Une install PFSENSE presque fonctionnelle… mais détails qui marchent pas


  • Bonjour,

    J'ai déjà utilisé PFSense 1.x, auparavant ; je reviens dessus car je souhaite optimiser mon réseau et j'ai aussi besoin de filtrer les URL (donc disposer d'un proxy).
    Par ailleurs, je cherche aussi à sécuriser mon réseau perso, qui devient conséquent ; je me suis tourné naturellement vers PFSense.
    Je ne suis pas un pro du firewall mais j'en comprends l'essentiel. Je cherche de l'aide pour parfaire les manques et corriger mon install.
    A ce jour tout est installé, mais j'ai l'impression d'avoir mal fait et j'ai quelques soucis sur de petits aspects.
    Mon install est tout à fait commune… j'en conviens, nombreux sont ceux qui ont une topologie similaire...
    Je vous expose précisemment mon projet et vous demande humblement d'apporter les corrections ; je compte sur les "pointures" car tout fonctionne pas parfaitement à ce jour.

    TOPO:
    Internet<–----->82.246.xxx.xxx<---FIREWALL--->192.168.0.1=LAN1, ----->192.168.2.1=OPT1

    Cahier des charges:
    LAN1 est visible dans le OPT1
    OPT1 est visible dans le LAN1
    Ces deux réseaux sont différents pour répartir la charge ; l'un est dédié a un réseau de CAMip (OPT1).
    il n'y a pas de DMZ. J'ai deux servers DSM (synology) qui voient sur les 2 reseaux respectivement (croisés).
    Les ports 80,5000,5001,32400,7999 sont ouverts depuis le WAN et routés vers le LAN1, IP=192.168.0.25 (DSM1) ; d'autres vers le OPT1.
    Le port 443 est redirigé pour le portail webgui de PFSense
    Un proxy est a prendre en compte pour filtrer certaines adresses MAC (les enfants) à certaines heures… j'avoue ne pas avoir encore travaillé dessus...
    Je dois pouvoir acceder depuis internet à la gestion de mon Firewall sur un port spécifique (8181).
    Je dois pouvoir aussi utiliser mon adresse public 82.246.x.x depuis mon LAN1 ou mon OPT1.
    Voici ce que j'ai fait:







    Voici ce qui ne fonctionne pas:
    Pas possible d'utiliser mon IP public dans les LAN ; (sauf q'elle est redirigée vers le webgui PFSENSE… rien au niveau des ports)
    Pas possible d'accéder au Webgui de PFSENSE à partir d'Internet.
    Pas possible de pinger une adresse OPT1 vers LAN et inversement ; sauf les deux serveurs qui ont une patte sur chaque réseau.

    HELP !!!
    J'avoue que j'ai cherché dans les docs mais rien à fonctionné… il y a forcément des choses que je n'ai pas comprises.
    Merci à tous,
    J'attends vos retours.
    D'ailleurs je suis ouvert à toute motif dans l'optique d'un "pas bien fait" ou "pas secur" !!!
    Bien cordialement,
    TB


  • Bonjour,

    1/ le proxy sur un firewall c'est loing d'être top mais passe pour une utilisation At Home ^^

    2/ aucun intérer à séparrer le réseau des cams de votre Lan SURTOUT si c'est pour anéantir la sécurité inhérante à la séparation des réseaux et sert qu'à vous créer des problèmes

    3/ l'interface Opt1 serai bien plus approprier pour séparer les pc, tablettes, … des enfants à sécuriser et donc de n'activer le proxy + filtrage d'url seulement sur cette interface

    4/ plutôt que de transformer votre firewall en ''gruyère'' avec des ouvertures de ports, il est grandement préférable pour les accès distant d'utiliser OpenVpn pour avoir de façon sécure un accé à votre Lan et Utiliser tous les différent services dont l'administration de pf au travers du tunnel ^^

    Pour info, c'est la solution que j'utilise chez moi (perso) depuis de nombreuses années ^^

    Cordialement


  • Bonsoir,

    le proxy sur un firewall c'est loing d'être top mais passe pour une utilisation At Home

    Oui mais c'est un bon moyen de filtrer les merdasses des gamins…

    aucun intérer à séparrer le réseau des cams de votre Lan SURTOUT si c'est pour anéantir la sécurité inhérante à la séparation des réseaux et sert qu'à vous créer des problèmes

    J'en conviens mais le réseau OPT1 capte tout ce qui est en WIFI (tablettes et phones) dont les CAM-IP qui sont en WIFI… et le proxy devrait travailler sur ce sous-réseau, très bonne idée.

    plutôt que de transformer votre firewall en ''gruyère'' avec des ouvertures de ports, il est grandement préférable pour les accès distant d'utiliser OpenVpn pour avoir de façon sécure un accé à votre Lan

    Pourquoi pas ! Mais la question est pas là !

    Je suis persuadé que mon réseau tel qu'il est, n'est pas parfait… mais avant de tout casser, j'aimerais simplement quelques réponses quant à l'installe que j'ai déjà initiée.

    Après tout pourquoi pas tout ça ?!!
    Mais avec une méthodologie, c'est plus parlant...

    Merci.
    Cordialement,
    TB


  • Bonjour,

    Personnellement je ne donnerai pas accès aux cams directement depuis le net (pure folie^^ à moins que vous ne souhaitiez que toute la planête profite de ce qu'il se passe chez vous ^^)

    La box en bridge n'est pas forcément une mauvaise chose :) mais je préfère la laisser en mode routeur et activer la ''pseudo DMZ'' vers l'ip wan de pf (on évite ainsi les contraintes d'un double Nat et on concerve les autres fonctions native de la box ^^)

    Quand à administrer pf directement depuis le net je le déconseille; il vous manque sur wan une règle pour y donner accè (inspirez-vous de la règle d'anti-lockout qui se trouve par défaut sur Lan)

    Dans votre énoncer il y à incohérance entre :
    -> Le port 443 est redirigé pour le portail webgui de PFSense
    -> Je dois pouvoir acceder depuis internet à la gestion de mon Firewall sur un port spécifique (8181).

    Par contre lors d'un NAT il est tout à fait possible ''d'écouter'' sur un port et de ''forwarder'' vers un autre port lors de la translation ^^ (ne s'applique pas à l'accé au webgui de pf depuis le net^^)

    Je pense que le NAt Outbond automatique doit convenir à vos besoins, je ne voie pas l'intérer de le gérer en manuel ?

    Quand au ping entre votre lan et Opt il doit manquer une ou autre règles  :o ; vous en avez créer une sur wan (qui est discutable en l'état) donc vous savez quel protocole est mis en oeuvre lors d'un ping  ;)

    J'ai surement du oublier d'autres choses mais déja avec ça vous avez de quoi avancer  :)

    cordialement

    Edit :
    Vous avez noté : Pas possible d'utiliser mon IP public dans les LAN
    => cela ce nomme : Nat réflection

    ===>
    Disable NAT Reflection for port forwards Disables the automatic creation of additional NAT redirect rules for access to port forwards on your external IP addresses from within your internal networks. Note: Reflection for port forward entries is skipped for ranges larger than 500 ports.

    Je vous laisse chercher dans les menus de pf  ;)

    OU autre solution : créer en local un enregistrement Dns qui ''convertira'' votre ip publique en ip locale  ;)
    ==> pf gère très bien les no-ip ou autres dyndns host ^^


  • Hello,

    Merci pour tous ces conseils.
    Effectivement le NAT reflection est nickel pour l'IP public dans le LAN.
    Je vais réfléchir quant à l'accès PFsense de l'extérieur.
    Je fouine pour optimiser ; c'est très enrichissant.
    Je vais approfondir la partie PROXY maintenant…
    Merci encore,
    Cordialement,
    TB