Impossibe de pinger ou d'accèder au webGUI via l'adresse CARP LAN



  • Contexte : milieu pro, administrateur expertise 5 ans avec PFSENSE, nouveau projet

    Besoin : Monter un cluster PFSENSE (version 2.1.4) avec 2 interfaces WAN (WAN1 et WAN2) pour une filiale, relié par un tunnel VPN IPSec jusqu'au PFSENSE (version 2.0.3) du datacenter groupe.

    Schéma :

    WAN : 2 interfaces WAN1 et WAN2 en loadbalancing (gateway du load balancing GW_LB_WAN)

    LAN : 1 interface, le cluster PFSENSE est le seul routeur du site.

    DMZ : Aucune
    WIFI : non utilisée
    Autres interfaces : 1 interface SYNC pour la synchro du Cluster

    Règles NAT : Outbound standard vers les 2 interfaces WAN1 et WAN2

    Règles Firewall : Pour le moment tous le sous réseau LAN accédent à n'importe quoi avec la gateway spécifique GW_LB_WAN

    Packages ajoutés : Aucun

    Autres fonctions assignées au pfSense : VPN IPSec avec le datacenter du groupe

    Question :

    Bonjour,
    J'ai monté un cluster PFSense basique, et j'ai défini les paramètres du CARP pour toutes les interfaces sauf celle de synchro (LAN, WAN1 et WAN2).
    Les tests de basculement entre les 2 machines fonctionnent correctement, si j'arrête la machine MASTER, la machine BACKUP devient MASTER et les postes client du LAN continuent à accéder à internet et aux réseau derrière le tunnel VPN IPSec)
    Les machines du LAN ont pour passerelle par défaut l'adresse CARP du LAN (@V_LAN) et tout semble fonctionner correctement (routage), le problème est que si j'essaye de pinger cette adresse ou d'accèder à la webGUI via cette adresse depuis un poste du LAN, rien ne passe.
    En revanche depuis les réseaux derrière le tunnel VPN IPSec cela fonctionne correctement (ping et accès à l'interface webGUI).
    J'ai essaye de mettre un régles spécifique sur l'interface LAN pour autoriser tous le LAN à accéder à cette adresse sur n'importe quel protocol (sans utiliser la gateway GW_LB_WAN) mais j'ai toujours le même comportement.

    Pourriez-vous m'aider sur ce sujet ?

    D'avance merci.



  • Que c'est bien d'avoir un message initial où l'on comprend les choses ! Un problème clairement posé dès le premier post c'est plaisant.

    De mémoire j'ai un cluster 2.1.4 en prod chez un client sans rencontrer cette difficulté. Je peux joindre l'interface d'administration par l'ip carp comme les deux ip physiques. Je propose deux tests pour essayer de comprendre.
    1. Y a t il des informations dans les logs de Pfsense ? Activer les logs sur la règles qui laisse passer sur lan vers l'interface lan éventuellement.
    2. réaliser des captures de trames sur l'interface lan.

    Ces deux outils nous permettrons peut être d'y voir plus clair.



  • salut salut

    Juste une petite question, est ce que sans le vlan actif vous arrivez au interface d'administration ?
    si c'est le cas, je pense a un paramètre qui monte le vlan ne doit pas être bon voir plusieurs, j'avais eu un cas comme ca sur une inter co vlan/lan.

    Cordialement.



  • Bonjour,

    Merci pour votre aide, je suis un peu en retard pour vous répondre.

    En réponse à CNET:

    J'utilise également Pfsense depuis 5 ans avec 4 clusters qui fonctionne très bien et il s'agit de la première fois que je rencontre ce problème également.
    1. Il n'y a rien dans les logs système Pfsense qui pourrait être relatif à un problème de CARP/VIP
    J'ai créé une règle sur l'interface LAN autorisant l'accès depuis le LAN vers l'adresse virtuelle CARP associée à l'interface LAN (10.30.0.254) en activant les logs. Lorsque je ping cette adresse depuis une machine du LAN, dans les logs firewall de Pfsense je vois bien la requête ICMP arriver et la connexion est autorisée en revanche sur le poste client le ping échoue.
    Cà ressemble à un problème de route mais ce n'est pas possible car les postes client du LAN qui ont pour passerelle par défaut 10.30.0.254 arrive bien à accéder à internet et aux réseaux derrière le tunnel VPN IPSec.
    2. Réaliser des capture de trames sur l'interface LAN : avec un package spécifique Pfsense

    En réponse à Tatave :
    Je ne comprends pas votre question, les VLAN ne sont pas activés sur l'interface LAN de ma configuration. Je joins correctement les machines Pfsense sur leurs interface physiques respectives.



  • Je suis d'accord pour le routage.

    Pour les captures il n'est pas nécessaire d'installer un package. Pfsense comporte nativement la fonctionnalité :  Diagnostics > Packet Capture.



  • Salut salut

    Oui effectivement je me suis fourvoyé avec vlan mais je voulais dire vpn et en me relisant (penser à plusieurs choses en mêmes temps induits des erreurs).
    Autant pour moi.

    Avez vous vérifier les connectiques physiques ? (câbles, cartes, switchs )
    Ayant eu un soucis du à des connecteurs non conformes et mal brassés, entendez par là, que les câbles étaient aussi installés à la vas y que je te pousse et pendaient lamentablement.

    Résultat un swich à changer par les prises étaient abimées et tous câbles à changer aussi pour cause de non conformité sur les connecteurs, après passage au testeur mêmes les normes de câblage n'étaient pas respectés.

    Bien que vous paramètres peuvent sembler bon, il pourrait y avoir aussi une coche dans un coin qui ne devrait pas l'être, un vrai supplice.
    une astuce, en faisant une sauvegarde des deux machines (au format xml si je ne me trompe pas) et faire avec un delta entre les deux, et voir avec un autre cluster qui a des caractéristiques identiques pour servir de référent si vous avez.
    Cordialement



  • Très raisonnablement on peut valider le fait que l'installation physique de SenseOfPF est bonne. Rappelons que le basculement entre les éléments du cluster fonctionne.
    Par ailleurs pour la résolution des problèmes je suis plutôt partisan d'investigations rationnelles.



  • Lorsque je ping depuis une machine du LAN la passerelle par défaut 10.30.0.254, la capture sur l'interface LAN du Pfsense master montre bien un un ICMP echo request en revanche je n'ai aucun ICMP echo reply en retour, dou l'échec du ping sur cle poste client



  • salut salut

    Petite question qui de bon matin me vient.

    Quel navigateur utilisez vous ?

    J'ai des soucis sur certaine machines avec firefox qui ne me permet pas d'accéder au gui s'ils sont paramétrés sur le port par défaut, mais passe très bien dans ces cas la via EI ou safari, et de manière intermittente via chrome.

    Ma solution est de changer via un des trois autres navigateurs le port (système/advanced/) et passer en mode https et tout revient dans l'ordre. apres pour le ping je n'ai pas de solutions.

    Cordialement.