Règle de routage entre 2 réseaux PFSense

jdh

Quelle obscure clarté ! (oxymore)

Un débutant, qui lit juste un peu les docs du site, sait que

• les règles sont dans Firewall > Rules > onglet (interface d'arrivée du 1er paquet)
• les règles sont testées de haut en bas

Si vous souhaitez être aidé, il est TRES judicieux de fournir des informations, en particulier une copie d'écrans des règles de l'onglet ETUDIANT !
C'est vraiment pas du boulot de poser une question sans AU MINIMUM fournir cette information basique !

ccnet

C'est vraiment très léger comme présentation et approche des besoins. Il y a un minimum de règles à mettre en place dans toutes configurations. On ne sait pas ce que vous avez fait ou pas dans votre cas. Si vous n'avez rien fait tout est normal. Pour l'usage des règles il n'y a rien à "retourner dans tous les sens". Il y a une documentation, un fonctionnement précis à connaitre (Cf post jdh) et un peu de méthode de travail à appliquer.

lg750

Merci pour vos réponses.

Je sais comment fonctionnent les règles, ainsi que l'emplacement où elles se trouvent, j'en ai d'autres qui tournent sans souci.
Sur la capture ci-dessous vous trouverez un aperçu de mon interface, peut être que ça vous apportera les renseignements nécessaires.

Concernant les règles que j'ai "retourné dans tous les sens" j'ai essayé de faire un règle qui autoriserait l'accès à mon réseau FPC via mon IP sur le réseau étudiant, une règle qui lierait les 2 réseaux, une règle qui autoriserait le ping entre les deux (ne serait-ce que pour voir si ça fonctionne), etc. J'ai donc bel et bien retourné les règles dans tous les sens.

Concernant mon premier post il avait pour but d'introduire mon problème, je ne sais pas quelles informations sont nécessaires pour aiguiller d'éventuels professionnels de PFSense qui accepteraient de m'aider. Au fur et à mesure des réponses, je peux évidemment fournir les informations requises.

Je débute dans le monde de l'administration de réseau et qui plus est avec ce PFSense que je ne connais que très peu, il va donc de soit que mes posts peuvent paraitre incomplets.

Cordialement,

LG

ccnet

Sur la capture ci-dessous vous trouverez un aperçu de mon interface, peut être que ça vous apportera les renseignements nécessaires.

Je ne la vois pas.

je ne sais pas quelles informations sont nécessaires

Adressage, schéma, topologie physique, configuration Pfsense … Liste non limitative

baalserv

Dans l'autre fil (celui du torrent) Jdh et moi vous avons expliquer comment fonctionne les règles de FW sous PF

Il n'y a aucune ''magie'' ni ''truc/astuce''

SEULEMENT de la logique à appliquer ''bêtement'' pour peut que l'on ai identifier les besoins réel ^^

Je vous ai d'ailleur vivement recommander de réecrire TOUTES vos règles selon les conseils donner !!

L'avez-vous fait ?

lg750

Oui oui j'ai refait l'ensemble des règles que j'avais et surtout ai enlevé les règles inutiles, je n'ai plus aucun problème avec les règles existantes ;) .
C'est avec ma nouvelle problématique que je ne trouve pas de solution.

PS: j'ai rechargé le PJ de mon post précédent.

ccnet

La copie d'écran est présente. Rien de plus. Méthode, organisation, rigueur … où sont les données du problème ?

lg750

Vous trouverez en PJ le schéma de mon réseau.
Bon depuis mon poste (client 1 en 192.168.11.199) j'arrive à envoyer un ping vers 192.168.11.12 mais pas vers 192.168.1.3.
Cependant, depuis 192.168.11.12 je peux émettre un ping vers 192.168.1.3.
Logiquement les réseaux 192.168.11.0/24 et 192.168.1.0/24 étant reliés, je dois pouvoir accéder à 192.168.1.3 depuis mon client sur le réseau 192.168.11.0/24.
Ci-après, quelques screenshot des essais de règles que j'ai fait, sans succès.

jdh

Sur l'image fourni en post 4 (capture.png),

• la règle 0 est standard,
• les règles 1 et 2 me semblent correctes,
• les règles 3 et 4 sont incorrectes puisque ces règles comportent le caractère '*' dans la source (alors que ce devrait être ETUDIANT (sub)net) : à quoi correspondent-elles ?

Il ne faut avoir QUE les règles utiles !
Je préconise aussi de forcer le reload des règles par Status > Filter Reload.
Le fait que vous ayez repris les règles 3 et 4 montrent que vous ne maitrisez pas encore suffisamment pfSense !

Un règle telle que ESSAI1.png doit fonctionner (même si j'écrirais plutôt via un alias la destination lanFPC = 192.168.1.0/24).
Pourquoi pas une règle simple : tcp=ipv4 / proto = icmp+all / source = ETUDIANT subnet / destination = alias - lanFPC / description = e2f ping ?
Une telle règle permet le ping de ETUDIANT vers FPC (= e2f).

lg750

Merci beaucoup pour votre réponse plus que complète :)

En effet, inutile de vous le confirmer mais je maitrise PFSense de manière insuffisante.

Concernant les règles 3 et 4 ce n'est pas moi qui les ai mise en place et mon collègue m'a affirmé qu'elles étaient utiles… Je lui en toucherai mot dès son retour.

A propos de votre proposition de règle, j'essaye de mettre ça en place demain, encore merci.

lg750

Bonjour JDH,

J'ai essayé de mettre en application votre règle mais malheureusement ça ne fonctionne pas (ni le ping, ni l'accès via mstsc).
Ci-après les screenshot de la mise en place.

jdh

Pour regarder ce qu'il se passe, on peut utiliser Diagnostics > Packet Capture.

A un ping doit correspondre ICMP Request + ICMP Reply.

Quand tout semble bon et que cela ne fonctionne pas, il faut TOUT regarder DEPUIS LE DEBUT en ne considérant rien comme acquis.
Il y a, bien souvent, un mauvais réglage dans une partie que l'on ne regarde pas parce qu'on la considère comme bonne.
Par exemple, en se trompant sur un masque d'une interface, beaucoup de choses vont fonctionner puis une ne fonctionnera pas …

NB : Les règles 3 et 4 sont mauvaises, cela fait au moins 3 fois que je l'écris ...

lg750

J'ai bien compris que les règles 3 et 4 sont mauvaises, mais je ne peux pas me permettre de les modifier sans consulter mon collègue qui les a mise en place !

Concernant packet capture, je ne comprend pas son fonctionnement.

ccnet

Quand tout semble bon et que cela ne fonctionne pas, il faut TOUT regarder DEPUIS LE DEBUT en ne considérant rien comme acquis.

Je confirme à 100%. Se méfier aussi des options activées mais pas utilisée. Par exemple IP V6 activé, une règle de nat qui traîne, un "block private network" sur une interface, une erreur sur une gateway, une gateway renseignée là où il n'en faut pas, …
La liste est logue et non limitative. Bref il faut en effet TOUT regarder depuis le début et supprimer ce qui ne sert à rien.

lg750

Merci, je vais continuer à fouiller dans les divers onglets du PFSense, et je verrai avec mon collègue à son retour le pourquoi du comment concernant les règles qu'il a créé.
En attendant, je cherche toujours à accéder à mon 2ème réseau depuis un client du 1er réseau, mais sans succès jusque-là…

lg750

Bonjour,

J'ai vu avec mon collègue et selon lui les deux règles fonctionnent. L'une sert à permettre le ping et l'autre à l'agrégation de lien entre nos deux réseaux.
A noter que lorsque je désactive la règle de ping, tout continue de fonctionner, mais selon lui au bout d'un moment ça ne fonctionnera plus…
Je vous mets en P-J les règles en détail ainsi que le schéma réseau si ça peut vous aiguiller.
Qu'en pensez-vous ?

Cordialement,

Loïc

jdh

Je répète que, pour un onglet donné, les règles DOIVENT (/DEVRAIENT) avoir une source qui correspond à l'onglet !
Donc la règle 3 devrait être écrite avec source=ETUDIANT subnet !

Quand à la règle 4, la source indiquée est (NOT any). Je peux penser que rien ne correspond à ce type de définition !
Enfin c'est une règle tout protocole : à déconseiller.

Le moins qu'on puisse dire, c'est que votre collègue est assez fâché avec pfSense puisqu'il ne respecte pas les bonnes habitudes.

Ce fil a trop duré : ce n'est pas à nous, lecteurs, de vous tenir le bras : prenez vous en charge !!

lg750

J'ai bien compris votre point de vue et je suis d'accord avec vous. Comme vous l'avez peut-être compris, il y a un turnover important au service informatique et par conséquent des divergences d'opinions ou d'habitudes… D'autant que les uns après les autres à passer par ce service sommes alternants en études informatiques et, par essence, pas forcément au points avec tous les éléments qui composent un réseau.

Ce fil à trop duré ? A quoi sert un forum d'entraide si au bout de deux pages on estime qu'un sujet à suffisamment existé ?

Cordialement,

ccnet

par conséquent des divergences d'opinions ou d'habitudes…

Un service informatique ne fonctionne pas avec des opinions ou des habitudes, mais avec des méthodes, des normes, des procédures, bref de l'organisation.

A quoi sert un forum d'entraide

Il sert à donner le coup de pouce pour débloquer une situation où celui qui est aux commandes a épuisé tout ce qui est raisonnable. Ceci avec méthode.
https://forum.pfsense.org/index.php?topic=9708.0
https://forum.pfsense.org/index.php?topic=69908.0

Il en ressort que les participants devraient avoir une maitrise suffisante des fondamentaux. Nous ne sommes pas là pour remédier aux manques de connaissance de base des participants, ni pour servir des recettes toutes faites. Cela dit il arrive très souvent que nous reformulions des évidences, des règles de bases et en général lorsqu'elles sont comprises et assimilées, puis appliquées au cas de l'intervenant, alors les choses vont beaucoup mieux.

J'ai vu avec mon collègue et selon lui les deux règles fonctionnent.

Le véritable problème est la pertinence de ces règles. Une règle du type "Any Any Accept" sur wan fonctionne aussi. On peut discuter de sa pertinence.
Restez sur vos positions tant que vous voudrez, nous n'avons pas les moyens de vous en faire changer. A quoi sert un forum si vous ne faites rien de ce que l'on explique et propose ?

lg750

@ccnet:

par conséquent des divergences d'opinions ou d'habitudes…

Un service informatique ne fonctionne pas avec des opinions ou des habitudes, mais avec des méthodes, des normes, des procédures, bref de l'organisation.

Malheureusement vous aurez compris que ce n'est pas moi qui décide de qui à tort ou qui a raison dans le service où je travaille. D'autant que la question n'est même pas là, je ne suis pas assez expérimenté pour décider et juger le travail de chacun.
Je serais le premier partant s'il fallait instaurer plus de rigueur et des démarches plus protocolaires, cependant je ne peux qu'appliquer les directives qu'on me donne et tenter de faire de mon mieux pour changer les habitudes.

A quoi sert un forum d'entraide

Il sert à donner le coup de pouce pour débloquer une situation où celui qui est aux commandes a épuisé tout ce qui est raisonnable. Ceci avec méthode.
https://forum.pfsense.org/index.php?topic=9708.0
https://forum.pfsense.org/index.php?topic=69908.0

Il en ressort que les participants devraient avoir une maitrise suffisante des fondamentaux. Nous ne sommes pas là pour remédier aux manques de connaissance de base des participants, ni pour servir des recettes toutes faites. Cela dit il arrive très souvent que nous reformulions des évidences, des règles de bases et en général lorsqu'elles sont comprises et assimilées, puis appliquées au cas de l'intervenant, alors les choses vont beaucoup mieux.

J'ai conscience du travail d'aide que vous faites mais ne soyez pas trop rude avec les personnes trop peu expérimentées à votre goût, chacun a ses connaissances et celles que l'on veut bien lui laisser assimiler.

J'ai vu avec mon collègue et selon lui les deux règles fonctionnent.

Le véritable problème est la pertinence de ces règles. Une règle du type "Any Any Accept" sur wan fonctionne aussi. On peut discuter de sa pertinence.
Restez sur vos positions tant que vous voudrez, nous n'avons pas les moyens de vous en faire changer. A quoi sert un forum si vous ne faites rien de ce que l'on explique et propose ?

Je ne comprend pas ce que vous me reprochez, je ne campe sur aucun position étant donné que je n'en ai prise aucune. J'essaye juste de jongler tant bien que mal entre les réponses pertinentes et professionnelles que vous m'apportez et les réalités auxquelles je suis confronté en matière de relations sociales avec mon entourage professionnel.

Quoiqu'il en soit j'ai réglé une partie du problème, je ne pouvais faire de ping vers mon deuxième réseau (FPC) car je ne suis pas enregistré sur le domaine (bien que j'ai accès à tout mon réseau ETUDIANT). Élément mis à part, si j'utilise un poste enregistré sur le domaine étudiant, je peux faire un ping vers mon serveur FPC (lui-même sur le domaine FPC) mais pas l'atteindre à travers le service mstsc.

Cordialement,