Ping sur mes interface pfsense

leclerro

Bonjour et Bonne année ,

Svp j'ai besoin d'aide >:(
j'ai une carte mère alix 2D13 sur laquelle j'ai installé pfsense .
j'ai un interface LAN que j'ai configuré comme suit 192.168.2.1 avec une plage d'adresse ip 192.168.2.10 à 192.168.2.100
j'ai un interface OPT1 (wifi) que j'ai configuré comme suit 192.168.3.1 avec une plage d'adresse ip 192.168.3.10 à 192.168.3.100
et deux machine : machine1 ip : 192.168.2.15  machine2 : 192.168.3.15
quand je fais un ping de la machine1 vers la machine2 cela ne passe pas .
je ne sais pas pourquoi  :-[
pouvez vous me venir en aide ???
Merci d'avance .

baalserv

Bonjour,

Vous poster un soit disant pb sans nous donner aucune informations ni de version ni des règles que vous avez configurer !

Si vous ne comprenez pas comment utiliser les différents champs des règles de firewall je vous invite a suivre le ? situer sur la page !

Votre problème semble ne pas en être un mais plutot une mauvaise compréhension du systèmes des règles de firewall (menu firewall | Rules )

Cordialement

P.S : ping = ICPM ^^

P.S 2 : avoir des interfaces différentes c'est bien pour la sécurité; avoir des règles trop laxiste entre ces 2 même interfaces annule la sécurité inhérente à la séparation physique des réseau ^^

leclerro

Bonjour Merci pour votre réponse rapide.

j'ai installé windows serveur 2008 et j'aimerai appliquer les règles de contrôle avec un client Radius.
la machine1 qui est mon serveur a pour adresse ip 192.168.2.15 elle est configuré comme suit (interface LAN):
ID: null (rien)
Proto: IPv4
Source: *
port: *
destination: *
port: *
Gateway: *
Queuse: none
Schedule:null

la machine2 qui est mon client a pour adresse ip 192.168.3.15 elle est configuré comme suit (interface OPT1):
ID: null (rien)
Proto: IPv4
Source: *
port: *
destination: *
port: *
Gateway: *
Queuse: none
Schedule:null

les pings entre la machine1 et la machine2 ne passent pas alors mon client radius qui est sur mon serveur windows 2008 ne fonctionne pas

Merci de votre aide

leclerro

la version de pfsense que j'utilise c'est 2.1-release(i386)
Merci pour votre aide.

Narcomed

Question bête, avez vous vérifier le firewall de vos 2 machines ?

baalserv

hormis des histoires de FW logiciel sur les postes et/ou serveur, pour que votre client puisse pinger le serveur il vous faut :
1/ laisser actif la règle de base sur lan (trop laxiste en prod mais idéale pour débuter et tester
2/ écrire sur opt une règle authorisant ICMP depuis Opt subnet vers Lan subnet ou x.x.2.15

les règles doivent s'écrire sur l'interface d'ou sont initier les requettes ^^

Avec cette règle vous arriverez à pinger le serveur depuis le client mais cela ne fera pas fonctionner les requettes du client à destination du radius.

Je suppose que vous en étes à la maquette et non en environement de production, c'est le moment de bien comprendre le fonctionnement du système de règles de pF via doc + tests

je rappelle que ping = icmp ^^

leclerro

Je suis à la maquette et je suis débutant sur pfsense.
j'ai laissé actif les règles de base.

en mettant le protocole en any, je pense que j'autorise déjà icmp car si je mets seulement icmp les autres protocoles ne vont pas fonctionner .

baalserv

@leclerro:

en mettant le protocole en any, je pense que j'autorise déjà icmp car si je mets seulement icmp les autres protocoles ne vont pas fonctionner .

C'est exact

Préciser la source ne fait pas de mal non plus ^^ dans votre cas : Otp subnet sur l'onglet Opt

l'adresse de l'interface opt et bien renseigner comme gateway principale et comme dns sur votre poste client ?

Tous les FW software sont bien désactiver sur postes et serveur ?

leclerro

oui, tout est bien renseigné car quand je déactive le portail captif radius le client se connecte sur internet avec  l'adresse ip fixe .

baalserv

ok, un peut de lecture alors :)

regardez ce fil, il correspond a ce que vous souhaitez, j'y ai poster un lien vers un tuto ^^

http://forum.pfsense.org/index.php/topic,67023.0.html

leclerro

Merci je passe à la lecture

leclerro

Bonjour à tous et particulièrement à baalserv  :)
Après lecture et mis à zéro, j'ai remarqué que quand je déactive le portail captif et je laisse mon réseau ouvert les pings passent très bien . Par contre quand j'active le portail captif les pings ne passe plus et mon clients que j'ai crée sur mon serveur radius n'arrive pas à se loger .
la maquette que je suis entrain de mettre en place sur les machine physique a été teste sur les machines virtuelles et il fonctionne très bien et ce que j'ai remarqué avec les machines virtuelles quand j'active ou quand je déactive le portail captif le ping des deux machine (clients et serveur) passe très bien .

Merci pour toutes vos propositions d'idées pour résoudre mon problème .  8)

baalserv

Bonjour,

Attention aux spécificité de votre environnement de virtualisation quand à la gestion réseau tant sur l'aspect physique que logique => peut induire en erreur par rapport à un environnement purement physique.
Si possible privilégier une maquette physique que virtuelle^^

Je vous suggère de commencer avec un user local (pfsense) et mettre le portail sur authentification locale. Une fois ceci fait vous pourrez passer à l'étape suivante => authentification sur radius du Windows serveur

bon courage ^^

P.S: ne restez pas focaliser sur les ping ^^

leclerro

Bonjour,

les testes on déjà été fait avec un utilisateur local , puis un utilisateur avec le package freeradius2 de pfsense et cela a bien fonctionné. je suis exactement à la dernière étape avec radius sur un serveur windows 2008.
si vous avez une idée pour m'aider je suis preneur, et merci pour tous les conseils que vous m'avez apportez jusqu'ici.

baalserv

Les logs raconte peut être quelques chose, sinon une capture de trame pour voir ou ça bloque ?

leclerro

ok je veux me lancer dans la capture de trame avec wireshark. mais je ne m'y connais pas assez . Merci pour vos idées.

leclerro

je ne m'y connais pas trop mais je vais essayé de faire des captures avec wireshark.
Merci pour votre aide.

baalserv

Il y a un outils de capture dans pfense, vous pourrez filtrer les paquets capturer avec wireshark ^^

leclerro

Bonjour baalserv,

Merci pour votre aide, j'y suis arrivé  ;D et grâce à vos conseils.
en fait c'était normal que les pings que je faisais ne passaient pas mais il y'avait un communication entre mon client et mon serveur.
pour résoudre le pb j'ai ajouté 2 clients radius dans mon serveur win 2008 et tout a été débloqué .

mon projet n'est pas fini puisque je dois rendre mon portail captif payant .
si vous avez une idée je suis preneur .

Bon dimanche.

Cordialement,

baalserv

Bonjour,

comme ça au réveil je voie 2 possibilités :
1/ gestion d'un lease time via stratégie sur le W2k8
2/ voir le système de voucher de pfsense

Mais attention aux obligations légale (Cnil) quand à la conservation des données de connexions.
Le plus simple est de les appeler, la Cnil propose une permanence téléphonique gratuite pour apporter des conseils d'ordre juridique :) exposer leur votre cas précis et il vous dirons le reste.

Cordialement