Règle d'accès au réseau LAN depuis le WAN ne fonctionne pas



  • Salut je suis désolé d'avance si mon sujet traite d'un problème déjà évoqué.
    Le fait est que j'ai mis en place un firewall avec pfsense  pour sécurisé le réseau de l'entreprise dans laquelle je suis en stage actuellement. Sur l'interface LAN j'ai écris quelques règles d'accès qui fonctionne correctement .
    Il ya quelque jour le patron voudrai que j'autorise quelque personne a pouvoir accéder à notre serveur web interne depuis le WAN.J'ai donc écris la règle correspondante sur l'interface WAN.mais cela ne fonctionne pas.j'ai aussi effectuer un Nat mais cela ne fonctionne toujours pas.
    Sur le log du firewall je ne vois que la règle "Default deny rule IPv4" qui bloque l'accès .J'ai voulu supprimer cette règle dans le fichier tmp/rule.debug mais j'y arrive pas.
    L'arichictecture du réseau se présente ainsi:
    WAN SUBNET–----------Pfsense----------------LAN subnet
    J'y ai ajouté les cature des règles écrites.
    Merci à tous ceux qui voudront bien m'aider






  • Dans la seconde copie d'écran à quoi correspond l'alias Webserver ?



  • Cela correspond au serveur web interne que je veux accéder depuis le WAN



  • Compte tenu du peu d'informations fournies, il m'est impossible de me faire une opinion et, partant, de proposer des pistes.

    pouvoir accéder à notre serveur web interne depuis le WAN.J'ai donc écris la règle correspondante sur l'interface WAN.mais cela ne fonctionne pas.j'ai aussi effectuer un Nat

    Mauvaise démarche (mauvais ordre), sans doute par défaut de recherche.

    Je veux que WAN accède à une machine interne (en DMZ) => je fais un NAT Port Forward (et la règle de Rules > onglet WAN sera créé toute seule).
    cf https://doc.pfsense.org/index.php/How_can_I_forward_ports_with_pfSense
    Rien que le début :

    Forwarding ports on pfSense is a fairly simple process. When adding a port forward, you must also add a firewall rule to allow traffic in to the internal IP address designated by the port forward. There is an option to automatically add this rule when creating a port forward definition.

    Cela parait très clair.



  • merci jdh pour ta reponse. je croyais pour écrire la règle correspondante par moi même.Est -ce une possibilité?
    Désolé pour les questions bête.je vais de ce pas refaire le port forwading



  • Salut j'ai refais le port forwading en conservant la création de règle associé au NAT mais je n'arrive toujours pas à accéder à mon serveur interne.Un peu d'aide s'il vous plait.



  • L'IP publique est-elle directement sur l'interface WAN du pfSense? Ou y a-t-il un routeur en amont du pfSense?



  • Compte tenu du peu d'informations fournies,

    Il fait maintenant que les lecteurs demandent les infos ….



  • Non.Il y a un routeur en amont qui est relié à l'interface WAN de pfsense.Désolé du peu d'information.
    L' architecture est le suivant.
    FAI–-------Routeur WAN----------------------pfsense-----------------LAN
    Merci



  • @gakoroace:

    Non.Il y a un routeur en amont qui est relié à l'interface WAN de pfsense.Désolé du peu d'information.
    L' architecture est le suivant.
    FAI–-------Routeur WAN----------------------pfsense-----------------LAN
    Merci

    Donc, il faut qu'il y ait aussi du port-forwarding sur le routeur…



  • Il est (devrait être) bien évident que si le routeur n'est pas correctement configuré rien ne peut fonctionner. Mais comme il n'y a toujours pas les infos pertinentes …



  • Salut.
    Sur le routeur je n'ai configuré aucun service dc pas de port forwading.
    Aussi il s'agit du routeur donné par le FAI.
    Quant à l'adressage le routeur est configuré avec l'adresse 192.168.0.3/24 et l'interface WAN du pfsense avec l'adresse 192.168.0.1/24
    L'interface WAN a pour passerelle l'adresse du routeur. j'ai pas configuré de route statique.
    Le serveur que je veux atteindre a pour adresse 192.168.2.253/24.
    C'est là toute information que je dispose.
    merci de votre aide



  • Salut salut

    N'avez vous pas une interface de type web (direct sur la box, ou indirect via le site du FAI) ?
    C'est par la qu il faut agir avec l'ouverture des ports et leurs bonne redirection, et de surcrois il y a coup sûr des doc ou des sites qui donne ma manière de faire.

    Cdlt.



  • Bonjour,

    @gakoroace:

    Sur le routeur je n'ai configuré aucun service dc pas de port forwading.
    ==> et donc les flux arrivent sur le wan de pf par magie ???

    Aussi il s'agit du routeur donné par le FAI.
    ==> Cela ne change rien aux principes de fonctionnement !

    Quant à l'adressage le routeur est configuré avec l'adresse 192.168.0.3/24 et l'interface WAN du pfsense avec l'adresse 192.168.0.1/24
    L'interface WAN a pour passerelle l'adresse du routeur.
    ==> jusque içi tout vas bien …

    j'ai pas configuré de route statique.
    ==> a priori et avec le peut d'info que l'on a, pas besoin de route statique

    Cordialement



  • Oui le routeur FAI est maniable via le web.je peux vérifier ce que vous dites Tatave.
    Il y a seulement le service DHCP qui est configuré sur le routeur.
    Le fait est que je ne plus de quel genre d'info vous avez besoin.je suis perdu
    Aider moi SVP sinon mon Boss va me virer.
    merci



  • Salut Salut

    Déjà petit récapitulatif, pour virer un stagiaire il en faut beaucoup quand même, c'est une personne qui est mieux protégé face à un employé, il y à le tuteur de stage qui est la ou sensé être la pour vous épauler quand vous êtes devant une difficulté en théorie.

    Ce que l'on vous dit depuis le début du poste, c'est votre manque de recule et de documentation sur le sujet, ne pas foncer tête baissée, et poser les bonnes questions dans le bon ordre.

    Poser le plan ou le schéma de la structure que vous voulez avoir la vous trouverez avec des test la ça marche , là çà marche pas
    Faire le point sur ce qui fonctionne et sur ce qui ne fonctionne pas et trouver pourquoi.
    Rechercher des info sur le web c'est bien, vos prof (bon sources d'info aussi), votre tuteur, vos cours.

    Il ne faut pas perdre de vu que vous êtes un stagiaire et en aucun cas un expert, vous êtes là pour mettre en pratique des concepts que vous avez vu en cours celà vous permettra de mettre le doigt sur vos vrai points à travailler.

    Nous sommes nombreux à avoir été stagiaire, que se soit durant des parcours dit classique ou sur de l'alternance.
    Même si pour certain l'alternant est du personnel, il n'en reste pas moins une personne qui apprend dans un cadre d'entreprise et avec une école ou un centre de formation.

    Cordialement.



  • Salut
    Merci tatave pour votre conseil.je vais continuer avec les recherches et revenir poser les bonnes questions
    Cdlt m6



  • Parmi les conseils utiles, le plus important est, certainement, d'apprendre à exposer correctement un problème.

    Pour exposer correctement un problème, il faut fournir des informations : ni trop, ni trop peu, (et nitroglycérine comme aurait dit Pierre Dac) !

    • schéma simplifié
    • adressage
    • fonctions des matériels
    • réglages effectués

    Il n'est absolument pas normal que les lecteurs demandent des infos !

    Par ailleurs, avec un routeur, il est normal d'imaginer que chaque flux entrant doit être autorisé via un réglage dudit routeur, et cela se fait naturellement via une interface web. Ca c'est basique.

    Enfin Seneque dit "il n'y a pas de vent favorable pour celui qui ne sait où il va" : lisez la doc, parcourez les forum pour connaitre les bonnes pratiques et les méthodes.



  • @jdh:

    Enfin Seneque dit "il n'y a pas de vent favorable pour celui qui ne sait où il va" : lisez la doc, parcourez les forum pour connaitre les bonnes pratiques et les méthodes.

    Si tu ne sais pas où tu vas, tu pourrais bien te retrouver ailleurs.
    Proverbe chinois ( :-) ) ou presque.



  • Heu … tous les chemins ne mènent pas à Rome ?

    ;D * ok je sort *  :-X



  • @ccnet : Je pense que c'est du Pierre DAC. Comme la remarquable pensée : Rien ne sert de penser, il faut réfléchir avant.

    Juste un peu de réflexion (et sans miroir) :

    Avec un schéma Internet <-> Routeur <-> (WAN) pfSense (LAN) <-> réseau interne, il parait assez évident que

    • DCHP sur le routeur est assez inutile si WAN de pfSense est correctement réglé en adressage statique,
    • tout flux réseau à destination d'un serveur au delà du pfSense (normalement en DMZ) devra "subir" 2 réglages : l'un sur le routeur et l'autre sur le pfSense.


  • Salut
    Désolé de recommencer à vous ennuyer
    Voici l'adressage du réseau
    Réseau WAN 192.168.0.0/24 gateway: 192.168.0.3
    Réseau LAN 192.168.2.0/24 gateway: 192.168.2.3
    Serveur web de production: 192.168.2.253

    Le Routeur a été paramétré avec les configurations donnés par le FAI( nom d'utilisateur et mot de passe).Un point d'accès wifi est aussi configuré sur le routeur

    Le Pfsense joue le rôle de firewall/routeur pour filtrer et router les trafics entrants et sortant du réseau

    Le serveur web est le serveur de production sur lequel l'on travaille dans l'entreprise

    Mon travail est de permettre à un utilisateur connecté sur le wifi coté WAN de pouvoir accéder au serveur web de production  dans le Lan et travailler.

    Voici ci-joins les schémas des différents réglages effectués et de l'architecture simplifié du réseau ainsi que les règles de filtrage paramétrés.



    ![LAN 1.PNG](/public/imported_attachments/1/LAN 1.PNG)
    ![LAN 1.PNG_thumb](/public/imported_attachments/1/LAN 1.PNG_thumb)




    ![LAN 2.PNG](/public/imported_attachments/1/LAN 2.PNG)
    ![LAN 2.PNG_thumb](/public/imported_attachments/1/LAN 2.PNG_thumb)



  • Enfin voilà des infos ! On espérait que vous saviez le faire, on aurait aimé que ce soit fait au début.

    Devant le WAN de pfSense, il y a donc 2 populations :

    • les PC sur Internet (donc via le routeur)
    • les PC sur le Wifi du routeur : "entre le routeur et le WAN".

    Sauf si le routeur permet la "reflection", il y a 2 grandes différences entre ces 2 populations qui fait qu'en général, on interdit le Wifi sur le routeur.

    • pour accéder à un serveur en deçà de pfSense, l'adresse ip (ou le nom) n'est pas la même,
    • les utilisateurs Wifi ne sont pas protégés par le firewall.

    De facto, selon l'origine, il y aura 2 config

    • config de pfSense, pour les 2 populations,
    • config du routeur, pour la population sur Internet.

    Un flux comme le VPN (OpenVPN=1194/udp) sera possible avec une config au niveau de pfSense et une config au niveau du routeur.
    L'accès à votre serveur web interne (LAN) sera possible avec une config au niveau de pfSense pour les seuls utilisateurs Wifi.

    Votre config n'est pas parfaite :
    Firewall > Rules > onglet LAN : règle 1 (dns), 7 (ntp) à ne pas faire, règle 10 (smtp) et 11 (smtps) à supprimer ou limiter (trop insecure), règle 3 et 4 (http/https) à remplacer par un proxy, règles 5,6,8 et 9 (pop/imap) à limiter (au seul serveur de l'entreprise !).
    Firewall > Rules > onglet WAN : règle 1 (openvpn) mauvaise destination, règle 2 (test) et 4 (?) inutile.

    Enfin votre réglage du routeur est mauvais (et ne risque pas de fonctionner).

    A noter que la règle 2 de Firewall > Rules > onglet WAN n'a guère de sens.



  • salut salut

    Au vu du schéma qui me parle mieux sur l'architecture

    J'aurais mis un point d’accès derrière le Pfsense coté réseau local et paramétrer le portail captif cela remet en cause la configuration du réseau.

    • Cela sécurise mieux les accès à votre serveur derrière le Pfsense
    • Je rejoins jdh dans le faite de rajouter un proxy mais aussi d'utiliser un annuaire pour la partie capive et le vpn.

    -wan- (le routeur de ton FAI)
    |
    |
    Pfsense –- serveur web
    |
    |
    |--- Point d'accès (AP)
    |
    |--- Serveur d'authentification (radius, ldap,kerberos)
    |
    |--- x clients de y systèmes en filaire

    • Comme cela les clients en filaire comme en sans fils pourront avoir accès aux autres services que votre entreprise ( impression / partage de fichier / erp ....)
    • Et d'autre point seul les clients qui passeront par internet auront a bénéficier des redirections d'adresses de ports qui vont biens a travers le routeur de ton FAI
    • Pour les VPN je ne suis pas suffisamment calé pour y répondre.
    • Autre réflexion si vos utilisateurs qui passe par le réseau local ou filaire (via authentification) n'auront pas besoin de vpn si je ne me trompe pas (à confirmer)

    Cela est une idée d'évolution et de sécurisation surement pas la meilleur mais légèrement mieux que de passer par le wifi du FAI qui est pour moi pas vraiment sécure.

    Cordialement.



  • Merci pour vos réponses jdh et tatave
    Pour jdh

    Un flux comme le VPN (OpenVPN=1194/udp) sera possible avec une config au niveau de pfSense et une config au niveau du routeur

    .
    En effet pour les PC sur internet j'ai prévu de configurer un tunnel VPN avec authentification RADIUS.
    je ne sais pas comment faire la config au niveau du routeur.Il s'agit d'un routeur TP LINK TD-W8960N

    Firewall > Rules > onglet WAN : règle 1 (openvpn) mauvaise destination

    La destination devrait être le réseau LAN

    Enfin votre réglage du routeur est mauvais (et ne risque pas de fonctionner).

    je n'ai pas bien compris ce niveau

    Est-ce que ma règle NAT devrait marcher?

    Pour la question de mise au point de portail captif  tatavej'y ai pensé mais mon patron a di non

    Devrait-je créer le proxy a part ou utiliser le ligthsquid, squid et squidgard de pfsense?
    merci de me donner du courage



  • salut salut

    si en plus les patrons ou le tuteur mets des battons dans les écrous ou vas ton ;o

    • une part car il gagnerait en protection et gestion de ces utilisateurs interne comme externe mais cela demande quand même de la gestion au quotidien
    • d'autre part coté gestion si sera plus lisible de gérer des user nomade (wifi ou internet) ou même fixe (en filaire) avec un annuaire avec un radius (peu importe si  c'est du nonose ou du nunux)
    • le vpn est un tunnel entre un point A et un point B mais qui nous dit que A est bien A pas Y ?

    Si vous rajoutez un module à Pfsense "j'entends déjà les grands manitouts du forum râler (a juste titre quand même) "Que cela va alourdir Pfsense et qu il va perdre aussi en efficacité au niveau de la protection "faire une seul chose mais le faire bien" c'est le concept que j'approuve soit dit en passant.

    Cela demande quoi ? Cela demande du temps pour conceptualiser la chose alors que prendre un peu de temps et réfléchir sur ce qui leur permettra de gagner du temps par après et sur tout de l'ARGENT / troll on / "CA les patrons, ils aiment ca l'ARGENT" / troll of/.

    En terme de cout une machine sous linux qui ne va avoir que cette charge de travail a faire même avec une machine de récupération  ( annuaire , proxy, radius, log et vpn) (des distrib clé en main existe aussi , si je me souvient bien SME faisait cela et le web en prime mais elle ne faisait pas le café).

    Personnellement je dématérialise mes machines de production et les transformes en machines virtuelles cela est aussi un gains en terme de cout sur le matériel et les licences (sauf nonose et appli sous licences) mais vous n'en êtes pas encore là.

    Autre chose en stage il faut aussi être sources de propositions, d'argumentations et ne pas rester un exécutant sans réflexion et imagination.

    Sur ce bon courage pour votre stage.



  • Votre config n'est pas parfaite :
    Firewall > Rules > onglet LAN :

    • règle 1 (dns), 7 (ntp) à ne pas faire = à supprimer et faire autrement,
    • règle 10 (smtp) et 11 (smtps) à supprimer ou à limiter (trop insecure) = uniquement vers le smtp de votre fai,
    • règle 3 et 4 (http/https) à remplacer par un proxy = mettre un proxy si nb pers>15,
    • règles 5,6,8 et 9 (pop/imap) à limiter (au seul serveur de mail de l'entreprise !).
    • page suivante : tous à limiter !
      Pourquoi autant de ports ouverts ? => a limiter fortement !!!

    Firewall > Rules > onglet WAN :

    • règle 1 (openvpn) mauvaise destination,
    • règle 2 (test) à supprimer et non sens,
    • règle 4 (?) inutile.

    Enfin votre réglage du routeur est mauvais (et ne risque pas de fonctionner). => Réfléchissez ! Ca NE PEUT PAS fonctionner !

    Je me suis donné la peine de lire et de commenter, ce n'est pas pour lire que ce serait faux !



  • Merci pour vos conseils. cela m'aide vraiment dans mon travail
    Actuellement le boss a opté pour le vpn et le portail captif
    Mon inquiétude actuel est que pour le vpn il faut configurer l'adresse du réseau distant pour le road warrior
    mais un utilisateur sur internet a une adresse publique fournit par le FAI. quel adresse doit- je mettre alors dans la configuration  du vpn .J'utilise open vpn pour la configuration du tunnel.
    Exple:
    Si je mais l'adresse réseau 192.168.1.0/24 pour le réseau distant et que l'utilisateur distant utilise un modem qui l'attribut une adresse différent de ce que j'ai mis comment se fera alors la connexion?

    Excuser moi si ma question semble bête.

    Merci pour votre soutient



  • Merci de clore d'abord ce sujet, dans ce fil.

    Certains se donnent la peine de vous répondre : il serait assez normal de leur indiquer si les problèmes sont résolus et de quelle manière.

    D'autre questions peuvent/doivent être posés dans un autre fil.
    Attention toutefois à poser des questions … dont la réponse ne se trouve pas dans la doc ou a été mainte fois exposé sur ce forum !



  • @gakoroace:

    Excuser moi si ma question semble bête.

    Nouveau problème alors ouvrir un nouveau fil et surtout LIRE LA DOC concernant openvpn en général. Des fois que l'on y explique les choses …



  • Merci de clore d'abord ce sujet, dans ce fil.

    Certains se donnent la peine de vous répondre : il serait assez normal de leur indiquer si les problèmes sont résolus et de quelle manière.

    Desolé jdh
    Le fait est que j'avais honte de revenir vous poser les même questions encore et encore après
    que vous ayez pris la peine de me donner les directives à suivre.
    Je n'ai pa pu résoudre le problème malgré que j'ai refais toute la configuration au niveau du pfsense.
    Je pense que mon vrai problème c'est au niveau de la configuration du routeur.
    De plus j'ai pu expliqué le fonctionnement du portail captif à mon boss et il a accepté.J'ai donc
    laissé l'autre idée pour le moment.
    Merci d'avoir pris la peine de répondre;vous m'avez été d'une grande aide.

    Concernant le tunnel j'ai parcouru certaines discussion sur le forum et lu la documentation sur openvpn
    mais j'ai pas toujours compris comment prendre en compte cet aspect dans la configuration.

    Je vais suivre vos conseils et parcourir encore une fois  les sujets concernant le vpn .
    Merci à vous tous



  • Si j'ai écrit que cela ne pouvait fonctionner, pour la config routeur, c'est qu'il y a une anomalie tout à fait évidente !

    A partir du moment où vous avez un routeur, il est forcément nécessaire de configurer celui-ci pour tous trafics entrants (et d'indiquer la cible).


Log in to reply