Broadcast a travers pfSense

Lolight

Hello, voilà un titre qui va sûrement en faire bondir plus d'un !

Étudiant / Contexte professionnel

Besoins :
Un peut le même cas que celui la : https://forum.pfsense.org/index.php?topic=15654.0
Sauf que c'est professionnel et pas pour fais une lan d'un quelconque jeux avec un Client.
J'ai du matos (pas des pc) qui dialogue avec un logiciel qui se situe derrière pfSense (Lan) les matos est dans un (WAN).

Ces équipement utilise le broadcaste pour communiquer avec le logiciel.
(Me demandez pas pourquoi je trouve ça débile mais c'est lié a l'équipement.)

Alors je voulais savoir si il étais possible sur le plan technique de faire passer des broadcaste a travers mon routeur pfSense.
(Avec du nat en place histoire que l'ip source soit bien une ip utilisé sur le réseau sur lequel s’étend la broadcaste.)

Je sais bien que le rôle d'un routeur est en partir d’arrêter ces broadcaste a leurs réseau mais est-il possible d'autoriser celle-ci a passer a travers lui  même.

Voilà merci pour votre lecture.  :)

ccnet

et pas pour fais une lan d'un quelconque jeux avec un Client.

Rien compris.
Pourquoi ne faites vous pas ce ui est décrit dans le post que vous citez ? L'utilisateur à l'air ravi de la solution. Comme il n'y a aucune information sur le besoin d'un point de vue fonctionnel je n'ai rien d'autre à ajouter.
Si : Pfsense est un firewall pas un routeur.

Endast

Faudrait que tu nous en dises un peu plus sur l'application, et aussi si tu les connais, sur les ports utilisés.

chris4916

@ccnet:

Si : Pfsense est un firewall pas un routeur.

pfSense n'est pas que un routeur  ;) mais il en a quelques fonctions.
Disons que contrairement à un routeur qui dans l'absolu se concentre sur le niveau 3 de l'OSI (réseau, c'est à dire IP), le firewall va travailler également sur la couche 4 (transport, c'est à dire TCP et UDP).

Du coup, la question du potentiel "relais de broadcast" prend plus de sens au niveau du firewall (UDP)  :)

Pour implémenter la bonne solution, il faut nécessairement bien comprendre comment ce broadcast est utilisé. A l'instar du "DHCP relay" qui transforme du broadcast en unicast, puisque d'un coté on va intercepter du broadcast pour envoyer des requêtes vers un serveur cible puis à nouveau renvoyer la réponse sous forme de broadcast, il peut être intéressant de ne pas faire du broadcast de part et d'autre mais de juste relayer le service.

Dans tous les cas, il faut un bout de code (comme le DHCP relay d'ailleurs) qui contrôle un démon écoutant sur une interface pour écrire sur l'autre. Je n'ai pas regardé le lien en question mais je vais le faire ;-)

Lolight

Hello, merci a tous d'etre passé prendre du temps pour répondre a mon problème.

@Ccnet

Salut Ccnet merci d'être passé, je ne met pas en pratique la solution qu'on lui as donné car elle implique un changement de réseau local ainsi que le mise en place d'un Vlan.
"Try using VLan it should pass all broadcast traffic to each subnet. Or simply re-subnet your network like 192.168.0.0/23."

Ici pour être un peut plus clair j'ai :
LAN–--------------pfSense(VlanXX)--------------(VlanXX)Routeur-------------------------Postes
    Sub 172.16.0.0/25                                                            Sub 10.100.0.0/24

Oui tu as raison pfSense est un FW, mais ici je ne fais aucun filtrage pour ce réseau, donc j'ai l'ai appelé routeur car il permet simplement de router le trafice entre les deux réseau.

Donc Ayant déjà un Vlan en sortie et ne pouvant agir sur aucun des deux adressage réseau je ne peux accéder a la solution citée.

@Endast Merci d'être passé par la.

Je ne connais pas bien le mode de fonctionnement de l'application mais au vu des mes capture de paquets les port utilisé sont divers allant de 50000 à 50500.

@Chris4916 Merci Chris d'être passé
Je prends note de ta solution, je vais aller me documenter a ce propos merci.

Merci a tous pour vos éclaircissements.

Endast

C'est quoi comme application exactement ?

Lolight

@Chris
"DHCP Server is currently enabled. Cannot enable the DHCP Relay service while the DHCP Server is enabled on any interface."

Suis-je obligé de mettre en place un DHCP sur mon LAN pour faire transiter mes requete Broadcast ?

@Endast
Des application permettant la supervision et configuration de radio.

Tatave

salut salut

je met ma pierre sur l'édifice.

Question  : Pourquoi ne pas mettre ces machines dans un vlan et de tel sorte qu'elles communiquent entre elles ?  si j'ai bien compris ou suivi le poste

Comme cela réglerais du coup le problème du broadcast

Cordialement

chris4916

@Lolight:

@Chris
"DHCP Server is currently enabled. Cannot enable the DHCP Relay service while the DHCP Server is enabled on any interface."

Oops, il y a un petit (gros ?) mal-entendu  :-[
L'idée n'est pas d'utiliser le DHCP helper pour faire transiter du broadcast mais de prendre cette application en exemple pour expliquer que faire passer du broadcast de part et d'autre nécessite une application spécifique qui capture les trame des d'un coté pour les envoyer de l'autre.
Ce que fait l'appli qui est décrite dans ton lien initial.

Endast

Oui l'application DHCP est un exemple de passage de Broadcast à travers un routeur.

Je suis pas sur que tu puisses trouver ça en tant que package par exemple ou en tant que fonction à installer tel que le DHCP relay.

Par Vlan je pense pas, parce quand bien même on mette deux ports de PfSense dans le même Vlan, on n'autorisera pas les broadcast pour autant… Faut trouver une sorte d'alternative par mécanisme réseau, à ma connaissance rien ne permet de faire ça...

Si j'ai une idée lumineuse je reviendrai mais là tout de suite je vois pas trop.

chris4916

@Endast:

Par Vlan je pense pas, parce quand bien même on mette deux ports de PfSense dans le même Vlan, on n'autorisera pas les broadcast pour autant…

Effectivement, le VLAN vise plutôt à faire le contraire, AMHA, à savoir "isoler virtuellement, au niveau 2, des machines qui sont sur le même réseau de couche 1"  alors qu'en propageant du broadcast au delà du routeur, on veut faire croire aux machines qui sont sur des réseaux différents que ce n'est pas vrai.

La prolifération des "virtual-quelque chose" (VM, cloud et autres VLAN) fait que ce concept est utilisé souvent à toutes les sauces mais, même si c'est parfois utile, il convient de bien en comprendre les objectifs et limites  ;)

chris4916

Un petit complément d'information:

• le lien pris en exemple dans le premier message pointe, au final, vers cette page  qui décrit un proxy UDP très similaire à ce que fait un DHCP helper.
  Il faut noter que ce n'est pas un simple mécanisme de "propagation du broadcast". le mécanisme est très similaire au proxy dans le sens où, pour DHCP helper par exemple, il faut décrire la cible vers laquelle le broadcast qui a été intercepté est envoyé…. en unicast  ;)

Des recherches avec "broadcast proxy" sur le web devraient permettre de trouver d'autres exemples. Regarder également avec "UDP proxy"  ;)

Lolight

Merci tous de prendre le temps de me répondre c'est très aimable a vous  :D

@Tatave:

Question  : Pourquoi ne pas mettre ces machines dans un vlan et de tel sorte qu'elles communiquent entre elles ?  si j'ai bien compris ou suivi le poste

En fait j'ai déjà un Vlan; c'est un peut compliqué je vais essayer de shématiser ça (j'ai pas de visio sous la main  >:( )

Logiciel Sur Vm–-----------------pfSense (Entrée dans le Vlan X)------------------R1(Sortie du Vlan X)------------(Équipements)

J’espère que c'est assez clair, mais pfSense et R1 font office de routeur ici (je vais me faire taper sur les doigts  ::) )
Je ne peux pas modifier les adressage réseau des ces deux réseaux.
J'espère que j'ai un peut éclaircis le shéma Tatave au besoins quand je rentrerais chez moi j'essayerais de faire un visio.
Dans tout les cas rajouter un Vlan par dessus ça me parais très compliqué.

@Chris Oui grosse incompréhension j'ai foncé tête baissée, mais merci pour ta lumière Chris :)

@Endast Merci, n'hésite pas a passer.

Bon maintenant j'ai quelques questions, si ça ne vous dérange pas d'éclairer ma lanterne.
Quand je regarde le liens de la solution donné initialement : http://www.vttoth.com/CMS/index.php/technical-notes/63#Appendix
Je me pose deux question, la première est comment faire si les port d’émission de broadcast ne sont pas static et quel est la différence avec le port fowarding présent dans pfSense.

Je m'explique, j'ai actuellement fais une redirection de port de mon interface pfSense vers la machine qui a le logiciel en question, les trames arrivent bien jusqu'à elle mais pas les broadcast. Cerais-ce parce-qu’elle ne sont pas directement dirigé sur l'ip de ma machine pfSense ?
Si ma supposition s’avère vrai pourquoi dans ce cas le paquet UDP-Proxy me permettrais de le faire, je suis pas sur de bien comprendre son fonctionnement.
Il relaye bien un paquet arrivant sur un port X de son WAN sur sont interface LAN.

Dans tout les cas merci pour vos réponses, j'apprends toujours en venant ici et c'est très plaisant.