Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Accéder au lan d'un autre router en partant du pfsense

    Scheduled Pinned Locked Moved Français
    20 Posts 4 Posters 5.4k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • M
      mouitido
      last edited by

      Bonjour,

      Context : Dans le cadre d’un labo test.
      alixboard  256ram, compactflash 4go
      Pfsense : 2.1.5

      Besoin :

      Accéder au lan d’un autre routeur en partant du pfsense
      Actuellement :
      Lan pfsense(10.15.15.1)–>wan : routeur wrt54gl en dhcp (firware tomato)
                      Lan : routeur wrt54gl 192.168.5.1 avec distribution de dhcp
      QUESTION

      Comment pourrais-je configurer le pfsense pour pouvoir accédé au lan(192.168.5.1) du routeur wrt

      Réflexion :
      En suivant cette idée
      http://serverfault.com/questions/484874/routing-between-two-routers-with-static-routes

      J’ai compris qu’il fallait rajouter des routes, mais pour le moment je n’arrive a rien.

      Source
      http://serverfault.com/questions/484874/routing-between-two-routers-with-static-routes
      https://doc.pfsense.org/multiple-subnets-one-interface-pfsense.pdf

      Pour moment
      1//dans routing-->gateway
      j'ai rajouter la gateway 10.15.15.1

      2//puis de route j'ai rajouté
      Network
      192.168.5.0
      Gateway
      10.15.15.1

      D’avance merci
      Mouitido

      1 Reply Last reply Reply Quote 0
      • L
        Lolight
        last edited by

        Sur ton routeur PfSense il faut que tu créer une route pour qu'il sache par ou passer pour joindre ton sous réseau distant.
        Au vu du peut d'info que tu donne c'est un peut compliqué d'y voir clair.

        Donc tu as ton interface LAN pfsense et ton WAN
        Il faut ajouter une route qui dise que pour joindre le réseau LAN de ton autre routeur il faut passe par cet autre routeur.
        Il faut ajouter cette route sur l'interface Wan de pfsense puis en gateway (passerelle) mettre l'adresse Wan de ton autre routeur.

        Maintenant quand ton pfsense recevra une requête pour joindre ce réseau il sauras a qui et ou relayer la requête.

        Bien évidement fais attention a la configuration de ton firewall et il faut faire l'équivalent dans l'autre sens sur ton autre routeur.

        1 Reply Last reply Reply Quote 0
        • C
          ccnet
          last edited by

          Dans cette configuration, pour ce que l'on en connaît , les routes par défaut devraient suffire. Mais comme le descriptif n'est peut être pas complet la solution peut ne pas en être une. Un schéma avec adressage complet et nat éventuel serait bienvenu.
          Ne perdez pas de vue que les paquets émis depuis le l'an vers un autre réseau sont translatés lors du passage par wan avec l'iP wan.

          1 Reply Last reply Reply Quote 0
          • C
            chris4916
            last edited by

            Il manque au moins la description d'un réseau dans ce que tu décris.

            A minima tu devrais, si j'intuite bien, avoir

            LAN A (10.15.15.0/??) <–>  int. LAN pfSense (.1)::pfSense:: int. WAN pfSense (ip B)  <--> réseau B  <-->  int. WAN WRT45GL (IP D)::WRT45GL:: int. LAN WRT45GL (.1)  <--> réseau C (192.168.1.0/24)

            Si du réseau A tu veux joindre une machine sur le réseau C (et l'interface LAN du WRT45GL est une machine du réseau C), il faut que pfSense sache que le réseau C est joignable via l'IP  D.
            I faudrait donc lui ajouter une route qui dit "le réseau C se trouve derrière la gateway qui a l'IP D…

            Sauf que ça ne marche pas.... si le réseau B de mon "schéma" est internet  ;D car tes IP dans les réseaux A et C sont définies dans la RFC 1918 et donc pas routées sur internet.

            Si c'est un réseau privé, pas de problème avec la route (mais dans ce cas RIP devrait faire l'affaire. même pas la peine d'ajouter des routes à la main ;-)

            Si c'est internet, tu as 2 choix:
            1 - un tunnel VPN en mode site-à-site
            2 - tu accèdes à l'adresse D et tu fais un port forward vers l'adresse de ton choix sur le LAN C  Dans ce cas, la formulation "accéder au LAN" comme bien souvent, ne suffit pas. Il faut préciser quel port ou quelle application  8)

            Jah Olela Wembo: Les mots se muent en maux quand ils indisposent, agressent ou blessent.

            1 Reply Last reply Reply Quote 0
            • M
              mouitido
              last edited by

              Suivant l'exemple de de Chris 4916

              Lan A (10.15.15.0/24) pfsense<–---> tomato wan B 10.15.15.64<--> Lan B tomato 192.168.5.0/24
              internet source    <---wan A (10.0.0.100)pfsense

              Suite au conseil de Lolight

              Il faut ajouter une route qui dise que pour joindre le réseau LAN de ton autre routeur il faut passe par cet autre routeur.

              se que j'ai compris 192.168.5.0-->10.15.15.64 (dans routing-->route)

              Il faut ajouter cette route sur l'interface Wan de pfsense puis en gateway (passerelle) mettre l'adresse Wan de ton autre routeur.

              se que j'ai compris ( firewall-->rule--Wan)
              192.168.5.0

              gateway
              10.15.15.64

              log
              default 10.0.0.100 UGS 0 24721 1500 vr1
              10.0.0.0/24 link#2 U 0 5029 1500 vr1
              10.0.0.15 link#2 UHS 0 0 16384 lo0
              10.15.15.0/24 link#1 U 0 24706 1500 vr0
              10.15.15.1 link#1 UHS 0 9826 16384 lo0
              127.0.0.1 link#7 UH 0 22 16384 lo0
              192.168.5.0/24 10.15.15.64 UGS 0 40 1500 vr0

              Afin de faire plus simple j'ai fait de print screen
              dans chaque étape de ma reflexion.
              Pour le moment ça ne marche toujours pas.

              D'avance merci pour tout vos idée.  Je commence a voir plus claire.

              1.JPG
              1.JPG_thumb
              2.JPG
              2.JPG_thumb
              3.JPG
              3.JPG_thumb
              4.JPG
              4.JPG_thumb
              5.JPG
              5.JPG_thumb

              1 Reply Last reply Reply Quote 0
              • M
                mouitido
                last edited by

                • 2.JPG
                  viens de
                  (nat–->outbound)
                1 Reply Last reply Reply Quote 0
                • L
                  Lolight
                  last edited by

                  Tu as indiqué a pfsense comment joindre ton sous réseau distant ne crois-tu pas qu'il faille faire la même chose a l'inverse sur l'autre routeur ?

                  Pareil sur l'autre routeur assure que tu ne bloque pas les flux ou au moins les requete icmp si tu fais t'es test avec des pings.

                  J'ai du mal a comprendre ton shéma

                  LanR1-PF-R1-WanR1–-----------------WanR2-R2-LanR2

                  Lan R1 10.15.15.0/24
                  Wan R1 - Alix 192.168.5.0/24
                  Lan Alix 10.0.0.0/24 ?

                  Voilà j'ai pas bien compris ton shéma, confirme-tu celui que je viens de faire ?

                  Si oui, résumons, nous avons 2 routeur et trois réseau, 2 Lan et un Wan qui fait le "pont" entre nos deux Lan.
                  Attention, se que je vais dire dépend de ma compréhension de ton shéma.
                  Sur R1 : Destination 10.0.0.0/24 gw AdresseWanR2
                  Sur R2 : Destination 10.15.15.0/24 gw AdresseWanR1

                  Je me répète ce que je viens d'écrire est conditionné par ma compréhension de ton infra :)

                  Au final une route sur chaque routeur devrais sufire, si tu est sur pfSense tu peux consulter les route via l'onglet diagnostic puis route il me semble.

                  1 Reply Last reply Reply Quote 0
                  • C
                    chris4916
                    last edited by

                    @mouitido:

                    Suivant l'exemple de de Chris 4916

                    Lan A (10.15.15.0/24) pfsense<–---> tomato wan B 10.15.15.64<--> Lan B tomato 192.168.5.0/24
                    internet source    <---wan A (10.0.0.100)pfsense

                    ??? je n'y comprends rien.
                    Tu devrais écrire quelque chose du genre "interface (adresse IP) <–> équipement <--> interface (adresse IP) <-- réseau --> interface (adresse IP) <--> équipement etc....

                    Dans ta description, ma compréhension est que:

                    • pfSense à une adresse IP interner (LAN) en 10.15.15.x
                    • tomato WAN, je ne sais pas à quoi ça correspond (j'ai pourtant une bonne idée de ce qu'est Tomato si on parle d'un WRT45GL  ;D )

                    et j'arrête là car si je ne comprends pas comment ces 2 équipements sont connectés (ou pas), ce n'est même pas la peine que j'aille plus loin.

                    Si une description sous forme de texte est trop compliquée, tu peux aussi faire un petit schéma ;-)

                    Jah Olela Wembo: Les mots se muent en maux quand ils indisposent, agressent ou blessent.

                    1 Reply Last reply Reply Quote 0
                    • M
                      mouitido
                      last edited by

                      Bonjour,

                      par apport au shema, il faudrait que le 10.15.15.66 communique avec le 192.168.5.9

                      Pour le moment rien se passe. Malgré les routes que j'ai rajoutées.

                      Mais de tomato(wrt54gl) vers pfsense ça fonctionne.

                      192.168.5.9 ping bien le 10.15.15.66

                      Le problème viens de pfsense vers tomato(wrt54gl)

                      Merci pour votre temps.

                      bàv

                      6.JPG
                      6.JPG_thumb

                      1 Reply Last reply Reply Quote 0
                      • C
                        ccnet
                        last edited by

                        On y arrive ! En effet ce n'est pas ce que j'avais compris initialement. Pfsense n'est qu’incidemment concerné dans ce schéma voire pas du tout. On pourrait faire sans lui.

                        Mais de tomato(wrt54gl) vers pfsense ça fonctionne.
                        192.168.5.9 ping bien le 10.15.15.66

                        Forcément.

                        Sur Pfsense ajouter une route pour joindre 192.168.5.0/24 (ou 192.168.5.9) qui pointe sur 10.15.15.64 (Tomato).
                        Tomato translate ?

                        1 Reply Last reply Reply Quote 0
                        • M
                          mouitido
                          last edited by

                          bonjour,

                          j'ai rajouté cette route mais rien…. pas de réponse.

                          Il y a aussi des routes a rajouté dans la tomato (wrt54gl)???

                          merci de votre aide

                          7.JPG
                          7.JPG_thumb

                          1 Reply Last reply Reply Quote 0
                          • C
                            ccnet
                            last edited by

                            Je repose la question : Tomato translate ?
                            Accessoirement vérifier les règles de filtrage éventuels sur Tomato. Regarder les logs, faire un tracert.

                            1 Reply Last reply Reply Quote 0
                            • C
                              chris4916
                              last edited by

                              @ccnet:

                              Je repose la question : Tomato translate ?
                              Accessoirement vérifier les règles de filtrage éventuels sur Tomato. Regarder les logs, faire un tracert.

                              +1
                              Avec le schéma, c'est beaucoup plus clair  ;)

                              • les outils de diag de pfSense vont te permettre de t'assurer que tu lorsque 10.15.15.66 tente d'accéder à 192.168.5.9, les paquets arrivent sur pfSense qui a une route vers 10.15.15.64 pour 192.168.5.0/24
                              • tu devrais voir ces paquets arriver sur Tomato et à partir de là, regarder les logs, la conf…. ou ouvrir un sujet sur le forum Tomato ;-)

                              De mon point de vue, ta route est correcte et indispensable mais uniquement parce que sur le réseau 10.15.15.0, la default gateway est 10.15.15.1

                              Sur Tomato, si il n'y a pas de filtrage  ;) ça devrait fonctionner tout seul...

                              Jah Olela Wembo: Les mots se muent en maux quand ils indisposent, agressent ou blessent.

                              1 Reply Last reply Reply Quote 0
                              • M
                                mouitido
                                last edited by

                                merci pour vos réponses.

                                Elles vont surement m'aidé.

                                Mais pour être sur d'avoir bien compris

                                Les réglés que j'ai mit dans mon Wan et dans Nat_outbound, j'ai pas les effacés, j'ai n'ai pas besoin….?

                                Pour le reste demain, j'ais mes test de ping.

                                wan.JPG
                                wan.JPG_thumb
                                nat_outbound.JPG
                                nat_outbound.JPG_thumb

                                1 Reply Last reply Reply Quote 0
                                • C
                                  chris4916
                                  last edited by

                                  Ces règles sur pfSense WAN ne te servent à rien. sur la base du schéma que tu montres, les paquets restent coté LAN. Donc ce qu’il faudrait éventuellement regarder, c'est les règles sur l'interface LAN. ça me semblait tellement évident que je m'y suis repris à 2 fois pour relire ce que tu viens d'écrire en me demandant si je comprenais bien  :-[

                                  Un moyen, un peu empirique mais efficace pour comprendre si ton problème est sur pfSense ou sur Tomanto : affecte une route en dur sur la machine 10.15.15.66 pour pointer sur 10.15.15.64 et essaie d'accéder à 192.168.5.9  :)

                                  Jah Olela Wembo: Les mots se muent en maux quand ils indisposent, agressent ou blessent.

                                  1 Reply Last reply Reply Quote 0
                                  • M
                                    mouitido
                                    last edited by

                                    retour

                                    J'ai peux investigué les log

                                    un fois la route activé.

                                    dans le tomato, j'ai ça qui revient tout le temps

                                    Apr 17 21:46:27 unknown user.warn kernel: ACCEPT IN=vlan1 OUT= MAC=58:6d:8f:d8:10:d8:02🇩🇪4d:b0:23:00:08:00:45:00:00:40 SRC=10.15.15.1 DST=192.168.5.1 LEN=64 TOS=0x00 PREC=0x00 TTL=64 ID=3085 PROTO=ICMP TYPE=8 CODE=0 ID=20063 SEQ=2562

                                    Apr 17 21:46:27 unknown user.warn kernel: ACCEPT IN=vlan1 OUT= MAC=58:6d:8f:d8:10:d8:02🇩🇪4d:b0:23:00:08:00:45:00:00:40 SRC=10.15.15.1 DST=192.168.5.1 LEN=64 TOS=0x00 PREC=0x00 TTL=64 ID=3085 PROTO=ICMP TYPE=8 CODE=0 ID=20063 SEQ=2562

                                    Apr 17 21:46:27 unknown user.warn kernel: ACCEPT IN=vlan1 OUT= MAC=58:6d:8f:d8:10:d8:02🇩🇪4d:b0:23:00:08:00:45:00:00:40 SRC=10.15.15.1 DST=192.168.5.1 LEN=64 TOS=0x00 PREC=0x00 TTL=64 ID=3085 PROTO=ICMP TYPE=8 CODE=0 ID=20063 SEQ=2562

                                    Si je comprend bien ça voudrait dire qu'au niveau du routing sa semble correcte..?

                                    LOG PFSENSE
                                    J'ai du mal a l’interpréter.

                                    21:55:11.086792 IP 10.15.15.66 > 192.168.5.1: ICMP echo request, id 1, seq 122, length 40
                                    21:55:11.086969 IP 10.15.15.66 > 192.168.5.1: ICMP echo request, id 1, seq 122, length 40
                                    21:55:11.087015 IP 10.15.15.1 > 10.15.15.66: ICMP redirect 192.168.5.1 to host 10.15.15.64, length 36

                                    pour le test j'ai voulu pigner 192.168.5.1

                                    Mais au final

                                    si je veux pigner toujours pas de réponse….. :(

                                    1 Reply Last reply Reply Quote 0
                                    • C
                                      ccnet
                                      last edited by

                                      Je confirme que les règles sur wan ne servent à rien. Vous devriez essayer de commencer par mieux connaître et comprendre les protocoles que utilisez. Vos messages montrent que ce n'est pas le cas. Une compréhension basique des mécanismes de routage vous évitera des erreurs et surtout de chercher là où ne sont pas les problèmes.

                                      1 Reply Last reply Reply Quote 0
                                      • C
                                        chris4916
                                        last edited by

                                        Tiens…. tu as des VLAN  ???
                                        Il me semble que c'est un point important dans la description de ton réseau non ?

                                        Donc pfSense montre bien la redirection vers 10.15.15.64, c'est une bonne chose.
                                        Tomato accepte les paquets entrants.  Cool

                                        la question suivante est: que deviennent ces paquets ?

                                        tcpdump sur Tomato ?

                                        Petit point de détail (qui n'en est peut-être pas un du coup): l'adresse 192.168.5.1, c'est bien l'adresse de Tomato sur le segment 192.168.5.0/24 ? je pose la question car le schéma n'est vraiment pas clair de ce point de vue. L'autre coté du WRT montre bien une adresse IP et une gateway mais cote 192.168.5.0, c'est ...  ::)

                                        Donc en supposant que .1 c'est Tomato:

                                        • les paquets sont acceptés mais si des règles de FW (sur Tomato) n'acceptent pas ICMP, il est normal que ça ne marche pas et dans ce cas, tu ne peux pas faire de ping sur cette adresse. Mais ce n'est pas très grave, ping n'est pas indispensable n'est-ce pas ?

                                        Regarde donc de plus près ce qui se passe coté Tomato  ;)

                                        Jah Olela Wembo: Les mots se muent en maux quand ils indisposent, agressent ou blessent.

                                        1 Reply Last reply Reply Quote 0
                                        • M
                                          mouitido
                                          last edited by

                                          bonjour,

                                          je reviens avec mon problème de ping.

                                          Mais avant
                                          pour répondre a chris4916

                                          le vlan1 sont pour le wan sur tomato (wrt54gl), j'avous que laissé par défaut cette conf, la Lan est sur br0

                                          10.15.15.1 * 255.255.255.255 0 vlan1 (WAN)
                                          10.15.15.0 * 255.255.255.0 0 vlan1 (WAN)
                                          192.168.5.0 * 255.255.255.0 0 br0 (LAN)

                                          oui le 192.168.5.1 est bien l'adresse du tomato sur le segement 192.168.5.0/24

                                          J'avoue que je me suis mal explrimé sur le shema.

                                          Pour ce que est de icmp "Respond to ICMP ping" est bien activé.

                                          Pour ccnet

                                          Mon routeur (wrt54gl sous tomato) ne translatait pas.

                                          Pour Finir

                                          LE PROBLÈME est résolu :)

                                          1/ mettre  une route qui pointe vers le LAN de l'autre Réseau.
                                          2/ dans mon qua mettre le wrt54gl en mode router et non pas Gateway.

                                          En résume depuis un petit temps c'était bon de le pfsense ;), mais le fond du problème venait de wrt54gl :P.

                                          Merci a vous pour vos réflexions, qui mon aidé dans mes recherche.

                                          je met ici le lien qui ma aidé pour tomato

                                          http://www.linksysinfo.org/index.php?threads/gateway-or-router-mode-for-ap.68313/

                                          Reste un autre problème, mais la rien avoir avec pfsense.

                                          Quand je met en mode router, j'ai plus internet dans la Lan. (mais ça c'est pour le forum tomato)

                                          1 Reply Last reply Reply Quote 0
                                          • C
                                            chris4916
                                            last edited by

                                            Ah oui, effectivement, si ton WRT était en mode passerelle…  ::)

                                            Comme quoi une description précise de ton environnement aurait fait gagner pas mal de temps.
                                            Une compréhension basique de ce qui différencie passerelle et routeur aussi  ;)

                                            Mais bon, si c'est tombé en marche  ;D ;D ;D

                                            Jah Olela Wembo: Les mots se muent en maux quand ils indisposent, agressent ou blessent.

                                            1 Reply Last reply Reply Quote 0
                                            • First post
                                              Last post
                                            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.