[NAT] Ports "vérouillés".
-
Salut salut
Question :
Le pourquoi du serveur en direct sur la box (peu importe le point de sortie) et pas derrière le pf ce qui serait à mon sens plus logique ?
Sauf si vous ayez autres choses d'implantés sur le segment de box, je n'en vois pas l'utilité, de plus je trouve cela dangereux.Faire simple évite des erreurs.
Faire compliquer c'est se rajouter des problèmes.
Surtout si l'on me maitrise pas tous les concepts.Cordialement.
-
J'ignore si un routeur faisant du NAT est autorisé ou possible entre un serveur DHCP et un serveur DHCP relay.
Je présume que ce n'est pas possible !Je répète, normalement, il ne devrait rien y avoir entre une Box et le WAN d'un firewall.
Je ne suis pas sûr de l'intérêt de ce test : je suis sûr que le DHCP serveur en LAN fonctionnerait !
-
En cherchant G/DHCP Relay NAT, on voit que le problème est largement connu et semble insoluble
p.e. http://ccielab.ro/2010/08/dhcp-relay-server-and-nat-case-study/
Et comme c'est générique, pfSense (comme firewall = routeur + NAT) ne risque pas de faire exception …
-
- Les requêtes "DHCP DISCOVER" reçues par le Windows Serveur sont construites de la façon suivante :
IP source : WAN pfSense
Ce paquet dhcp discover n'est pas correct. L'ip source doit être 0.0.0.0 sauf si c'est un proxy (relai dhcp) qui transmet la requête ce qui n'est pas le cas de Pfsense. Je n'aurai pas dû vous croire lorsque vous avez assuré que dhcp n'est pas en cause. Je pense aussi que c'est sans solution.
- Les requêtes "DHCP DISCOVER" reçues par le Windows Serveur sont construites de la façon suivante :
-
Après avoir parcouru la RFC2131 (qui traite DHCP), je ne pense pas aisé de faire fonctionner un schéma tel celui choisi.
(Ce ne doit pas être impossible mais cela nécessite des choses difficile à fournir !)Non seulement vous laissez une machine entre Box et WAN, et vous voudriez qu'elle apporte un rôle qui pourrait parfaitement fonctionner simplement s'il était placé ailleurs !
Cela fait trop d'erreurs .. et 10 jours de fil !Pour moi c'est STOP.
-
Bonjour à tous,
Le pourquoi du serveur en direct sur la box (peu importe le point de sortie) et pas derrière le pf ce qui serait à mon sens plus logique ?
Sauf si vous ayez autres choses d'implantés sur le segment de box, je n'en vois pas l'utilité, de plus je trouve cela dangereux.Faire simple évite des erreurs.
Faire compliquer c'est se rajouter des problèmes.
Surtout si l'on me maitrise pas tous les concepts.La topologie présentée n'est pas celle que j'utilise mais c'est dans cette configuration que j'ai rencontré le problème.
J'ai pensé qu'il serait intéressant d'en comprendre la cause.Ce paquet dhcp discover n'est pas correct. L'ip source doit être 0.0.0.0 sauf si c'est un proxy (relai dhcp) qui transmet la requête ce qui n'est pas le cas de Pfsense.
L'IP source est l'IP WAN de pfsense puisqu'il NAT la requête.
Je n'aurai pas dû vous croire lorsque vous avez assuré que dhcp n'est pas en cause
Pourtant ce problème se produit avec n'importe quel protocole (au moins ceux basés sur UDP) - indépendamment de DHCP et du port 67 (voir la fin de mon message précédent : Tests effectués pour vérifier l'hypothèse).
J'ai découvert ce problème avec DHCP mais les tests décrits à la fin de mon message précédent montrent bien que le protocole DHCP et ses ports associés n'ont rien de spécifique là dedans.Non seulement vous laissez une machine entre Box et WAN, et vous voudriez qu'elle apporte un rôle qui pourrait parfaitement fonctionner simplement s'il était placé ailleurs !
Je ne cherche pas à "faire fonctionner en conditions réelles" la topologie présentée ici, je pense juste qu'il est intéressant de comprendre "pourquoi ça ne marche pas".
-
(Je fais rarement du DHCP relay, mais je l'ai fait.)
DHCP relay fonctione sur réseaux routés "standard".
Donc on peut essayer avec du NAT.
Mais face au non-fonctionnement, il y a lieu de chercher pourquoi.
On trouve aisément plusieurs liens qui montre que c'est difficile, on peut lire la RFC qui donne des précisions utiles.
Il faut retenir que DHCP + NAT n'est absolument pas une bonne idée.
On n'est pas obligé d'y passer 10 jours …
On peut quand même éviter la situation scabreuse d'une machine entre Box et WAN ... -
salut salut
@all
je rejoins jdh sur son expertise. Cela est une vrai fausse bonne idée d'avoir un serveur entre la box et le pare-feu sauf si seulement on veut s'en servir de mine et de faille de sécurité pour soit même et mettre un gros panneau à de vrai vilains " ici c'est bon pour faire des grosses bétises c'est moi qui aurais des soucis pas vous avec la justice entre autre…"
faire simple = faire éfficace
faire compliqué = avoir des soucis et plus encore perdre du temps pour rien donc perte d'argents (aie c'est un coup bas)Cordialement.
-
Bonsoir,
Merci pour vos réponses :)
faire simple = faire éfficace
faire compliqué = avoir des soucis et plus encore perdre du temps pour rien donc perte d'argents (aie c'est un coup bas)Je suis bien d'accord là dessus, c'est juste que je cherche à comprendre le "pourquoi ça ne marche pas dans telle configuration".
Il faut retenir que DHCP + NAT n'est absolument pas une bonne idée.
Certainement (du moins DHCP + NAT pfSense, je n'ai pas testé avec une autre solution), mais le problème va bien plus loin que DHCP (voir "Tests effectués pour vérifier l'hypothèse"), DHCP est seulement le premier qui a mis en évidence le problème.
-
Salut salut
Je comprends votre démarche, avoir trouvé une solution fonctionnelle,c'est le but du forum.
Je ne suis pas sur que vous trouvez plus d'aide dans le sens de votre recherche, car vous avez eu une solution et que vous l'avez mise en place.Personnellement je ne suis pas sur que cela vienne expressément de pf, qui s'appuie un os revu et corrigé pour en faire un appliance (si je ne trompe pas sur le terme)
Après, nous vous avons fait des recommandations sur la structure de votre réseau en prenant en compte les aspects technique de pf, et de vos actifs sité, suivez les.
Comme je vous les ai dit, vous ouvrez la boite de Pendor avec les risques qui en découle.Je trouve aussi que le temps mis sur ce fil pour une problématique simple, a assez durée et pour ma part je ne répondrais plus.
Cordialement.
