Explication règles de firewall par rapport au Fortigate. Difficultés de compréhe

bakara49

Bonjour,

J'essaye depuis plusieurs jours a mettre en place un simple système WAN-LAN-VLAN.
Avec bien sur le VLAN sur l'interface LAN.

LAN:192.168.1.0/24
VLAN10: 192.168.10.0/24

J'ai eu un doute sur mon switch sur le fait que les ports ne soit pas bien taggués ou autre.
J'ai donc emprunté un fortigate F50 à la boite, je l'ai configuré et ma VM reçoit très bien l'adresse IP du VLAN.

Le doute étant levé au niveau du switch, de la VM, il ne me reste plus que Pfsense.

Les règle d'un fortigate se présente ainsi:

ID    FROM            TO                    SOURCE                                DESTINATION                            SERVICE                        ACTION

1      lan              wan1                    all                                              all                                          any                                  accept

2      vlan10        wan1                    all                                            all                                          any                                  accept

3      vlan10          lan                        vlan10_NET                              lan_NET                                any                                accept

4      lan                vlan10                  lan_NET                                    vlan_NET                              any                                accept

Mes questions sont donc comment traduire ces règles 2-3-4 dans pfsense.

par exemple pour la règle 3, je me place sur mets l'interface vlan 10 et je sélectionne:

interface vlan10

proto        source              port        destination        port              gateway

ipv4            vlan10              *              lan_NET            *                        *

Est-ce suffisant pour la règle 3 ou faut-il aller dans l'interface LAN puis ajouter une autre règle.

A moins que je ne me trompe d'interface, que je raisonne à l'envers ?

merci de vos explications.

Didier

ccnet

Pouvez vous faire un test avec any en destination ? La numéro de reseau du vlan10 est peut être  différent de celui représenté par lan_net ? Sinon la règle est au bon endroit.

bakara49

bonjour,

J'ai essayé et c'est la même chose  :-[

Je vois que les pilotes de ma carte réseau esxi est en version igb 2.1.
Il en existe en igb 5.1 ou 5.2. je vais changer les drivers et j'essayerai vendredi prochain.

merci
didier

ccnet

Des copies d'écran des configs (vlans, etc …) de l'interface réseau concernée pourraient aider.

bakara49

Bonjour,

update des drivers de la cartes reseaux effectués mais toujours le même problème.

ci joint les captures d'écran de mon switch, de l'esxi et de pfsense.
Donc le LAN est configurer sur la vmnic5 (port physique) et sur cette vmnic5 j'ai ajouté une interface vlan10.
Sur mon switch, le port physique du LAN est le P6. Il est donc taggué dans le vlan10.
Le port P9 c'est mon pc portable pour le test, il est en untagged. Il est censé récupérer une adresse en 192.168.10.x.
Les règles de firewall, qui je pense, sont correctes.

Si vous voyez des anomalies, je ne sais plus du tout quoi faire.

merci

chris4916

@bakara49:

Si vous voyez des anomalies

A ce stade, je n'ai pas regardé vraiment dans le détail mais je ne comprends pas la raison de cette gateway définie pour LAN Net (dernière règle)

bakara49

bonjour,

Le gwgroupe c'est pour le load balancing- failover.

Didier

chris4916

mais tu n'a pas besoin de ça pour des règles en "entrée"  ???
le failover s'applique sur l'interface externe, celle qui pointe sur le groupe de gateways

EDIT: enfin… quoique..  :-\  je comprends ce que tu as fait maintenant que je le lis mieux.  :-X