Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Acces entre multiples IP WAN configurées sur une même appliance

    Scheduled Pinned Locked Moved Français
    7 Posts 3 Posters 1.1k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • W
      wallack
      last edited by

      Bonjour à tous,

      Je viens vous solliciter pour un problème que je rencontre sur PFSENSE qui est certainement dû à un mauvais paramétrage de ma part mais n’étant pas expert en la matière je me tourne vers des personnes maitrisant mieux le sujet.

      Merci d’avance à ce qui prendront un peu de leur temps pour m’aider ;)

      L’existant :

      PFSENSE 2.1.4

      WAN : plusieurs adresses (par exemple : 10.0.0.5, 10.0.0.6, etc …).

      LAN : 192.168.25.x

      DMZ : 192.168.1.x (avec serveur mail en 192.168.1.50)

      Mon LAN sort sur l’IP publique 10.0.0.5

      Ma DMZ sort sur l’IP publique 10.0.0.6

      Ma problématique :

      Depuis mon LAN en 192.168.25.x, je veux pouvoir attaquer le webmail de mon serveur mail en DMZ mais sur l’ip publique par laquelle il sort. https://10.0.0.6
      Je ne veux pas de règle entre mon LAN et DMZ directement.

      Je ne sais pas si dans PFSENSE j’ai bien configuré la partie adresse publique :

      Dans Firewall/Virtual IP Adresses, j’ai créé

      10.0.0.5/32 – interface : WAN – Type : Alias
      10.0.0.6/32 – interface : WAN – Type : Alias

      Firewall/NAT/port forward :

      WAN – TCP – src addr : * - src port : * - dest addr : 10.0.0.6 – dest port : 443 – Nat IP : 192.168.1.50 – nat port : 443

      Firewall/NAT/1 :1 :

      Interface : WAN – External IP : 10.0.0.6 – Internal IP : 192.168.1.50 – Destination IP : *

      Firewall/rules/wan :
      Proto : ipv4 tcp – source : * - port : * - Dest : 192.168.1.50 – port : 443 – gw : * - queue : none

      1 Reply Last reply Reply Quote 0
      • C
        ccnet
        last edited by

        Merci pour cette présentation claire
        Voytre configuration est correcte, si ce n'est que l'on se demande pour wan est sur des ip privées. Basiquement la solution à votre demande serait d'utiliser la fonctionnalité NAT Relection. C'est un peu sale comme solution.
        Néanmoins en pratique je ferais les choses autrement. Vos utilisateurs apprécieront dans doute de pouvoir accéder au webmail avec une url comme mail.domaine.tld qui soit la même depuis le lan et depuis l'extérieur. Pour cela il faut utiliser la fonctionnalité dns "split horizon" et donc configurer le dns forwarder.
        Je ne comprend pas votre fixation su ce point :

        Je ne veux pas de règle entre mon LAN et DMZ directement.

        La solution de nat reflection est plutôt pire. Dans les deux cas le trafic de lan arrive dans la dmz, du moins sur le serveur de mail. Avec nat reflection il sort avant de rentrer à nouveau, ce qui l'expose. Cela ne me semble pas judicieux.

        Je ne sais pas si dans PFSENSE j’ai bien configuré la partie adresse publique :

        Oui si ce n'est qu'elle est faussement publique.

        Mon LAN sort sur l’IP publique 10.0.0.5

        Ma DMZ sort sur l’IP publique 10.0.0.6

        Ce sont des adresses privées.

        1 Reply Last reply Reply Quote 0
        • W
          wallack
          last edited by

          Tout d'abord, merci pour votre réponse rapide et précise ;)

          Pour les adresses en 10.0.0.x, je sais, c'était juste pour mettre des digit pour l'explication.

          Idem, pour la partie webmail, c'est pour donner un exemple simple. En réalité j'attaque bien mon webmail avec un enregistrement dns en dns forward pour mon LAN et sur mon registrar pour l'extérieur.

          J'ai donné ces exemples pour donner un exemple simple de mon problème.

          Mais il faut absolument que je puisse attaquer une de mes ip wan depuis une autre. Car avant d'être sur PFSENSE, le FW était IPCOP, il permettait ceci pour une ancienne machine physique virtualisé sur de l'ESX. Et le problème c'est que je ne peux pas modifier certains paramètres sur cette machines car il y a eu un soucis au niveau réseau lors de sa migration physique vers virtuelle, et le site hébergé sur cette machine doit envoyer des mails à mon serveur mail qui est sur la même dmz, mais en analysant mes logs pfsense je vois bien qu'il contacte le serveur mail sur l'ip publique.

          Je sais que c'est pas terrible comme solution mais je n'ai pas d'autre alternative pour une durée d'environ 6 mois (le temps que ce serveur soit changé) que de faire cette manipulation.

          Pouvez vous m'éclairer un peu plus svp sur le "nat réflection" ? quel règle dois je créer ?

          Merci d'avance

          1 Reply Last reply Reply Quote 0
          • W
            wallack
            last edited by

            Je viens de trouver l'option dans system/advanced/firewall nat

            j'ai la possibilité de choisir enable NAT+proxy ou Pure NAT.

            Mais aussi en dessous deux options :
            Enable NAT reflection for 1:1 NAT
            Enable automatic outbound NAT for Reflection

            Que me conseillez vous ?

            1 Reply Last reply Reply Quote 0
            • C
              ccnet
              last edited by

              A priori le premier, mais à tester en dehors des heures de prod !

              1 Reply Last reply Reply Quote 0
              • J
                jdh
                last edited by

                je veux pouvoir attaquer le webmail de mon serveur mail en DMZ mais sur l’ip publique par laquelle il sort

                Pour quel besoin ?

                Avec un serveur mail, il y a plusieurs possibilités :

                • le mettre en DMZ (ce que je déconseille)
                • le mettre dans le LAN (ce que je conseille).
                  (Dans le LAN, il suffit de mettre un relais mail et un reverse proxy en DMZ pour le transfert de mail et le webmail.)

                Dans les 2 cas, il est souhaitable de réaliser un "split dns" afin d'attaquer le serveur mail avec le même nom dns que l'on soit à l'extérieur ou à l'intérieur.

                Au pire (c'est le mot), on peut utiliser "NAT reflexion", mais le split dns fait plus simple et donc mieux !

                Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

                1 Reply Last reply Reply Quote 0
                • W
                  wallack
                  last edited by

                  RESOLU.

                  avec NAT reflection : NAT+proxy

                  • Enable automatic outbound NAT for Reflection.

                  merci pour l'aide.

                  A+

                  1 Reply Last reply Reply Quote 0
                  • First post
                    Last post
                  Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.