risque d'ouverture non contrôlé !

olivedu56

bonsoir,

Oui UPNP et non UpNg  je n ai pas fait attention :-\

je l ai activer le temps de mes tests surtout en ouvrant de 1-65536 ou 35 j ai un doute.

Erreur généré par windows en pièce jointe.

D'où est effectué le ping ? Quelle résolution attendez vous ?

De mon pc perso(qui est dans le même réseau que ma VM windows) je test un ping sur mondomaine.remotewebacces , celui ci devrait me retourner mon adresse ip public, et la non, pas de réponse.

Toujours de mon pc je ping une autre adresse que j ai chez ovh et qui point sur mon ip fixe perso, une redirection en fait. J ai un retour de ping avec mon ip public free.
Donc j ai bien une résolution DNS qui ce fait et rien de bloque au niveau du firewall.

1. Dans le cas d un serveur 2012 essential, on peut après une inscription chez microsoft, avoir un nom de domaine sous la forme indiqué plus haut (x.remotewebaccess) remotewebaccess.com appartient à MS, et lui fournit des sous domaines a ses utilisateurs. Ce nom de domaine est fournit avec un certificat (ce qui évite des petits problèmes .. ).

2. Une fois tout ça paramétrés, microsoft  utilise  Windows Live Dynamic DNS servcie, pour avoir l ip public du serveur ( dans mon cas mon ip est fixe), ce qui permet l accès en tout lieu.

Dans mon cas, il n y a pas de résolution de noms.

Je ne sais pas si je suis clair, dans l explication, un schéma pourrait être utile:

merci de votre aide .

Si ce n est toujours pas assez clair, j essayerai de détailler plus le shema si je peux ou me poser cette nuit pour mettre ça plus clair.

merci encore de vos réponse a un sujet peu clair..

ccnet

C'est plus clair.

je test un ping sur mondomaine.remotewebacces , celui ci devrait me retourner mon adresse ip public, et la non, pas de réponse.

Pas de réponse ou pas de résolution ? Ce n'est pas la même chose. Pour avoir une réponse il faut que icmp soit autorisé sur Wan. Sur la commande

ping mondomaine.remotewebacces.com

Quelle est la réponse de Windows (si c'est un windows qui est utilisé) ? Reste une dernière hypothèse : le contenu dns n'est pas à jour chez Microsoft. La capture du trafic avec Wireshark nous renseignerait sur les causes probables. Ou une interrogation avec nslookup.

olivedu56

re,

Pas de réponse ou pas de résolution ? Ce n'est pas la même chose. Pour avoir une réponse il faut que icmp soit autorisé sur Wan

ni l un ni l autre,  l icmp est autorisé sur ma box, j ai une resolution et reponse ping lorsque je test avec mon autre sous domaine de chez OVH.

J ai refait un test tard hier soir en mettant la VM sur la box , et ca passe bien, donc je me demande si j ai pas un problème de "re-routage", ma box free est rester en mode routeur pour des raison perso de facilite, perte wifi, freebox tv, etc..( j ai pas envie de me prendre la tête chez moi).
Donc  il est fort possible que le serveur ne soit pas trouvé a cause de ca..

Pour les test en direct  freebox, le retour de config est simple :

Dans le dashboard du serveur 2012  a l onglet routeur, il met ip public de la box quand UPNP est activé, si UPNP desactive, l indique ip passerelle 192.168.1.254 et ca passe via le port nat sur la freebox

Pour infos:'Windows Server 2012 Essentials embarque un client comparable à un "DynDNS".

je pense que je vais mettre wireshark sur la vm pour voir ce qui est utilisé.

Et je vais faire des recherches sur client comparable à un "DynDNS".

merci

jdh

Je pense vraiment qu'il faudrait regarder du côté de "split horizon".

Je constate que la présentation du schéma et du besoin n'est toujours pas faite.
Prenez le temps de poser plutôt que de tester sans direction :

Seneque : "il n'y a pas de vent favorable pour celui qui ne sait où il va"

Sans comprendre le vrai besoin, je pense pourtant et vraiment qu'il faudrait regarder du côté de "split horizon".

NB : Je connais assez bien Proxmox, et JAMAIS je n'installerai quoi que ce soit au niveau de l'hyperviseur !

olivedu56

bonjour,

merci pour l infos , par contre je reconnais humblement que je ne sais pas ce qu est "split horizon".

je vais revoir le besoin et schéma si j ai un peu de temps.

L'hyperviseur est perso, pour les tests, Ms et autre ,sorte à tour de bras des modifs , et je n ai pas x machine pour tout installer.

J ai un petit  alixboard que je vais mettre en place sur un reseau dont la config est identique sauf le serveur qui en en dur.

mais c 'est bien , j apprend un peu plus chaque jour grâce a des problèmes de ce types, car quand on fait ça pour soi ca marche toujours en biaisant le system mais c 'est pas le but.

j aime pfsense même si je n utilise qu une petite  partie et qu il y a pas mal de l aucune a mon niveau.

Par contre ,j ai du rêvé hier ou les yeux pas en face des trous, mais quand la vm est sur le réseau freebox, j ai une resolution de nom mais pas de réponse au  ping bien que j ai activé la réponse au ping sur la freebool.

Ca c 'est pour ccnet a qui j ai répondu que j avais une résolution et une réponse ping sur ma box.

je vais calmer le jeux pour ce soir..

Mais merci encore de votre aide et de mon éducation :) ;D

a+

tres bon

"il n'y a pas de vent favorable pour celui qui ne sait où il va"

;D

olivedu56

bonsoir

la j ai vraiment besoin d une explication de texte, car je suis dans l erreur profonde depuis longtemps.

Pour éviter des manip , j ai mis pfsense en dmz sur la freebox, pour que tout le trafic vienne dessus, ça me semblait une bonne idée , étant donnes que j ai rien sur la box appart freeboxtv.

donc pour voir j ai entree une regle nat sur la freebox ;redirige le port 443 et 80 sur mon pfsense 192.168.1.2.

et bien ca marche , mon serveur 2012 est configuré .

Je suis prés a recevoir toutes les foudres du monde  et des posteurs du site, afin de comprendre mon erreur.. :o :'(

merci
a+

ccnet

La freebox en pont n'est pas envisageable dans votre cas ? c'est quand même beaucoup plus simple. Pas de double nat pas de doute sur ce qui passe ou pas.

baalserv

Bonjour,

J'utilise à la maison une freebox (révolution) en mode routeur avec pseudo dmz activé vers IP wan de Pf et je ne me pose aucune question de double nat car tout arrive bien sur le wan de pf.
Du coup je fait mes Nat seulement sur pf et je n'ai aucun pb.

cordialement

olivedu56

bonsoir

La freebox en pont n'est pas envisageable dans votre cas ? c'est quand même beaucoup plus simple. Pas de double nat pas de doute sur ce qui passe ou pas.

non car je perds le wifi, et des petite chose que je n ai pas le temps de configurer et aussi,si je suis pas la et que ca marche pas je vais dormir avec le Lapin :)

Bonjour,

J'utilise à la maison une freebox (révolution) en mode routeur avec pseudo dmz activé vers IP wan de Pf et je ne me pose aucune question de double nat car tout arrive bien sur le wan de pf.
Du coup je fait mes Nat seulement sur pf et je n'ai aucun pb.

cordialement

C 'est mon cas aussi, mais la curieusement, ca ne fonctionnait pas,
Autant un rdp  avec une redir PFsense ne m a pas poser de problème autant la ..

Peut être que la vérification des ports est fait de l extérieur vers l intérieure, (supposition, je serai a moitie suppris de MS, )je sais pas trop , il faut que je relance un wireshark, la j avais focalise sur ICMP, SSDP.

La question qui m interpelle aussi, c 'est que UPNP etait active sur PF, et après la redi des port 443 et 80 sur la box vers PF, ceux-ci ont ete enregister.

Je vais vraiment regarder ca de plus pres!!!! c'est bizard!!!

merci pour votre aide
a+

ccnet

@baalserv:

Bonjour,

J'utilise à la maison une freebox (révolution) en mode routeur avec pseudo dmz activé vers IP wan de Pf et je ne me pose aucune question de double nat car tout arrive bien sur le wan de pf.
Du coup je fait mes Nat seulement sur pf et je n'ai aucun pb.

cordialement

J'en suis convaincu. mais manifestement notre utilisateur a connu quelques déboires pour savoir ce qui se passe, on non, entre sa Freebox et Pfsense. Puis c'est tombé en marche. Ma suggestion vise l'utilisateur modérément expérimenté qui peut se laisser déborder …