Problème de connexion internet



  • Bonsoir,

    Je suis novice en pfSense et je rencontre des problèmes de connexions internet.

    A force de chercher pourquoi, je commence à douter de tout et malgré pas mal de lecture sur le forum, je ne trouve pas mes solutions. Souvent le début et rarement la fin :-(

    Soit, je vous fournis un schéma de mon infra et sur celle-ci les différents test ping que j'ai pu faire au départ d'un client LAN et au départ de pfSense avec l'interface LAN et WAN.

    Je fonctionne avec un serveur DHCP /DNS dans le LAN
    Mon modem ADSL est une B-BOX2 à laquelle j'ai désactivé le DHCP pour activé la fonction DHCP relay pour que ça pointe vers mon serveur DHCP.

    Dans l'attente de vos questions et réponses ;-)
    D'avance merci



  • Quelques ScreenShots de la config actuelle



  • salut salut all,

    N’étant pas un expert en réseau, je vous poserais qu'une question

    Et si vous faisiez une installation classique pour voir si cela fonctionne avant de partir sur un truc tordu ?

    Cela reste un avis qui n'engage que moi.



  • (Il n'y a rien de tordu)

    Je vois 2 erreurs importantes :

    • pourquoi utiliser de part et d'autre de pfSense le même adressage (192.168.10.x)
    • 2 gateway … ce qui n'a AUCUN sens !

    Les choses à faire :

    • la box ne doit avoir qu'UNE adresse (192.168.1.1)
    • le dns du pfsense doit avoir, prioritairement, la box (192.168.1.1)
    • le pfSense ne doit avoir qu'UNE gateway : gw_wan : supprimer gw_lan (par défaut en plus !)
    • le pfSense ne doit pas être serveur dhcp mais doit être "dns forwarder" (cf + bas)

    Pour le LAN, je suggère que le DC Windows soit serveur dhcp et dns.
    Le serveur dns du DC devra donc utiliser le pfSense ou la box ou plus loin comme "dns forwarder" (redirecteur en français).
    Et le DC devra avoir comme dns 127.0.0.1.
    Il faut bien sûr corriger les paramètres du dhcp !! (autre erreur)



  • Bonjour,

    Pourquoi avoir activé le DHCP relay sur la B-Box? Ca ne sert à rien.

    2 solution pour une installation comme la vôtre:

    • Désactiver le DHCP dans la B-Box et l'utiliser comme un simple routeur

    • Configurer la B-Box en mode "bridge" (du coup, elle sera transformée en simple modem) et configurer le pfSense pour faire du PPPoE

    La 2nde solution étant la meilleure.

    Pour configurer la B-Box en "bridge": http://patrick.vande-walle.eu/belgacom-bbox-2-tricks/bbox-2-in-bridge/

    Hope this helps.



  • @jdh:

    • pourquoi utiliser de part et d'autre de pfSense le même adressage (192.168.10.x)

    Tu me reprends si je me trompe mais il me semble que j'ai sur mon schéma
    LAN –> 192.168.10.0/24
    WAN --> 192.168.1.0/24

    Les choses à faire
    @jdh:

    • la box ne doit avoir qu'UNE adresse (192.168.1.1)

    J'ai retiré la seconde adresse 192.168.10.0

    @jdh:

    • le dns du pfsense doit avoir, prioritairement, la box (192.168.1.1)

    J'ai changé l'ordre
    DNS Server -> Use Gateway
    192.168.1.1 (router)-> GW_WAN - wan - 192.168.1.1
    192.168.10.5 (Serveur DHCP/DNS) -> GW_WAN - wan - 192.168.1.1
    195.238.2.21 (DNS FAI) -> GW_WAN - wan - 192.168.1.1
    195.238.2.22 (DNS FAI) -> GW_WAN - wan - 192.168.1.1

    @jdh:

    • le pfSense ne doit avoir qu'UNE gateway : gw_wan : supprimer gw_lan (par défaut en plus !)

    J'ai supprimé gw_lan

    @jdh:

    • le pfSense ne doit pas être serveur dhcp mais doit être "dns forwarder" (cf + bas)

    J'ai pas mis les screenshot mais
    DHCP: je n'ai qu'un serveur DHCP et c'est le Windows Server
    DNS FORWARDER était coché mais je ne sais pas si je dois encore coché d'autres truc sur cette page

    @jdh:

    Pour le LAN, je suggère que le DC Windows soit serveur dhcp et dns.

    Si je regarde ma config… c'est le cas non ?

    @jdh:

    Le serveur dns du DC devra donc utiliser le pfSense ou la box ou plus loin comme "dns forwarder" (redirecteur en français).

    Si je regarde ma config… c'est le cas non ?

    @jdh:

    Et le DC devra avoir comme dns 127.0.0.1

    Si je regarde ma config… c'est le cas non ?

    @jdh:

    Il faut bien sûr corriger les paramètres du dhcp !! (autre erreur)

    C'est à dire ? Si je regarde ma config… c'est le cas non ?
    La config local du serveur DHCP/DNS/DC est, comme indiqué sur le plan
    IP: 192.168.10.5 (fixe)
    Mask: 255.255.255.0
    GW:192.168.10.2 (pfSense LAN)
    DNS: 127.0.0.1



  • @psylo:

    Configurer la B-Box en mode "bridge" (du coup, elle sera transformée en simple modem) et configurer le pfSense pour faire du PPPoE

    Si j'applique cette solution, qu'en est-il de

    • Mon wifi ?

    • TV ?



  • Pour le DC en serveur DHCP, il ne devrait y avoir qu'un seul 006 Serveur DNS = le DC.

    Avec ces modifications, quels sont les résultats ?

    • test des 3 pings au niveau de pfSense
    • test des 3 pings au niveau du DC
    • test des 3 pings au niveau d'un PC du LAN

    Les tests des 3 pings s'effectuent, forcément, après avoir vérifié les 4 paramètres : ip, masque, gateway, dns ! (Par exemple sous Windows : ipconfig /all)

    Par exemple, avec les info du schéma, pour pfSense

    • ping 192.168.1.1 (=on accède à la gateway)
    • ping 8.8.8.8 (=on traverse la gateway)
    • ping google.fr (=on résoud correctement)

    L'enfer est dans les détails …

    NB : je suppose que la règle "par défaut" dans Firewall > Rules > onglet LAN est bien là.



  • Bon, voilà,

    Suite à vos 2 premiers posts, comme je l'ai indiqué, j'ai fais les modifications demandées mais ca n'avait pas l'air de bouger beaucoup. Mais c'est certainement plus propre.

    J'ai reset la B-BOX en config d'origine et désactiver le DHCP

    Plus de DNS relay, DHCP relay, IP 192.168.10.0/24

    Bref beaucoup de bazard en moins car a mon avis, l'ensemble devait se mordre la queue quelque part.

    A l'heure actuelle, le test des 3 pings sur les différents point du réseaux semblent OK.
    Je vais redémarrer tout l'infra et voir si tout reprend comme il faut avant de dire que c'est OK :-)

    Petite question au passage. Ou se fait le routing entre 192.168.10.0/24 et 192.168.1.0/24 ?



  • @vincentvv:

    A l'heure actuelle, le test des 3 pings sur les différents point du réseaux semblent OK.
    Je vais redémarrer tout l'infra et voir si tout reprend comme il faut avant de dire que c'est OK :-)

    Petite question au passage. Ou se fait le routing entre 192.168.10.0/24 et 192.168.1.0/24 ?

    Tout à l'aire de fonctionner après reboot, merci pour votre aide

    reste quelques petites questions en suspens

    • Ou se fait le routing entre 192.168.10.0/24 et 192.168.1.0/24 ?

    • Si je met la BBOX en mode bridge

      • Qu'advient-il du wifi ?

      • Qu'advient-il de la TV



  • L'erreur la plus importante était la double gateway ! Illogique, inutile, donc aberrant !

    Où se fait le routing entre 192.168.10.0/24 et 192.168.1.0/24 ?
    D'abord ce n'est pas du routing mais du NAT (ou "masquerade") !
    Et comme il n'y a qu'une machine qui ait 2 adresses (une en 192.168.10, l'autre en 192.168.1), il n'y a guère de doute possible …

    Il serait bon de lire Christian CALECA ...



  • J'en prends note ;-)



  • @vincentvv:

    @psylo:

    Configurer la B-Box en mode "bridge" (du coup, elle sera transformée en simple modem) et configurer le pfSense pour faire du PPPoE

    Si j'applique cette solution, qu'en est-il de

    • Mon wifi ?

    • TV ?

    Juste un petit UP pour la question ici :-)

    Il faut penser à ajouter des règles sur la BBOX quand on fait du Port Forwarding du pfSense ?? Voir mes problèmes pour eMule ICI



  • @vincentvv:

    @psylo:

    Configurer la B-Box en mode "bridge" (du coup, elle sera transformée en simple modem) et configurer le pfSense pour faire du PPPoE

    Si j'applique cette solution, qu'en est-il de

    • Mon wifi ?

    • TV ?

    Le WiFi ne sera plus disponible… Comme c'est le cas en laissant la box en mode routeur... Enfin, si, en mode routeur, il reste la possibilité d'avoir du WiFi mais les clients seront connectés dans le WAN et non dans le LAN... Bref, solution non viable... Sauf pour un WiFi guest en dehors du LAN...

    Pour la TV, Belgacom envoie les flux TVoIP sur un VLAN différent. En configurant la B-Box en mode bridge, vous ne toucherez qu'à la configuration internet et pas TVoIP. Donc, vous pourrez toujours regarder la TV...

    De toutes façons, si un problème se pose, il vous sera toujours possible de revenir en arrière en faisant un "reset to factory default".

    Last but not least, si vous avez activez le "Belgacom FON", en basculant en mode bridge, je pense - mais c'est à confirmer - que ce ne sera plus disponible...

    Hope this helps.



  • @vincentvv:

    @vincentvv:

    @psylo:

    Configurer la B-Box en mode "bridge" (du coup, elle sera transformée en simple modem) et configurer le pfSense pour faire du PPPoE

    Si j'applique cette solution, qu'en est-il de

    • Mon wifi ?

    • TV ?

    Juste un petit UP pour la question ici :-)

    Il faut penser à ajouter des règles sur la BBOX quand on fait du Port Forwarding du pfSense ?? Voir mes problèmes pour eMule ICI

    Nos posts se sont croisés.

    Pour la redirection de port, oui, il faut aussi le faire sur la B-Box si elle reste en mode routeur… Par contre, plus besoin de le faire en mode bridge vu que l'IP publique sera directement sur le pfSense...

    Hope this helps



  • Bonjour ,

    si tu parles bien bbox de Bouygues pas de mode bridge possible
    il faut passer par la DMZ & c'est pas la joie

    Bon courage



  • @sagem2004:

    Bonjour ,

    si tu parles bien bbox de Bouygues pas de mode bridge possible
    il faut passer par la DMZ & c'est pas la joie

    Bon courage

    Je suis en Belgique donc c'est la B-Box2 Sagem. Je sais pas si c'est la même et encore moins si Belgacom la bride de la même manière.
    Dès que j'ai un peu de temps, je vais me pencher sur ce dossier mais la, je suis un peu peu surbook et pas le temps de me pencher sur le network@home amlgré que j'en ai bien envie :-)



  • @psylo:

    @vincentvv:

    @psylo:

    Configurer la B-Box en mode "bridge" (du coup, elle sera transformée en simple modem) et configurer le pfSense pour faire du PPPoE

    Si j'applique cette solution, qu'en est-il de

    • Mon wifi ?

    • TV ?

    Le WiFi ne sera plus disponible… Comme c'est le cas en laissant la box en mode routeur... Enfin, si, en mode routeur, il reste la possibilité d'avoir du WiFi mais les clients seront connectés dans le WAN et non dans le LAN... Bref, solution non viable... Sauf pour un WiFi guest en dehors du LAN...

    Pour la TV, Belgacom envoie les flux TVoIP sur un VLAN différent. En configurant la B-Box en mode bridge, vous ne toucherez qu'à la configuration internet et pas TVoIP. Donc, vous pourrez toujours regarder la TV...

    De toutes façons, si un problème se pose, il vous sera toujours possible de revenir en arrière en faisant un "reset to factory default".

    Last but not least, si vous avez activez le "Belgacom FON", en basculant en mode bridge, je pense - mais c'est à confirmer - que ce ne sera plus disponible...

    Hope this helps.

    Dans ma config, la bbox a le DHCp est désactivé et le Wifi actif ainsi que la TV.
    Mon pfSense a une adresse IP introduite manuellement 192.168.1.2
    Ma B-Box a son adresse de base 192.168.1.1
    Mon Wifi fonctionne et tous les post portable on t leur adresse attribué par le Serveur DHCP, ce qui donne à tous les postes une adresse LAN
    Ma TV fonctionne
    Mon FON fonctionne

    Je ne suis pas en mode routeur ?? Je suis en quoi alors ?



  • Une box fournit la TV, un réseau Wifi; est généralement en mode routeur; propose une "DMZ" (renvoi de tous les flux vers une machine).

    Avec un firewall pfSense (ou autre), il est clair que

    • le wifi ne peut plus être inutilisé parce que non protégé par le firewall,
    • la TV n'aura pas accès à des machines dans le LAN,
    • le mode "le meilleur" pour un firewall est le mode bridge de la box, mais pour le standard, le mode routeur est très acceptable (surtout avec la DMZ de la box).


  • @jdh:

    Une box fournit la TV, un réseau Wifi; est généralement en mode routeur; propose une "DMZ" (renvoi de tous les flux vers une machine).

    Avec un firewall pfSense (ou autre), il est clair que

    • le wifi ne peut plus être inutilisé parce que non protégé par le firewall,
    • la TV n'aura pas accès à des machines dans le LAN,
    • le mode "le meilleur" pour un firewall est le mode bridge de la box, mais pour le standard, le mode routeur est très acceptable (surtout avec la DMZ de la box).

    OK, je comprends bien le principe mais ce que je ne comprends pas alors (probablement pas le bon forum pour en discuter mais bon, vu qu'on est lancé) c'est que mon Wifi est déployé par la BBOX et le DHCP par mon windows server qui se trouve dans le LAN.

    • Les post clients workstation / laptop recoivent, qu'ils soient connecté par cable ou par wifi, l'adresse IP du DHCP server, ils ne sont donc pas tous les 2 protégés par le firewall ??
    • Les 2 recoivent pourtant bien une adresse LAN.


  • Voilà

    Pour tenter d'être plus clair, j'ai fais un schéma physique de l'infra.
    Car si j'en crois mes adresses IP le WIFI est bel et bien dans le LAN (192.168.10.0/24) et non dans la WAN (192.168.1.0/24)

    edit by vincentvv
    Erreur dans le schéma le gros vert aurait du etre gros rouge (c'est corrigé dans un post ultérieur)



  • Si le schéma correspond à la réalité, Pfsense ne sert à rien. Ou alors le trait rouge n'est pas à sa place ??



  • @ccnet:

    Si le schéma correspond à la réalité, Pfsense ne sert à rien. Ou alors le trait rouge n'est pas à sa place ??

    En gros dans ma config, la config du pfSense, ne me gêne que moi LAN>WAN et aucunement de WAN>LAN ??

    Car lorsque je fais un tracert, je passe bien par le pfSense.

    Tracert LAN
    1    <1 ms    <1 ms    <1 ms  HOMEMULTIMEDIA [192.168.10.11]

    Tracert WAN
    1    <1 ms    <1 ms    <1 ms  pfsense.vvnet.local [192.168.10.2]
    2    1 ms    1 ms    <1 ms  b-box2.vvnet.local [192.168.1.1]
    3    28 ms    28 ms    28 ms  1.0-241-81.adsl-dyn.isp.belgacom.be [81.241.0.1]
    4    *      29 ms    29 ms  242.242-183-91.adsl-static.isp.belgacom.be [91.183.242.242]
    5    29 ms    29 ms    43 ms  ae-24-1000.iarstr1.isp.belgacom.be [91.183.246.112]
    6    *        *        *    Request timed out.
    7    *      34 ms    *    94.102.162.65
    8    44 ms    42 ms    43 ms  94.102.162.204
    9    41 ms    41 ms    41 ms  74.125.50.21
    10    41 ms    41 ms    41 ms  209.85.240.63
    11    42 ms    42 ms    41 ms  209.85.253.196
    12    51 ms    47 ms    54 ms  66.249.95.173
    13    47 ms    55 ms    47 ms  72.14.238.41
    14    *        *        *    Request timed out.
    15    47 ms    47 ms    47 ms  google-public-dns-a.google.com [8.8.8.8]



  • D'après le schéma il n'y a que la patte lan qui est connectée donc il ne sert à rien puisque wan est en direct sur un switch.



  • @ccnet:

    D'après le schéma il n'y a que la patte lan qui est connectée donc il ne sert à rien puisque wan est en direct sur un switch.

    Désolé, je comprends vite mais il faut m'expliquer longtemps. Dès fois le franc met du temps a tomber :-(

    La pate WAN du pfSense est sur le HUB 1 (192.168.1.2)
    La pate LAN du pfSense est sur le même HUB 1 (192.168.10.2)
    Les ranges sont tout de même différents et sont pas censé discuté entre eux du coup, si les chemins sont bon, ca doit aller non ?? Pour la sortie, ca suit le bon chemin.

    Lorsque je fais un tracert
    LAN > LAN –> je suis en direct entre les clients sans passer par le pfSense
    LAN > WAN --> je passe par pfSense LAN > pfSense > BBOX > Internet
    BBOX > WAN ou LAN --> je sais pas comment tester

    On s'est probablement mal compris du a une erreur de ma part
    Il y a une erreur surle Schéma, le gros vert devrait être gros rouge car c'est le réseaux entre pfSense et BBOX WAN

    C'est plus realiste comme ça je pense (et je pense quand tu parlais que la pate WAN n'était pas connectée, c'était de ça que tu voulais parler)
    Finalement les couleurs nous ont plus embrouillée qu'autre chose, sorry :-(



  • Le schéma montre l'étendue de l'incompréhension !!!

    Le Wifi de la Box NE DOIT PAS être utilisé (et NE PEUT SURTOUT PAS avoir le même adressage du lan derrière pfSense) : c'est typiquement un "court-circuit" !!

    Internet <-> Box (mode routeur) (sans wifi) <-> (WAN) pfSense (LAN) <-> réseau

    La carte WAN du pfSense doit être relié directement à la box, la box NE DOIT pas être relié au switch.
    La carte LAN de pfSense doit être relié au switch, et doit être rajouté un point d'accès wifi dans le LAN (ou à une carte ethernet supplémentaire dans pfSense).

    Ce n'est qu'à cette organisation réseau que vous éviterez les bazars liés à votre schéma incorrect et incompris !



  • Nos posts se sont croisés. j'ai modifié le schéma avec le gros lien rouge entre swicth et BBOX

    @jdh:

    Le schéma montre l'étendue de l'incompréhension !!!

    Le schéma avec une erreur montre une étendue de l'incompréhension totale, je suis d'accord avec toi vu que le wan est connecté a rien et ne sort pas (du moins si l'on en croit les couleurs)

    Le schéma corrigé, que j'appellerai 2 montre que le pfSense est connecté sur le même switch que le LAN et que ce switch est connecté à la BBOX
    C'est la que vous vous emballez et que j'essaie de comprendre ce que vous me dites vu que lorsque je fais mes tracert, ils sont bon.
    Pour ma part, vous m'arretez si je ne me trompe, un switch commute l'info dans la bonne direction et du coup, il sait faire la différence entre les infos reçu du LAN qui vont vers le WAN et les autres.

    @jdh:

    Le Wifi de la Box NE DOIT PAS être utilisé (et NE PEUT SURTOUT PAS avoir le même adressage du lan derrière pfSense) : c'est typiquement un "court-circuit" !!

    Internet <-> Box (mode routeur) (sans wifi) <-> (WAN) pfSense (LAN) <-> réseau

    La carte WAN du pfSense doit être relié directement à la box, la box NE DOIT pas être relié au switch.
    La carte LAN de pfSense doit être relié au switch, et doit être rajouté un point d'accès wifi dans le LAN (ou à une carte ethernet supplémentaire dans pfSense).

    Ce n'est qu'à cette organisation réseau que vous éviterez les bazars liés à votre schéma incorrect et incompris !

    Je comprends bien ce que tu me dis en disant que dans le "best practice", il serait bien d'avoir la version cablé suivante
    LAN <–> SWITCH <--> pfSense <--> BBOX <--> Internet et effectivement ce n'est pas le cas chez moi

    Pourtant, si je suis le schéma corrigé, effectivement j'ai bel et bien WAN et LAN sur le même switch
    quand je fais des tracert au départ du wifi, j'ai bien une adresse attribuée du LAn et je passe bien par le pfSense pour sortir sur le net et je suis en direct entre LAN

    Tracert au départ d'un client WIFI
    Accès vers le net donne : LAN > pfSense > BBOX > INTERNET
    Accès entre client LAN donne: LAN > client LAN

    p.s. Désolé si je vous gonfle avec ça mais les tracert m'indique que c'est bon par rapport à la physique que vous me dite incorrect. C'est ce que j'essaie de comprendre et que vous arrivez pas a expliquer a part en disant que ça DOIT être ainsi ou ainsi.



  • Mwè… 'videmment en connectant le LAN et le WAN du pfSense sur le même switch (sans VLAN je suppose), c'est normal que vos clients WiFi soient dans le même adressage que votre LAN... Tout comme c'est normal que vos clients LAN passent par le pfSense puis par la B-Box...

    On mélange allègrement couche 1 (câblage) et couche 3 (IP) du modèle OSI... :|

    Alors, maintenant, pourquoi? crache dans ses mains

    Donc, avec le LAN et le WAN connecté sur le même switch/HUB, l'entièreté du trafic passe sur le même média (couche 1). La seule séparation est une séparation logique avec les adresses IP (couche 3). Or, le WiFi de la B-Box se situe dans la couche 1 => les clients sans fils reçoivent une IP (couche 3) de votre serveur.

    Le tracert, c'est du couche 3 donc il est normal que ça passe par le pfSense… Voilà pourquoi ils vous semblent bons.

    Pourquoi ne pas connecter comme suit?

    • le LAN du pfSense sur le switch/hub

    • le WAN du pfsense sur la B-Box

    A ce moment-là, les 2 réseaux sont physiquement séparé (donc, ségrégation de la couche 1). Du coup, les client wireless de le B-Box ne recevront plus d'IP de votre serveur…

    Si vous ne refaites pas les connexions comme expliquer plus haut, votre pfSense ne sert à rien... A part à compliquer le brol...

    Hope this helps.



  • Merci pour l'explication théorique. Je comprends mieux maintenant.
    Mon copain OSI, j'en avais entendu parlé mais pas encore confronté… maintenant c'est fait et ça éclaircit les choses :-)

    Cela dit, je corrigerai ces erreurs ce we car, j'ai besoin de mon WIFI pour le moment.

    Je vous tiens au courant dès que c'est fait pour les prochaines aventures :-)



  • @vincentvv:

    […]
    Mon copain OSI, j'en avais entendu parlé mais pas encore confronté… maintenant c'est fait et ça éclaircit les choses :-)
    […]

    Auquel cas je vous conseille de lire ça: http://www.frameip.com/osi/

    Le modèle OSI n'est rien d'autre que la base des réseaux informatiques… Or Donc...



  • salut salut

    j'aurais aussi cité ce site la http://christian.caleca.free.fr/ si cela n'a pas déjà été fait au cas ou.



  • Je comprends bien ce que tu me dis en disant que dans le "best practice", il serait bien d'avoir la version cablé suivante
    LAN <–> SWITCH <--> pfSense <--> BBOX <--> Internet et effectivement ce n'est pas le cas chez moi

    Non, non, ce n'est du domaine des "best practice" : votre schéma (avec wifi sur box du même réseau que LAN derrière pfSense ou avec LAN et WAN sur le même switch) est de nature à faire le bazar ! (2 erreurs à ne surtout pas faire, quand même !)

    C'est juste à supprimer tout de suite : un point d'accès wifi coute ~30€ (et est souvent plus performant que le wifi d'une box).
    Le gain sera un schéma simple, sans problème, … et ça ça vaut largement les 30€ !


Log in to reply