Acces entre multiples IP WAN configurées sur une même appliance



  • Bonjour à tous,

    Je viens vous solliciter pour un problème que je rencontre sur PFSENSE qui est certainement dû à un mauvais paramétrage de ma part mais n’étant pas expert en la matière je me tourne vers des personnes maitrisant mieux le sujet.

    Merci d’avance à ce qui prendront un peu de leur temps pour m’aider ;)

    L’existant :

    PFSENSE 2.1.4

    WAN : plusieurs adresses (par exemple : 10.0.0.5, 10.0.0.6, etc …).

    LAN : 192.168.25.x

    DMZ : 192.168.1.x (avec serveur mail en 192.168.1.50)

    Mon LAN sort sur l’IP publique 10.0.0.5

    Ma DMZ sort sur l’IP publique 10.0.0.6

    Ma problématique :

    Depuis mon LAN en 192.168.25.x, je veux pouvoir attaquer le webmail de mon serveur mail en DMZ mais sur l’ip publique par laquelle il sort. https://10.0.0.6
    Je ne veux pas de règle entre mon LAN et DMZ directement.

    Je ne sais pas si dans PFSENSE j’ai bien configuré la partie adresse publique :

    Dans Firewall/Virtual IP Adresses, j’ai créé

    10.0.0.5/32 – interface : WAN – Type : Alias
    10.0.0.6/32 – interface : WAN – Type : Alias

    Firewall/NAT/port forward :

    WAN – TCP – src addr : * - src port : * - dest addr : 10.0.0.6 – dest port : 443 – Nat IP : 192.168.1.50 – nat port : 443

    Firewall/NAT/1 :1 :

    Interface : WAN – External IP : 10.0.0.6 – Internal IP : 192.168.1.50 – Destination IP : *

    Firewall/rules/wan :
    Proto : ipv4 tcp – source : * - port : * - Dest : 192.168.1.50 – port : 443 – gw : * - queue : none



  • Merci pour cette présentation claire
    Voytre configuration est correcte, si ce n'est que l'on se demande pour wan est sur des ip privées. Basiquement la solution à votre demande serait d'utiliser la fonctionnalité NAT Relection. C'est un peu sale comme solution.
    Néanmoins en pratique je ferais les choses autrement. Vos utilisateurs apprécieront dans doute de pouvoir accéder au webmail avec une url comme mail.domaine.tld qui soit la même depuis le lan et depuis l'extérieur. Pour cela il faut utiliser la fonctionnalité dns "split horizon" et donc configurer le dns forwarder.
    Je ne comprend pas votre fixation su ce point :

    Je ne veux pas de règle entre mon LAN et DMZ directement.

    La solution de nat reflection est plutôt pire. Dans les deux cas le trafic de lan arrive dans la dmz, du moins sur le serveur de mail. Avec nat reflection il sort avant de rentrer à nouveau, ce qui l'expose. Cela ne me semble pas judicieux.

    Je ne sais pas si dans PFSENSE j’ai bien configuré la partie adresse publique :

    Oui si ce n'est qu'elle est faussement publique.

    Mon LAN sort sur l’IP publique 10.0.0.5

    Ma DMZ sort sur l’IP publique 10.0.0.6

    Ce sont des adresses privées.



  • Tout d'abord, merci pour votre réponse rapide et précise ;)

    Pour les adresses en 10.0.0.x, je sais, c'était juste pour mettre des digit pour l'explication.

    Idem, pour la partie webmail, c'est pour donner un exemple simple. En réalité j'attaque bien mon webmail avec un enregistrement dns en dns forward pour mon LAN et sur mon registrar pour l'extérieur.

    J'ai donné ces exemples pour donner un exemple simple de mon problème.

    Mais il faut absolument que je puisse attaquer une de mes ip wan depuis une autre. Car avant d'être sur PFSENSE, le FW était IPCOP, il permettait ceci pour une ancienne machine physique virtualisé sur de l'ESX. Et le problème c'est que je ne peux pas modifier certains paramètres sur cette machines car il y a eu un soucis au niveau réseau lors de sa migration physique vers virtuelle, et le site hébergé sur cette machine doit envoyer des mails à mon serveur mail qui est sur la même dmz, mais en analysant mes logs pfsense je vois bien qu'il contacte le serveur mail sur l'ip publique.

    Je sais que c'est pas terrible comme solution mais je n'ai pas d'autre alternative pour une durée d'environ 6 mois (le temps que ce serveur soit changé) que de faire cette manipulation.

    Pouvez vous m'éclairer un peu plus svp sur le "nat réflection" ? quel règle dois je créer ?

    Merci d'avance



  • Je viens de trouver l'option dans system/advanced/firewall nat

    j'ai la possibilité de choisir enable NAT+proxy ou Pure NAT.

    Mais aussi en dessous deux options :
    Enable NAT reflection for 1:1 NAT
    Enable automatic outbound NAT for Reflection

    Que me conseillez vous ?



  • A priori le premier, mais à tester en dehors des heures de prod !



  • je veux pouvoir attaquer le webmail de mon serveur mail en DMZ mais sur l’ip publique par laquelle il sort

    Pour quel besoin ?

    Avec un serveur mail, il y a plusieurs possibilités :

    • le mettre en DMZ (ce que je déconseille)
    • le mettre dans le LAN (ce que je conseille).
      (Dans le LAN, il suffit de mettre un relais mail et un reverse proxy en DMZ pour le transfert de mail et le webmail.)

    Dans les 2 cas, il est souhaitable de réaliser un "split dns" afin d'attaquer le serveur mail avec le même nom dns que l'on soit à l'extérieur ou à l'intérieur.

    Au pire (c'est le mot), on peut utiliser "NAT reflexion", mais le split dns fait plus simple et donc mieux !



  • RESOLU.

    avec NAT reflection : NAT+proxy

    • Enable automatic outbound NAT for Reflection.

    merci pour l'aide.

    A+