Accéder au lan d'un autre router en partant du pfsense

mouitido

Bonjour,

Context : Dans le cadre d’un labo test.
alixboard  256ram, compactflash 4go
Pfsense : 2.1.5

Besoin :

Accéder au lan d’un autre routeur en partant du pfsense
Actuellement :
Lan pfsense(10.15.15.1)–>wan : routeur wrt54gl en dhcp (firware tomato)
                Lan : routeur wrt54gl 192.168.5.1 avec distribution de dhcp
QUESTION

Comment pourrais-je configurer le pfsense pour pouvoir accédé au lan(192.168.5.1) du routeur wrt

Réflexion :
En suivant cette idée
http://serverfault.com/questions/484874/routing-between-two-routers-with-static-routes

J’ai compris qu’il fallait rajouter des routes, mais pour le moment je n’arrive a rien.

Source
http://serverfault.com/questions/484874/routing-between-two-routers-with-static-routes
https://doc.pfsense.org/multiple-subnets-one-interface-pfsense.pdf

Pour moment
1//dans routing-->gateway
j'ai rajouter la gateway 10.15.15.1

2//puis de route j'ai rajouté
Network
192.168.5.0
Gateway
10.15.15.1

D’avance merci
Mouitido

Lolight

Sur ton routeur PfSense il faut que tu créer une route pour qu'il sache par ou passer pour joindre ton sous réseau distant.
Au vu du peut d'info que tu donne c'est un peut compliqué d'y voir clair.

Donc tu as ton interface LAN pfsense et ton WAN
Il faut ajouter une route qui dise que pour joindre le réseau LAN de ton autre routeur il faut passe par cet autre routeur.
Il faut ajouter cette route sur l'interface Wan de pfsense puis en gateway (passerelle) mettre l'adresse Wan de ton autre routeur.

Maintenant quand ton pfsense recevra une requête pour joindre ce réseau il sauras a qui et ou relayer la requête.

Bien évidement fais attention a la configuration de ton firewall et il faut faire l'équivalent dans l'autre sens sur ton autre routeur.

ccnet

Dans cette configuration, pour ce que l'on en connaît , les routes par défaut devraient suffire. Mais comme le descriptif n'est peut être pas complet la solution peut ne pas en être une. Un schéma avec adressage complet et nat éventuel serait bienvenu.
Ne perdez pas de vue que les paquets émis depuis le l'an vers un autre réseau sont translatés lors du passage par wan avec l'iP wan.

chris4916

Il manque au moins la description d'un réseau dans ce que tu décris.

A minima tu devrais, si j'intuite bien, avoir

LAN A (10.15.15.0/??) <–>  int. LAN pfSense (.1)::pfSense:: int. WAN pfSense (ip B)  <--> réseau B  <-->  int. WAN WRT45GL (IP D)::WRT45GL:: int. LAN WRT45GL (.1)  <--> réseau C (192.168.1.0/24)

Si du réseau A tu veux joindre une machine sur le réseau C (et l'interface LAN du WRT45GL est une machine du réseau C), il faut que pfSense sache que le réseau C est joignable via l'IP  D.
I faudrait donc lui ajouter une route qui dit "le réseau C se trouve derrière la gateway qui a l'IP D…

Sauf que ça ne marche pas.... si le réseau B de mon "schéma" est internet  ;D car tes IP dans les réseaux A et C sont définies dans la RFC 1918 et donc pas routées sur internet.

Si c'est un réseau privé, pas de problème avec la route (mais dans ce cas RIP devrait faire l'affaire. même pas la peine d'ajouter des routes à la main ;-)

Si c'est internet, tu as 2 choix:
1 - un tunnel VPN en mode site-à-site
2 - tu accèdes à l'adresse D et tu fais un port forward vers l'adresse de ton choix sur le LAN C  Dans ce cas, la formulation "accéder au LAN" comme bien souvent, ne suffit pas. Il faut préciser quel port ou quelle application  8)

mouitido

Suivant l'exemple de de Chris 4916

Lan A (10.15.15.0/24) pfsense<–---> tomato wan B 10.15.15.64<--> Lan B tomato 192.168.5.0/24
internet source    <---wan A (10.0.0.100)pfsense

Suite au conseil de Lolight

Il faut ajouter une route qui dise que pour joindre le réseau LAN de ton autre routeur il faut passe par cet autre routeur.

se que j'ai compris 192.168.5.0-->10.15.15.64 (dans routing-->route)

Il faut ajouter cette route sur l'interface Wan de pfsense puis en gateway (passerelle) mettre l'adresse Wan de ton autre routeur.

se que j'ai compris ( firewall-->rule--Wan)
192.168.5.0

gateway
10.15.15.64

log
default 10.0.0.100 UGS 0 24721 1500 vr1
10.0.0.0/24 link#2 U 0 5029 1500 vr1
10.0.0.15 link#2 UHS 0 0 16384 lo0
10.15.15.0/24 link#1 U 0 24706 1500 vr0
10.15.15.1 link#1 UHS 0 9826 16384 lo0
127.0.0.1 link#7 UH 0 22 16384 lo0
192.168.5.0/24 10.15.15.64 UGS 0 40 1500 vr0

Afin de faire plus simple j'ai fait de print screen
dans chaque étape de ma reflexion.
Pour le moment ça ne marche toujours pas.

D'avance merci pour tout vos idée.  Je commence a voir plus claire.

mouitido

• 2.JPG
  viens de
  (nat–->outbound)

Lolight

Tu as indiqué a pfsense comment joindre ton sous réseau distant ne crois-tu pas qu'il faille faire la même chose a l'inverse sur l'autre routeur ?

Pareil sur l'autre routeur assure que tu ne bloque pas les flux ou au moins les requete icmp si tu fais t'es test avec des pings.

J'ai du mal a comprendre ton shéma

LanR1-PF-R1-WanR1–-----------------WanR2-R2-LanR2

Lan R1 10.15.15.0/24
Wan R1 - Alix 192.168.5.0/24
Lan Alix 10.0.0.0/24 ?

Voilà j'ai pas bien compris ton shéma, confirme-tu celui que je viens de faire ?

Si oui, résumons, nous avons 2 routeur et trois réseau, 2 Lan et un Wan qui fait le "pont" entre nos deux Lan.
Attention, se que je vais dire dépend de ma compréhension de ton shéma.
Sur R1 : Destination 10.0.0.0/24 gw AdresseWanR2
Sur R2 : Destination 10.15.15.0/24 gw AdresseWanR1

Je me répète ce que je viens d'écrire est conditionné par ma compréhension de ton infra :)

Au final une route sur chaque routeur devrais sufire, si tu est sur pfSense tu peux consulter les route via l'onglet diagnostic puis route il me semble.

chris4916

@mouitido:

Suivant l'exemple de de Chris 4916

Lan A (10.15.15.0/24) pfsense<–---> tomato wan B 10.15.15.64<--> Lan B tomato 192.168.5.0/24
internet source    <---wan A (10.0.0.100)pfsense

??? je n'y comprends rien.
Tu devrais écrire quelque chose du genre "interface (adresse IP) <–> équipement <--> interface (adresse IP) <-- réseau --> interface (adresse IP) <--> équipement etc....

Dans ta description, ma compréhension est que:

• pfSense à une adresse IP interner (LAN) en 10.15.15.x
• tomato WAN, je ne sais pas à quoi ça correspond (j'ai pourtant une bonne idée de ce qu'est Tomato si on parle d'un WRT45GL  ;D )

et j'arrête là car si je ne comprends pas comment ces 2 équipements sont connectés (ou pas), ce n'est même pas la peine que j'aille plus loin.

Si une description sous forme de texte est trop compliquée, tu peux aussi faire un petit schéma ;-)

mouitido

Bonjour,

par apport au shema, il faudrait que le 10.15.15.66 communique avec le 192.168.5.9

Pour le moment rien se passe. Malgré les routes que j'ai rajoutées.

Mais de tomato(wrt54gl) vers pfsense ça fonctionne.

192.168.5.9 ping bien le 10.15.15.66

Le problème viens de pfsense vers tomato(wrt54gl)

Merci pour votre temps.

bàv

ccnet

On y arrive ! En effet ce n'est pas ce que j'avais compris initialement. Pfsense n'est qu’incidemment concerné dans ce schéma voire pas du tout. On pourrait faire sans lui.

Mais de tomato(wrt54gl) vers pfsense ça fonctionne.
192.168.5.9 ping bien le 10.15.15.66

Forcément.

Sur Pfsense ajouter une route pour joindre 192.168.5.0/24 (ou 192.168.5.9) qui pointe sur 10.15.15.64 (Tomato).
Tomato translate ?

mouitido

bonjour,

j'ai rajouté cette route mais rien…. pas de réponse.

Il y a aussi des routes a rajouté dans la tomato (wrt54gl)???

merci de votre aide

ccnet

Je repose la question : Tomato translate ?
Accessoirement vérifier les règles de filtrage éventuels sur Tomato. Regarder les logs, faire un tracert.

chris4916

@ccnet:

Je repose la question : Tomato translate ?
Accessoirement vérifier les règles de filtrage éventuels sur Tomato. Regarder les logs, faire un tracert.

+1
Avec le schéma, c'est beaucoup plus clair  ;)

• les outils de diag de pfSense vont te permettre de t'assurer que tu lorsque 10.15.15.66 tente d'accéder à 192.168.5.9, les paquets arrivent sur pfSense qui a une route vers 10.15.15.64 pour 192.168.5.0/24
• tu devrais voir ces paquets arriver sur Tomato et à partir de là, regarder les logs, la conf…. ou ouvrir un sujet sur le forum Tomato ;-)

De mon point de vue, ta route est correcte et indispensable mais uniquement parce que sur le réseau 10.15.15.0, la default gateway est 10.15.15.1

Sur Tomato, si il n'y a pas de filtrage  ;) ça devrait fonctionner tout seul...

mouitido

merci pour vos réponses.

Elles vont surement m'aidé.

Mais pour être sur d'avoir bien compris

Les réglés que j'ai mit dans mon Wan et dans Nat_outbound, j'ai pas les effacés, j'ai n'ai pas besoin….?

Pour le reste demain, j'ais mes test de ping.

chris4916

Ces règles sur pfSense WAN ne te servent à rien. sur la base du schéma que tu montres, les paquets restent coté LAN. Donc ce qu’il faudrait éventuellement regarder, c'est les règles sur l'interface LAN. ça me semblait tellement évident que je m'y suis repris à 2 fois pour relire ce que tu viens d'écrire en me demandant si je comprenais bien  :-[

Un moyen, un peu empirique mais efficace pour comprendre si ton problème est sur pfSense ou sur Tomanto : affecte une route en dur sur la machine 10.15.15.66 pour pointer sur 10.15.15.64 et essaie d'accéder à 192.168.5.9  :)

mouitido

retour

J'ai peux investigué les log

un fois la route activé.

dans le tomato, j'ai ça qui revient tout le temps

Apr 17 21:46:27 unknown user.warn kernel: ACCEPT IN=vlan1 OUT= MAC=58:6d:8f:d8:10:d8:024d:b0:23:00:08:00:45:00:00:40 SRC=10.15.15.1 DST=192.168.5.1 LEN=64 TOS=0x00 PREC=0x00 TTL=64 ID=3085 PROTO=ICMP TYPE=8 CODE=0 ID=20063 SEQ=2562

Apr 17 21:46:27 unknown user.warn kernel: ACCEPT IN=vlan1 OUT= MAC=58:6d:8f:d8:10:d8:024d:b0:23:00:08:00:45:00:00:40 SRC=10.15.15.1 DST=192.168.5.1 LEN=64 TOS=0x00 PREC=0x00 TTL=64 ID=3085 PROTO=ICMP TYPE=8 CODE=0 ID=20063 SEQ=2562

Apr 17 21:46:27 unknown user.warn kernel: ACCEPT IN=vlan1 OUT= MAC=58:6d:8f:d8:10:d8:024d:b0:23:00:08:00:45:00:00:40 SRC=10.15.15.1 DST=192.168.5.1 LEN=64 TOS=0x00 PREC=0x00 TTL=64 ID=3085 PROTO=ICMP TYPE=8 CODE=0 ID=20063 SEQ=2562

Si je comprend bien ça voudrait dire qu'au niveau du routing sa semble correcte..?

LOG PFSENSE
J'ai du mal a l’interpréter.

21:55:11.086792 IP 10.15.15.66 > 192.168.5.1: ICMP echo request, id 1, seq 122, length 40
21:55:11.086969 IP 10.15.15.66 > 192.168.5.1: ICMP echo request, id 1, seq 122, length 40
21:55:11.087015 IP 10.15.15.1 > 10.15.15.66: ICMP redirect 192.168.5.1 to host 10.15.15.64, length 36

pour le test j'ai voulu pigner 192.168.5.1

Mais au final

si je veux pigner toujours pas de réponse….. :(

ccnet

Je confirme que les règles sur wan ne servent à rien. Vous devriez essayer de commencer par mieux connaître et comprendre les protocoles que utilisez. Vos messages montrent que ce n'est pas le cas. Une compréhension basique des mécanismes de routage vous évitera des erreurs et surtout de chercher là où ne sont pas les problèmes.

chris4916

Tiens…. tu as des VLAN  ???
Il me semble que c'est un point important dans la description de ton réseau non ?

Donc pfSense montre bien la redirection vers 10.15.15.64, c'est une bonne chose.
Tomato accepte les paquets entrants.  Cool

la question suivante est: que deviennent ces paquets ?

tcpdump sur Tomato ?

Petit point de détail (qui n'en est peut-être pas un du coup): l'adresse 192.168.5.1, c'est bien l'adresse de Tomato sur le segment 192.168.5.0/24 ? je pose la question car le schéma n'est vraiment pas clair de ce point de vue. L'autre coté du WRT montre bien une adresse IP et une gateway mais cote 192.168.5.0, c'est ...  ::)

Donc en supposant que .1 c'est Tomato:

• les paquets sont acceptés mais si des règles de FW (sur Tomato) n'acceptent pas ICMP, il est normal que ça ne marche pas et dans ce cas, tu ne peux pas faire de ping sur cette adresse. Mais ce n'est pas très grave, ping n'est pas indispensable n'est-ce pas ?

Regarde donc de plus près ce qui se passe coté Tomato  ;)

mouitido

bonjour,

je reviens avec mon problème de ping.

Mais avant
pour répondre a chris4916

le vlan1 sont pour le wan sur tomato (wrt54gl), j'avous que laissé par défaut cette conf, la Lan est sur br0

10.15.15.1 * 255.255.255.255 0 vlan1 (WAN)
10.15.15.0 * 255.255.255.0 0 vlan1 (WAN)
192.168.5.0 * 255.255.255.0 0 br0 (LAN)

oui le 192.168.5.1 est bien l'adresse du tomato sur le segement 192.168.5.0/24

J'avoue que je me suis mal explrimé sur le shema.

Pour ce que est de icmp "Respond to ICMP ping" est bien activé.

Pour ccnet

Mon routeur (wrt54gl sous tomato) ne translatait pas.

Pour Finir

LE PROBLÈME est résolu :)

1/ mettre  une route qui pointe vers le LAN de l'autre Réseau.
2/ dans mon qua mettre le wrt54gl en mode router et non pas Gateway.

En résume depuis un petit temps c'était bon de le pfsense ;), mais le fond du problème venait de wrt54gl :P.

Merci a vous pour vos réflexions, qui mon aidé dans mes recherche.

je met ici le lien qui ma aidé pour tomato

http://www.linksysinfo.org/index.php?threads/gateway-or-router-mode-for-ap.68313/

Reste un autre problème, mais la rien avoir avec pfsense.

Quand je met en mode router, j'ai plus internet dans la Lan. (mais ça c'est pour le forum tomato)

chris4916

Ah oui, effectivement, si ton WRT était en mode passerelle…  ::)

Comme quoi une description précise de ton environnement aurait fait gagner pas mal de temps.
Une compréhension basique de ce qui différencie passerelle et routeur aussi  ;)

Mais bon, si c'est tombé en marche  ;D ;D ;D