Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    [NAT] Ports "vérouillés".

    Scheduled Pinned Locked Moved Français
    27 Posts 4 Posters 4.3k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • C
      ccnet
      last edited by

      • Les requêtes "DHCP DISCOVER" reçues par le Windows Serveur sont construites de la façon suivante :
        IP source : WAN pfSense

      Ce paquet dhcp discover n'est pas correct. L'ip source doit être 0.0.0.0 sauf si c'est un proxy (relai dhcp) qui transmet la requête ce qui n'est pas le cas de Pfsense. Je n'aurai pas dû vous croire lorsque vous avez assuré que dhcp n'est pas en cause. Je pense aussi que c'est sans solution.

      1 Reply Last reply Reply Quote 0
      • J
        jdh
        last edited by

        Après avoir parcouru la RFC2131 (qui traite DHCP), je ne pense pas aisé de faire fonctionner un schéma tel celui choisi.
        (Ce ne doit pas être impossible mais cela nécessite des choses difficile à fournir !)

        Non seulement vous laissez une machine entre Box et WAN, et vous voudriez qu'elle apporte un rôle qui pourrait parfaitement fonctionner simplement s'il était placé ailleurs !
        Cela fait trop d'erreurs .. et 10 jours de fil !

        Pour moi c'est STOP.

        Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

        1 Reply Last reply Reply Quote 0
        • D
          Détail
          last edited by

          Bonjour à tous,

          Le pourquoi du serveur en direct sur la box (peu importe le point de sortie) et pas derrière le pf ce qui serait à mon sens plus logique ?
          Sauf si vous ayez autres choses d'implantés sur le segment de box, je n'en vois pas l'utilité, de plus je trouve cela dangereux.

          Faire simple évite des erreurs.
          Faire compliquer c'est se rajouter des problèmes.
          Surtout si l'on me maitrise pas tous les concepts.

          La topologie présentée n'est pas celle que j'utilise mais c'est dans cette configuration que j'ai rencontré le problème.
          J'ai pensé qu'il serait intéressant d'en comprendre la cause.

          Ce paquet dhcp discover n'est pas correct. L'ip source doit être 0.0.0.0 sauf si c'est un proxy (relai dhcp) qui transmet la requête ce qui n'est pas le cas de Pfsense.

          L'IP source est l'IP WAN de pfsense puisqu'il NAT la requête.

          Je n'aurai pas dû vous croire lorsque vous avez assuré que dhcp n'est pas en cause

          Pourtant ce problème se produit avec n'importe quel protocole (au moins ceux basés sur UDP) - indépendamment de DHCP et du port 67 (voir la fin de mon message précédent :  Tests effectués pour vérifier l'hypothèse).
          J'ai découvert ce problème avec DHCP mais les tests décrits à la fin de mon message précédent montrent bien que le protocole DHCP et ses ports associés n'ont rien de spécifique là dedans.

          Non seulement vous laissez une machine entre Box et WAN, et vous voudriez qu'elle apporte un rôle qui pourrait parfaitement fonctionner simplement s'il était placé ailleurs !

          Je ne cherche pas à "faire fonctionner en conditions réelles" la topologie présentée ici, je pense juste qu'il est intéressant de comprendre "pourquoi ça ne marche pas".

          1 Reply Last reply Reply Quote 0
          • J
            jdh
            last edited by

            (Je fais rarement du DHCP relay, mais je l'ai fait.)

            DHCP relay fonctione sur réseaux routés "standard".
            Donc on peut essayer avec du NAT.
            Mais face au non-fonctionnement, il y a lieu de chercher pourquoi.
            On trouve aisément plusieurs liens qui montre que c'est difficile, on peut lire la RFC qui donne des précisions utiles.
            Il faut retenir que DHCP + NAT n'est absolument pas une bonne idée.
            On n'est pas obligé d'y passer 10 jours …
            On peut quand même éviter la situation scabreuse d'une machine entre Box et WAN ...

            Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

            1 Reply Last reply Reply Quote 0
            • TataveT
              Tatave
              last edited by

              salut salut

              @all

              je rejoins jdh sur son expertise. Cela est une vrai fausse bonne idée d'avoir un serveur entre la box et le pare-feu sauf si seulement on veut s'en servir de mine et de faille de sécurité pour soit même et mettre un gros panneau à de vrai vilains " ici c'est bon pour faire des grosses bétises c'est moi qui aurais des soucis pas vous avec la justice entre autre…"

              @détail

              faire simple = faire éfficace
              faire compliqué = avoir des soucis et plus encore perdre du temps pour rien donc perte d'argents (aie c'est un coup bas)

              Cordialement.

              aider, bien sûre que oui
              assister, évidement non !!!

              donner à manger à un homme, ne lui permettra que de survivre qu'un temps.
              apprendre à un homme comment cuisiner, il sera vivre.

              1 Reply Last reply Reply Quote 0
              • D
                Détail
                last edited by

                Bonsoir,

                Merci pour vos réponses  :)

                @détail

                faire simple = faire éfficace
                faire compliqué = avoir des soucis et plus encore perdre du temps pour rien donc perte d'argents (aie c'est un coup bas)

                Je suis bien d'accord là dessus, c'est juste que je cherche à comprendre le "pourquoi ça ne marche pas dans telle configuration".

                Il faut retenir que DHCP + NAT n'est absolument pas une bonne idée.

                Certainement (du moins DHCP + NAT pfSense, je n'ai pas testé avec une autre solution), mais le problème va bien plus loin que DHCP (voir "Tests effectués pour vérifier l'hypothèse"), DHCP est seulement le premier qui a mis en évidence le problème.

                1 Reply Last reply Reply Quote 0
                • TataveT
                  Tatave
                  last edited by

                  Salut salut

                  Je comprends votre démarche, avoir trouvé une solution fonctionnelle,c'est le but du forum.
                  Je ne suis pas sur que vous trouvez plus d'aide dans le sens de votre recherche, car vous avez eu une solution et que vous l'avez mise en place.

                  Personnellement je ne suis pas sur que cela vienne expressément de pf, qui s'appuie un os revu et corrigé pour en faire un appliance (si je ne trompe pas sur le terme)
                  Après, nous vous avons fait des recommandations sur la structure de votre réseau en prenant en compte les aspects technique de pf, et de vos actifs sité, suivez les.
                  Comme je vous les ai dit, vous ouvrez la boite de Pendor avec les risques qui en découle.

                  Je trouve aussi que le temps mis sur ce fil pour une problématique simple, a assez durée et pour ma part je ne répondrais plus.

                  Cordialement.

                  aider, bien sûre que oui
                  assister, évidement non !!!

                  donner à manger à un homme, ne lui permettra que de survivre qu'un temps.
                  apprendre à un homme comment cuisiner, il sera vivre.

                  1 Reply Last reply Reply Quote 0
                  • First post
                    Last post
                  Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.