Accéder au lan d'un autre router en partant du pfsense



  • Bonjour,

    Context : Dans le cadre d’un labo test.
    alixboard  256ram, compactflash 4go
    Pfsense : 2.1.5

    Besoin :

    Accéder au lan d’un autre routeur en partant du pfsense
    Actuellement :
    Lan pfsense(10.15.15.1)–>wan : routeur wrt54gl en dhcp (firware tomato)
                    Lan : routeur wrt54gl 192.168.5.1 avec distribution de dhcp
    QUESTION

    Comment pourrais-je configurer le pfsense pour pouvoir accédé au lan(192.168.5.1) du routeur wrt

    Réflexion :
    En suivant cette idée
    http://serverfault.com/questions/484874/routing-between-two-routers-with-static-routes

    J’ai compris qu’il fallait rajouter des routes, mais pour le moment je n’arrive a rien.

    Source
    http://serverfault.com/questions/484874/routing-between-two-routers-with-static-routes
    https://doc.pfsense.org/multiple-subnets-one-interface-pfsense.pdf

    Pour moment
    1//dans routing-->gateway
    j'ai rajouter la gateway 10.15.15.1

    2//puis de route j'ai rajouté
    Network
    192.168.5.0
    Gateway
    10.15.15.1

    D’avance merci
    Mouitido



  • Sur ton routeur PfSense il faut que tu créer une route pour qu'il sache par ou passer pour joindre ton sous réseau distant.
    Au vu du peut d'info que tu donne c'est un peut compliqué d'y voir clair.

    Donc tu as ton interface LAN pfsense et ton WAN
    Il faut ajouter une route qui dise que pour joindre le réseau LAN de ton autre routeur il faut passe par cet autre routeur.
    Il faut ajouter cette route sur l'interface Wan de pfsense puis en gateway (passerelle) mettre l'adresse Wan de ton autre routeur.

    Maintenant quand ton pfsense recevra une requête pour joindre ce réseau il sauras a qui et ou relayer la requête.

    Bien évidement fais attention a la configuration de ton firewall et il faut faire l'équivalent dans l'autre sens sur ton autre routeur.



  • Dans cette configuration, pour ce que l'on en connaît , les routes par défaut devraient suffire. Mais comme le descriptif n'est peut être pas complet la solution peut ne pas en être une. Un schéma avec adressage complet et nat éventuel serait bienvenu.
    Ne perdez pas de vue que les paquets émis depuis le l'an vers un autre réseau sont translatés lors du passage par wan avec l'iP wan.



  • Il manque au moins la description d'un réseau dans ce que tu décris.

    A minima tu devrais, si j'intuite bien, avoir

    LAN A (10.15.15.0/??) <–>  int. LAN pfSense (.1)::pfSense:: int. WAN pfSense (ip B)  <--> réseau B  <-->  int. WAN WRT45GL (IP D)::WRT45GL:: int. LAN WRT45GL (.1)  <--> réseau C (192.168.1.0/24)

    Si du réseau A tu veux joindre une machine sur le réseau C (et l'interface LAN du WRT45GL est une machine du réseau C), il faut que pfSense sache que le réseau C est joignable via l'IP  D.
    I faudrait donc lui ajouter une route qui dit "le réseau C se trouve derrière la gateway qui a l'IP D…

    Sauf que ça ne marche pas.... si le réseau B de mon "schéma" est internet  ;D car tes IP dans les réseaux A et C sont définies dans la RFC 1918 et donc pas routées sur internet.

    Si c'est un réseau privé, pas de problème avec la route (mais dans ce cas RIP devrait faire l'affaire. même pas la peine d'ajouter des routes à la main ;-)

    Si c'est internet, tu as 2 choix:
    1 - un tunnel VPN en mode site-à-site
    2 - tu accèdes à l'adresse D et tu fais un port forward vers l'adresse de ton choix sur le LAN C  Dans ce cas, la formulation "accéder au LAN" comme bien souvent, ne suffit pas. Il faut préciser quel port ou quelle application  8)



  • Suivant l'exemple de de Chris 4916

    Lan A (10.15.15.0/24) pfsense<–---> tomato wan B 10.15.15.64<--> Lan B tomato 192.168.5.0/24
    internet source    <---wan A (10.0.0.100)pfsense

    Suite au conseil de Lolight

    Il faut ajouter une route qui dise que pour joindre le réseau LAN de ton autre routeur il faut passe par cet autre routeur.

    se que j'ai compris 192.168.5.0-->10.15.15.64 (dans routing-->route)

    Il faut ajouter cette route sur l'interface Wan de pfsense puis en gateway (passerelle) mettre l'adresse Wan de ton autre routeur.

    se que j'ai compris ( firewall-->rule--Wan)
    192.168.5.0

    gateway
    10.15.15.64

    log
    default 10.0.0.100 UGS 0 24721 1500 vr1
    10.0.0.0/24 link#2 U 0 5029 1500 vr1
    10.0.0.15 link#2 UHS 0 0 16384 lo0
    10.15.15.0/24 link#1 U 0 24706 1500 vr0
    10.15.15.1 link#1 UHS 0 9826 16384 lo0
    127.0.0.1 link#7 UH 0 22 16384 lo0
    192.168.5.0/24 10.15.15.64 UGS 0 40 1500 vr0

    Afin de faire plus simple j'ai fait de print screen
    dans chaque étape de ma reflexion.
    Pour le moment ça ne marche toujours pas.

    D'avance merci pour tout vos idée.  Je commence a voir plus claire.












    • 2.JPG
      viens de
      (nat–->outbound)


  • Tu as indiqué a pfsense comment joindre ton sous réseau distant ne crois-tu pas qu'il faille faire la même chose a l'inverse sur l'autre routeur ?

    Pareil sur l'autre routeur assure que tu ne bloque pas les flux ou au moins les requete icmp si tu fais t'es test avec des pings.

    J'ai du mal a comprendre ton shéma

    LanR1-PF-R1-WanR1–-----------------WanR2-R2-LanR2

    Lan R1 10.15.15.0/24
    Wan R1 - Alix 192.168.5.0/24
    Lan Alix 10.0.0.0/24 ?

    Voilà j'ai pas bien compris ton shéma, confirme-tu celui que je viens de faire ?

    Si oui, résumons, nous avons 2 routeur et trois réseau, 2 Lan et un Wan qui fait le "pont" entre nos deux Lan.
    Attention, se que je vais dire dépend de ma compréhension de ton shéma.
    Sur R1 : Destination 10.0.0.0/24 gw AdresseWanR2
    Sur R2 : Destination 10.15.15.0/24 gw AdresseWanR1

    Je me répète ce que je viens d'écrire est conditionné par ma compréhension de ton infra :)

    Au final une route sur chaque routeur devrais sufire, si tu est sur pfSense tu peux consulter les route via l'onglet diagnostic puis route il me semble.



  • @mouitido:

    Suivant l'exemple de de Chris 4916

    Lan A (10.15.15.0/24) pfsense<–---> tomato wan B 10.15.15.64<--> Lan B tomato 192.168.5.0/24
    internet source    <---wan A (10.0.0.100)pfsense

    ??? je n'y comprends rien.
    Tu devrais écrire quelque chose du genre "interface (adresse IP) <–> équipement <--> interface (adresse IP) <-- réseau --> interface (adresse IP) <--> équipement etc....

    Dans ta description, ma compréhension est que:

    • pfSense à une adresse IP interner (LAN) en 10.15.15.x
    • tomato WAN, je ne sais pas à quoi ça correspond (j'ai pourtant une bonne idée de ce qu'est Tomato si on parle d'un WRT45GL  ;D )

    et j'arrête là car si je ne comprends pas comment ces 2 équipements sont connectés (ou pas), ce n'est même pas la peine que j'aille plus loin.

    Si une description sous forme de texte est trop compliquée, tu peux aussi faire un petit schéma ;-)



  • Bonjour,

    par apport au shema, il faudrait que le 10.15.15.66 communique avec le 192.168.5.9

    Pour le moment rien se passe. Malgré les routes que j'ai rajoutées.

    Mais de tomato(wrt54gl) vers pfsense ça fonctionne.

    192.168.5.9 ping bien le 10.15.15.66

    Le problème viens de pfsense vers tomato(wrt54gl)

    Merci pour votre temps.

    bàv




  • On y arrive ! En effet ce n'est pas ce que j'avais compris initialement. Pfsense n'est qu’incidemment concerné dans ce schéma voire pas du tout. On pourrait faire sans lui.

    Mais de tomato(wrt54gl) vers pfsense ça fonctionne.
    192.168.5.9 ping bien le 10.15.15.66

    Forcément.

    Sur Pfsense ajouter une route pour joindre 192.168.5.0/24 (ou 192.168.5.9) qui pointe sur 10.15.15.64 (Tomato).
    Tomato translate ?



  • bonjour,

    j'ai rajouté cette route mais rien…. pas de réponse.

    Il y a aussi des routes a rajouté dans la tomato (wrt54gl)???

    merci de votre aide




  • Je repose la question : Tomato translate ?
    Accessoirement vérifier les règles de filtrage éventuels sur Tomato. Regarder les logs, faire un tracert.



  • @ccnet:

    Je repose la question : Tomato translate ?
    Accessoirement vérifier les règles de filtrage éventuels sur Tomato. Regarder les logs, faire un tracert.

    +1
    Avec le schéma, c'est beaucoup plus clair  ;)

    • les outils de diag de pfSense vont te permettre de t'assurer que tu lorsque 10.15.15.66 tente d'accéder à 192.168.5.9, les paquets arrivent sur pfSense qui a une route vers 10.15.15.64 pour 192.168.5.0/24
    • tu devrais voir ces paquets arriver sur Tomato et à partir de là, regarder les logs, la conf…. ou ouvrir un sujet sur le forum Tomato ;-)

    De mon point de vue, ta route est correcte et indispensable mais uniquement parce que sur le réseau 10.15.15.0, la default gateway est 10.15.15.1

    Sur Tomato, si il n'y a pas de filtrage  ;) ça devrait fonctionner tout seul...



  • merci pour vos réponses.

    Elles vont surement m'aidé.

    Mais pour être sur d'avoir bien compris

    Les réglés que j'ai mit dans mon Wan et dans Nat_outbound, j'ai pas les effacés, j'ai n'ai pas besoin….?

    Pour le reste demain, j'ais mes test de ping.






  • Ces règles sur pfSense WAN ne te servent à rien. sur la base du schéma que tu montres, les paquets restent coté LAN. Donc ce qu’il faudrait éventuellement regarder, c'est les règles sur l'interface LAN. ça me semblait tellement évident que je m'y suis repris à 2 fois pour relire ce que tu viens d'écrire en me demandant si je comprenais bien  :-[

    Un moyen, un peu empirique mais efficace pour comprendre si ton problème est sur pfSense ou sur Tomanto : affecte une route en dur sur la machine 10.15.15.66 pour pointer sur 10.15.15.64 et essaie d'accéder à 192.168.5.9  :)



  • retour

    J'ai peux investigué les log

    un fois la route activé.

    dans le tomato, j'ai ça qui revient tout le temps

    Apr 17 21:46:27 unknown user.warn kernel: ACCEPT IN=vlan1 OUT= MAC=58:6d:8f:d8:10:d8:02🇩🇪4d:b0:23:00:08:00:45:00:00:40 SRC=10.15.15.1 DST=192.168.5.1 LEN=64 TOS=0x00 PREC=0x00 TTL=64 ID=3085 PROTO=ICMP TYPE=8 CODE=0 ID=20063 SEQ=2562

    Apr 17 21:46:27 unknown user.warn kernel: ACCEPT IN=vlan1 OUT= MAC=58:6d:8f:d8:10:d8:02🇩🇪4d:b0:23:00:08:00:45:00:00:40 SRC=10.15.15.1 DST=192.168.5.1 LEN=64 TOS=0x00 PREC=0x00 TTL=64 ID=3085 PROTO=ICMP TYPE=8 CODE=0 ID=20063 SEQ=2562

    Apr 17 21:46:27 unknown user.warn kernel: ACCEPT IN=vlan1 OUT= MAC=58:6d:8f:d8:10:d8:02🇩🇪4d:b0:23:00:08:00:45:00:00:40 SRC=10.15.15.1 DST=192.168.5.1 LEN=64 TOS=0x00 PREC=0x00 TTL=64 ID=3085 PROTO=ICMP TYPE=8 CODE=0 ID=20063 SEQ=2562

    Si je comprend bien ça voudrait dire qu'au niveau du routing sa semble correcte..?

    LOG PFSENSE
    J'ai du mal a l’interpréter.

    21:55:11.086792 IP 10.15.15.66 > 192.168.5.1: ICMP echo request, id 1, seq 122, length 40
    21:55:11.086969 IP 10.15.15.66 > 192.168.5.1: ICMP echo request, id 1, seq 122, length 40
    21:55:11.087015 IP 10.15.15.1 > 10.15.15.66: ICMP redirect 192.168.5.1 to host 10.15.15.64, length 36

    pour le test j'ai voulu pigner 192.168.5.1

    Mais au final

    si je veux pigner toujours pas de réponse….. :(



  • Je confirme que les règles sur wan ne servent à rien. Vous devriez essayer de commencer par mieux connaître et comprendre les protocoles que utilisez. Vos messages montrent que ce n'est pas le cas. Une compréhension basique des mécanismes de routage vous évitera des erreurs et surtout de chercher là où ne sont pas les problèmes.



  • Tiens…. tu as des VLAN  ???
    Il me semble que c'est un point important dans la description de ton réseau non ?

    Donc pfSense montre bien la redirection vers 10.15.15.64, c'est une bonne chose.
    Tomato accepte les paquets entrants.  Cool

    la question suivante est: que deviennent ces paquets ?

    tcpdump sur Tomato ?

    Petit point de détail (qui n'en est peut-être pas un du coup): l'adresse 192.168.5.1, c'est bien l'adresse de Tomato sur le segment 192.168.5.0/24 ? je pose la question car le schéma n'est vraiment pas clair de ce point de vue. L'autre coté du WRT montre bien une adresse IP et une gateway mais cote 192.168.5.0, c'est ...  ::)

    Donc en supposant que .1 c'est Tomato:

    • les paquets sont acceptés mais si des règles de FW (sur Tomato) n'acceptent pas ICMP, il est normal que ça ne marche pas et dans ce cas, tu ne peux pas faire de ping sur cette adresse. Mais ce n'est pas très grave, ping n'est pas indispensable n'est-ce pas ?

    Regarde donc de plus près ce qui se passe coté Tomato  ;)



  • bonjour,

    je reviens avec mon problème de ping.

    Mais avant
    pour répondre a chris4916

    le vlan1 sont pour le wan sur tomato (wrt54gl), j'avous que laissé par défaut cette conf, la Lan est sur br0

    10.15.15.1 * 255.255.255.255 0 vlan1 (WAN)
    10.15.15.0 * 255.255.255.0 0 vlan1 (WAN)
    192.168.5.0 * 255.255.255.0 0 br0 (LAN)

    oui le 192.168.5.1 est bien l'adresse du tomato sur le segement 192.168.5.0/24

    J'avoue que je me suis mal explrimé sur le shema.

    Pour ce que est de icmp "Respond to ICMP ping" est bien activé.

    Pour ccnet

    Mon routeur (wrt54gl sous tomato) ne translatait pas.

    Pour Finir

    LE PROBLÈME est résolu :)

    1/ mettre  une route qui pointe vers le LAN de l'autre Réseau.
    2/ dans mon qua mettre le wrt54gl en mode router et non pas Gateway.

    En résume depuis un petit temps c'était bon de le pfsense ;), mais le fond du problème venait de wrt54gl :P.

    Merci a vous pour vos réflexions, qui mon aidé dans mes recherche.

    je met ici le lien qui ma aidé pour tomato

    http://www.linksysinfo.org/index.php?threads/gateway-or-router-mode-for-ap.68313/

    Reste un autre problème, mais la rien avoir avec pfsense.

    Quand je met en mode router, j'ai plus internet dans la Lan. (mais ça c'est pour le forum tomato)



  • Ah oui, effectivement, si ton WRT était en mode passerelle…  ::)

    Comme quoi une description précise de ton environnement aurait fait gagner pas mal de temps.
    Une compréhension basique de ce qui différencie passerelle et routeur aussi  ;)

    Mais bon, si c'est tombé en marche  ;D ;D ;D


Log in to reply