IP Bloquée



  • Bonjour à tous,

    Je publie un serveur WEB Apache derrière une pfsense 2.1.4.
    Le serveur faisant tournée plusieurs sites SSL, il dispose de plusieurs IP.

    Régulièrement, les sites qui sont associés à l'IP principale du serveur Web ne sont plus accessible. Après investigation, c'est la pfsense qui bloque le traffic.
    Je dois redémarrer la pfsense pour retrouver le fonctionnement des sites.

    Je ne parviens pas à déterminer pourquoi la pfsense finit par bloquée cette ip interne.

    Merci de votre aide
    Yannick



  • Comme d'habitude …. Description de la configuration, plan d'adressage, règles de filtrage, de translation, etc ...

    Après investigation, c'est la pfsense qui bloque le traffic.

    Quelles investigations, quels éléments ?



  • Le rôle de pfSense sur un tel schéma est très limité :

    • utilisation d'ip publique
    • renvoi du trafic https (443/tcp) vers le serveur web

    Il semble donc TRES étonnant, sauf très mauvaise config, que pfSense ait un grand rôle.

    Je ne peux que plussoyer ccnet : quelle présentation nulle du problème !
    Espérez vous vraiment une aide (en donnant aussi peu d'infos) ?

    A minima,

    • un schéma,
    • les adressages (avec des x pour les ip externes)
    • la config des interfaces,
    • les règles de NAT créés,
    • le type de serveurs web, sa config
    • les tests effectués, les résultats
    • …..........


  • Salut salut

    Bien que je sois pas un très bonne exemple (fautes grammaticale et ou d'orthographe, promis je me soigne), seulement avec une rédaction dans un français correcte sans mode sms et ou français de cuisine approximative, qui à le dons d'en exaspérer plus d'un dont je fais partie.

    Expliquer de manière claire, simple, concise.
    Et surtout ne pas avoir peur de dire que l'on ne comprends pas, dans ce cas là il y aura toujours une personne pour vous indiquer par ou passer pour comprendre et revenir vers ce forum.
    Bien évidement le rejoint mes camarades jdh, ccnet sur leurs positions pour que l'étude de la possible aide à vous apporter suivant nos niveaux de connaissances et compétences.

    Cordialement.



  • La configuration de la pfsense est assez complète  (et non complexe) (plusieurs réseaux DMZ, OpenVPN), je ne vais donc parler que de ce qui peut avoir un impact sur ce problème.

    Je dispose donc d'un serveur Apache. Ce serveur disposant de plusieurs sites SSL, il dispose donc de plusieurs IP sur le LAN (3 exactement).
    Le serveur Apache dispose aussi de requête Proxy pour des machines situées dans d'autre réseau (DMZ de la pfsense)
    Chaque IP Interne est donc normalement publié sur une IP WAN différente via de simple règle de PAT et de firewall (HTTP/HTTPS/FTP).
    Donc comme vous le disiez vous-même, rien de particuliers à cette configuration.

    WAN –--- PFSENSE ---- LAN ---- APACHE
                        |
                        |----- DMZ1 --- SERVEUR WEB

    Régulièrement, la première IP LAN du serveur est bloquée (eth0) : Comment j'ai déterminé que la pfsense était concerné ? tout simplement parce que les services web sur cette IP répondent parfaitement en interne, idem pour le ping. Hors, depuis le shell de la pfsense, le ping ne passe pas. Idem depuis une source VPN (OpenVPN de la pfsense).
    De plus, un redémarrage de la pfsense résout le problème, puis après plusieurs jours, le problème réapparaît. Aucune log dans le journal du firewall n'indique un rejet ou un drop de paquet sur cette IP.
    Les autres IP de ce serveur web fonctionne parfaitement, même depuis la pfsense.
    Les IP sur le serveur web sont ajouté à l'interface eth0 (eth0:0 et  eth0:1) donc ces IP utilisent donc la même adresse MAC.

    Ensuite, et sur un autre point, ce n'est pas parce que l'on ne maitrise pas pfense, que l'on ne maîtrise pas nos environnements réseaux. On peut demander des explications sans être ni insolant ni "méchant". On viens ici chercher de l'aide ... J'admet que mes explications sont un peu juste sur le premier post, mais ce n'est pas la première fois que je constate le ton des réponses, et ce n'est vraiment pas encouragement. Si vous faites pareil avec vos clients, je vous souhaite bien du courage !



  • @ymolinet:

    Ensuite, et sur un autre point, ce n'est pas parce que l'on ne maitrise pas pfense, que l'on ne maîtrise pas nos environnements réseaux. On peut demander des explications sans être ni insolant ni "méchant". On viens ici chercher de l'aide … J'admet que mes explications sont un peu juste sur le premier post, mais ce n'est pas la première fois que je constate le ton des réponses, et ce n'est vraiment pas encouragement. Si vous faites pareil avec vos clients, je vous souhaite bien du courage !

    Si vous allez chez un garagiste avec une voiture en panne, il va vous demander s'il y a de l'essence, de l'huile, si la batterie fonctionne, s'il y a un bruit, etc …
    Si vous allez chez le médecin en disant que vous êtes malade, il va vous demander si vous avez de la fièvre, à quel endroit vous avez mal, ...
    Ces gens sont polis et vous avez une relation commerciale avec eux, ils ne vous diront pas que c'est une "présentation nulle" alors que c'est pourtant un fait bien réel !

    Ici, et sur tout autre forum, il n'y a pas de relation commerciale !
    Si vous voulez une réponse, prenez le temps de présentez votre problème !

    Il y en a marre des imbéciles qui feignent de voir un "ton" et de dire "c'est les autres". (C'est un problème mental ...)
    Quelqu'un d'intelligent, et d'efficace, saurait qu'une bonne présentation initiale est LE bon, et seul, moyen d'avoir rapidement des pistes de réponses !

    De 2 choses l'une

    • soit vous reconnaissez ces réalités,
    • soit vous persistez, et je vous inscrit sur ma liste des gens à qui je ne répondrais plus ...

    Les petits compléments sont encore très insuffisants :

    • vous ne dites pas que votre pfsense est virtualisé ni dans type (kvm - proxmox),
    • vous ne tirez rien de ce que vous observez : même adresse mac pour plusieurs ip publiques !


  • @jdh:

    Les petits compléments sont encore très insuffisants :

    • vous ne dites pas que votre pfsense est virtualisé ni dans type (kvm - proxmox),
    • vous ne tirez rien de ce que vous observez : même adresse mac pour plusieurs ip publiques !

    Oui, pfsense est virtualisé sur KVM via Promox. Le serveur Apache l'est aussi sur le même KVM, même machine physique. Promox n'est pas clusterisé.
    Il n'y a qu'une seule interface WAN disposant de plusieurs IP grâce à la fonctionnalité des MAC Groupées chez Online.
    L'interface WAN a actuellement 12 IP publiques affectées provenant du même RIPE.
    Les ressources liées à l'IP LAN (posant problème) de ce serveur Apache sont toutes publiées via la même IP Public (qui n'est pas l'adresse par défaut de l'interface WAN).
    Le plan d'adressage sur LAN est 10.0.0.0/24
    Le plan d'adressage sur DMZ est 10.0.1.0/24
    Le machine KVM pour pfsense est configuré avec 2 vCPU, 4Go de RAM, 30Go de disque et 11 interfaces réseaux dont 7 seulement sont actives est utilisées à cette heure. Chaque interface est connecté à un vmbr différent.
    J'utilise OpenVPN pour monter des VPN site à site avec une authentification par certificat. L'adressage du tunnel est 10.255.255.0/24. Chaque site annonce un plan d'adressage compatible avec l'installation. Une régle de firewall par défaut interdit le traffic dans le VPN, dans les deux sens et j'ouvre uniquement les ports requis avec des régles spécifiques.
    L'IPv6 n'est pas utilisé et les interfaces réseaux actives n'ont pas de configuration IPv6.

    Pas de contrôle de bande passante, les seuls packages installés sont shellcmd, nrpe_v2 et system_patch (qui n'applique plus de patch actuellement depuis le passage en 2.1.4).
    Ce serveur a été d'abord installé en 2.1.0 est à suivi ensuite les mises à jours. Un patch pour OpenVPN a été appliqué en 2.1.3 pour réobtenir les status des connexions, je l'ai supprimé suite à la mise à jour en 2.1.4.

    @jdh:

    Il y en a marre des imbéciles qui feignent de voir un "ton" et de dire "c'est les autres". (C'est un problème mental …)
    Quelqu'un d'intelligent, et d'efficace, saurait qu'une bonne présentation initiale est LE bon, et seul, moyen d'avoir rapidement des pistes de réponses !

    Je ne suis pas venu ici pour cela, pour avoir ce type de conversation avec vous. Je ne dit pas "c'est l'autre", je dit juste qu'il y a de meilleur moyen pour avoir les informations. C'est un problème de communication dans les deux sens. Pour reprendre vos exemples, ils vont tous vous questionner pour obtenir les informations adéquates, votre première description du problème ou de ces symptômes ne suffira quasiment jamais à identifier la nature et la cause du problème, et sans cela pas de solution.

    @ymolinet:

    J'admet que mes explications sont un peu juste sur le premier post, […]



  • Sept posts et toujours pas de description précise de la configuration de Pfsense.



  • Je ne vois pas ce que je peux vous donner d'autre que ce que j'ai déjà dit. Qu'attendez-vous exactement comme information complémentaire ?
    Comme je l'ai dit, la configuration me semble assez simple et j'ai l'impression (semble-t-il erroné) d'avoir donné les informations requises (Réseau, plan d'adressage, version de pfsense, évolution de version, port utilisé, régle utilisée, package installé).



  • Salut salut

    Manifestement vous ne donnez pas l'impression d'avoir compris ce que nous vous demandions de faire suivant point précis

    • un schéma,
    • les adressages (avec des x pour les ip externes)
    • la config des interfaces,
    • les règles de NAT créés,
    • le type de serveurs web, sa config
    • les tests effectués, les résultats
    • …..........

    Faites simple, et suivez nous recommandations, puisqu'à terme nous finirons pas ne plus vous répondre et encore moins vous lire qui plus est de chercher à comprendre la problématique.

    Cordialement.



  • Bonjour,

    Vous pouvez nous fustiger tant que vous voulez quand au ''ton'' de nos réponsses; cela ne VOUS fera pas avancer  :o

    Vos explications (comme préciser par Jdh et Ccnet) sont confuses et manque cruellement de clarté ET de précisions; c'est un FAIT avérer car constater par la simple lecture de vos posts !

    Quelques fois, il est bon ''d'enfoncer'' une porte ouverte :
    => Un problème bien exposer, par consequent bien analyser/compris, s'avère dans + de 90% des cas être à moitier résolu !!!

    Allez … encore un petit effort pour donner de l'eau à nos moulins  ;) qui sait ... nous trouverons peut être ce qui pèche dans votre installation !

    Cordialement



  • Bonjour,

    @Tatave:

    • un schéma,
    • les adressages (avec des x pour les ip externes)
    • la config des interfaces,
    • les règles de NAT créés,
    • le type de serveurs web, sa config

    Voir le fichier joint.
    Les IP WAN sont sur le même RIPE. L'environnement est complètement virtualisé sous Promox.
    Les IP Public utilisent les MAC Groupées de Online (IP Public associé à la même MAC addresse).
    Par contre, comme pour les IP failover d'Online, la passerelle par défaut n'est pas sur le même subnet que le RIPE (D’où l'usage de shellcmd basé sur ce tuto : http://forum.online.net/index.php?/topic/1240-tuto-esxi-pfsense-comme-firewall/)

    @Tatave:

    • les tests effectués, les résultats

    @ymolinet:

    Comment j'ai déterminé que la pfsense était concerné ? tout simplement parce que les services web sur cette IP répondent parfaitement en interne, idem pour le ping. Hors, depuis le shell de la pfsense, le ping ne passe pas. Idem depuis une source VPN (OpenVPN de la pfsense).
    De plus, un redémarrage de la pfsense résout le problème, puis après plusieurs jours, le problème réapparaît. Aucune log dans le journal du firewall n'indique un rejet ou un drop de paquet sur cette IP.
    Les autres IP de ce serveur web fonctionne parfaitement, même depuis la pfsense.

    Autre test réalisé: Un telnet sur le port 80, 21 ou 443, qui n'accroche pas non plus.
    J'en déduit donc que le module firewall bloque le traffic, mais je n'ai pas trouvé de log indiquant que pfSense à bloquée du traffic.



Log in to reply