Problèmes de routes

Malagan

Bonjour,

J'éprouve présentement de la difficulté à faire fonctionner le pfsense comme il faut afin qu'il route comme il faut les paquets.

Je m'explique: Nous avons deux édifices reliés entre elles avec un tunnel VPN fait avec deux pfsense sur une connexion internet dédiée.
Le serveur principal de gestion de production se trouve dans le deuxième bâtiment. Nous utilisons actuellement un vieux model de watchguard qui commence à me causer plus de problèmes qu'il n'en règle… Je veux donc le changer pour un pfsense. Le problème est que je n'arrive pas à faire fonctionner les routes comme il le faut avec le pfsense, mais tout fonctionne avec le watchguard.
Voici un petit schéma du réseau actuel:

Bâtiment1------->pf1(128.3/24)---->WAN1(tunnel vpn)---->pf(10.3/24)=====> Réseau 10.0/24 <====== pf(10.2/24)<-------(WAN2)

Le pfSense (10.2/24) qui est le Gateway par défaut des postes du Bâtiment2 est la version 2.1 RELEASE sept.2013.
J'ai ajouté un Gateway 10.3 ainsi qu'une route 128.0/24 vers le Gateway 10.3.

Les ping ainsi que les demande de traceroute passent vers les postes du Bâtiment1 et inversement, mais pas le bureau à distance par exemple...

J'ai ajouté une règle comme suit: [IPV4* - * - 128.0/24 - 8 - none] que j'ai mis en haut de la liste, sous la règle "anti-bloquage" par défaut.

Malheureusement, rien ne fonctionne… Quelle étape il me manque?

Merci de votre aide.

baalserv

Bonsoir,

Désoler mais je ne comprend pas votre schéma, ni votre adressage.
Quel type de vpn ? Ipsec ?

Sachant qu'un problème bien posé est a moitié résolu  ;)

Cordialement

ccnet

Un schéma et des adresses completes afin que l'on puisse vous aider. Merci

Malagan

Bâtiment 1 : réseau 10.20.128.0/24
Serveur1 : 10.20.30.128.6/24 Passerelle : 10.20.128.3
pfSense1  : 10.20.128.3/24
pfSense2 : 10.20.10.3/24
Tunnel VPN en IPsec entre les 2 pfsense1 et pfsense2

Bâtiment 2 : réseau 10.20.10.0/24
pfSense3 : 10.20.10.2/24
Serveur2 : 10.20.10.7/24 Passerelle 10.20.10.2

Serveur1–->[Commutateur réseau]<–- pfSense1 ----> WAN1 <---- pfSense2 ---->[Commutateur réseau] <–-Serveur2
                                                                                                                                    î
                                                                                                                                      ---pfSense3--->WAN2

Si me remets le routeur WatchGuard à la place du pfSense3, tout fonctionne.

Avec le pfSense3 en place, seul les pings et traceroutes fonctionnent entre les deux bâtiments.

Merci!

Talwyn

Je ne suis pas sûr de comprendre le schémas…

pfSense1 et pfSense2 sont à la fois reliés sur le même WAN et via un tunnel VPN ?
pfSense2 et pfSense3 sont sur le même commutateur réseau ?
(d'ailleurs pour être sûr de parler de la même chose, commutateur réseau = switch ?)

Tout semble relié directement en filaire dans ton schémas, or il y a 2 bâtiments. Y'a un long cable qui relie les 2 bâtiments entre pfSense2 et Wan1 ?

Ou alors j'ai mal compris le schémas...

baalserv

Bonjour,

Je rejoind Talwyn, c'est assez peut clair ^^

SI je comprend bien, vous avez 2 pf et 2 wan sur le batiment 2.

Si serveur2 avait 10.20.10.3 en gateway alors pas besoin de routes, mais serveur 2 à comme gateway 10.20.10.2
Donc pas la bonne GW par défaut (doit y avoir une raison ?) donc 2 solutions
1/ route statique sur serveur 2 pour 10.20.128.0/24 via 10.20.10.3
2/ route statique sur Pf3 pour 10.20.128.0/24 via 10.20.10.3

ou alors j'ai rien pigé ^^ :)

Malagan

pfsense1 se trouve dans le bâtiment 1.
pfsense2 se trouve dans le bâtiment 2.
pfsense3 se trouve dans le bâtiment 2.
le bâtiment 2 possède 2 connexions internet (WAN1 et WAN2).
le bâtiment 1 se situe à plusieurs kilomètres et a sa propre connexion internet. La quelle est utilisée pour créer un tunnel VPN entre les deux bâtiments.
Les serveurs/clients du bâtiment 2 utilisent la connexion internet WAN 2 comme accès à l'internet.
Les commutateur réseau sont bien des "switches".

Serveur1 et serveur2 sont des exemples car chaque bâtiment à plusieurs serveurs et clients.

Je ne changerai pas les passerelles des serveurs/clients car le problème n'est pas là à mon avis considérant que l'ancien routeur WatchGuard fonctionne dans cet environnement, mais pas le pfSense3.

P.S. : client = postes de travails et autres équipements réseau.

baalserv

Donc j'avais bien compris  ;)

Ajouter une  route statique sur Pf3 pour 10.20.128.0/24 via 10.20.10.3

Malagan

La route est déjà là…

Malheureusement, seul les pings et traceroute fonctionne...

Là est le problème...

baalserv

Avez vous essayer en changeant la GW d'un poste, juste pour test ?

EDIT : Peut être un problème de règles de FW, postez nous vos règles des interfaces lan et Ipsec des pf 1 et 2 svp

Malagan

Oui, ce faisant tout fonctionne, mais le trafic internet de ce poste passe par le mauvais routeur.

Et comme je disais, avec l'ancien routeur tout fonctionne…

baalserv

ok, autre test : remettre la GW d'origine et mettre une route sur le poste simplement ?

Une raison spéciale pour avoir 2 pf avec chacun 1 wan, plutôt que 1 pf avec 2 wan ?

Malagan

En ajoutant la route, tout fonctionne…

Je ne peux malheureusement pas utiliser cette solution car certains équipements n'ont pas la notion de "routes"...

La raison étant que chaque bâtiment gèrent chacun leur réseau et que lorsque cela a été mis en place, c'était la seule façon de fonctionner à des coûts raisonnables dans le temps.

Les pfsense1 et pfsense2 remplacent les anciens équipements aujourd'hui, mais sont des "appliances" Netgate en version 2.0.3 je crois. Ces derniers appartiennent au bâtiment 1 et je n'ai aucun accès.

pfSense3 est en version 2.1 sur une "machine" que j'ai assemblé.

Je joint les règles du LAN dans le pfsense3.

baalserv

@Malagan:

La route est déjà là…

SI votre route est la ligne juste en dessous de l'anti-lockout rule, alors ce n'est pas bon ! (ne n'est pas une route)

Avez vous mis une route dans : Menu SYSTEM | Routing puis onglet ''Routes'' ?

EDIT : cf doc : https://doc.pfsense.org/index.php/Static_Routes

Malagan

Non, cette ligne est un règle inspirée ce post:
https://forum.pfsense.org/index.php/topic,66776.60.html

J'ai bien une route définie dans System - > routing

J'ai essayé aussi de Mettre l'option "Bypass firewall rules for traffic on the same interface" dans "System: Advanced: Firewall and NAT" mais rien n'y change…

Malagan

Bon, Voici un petit test que j'ai effectué:

J'ai vraiment l'impression que e problème viens du pare-feu…

Ping, Traceroute ainsi que HTTP/HTTPS fonctionne, mais pas le reste...

Je viens de tester les services web du bâtiment 2 vers le bâtiment 1; les services web sont accessibles et répondent.

Donc, ma route est bonne.

Il doit me manquer une règle précise à mettre dans le pare-feu afin que el trafic passe sous tous les protocoles...

baalserv

Bonjour,

J'ai trouver une option qui m'avait échapper, regarde si ça t'aide.

Dans system | Advanced | firewall/nat :

Static route filtering Bypass firewall rules for traffic on the same interface
This option only applies if you have defined one or more static routes. If it is enabled, traffic that enters and leaves through the same interface will not be checked by the firewall. This may be desirable in some situations where multiple subnets are connected to the same interface.

cordialement