Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Paramétrer renvoi vers passerelle, DNS & proxy

    Scheduled Pinned Locked Moved Français
    4 Posts 2 Posters 920 Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • S
      Spip5
      last edited by

      Bonjour à tous,

      Contexte : Arrivant dans une nouvelle association en tant que formateur, je n'ai pas la main sur le réseau de la structure mais je dois mettre en place un parefeu entre le réseau de l'association et celui de mes élèves (section informatique).
      Je n'ai pas de machine dédiée pour installer PFSense. Par conséquent, je l'ai installé sur mon propre poste sur une machine virtuelle, avec VMWare. Mon PC n'a qu'une seule carte réseau réelle. Sous VMWare Workstation, j'ai configuré la machine hébergeant PFSense (v.2.1.5) avec 3 cartes réseaux virtuelles:

      • 2 en bridge (vers WAN = réseau Asso,  et LANBRIDGE = réseau élèves)
      • 1 en hostonly (LANHOSTONLY = réseau test).
        Mon niveau: technicien support niveau 2.
        NB: ping au sein du WAN réseau Asso impossible.
        NB2: la fonction DHCP ne doit pas être activée sur PFSense.

      Besoin : Les élèves et moi sont les seuls dans l'association à être administrateurs de nos postes, qui ne sont pas gérés par la DSI. Pour leurs épreuves de tests et les manipulations, nous devons être libre de travailler librement sur notre propre réseau, tout en protégeant le reste du réseau de l'association avec PFSense. Nous devons cependant avoir accès au web, en passant par le réseau de l'association.

      Schéma:

      WAN : 1, le réseau de l'association.

      LAN : 2:

      • réseau des élèves (LANBRIDGE).
      • réseau utilisé par mon poste "VMWare W7 client" pour tests (LANHOSTONLY).

      WIFI : non.

      Autres interfaces : au sein du WAN de l'asso:

      • passerelle: 10.75.72.14
      • DNS: 10.75.72.12
      • proxy: 10.127.254.1

      Règles Firewall : pour l'instant:

      Packages ajoutés : aucun.

      Fonctions assignées au pfSense :

      • routage
      • parefeu
      • redirection vers passerelle, dns et proxy du WAN.

      Question : Je n'arrive actuellement pas à accéder à internet depuis les postes W7 client. Comment paramétrer PFSense et les postes clients pour qu'ils pointent bien vers le proxy, la passerelle et le DNS de l'association ?

      Pistes imaginées:
      Tout d'abord, s'assurer que les 2 LAN se pinguent bien (puisqu'on ne peut pas pinguer le réseau WAN. Test OK entre "VMWare W7" et "W7 Client" dans les deux sens.
      Ensuite, c'est une question de paramétrage de PFSense je pense. J'ai probablement oublié quelque chose:

      • Ecran de "general setup", où j'ai rentré l'IP du dns:
      • Ecran du DNS Forwarder, que j'ai activé:
      • Ecran du "Firewall NAT Port Forward": je ne suis pas sûr qu'il faille le remplir, mais j'ai quand même mit 2 règles ici "au cas où" (bouhhh, le mauvais réflexe ;) ):
      • Ecran de paramétrage du pare-feu en l'état sur les 3 interfaces (onglets en surbrillance):

        Quand au paramétrage pour le proxy, je n'ai pas trouvé où le mettre sur PFSense. J'ai essayé de le mettre directement dans les Internet Explorer des postes W7 Client (10.127.254.1), ça me coupe instantanément toute connexion (même le ping entre vers l'autre LAN ne passe plus).

      Une piste à suggérer pour m'aider à décoincer la situation ?

      1 Reply Last reply Reply Quote 0
      • C
        ccnet
        last edited by

        Une piste à suggérer pour m'aider à décoincer la situation ?

        Merci d'avoir pris la peine de présenter les choses aussi clairement que possible.
        Malheureusement vous vous êtes engagé dans quelque chose qui n'a pas de sens sur les modalités de réalisation. Vous cumulez les sources de problèmes. J'ai déjà vu des configurations ahurissantes mais celle ci atteint un niveau record. Je comprend bien votre objectif de sécurité mais il est inaccessible avec les moyens que vous mettez en œuvre

        Vous avez des problèmes lié à la virtualisation très probablement : vous n'avez pas 3 interfaces physiques sur votre PC. Comment voulez vous fournir la moindre sécurité si les 3 flux réseau empruntent la même interface et circulent sur le même support physique ?

        Disons le sans détour rien de cela ne vous fournira la moindre sécurité.

        Packages ajoutés : aucun.

        Quand au paramétrage pour le proxy, je n'ai pas trouvé où le mettre sur PFSense.

        C'est un peu normal non ?

        Vous avez aussi des problèmes de routage.

        • Ecran du "Firewall NAT Port Forward": je ne suis pas sûr qu'il faille le remplir, mais j'ai quand même mit 2 règles ici "au cas où"

        Totalement inutile. Essayer de ne faire que des choses que vous comprenez.

        1 Reply Last reply Reply Quote 0
        • S
          Spip5
          last edited by

          Merci pour votre réponse et vos conseils ccnet.

          Effectivement, la virtualisation à un tel niveau, avec 3 cartes réseaux dont 2 sur la même interface réelle me complique la tâche déraisonnablement. Cela semblait faisable pour ma hiérarchie (IT), comme vous semblez en douter et que cela fait plusieurs jours que je bloque je vais arrêter les frais en ce sens.
          Reste à mettre la main sur une carte réseau additionnel dans l'association, ce que je n'ai pour l'instant pas trouvé :/ , et éventuellement à installer PFSense en OS réel sur une machine, ce qui risque d'être tout aussi compliqué. Bien qu'ayant déjà travaillé dans des associations, ne pensais pas rencontrer autant de difficultés logistiques et administratives en prenant ce poste.

          Je vous tiendrais au courant des suites.

          1 Reply Last reply Reply Quote 0
          • C
            ccnet
            last edited by

            Mon conseil serait, dans votre situation, de faire l'acquisition d'un vrai serveur d'occasion, un DL 360 HP par exemple (on en trouve très facilement), qui vous coutera entre 80 et 150 euros avec une carte réseau supplémentaire. Un G4 vous fournira plus de puissance que vous n'en aurez besoin. Vous pourrez y installer Pfsense et avoir quelque chose qui tient la route. Et vous ne passerez pas des heures sur une configuration inextricable et hasardeuse.

            1 Reply Last reply Reply Quote 0
            • First post
              Last post
            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.