Acces au LAN Bloqué



  • Bonjour, Quelqu'un peux m'aider…

    j'ai un LAN 192.168.3.0

    Un Pfsense dont le wan est 192.168.3.4 est le LAN est de 192.168.0.4
    Je veux que les clients dans le réseau 192.168.3.0 peux accéder au client LAN 192.168.0.4 à l’intérieure de pfsense (Par exemple si je fais un ping au 192.168.0.4 à partir du 192.168.3.0,ca passe pas mais par contre si je fais un ping au 192.168.3.0 à partir du 192.168.0.4,ça passe nickel)

    Résumé: je veux accéder aux clients dans le reseau 192.168.0.4 à partir de 192.168.3.0 mais c'est bloqué au niveau de pfsense

    Merci beaucoup à tous



  • Ton explication est, du moins pour moi un peu confuse.
    Ce que tu décris comme LAN an début du post 192.168.3.0  (/24 ???)  devient WAN dans la suite du message.

    Si tu as configuré le réseau 192.168.3.0 comme réseau "WAN" sur pfSense, as-tu vérifié les règle de FW, et en particulier celle qui pourrait interdire tout accès au LAN depuis une adresse dans le scope de la RFC1918 ?

    Pour aller plus loin, il faut décrire un peu mieux ton environnement et regarder ce qui se passe en terme de log.



  • Tout cela est assez brouillon et quasi incompréhensible. Formulaire !!
    https://forum.pfsense.org/index.php?topic=79600.0



  • Merci beaucoup de votre réponse,voilà ce que je veux:

    Routeur192.168.3.1–---------i---------------WAN192.168.3.4PfsenseLAN192.168.0.4------------------POST192.168.0.6
                                                i
                                                i
                                                i
                                                i
                                    POST192.168.3.5

    Je veux que le POST192.168.3.5 peux accéder au POST192.168.0.6 (Ping par exemple)
    Merci à tous



  • C'est plus clair  ;)

    ça ne pose pas de problème…

    • avec les bonnes règles de FW
    • et également quelques précautions en terme de route.
      En effet, j'intuite, bien que tu ne le décrives pas, que la route par défaut pour 192.168.3.5 est 192.168.3.1 (derrière lequel peut se trouver, par exemple, un accès internet  ;))

    Lorsque 192.168.3.5 veut accéder à 192.168.0.6, adresse qui n'est pas sur son réseau, si il n'y a pas une route qui lui dit que 192.168.0.0/24 se trouver derrière 192.168.3.4., il va aller demander à 192.168.3.1



  • Bonjour,

    Votre problème n'est pas lier à Pfsense mais à un manque évident de connaissance des fonctionnement réseau élémentaire ^^

    Chris4916 vous à expliquer sommairement ce qui vous fait défaut et pourquoi votre ''histoire'' ne fonctionne pas  ;)

    Je vous invite à lire attentivement le site que je vous donne en lien, vous y apprendrez beaucoup : https://forum.pfsense.org/index.php?topic=69908.0

    Quand vous aurrai assimilé et compris vos erreurs, postez-nous les routes des postes ainsi que les règles de fw lan et wan du pf, là nous pourrons vous aider de façon plus précise dans la configuration

    Cdt



  • Merci beaucoup pour ta réponse,

    Où je met la route pour 192.168.3.5,je choisi quoi comme passerelle…

    Merci beaucoup à toi..



  • la route peut se mettre directement sur le poste ou mieu dans la Gateway ; et la passerelle est l'ip wan de pf

    EDIT : une fois les routes en place, il vous faudra ajouter les bonnes règles de fw sur pf (en fonctions des protocoles utilisés)

    EDIT 2 : je vous invite sur un poste windows à allez en CMD et tapez : route /?



  • @airnth:

    Où je met la route pour 192.168.3.5,je choisi quoi comme passerelle…

    ça dépend de comment est gérée l'adresse IP de cette machine.

    Si c'est un serveur DHCP (au hasard le routeur en 192.168.3.1) qui fourni les adresses, le plus simple est de configurer cette router vers 192.168.0.0 au niveau du serveur DHCP.
    Si c'est une configuration manuelle sur la machine, il suffit de rajouter une route statique vers la bonne passerelle pour ce segment.

    A mon avis, il faut résister à la tentation de définir au niveau de 192.168.3.1. une route vers 192.168.3.4 pour le segment 192.168.0.0 et s'appuyer dessus pour le routage "interne" ;)

    c'est inefficace car les paquets issus de 192.168.3.5 iraient vers 3.1 avant d'atteindre 3.4 et les paquets en retour depuis 192.168.0.0 arriveraient eux directement à 3.5



  • (Voyez ce qu'entraine l'indigence du fil initial : il faut moult post pour avoir un schéma, une vrai question …)

    Vous fournissez un schéma, que je simplifie :
    Internet <-> routeur <-> pc A <-> firewall <-> pc B

    La passerelle par défaut du pc A est forcément le routeur (puisqu'il connecte vers Internet). C'est EVIDENT.

    Mais comme ce pc doit accéder au pc B : il faut une route additionnelle (+des règles dans le firewall). C'est aussi EVIDENT.

    Pourquoi vous vous posez des questions avec un schéma si simple ?

    NB1 : Il faut savoir définir la passerelle par défaut et savoir ajouter une route additionnelle (en ligne de commande).
    Bien évidemment, le firewall devra aussi comporter des règles pour autoriser le trafic de A (dans WAN) vers B (dans LAN).
    Et en particulier bien comprendre le NAT qui est actif par défaut !

    NB2 : pourquoi ce schéma ? il est assez 'anormal' de voir une machine située entre le routeur et l'interface WAN.
    En fait, il semble que vous fassiez des choses au dessus de votre niveau d'expertise (faible).

    NB3 : Si une route spécifique est placée au niveau du routeur, cela simplifie les choses, mais c'est aussi 'anormal' que d'avoir une machine entre routeur et WAN !



  • Je ne comprend pas non plus cette machine placé entre Wan et le routeur. Vous pouvez légitimement avoir besoin de 2 réseaux distincts. Si tel est le cas l'architecture n'est pas bonne. Vous êtes de ce fait confronté à des problèmes de routage inutilement complexes. De plus l'interface Wan de Pfsense à des règles de fonctionnement qui lui sont spécifiques et dont les conséquences, bien que gérables, vont vous compliquer la vie.



  • @jdh:

    NB2 : pourquoi ce schéma ? il est assez 'anormal' de voir une machine située entre le routeur et l'interface WAN.
    En fait, il semble que vous fassiez des choses au dessus de votre niveau d'expertise (faible).

    Probablement pas "anormal" quoique pas courant.

    Ce serait éventuellement "anormal" si le réseau était par exemple aussi simple qu'un accès internet derrière le routeur et tout le LAN derrière le FW. Il existe cependant des réseaux un peu différents où le FW ne sert pas à contrôler les flux de/vers internet mais il existe des designs où le FW sert uniquement à isoler une partie du réseau. Par exemple un centre de recherche ;-)

    Dans ce cas, il peut y avoir des machines en dehors du périmètre protégé par celui-ci sans que ce soit "anormal"  ;)

    un autre exemple de ce type d'implémentation (machine devant le FW): un sensor IDS  8)



  • Dans le cas présenté on est probablement dans l'anormal. Des réseaux de ce type (où il le firewall ne sert pas à séparer l'infrastructure par rapport à internet j'en connais. La différence, majeure, c'est qu'il n'y a pas un seul firewall, mais plusieurs en entrée et  en sortie des différentes zones de sécurité. Inutile de finasser, ici on est loin du concept. Pat ailleurs il n'y a qu'une vague analogie entre ce type de réseau et celui présenté ici. Le plus souvent les règles de segmentation et donc acheminement des flux sont telles que la question du routage est tout autre. Si on veut faire ce type de réseau, et le faite bien, les hôtes pris en "sandwich" entre les firewall on plusieurs interfaces et justement pas de routage entre les interfaces.

    Au surplus quelqu'un qui exploite ce type de réseau ne vient pas poser ce genre de questions ! Ni ici , ni ailleurs.



  • @ccnet:

    Dans le cas présenté on est probablement dans l'anormal.

    L'initiateur de la question nous l'expliquera peut-être  ;)

    Je suis bien d'accord que compte tenu de la question, si ce design est normal, l'auteur n'est probablement celui qui est sensé administrer le réseau.
    Mon propos vise juste à expliquer que la notion de normal et anormal n'est pas aussi brutale que ce que décrit jdh.

    Si on veut faire ce type de réseau, et le faite bien, les hôtes pris en "sandwich" entre les firewall on plusieurs interfaces et justement pas de routage entre les interfaces.

    C'est effectivement un design. J'en ai fait quelques uns de ce type pour des plate-formes applicatives multi-tiers.
    Mais, et même si encore une fois je suis d'accord que nous ne sommes probablement pas dans ce cas compte tenu de la question, il y a des situations où l'emplacement devant le FW est requis. Reprends mon exemple de sensor IDS.



  • Mon propos vise juste à expliquer que la notion de normal et anormal n'est pas aussi brutale que ce que décrit jdh.

    Les mots ont un sens : anormal = de 'a' et 'normal', qui n'est pas la norme !

    Malheureusement, les lecteurs, et particulièrement Chris4916, ne connaissant pas forcément le sens des mots attribuent un sens qui n'est pas, et de loin, l'esprit du rédacteur !

    Il n'y a strictement rien de brutal dans mon propos : je dis et répète, ce qu'a parfaitement compris ccnet, qu'il est 'anormal' (=pas dans la norme) d'avoir un pc entre routeur et WAN de pfSense.

    Merci Chris4916 de ne pas mettre 'votre' interpretation dans mes propos ! (Ce n'est pas la 1ière fois !)

    Exemple (fort) : l'homosexualité est 'anormale' car l'hétérosexualité est la 'norme'.
    La plupart des gens attribuent un mauvais sens alors que cette phrase est juste un simple constat !



  • Je voulais éviter de le faire ici mais si tu penses que c'est le bon endroit pour en débattre, pourquoi pas…  ::)

    Ce n'est pas qu'une question de rhétorique.
    Il est bien évident que nous avons une interprétation très différente que ce que signifie anormal dans ce contexte.

    Probablement considères-tu normal de répondre:

    @jdh:

    Voyez ce qu'entraine l'indigence du fil initial : il faut moult post pour avoir un schéma, une vrai question …
    .../...
    Pourquoi vous vous posez des questions avec un schéma si simple ?
    .../...
    En fait, il semble que vous fassiez des choses au dessus de votre niveau d'expertise (faible).

    Si la question posée te parait si stupide et indigne du niveau attendu dans cette section du forum, tu peux également ne pas y répondre ou te contenter de d'exiger que le formulaire soit rempli.



  • Il aurait été grandement souhaitable d'attendre que l'initiateur utilise le formulaire au lieu de lui répondre 'de suite' (comme vous le faites en permanence).

    Cela contraint l'initiateur à enlever les mains de son clavier et réfléchir à ce qu'il fait (parce qu'obligé de l'écrire plus clairement).
    Le lecteur n'est pas obligé de faire des suppositions et de demander des précisions. Marre de ces allers et retours qui encombrent inutilement !

    Ca vous coute quoi de répondre, dès le départ, (puisque vous êtes toujours le premier) :

    Votre description n'est pas compréhensible : il y a beaucoup trop d'inconnu.
    Merci d'utiliser le formulaire de présentation, d'indiquer le maximum de renseignements utiles et précis, de vous poser la question 'ce que j'écris est-il compréhensible'.
    Dès ce formulaire rempli, nous serons à même de donner des réponses utiles et pratiques.

    Il y a 20' entre votre fil et un schéma : c'est donc que fournir un peu d'informations plus précises n'est pas très difficile !

    Je regrette de dire que les 3 phrases relevées sont un constat (triste mais juste un constat, en aucun cas un jugement, encore une différence de sémantique !).

    • indigence : 3 l'écrivent avant moi !
    • question simple : le schéma ne montre-t-il pas qu'il y a une route par défaut et une route à ajouter ?
    • niveau faible : est-il si compliqué de configurer une route en ligne de commande ?

    Même si vous êtes toujours le premier sur chaque nouveau fil

    • vous ne jouez pas le jeu du collectif en commençant à répondre alors que l'on gagnerait TOUS avec un formulaire,
    • vous n'êtes pas le plus précis (je parle en premier du NAT qui ne devrait pas tarder à apparaitre dans la problématique …)
    • vous me critiquez en permanence à partir d'abus de sémantique (j'attends votre retour sur a-normal ... et brutal ...)
    • vous ajoutez toujours un peu plus 'comme quoi on aurait pu', 'ça convient dans 95% alors parlons des 5%', ...
    • vous faites le propriétaire : 'ne répondez pas si cela ne vous agréé pas'
      marre ... et, en plus obligé de répondre sur le fil !


  • @jdh:

    Il aurait été grandement souhaitable d'attendre que l'initiateur utilise le formulaire au lieu de lui répondre 'de suite' (comme vous le faites en permanence).

    Cela contraint l'initiateur à enlever les mains de son clavier et réfléchir à ce qu'il fait (parce qu'obligé de l'écrire plus clairement).
    Le lecteur n'est pas obligé de faire des suppositions et de demander des précisions. Marre de ces allers et retours qui encombrent inutilement !

    Ca vous coute quoi de répondre, dès le départ, (puisque vous êtes toujours le premier) :

    Votre description n'est pas compréhensible : il y a beaucoup trop d'inconnu.
    Merci d'utiliser le formulaire de présentation, d'indiquer le maximum de renseignements utiles et précis, de vous poser la question 'ce que j'écris est-il compréhensible'.
    Dès ce formulaire rempli, nous serons à même de donner des réponses utiles et pratiques.

    Lorsque la question ne me semble pas claire, je le dis.
    C'est ce que j'ai d'ailleurs fait ici  ;)
    Juste que je m'arcboute pas sur le formulaire qui, de mon point de vue, est un outil qui doit aider l’utilisateur à formuler sa question si il n'y arrive pas naturellement.

    Je regrette de dire que les 3 phrases relevées sont un constat (triste mais juste un constat, en aucun cas un jugement, encore une différence de sémantique !).

    • indigence : 3 l'écrivent avant moi !
    • question simple : le schéma ne montre-t-il pas qu'il y a une route par défaut et une route à ajouter ?
    • niveau faible : est-il si compliqué de configurer une route en ligne de commande ?

    :-X

    Même si vous êtes toujours le premier sur chaque nouveau fil

    • vous ne jouez pas le jeu du collectif en commençant à répondre alors que l'on gagnerait TOUS avec un formulaire,

    Comme je l'ai déjà écris ici, si cette approche ne te convient pas, il y a 2 choses que tu peux faire:

    • demander que le forum (dans sa section française) soit modéré pour les questions et les réponses. Fais toi déclarer comme modérateur et tu pourras valider les questions qui méritent de figurer ici ainsi que les réponses qui conviennent.
    • tu peux également signaler au modérateur, dans l'état actuel des choses, que j'ai répondu alors que je n'aurais pas dû.
    • vous n'êtes pas le plus précis (je parle en premier du NAT qui ne devrait pas tarder à apparaitre dans la problématique …)

    Je n'ai pas la prétention d'être ni le plus précis ni le meilleur. Je dois même me tromper de temps en temps mais comme j'ai passé depuis longtemps l'age de faire des concours pour savoir qui est le premier ou le meilleur, je ne perçois pas ça comme un problème majeur.
    Si tu apportes un complément de réponse ou même que tu expliques pourquoi je me trompe et donne une réponse alternative ou différente, ça ne me pose aucun problème, bien au contraire. Au moins j'apprendrai quelque chose.

    • vous me critiquez en permanence à partir d'abus de sémantique (j'attends votre retour sur a-normal … et brutal ...)

    "brutal": il me semble, mais peut-être me trompe-je, que dire à l'utilisateur "c'est pourtant simple ! en plus votre design est anormal et votre compétence faible" est un peu brutal. Mais comme tu le fais remarquer, je manque de vocabulaire ou j'interprète mal ton propos.
    "anormal": je reconnais que tu as employé le mot juste, de ton point de vue. Je me suis trompé. J'ai compris "anormal" comme un de ses nombreux synonymes alors que tu voyais en ce mot son sens étymologique.
    "anormal" selon le Larousse.

    • vous ajoutez toujours un peu plus 'comme quoi on aurait pu', 'ça convient dans 95% alors parlons des 5%', …

    en l’occurrence, tu ne connais pas l'environnement de l’utilisateur ni la raison pour laquelle cette machine est à cette place. Donc tu réponds "c'est anormal"  ce à quoi je réagis en disant "ce n'est pas courant mais il y a des cas où c’est nécessaire".

    Je sais que tu es partisan de "la réponse et rien que la réponse parce que si l'utilisateur pose cette question, c'est qu'il n'y comprends rien, pas la peine d'essayer de lui en expliquer plus".
    Probablement un triste constat que tu as fait. Ce n'est pas mon point de vue.

    • vous faites le propriétaire : 'ne répondez pas si cela ne vous agréé pas'

    Ne serais-tu pas en train de renverser les rôles ?
    Je sais que tu es irrité parce que je ne suis pas la voie que tu aimerais que tout le monde suive:

    • le réquisitionnaire  sans quoi pas de réponse
    • la réponse et rien que la réponse

    mais je ne t'empêche pas d'intervenir dans le débat ni ne t'oblige à une quelconque règle.
    Si par contre les questions stupides  des utilisateurs qui n'y connaissent peut-être rien t'énervent tant que ça, ma suggestion, mais tu fais comme tu veux, c'est de ne pas y répondre.

    marre … et, en plus obligé de répondre sur le fil !

    non. Tu peux également me contacter pas message privé et par mail puisque mon mail est publié ici.  ;)



  • salut salut

    on peut revenir au but initial du sujet sans partir d'un coté comme de l'autre sur une  joute verbale ?

    je n'ai pas compris le poste initial non plus ( je ne suis pas le seul à ce que je lis)

    Pour la compréhension de tous, est ce que le rédacteur initial peux jour reformuler à la suite de mon intervention son post en utilisant le petit formulaire qui est disponible en début de la section pour que ceux qui ont le niveau d'expertise puissent apporter une piste ou une solution.

    question = énoncé claire et schémas == > gains de temps et non perte d'energie dans tous les sens.

    Cordialement



  • Ah bon Tatave, tu penses qu'on gagne du temps avec un énoncé clair et un schéma ? (ironie : évidemment qu'on gagne du temps …)

    Je pense (comme toi) que l'initiateur est tout à fait capable de créer un nouveau post, en utilisant le formulaire cf https://forum.pfsense.org/index.php?topic=79600.0
    Cela va lui prendre ~30'. Il va y mettre les tests qu'il a réalisé avec le résultats, les règles du firewall, ...
    Cela sera bien plus clair ... et il aura des réponses.



  • @jdh:

    Il aurait été grandement souhaitable d'attendre que l'initiateur utilise le formulaire au lieu de lui répondre 'de suite' (comme vous le faites en permanence).

    Cela contraint l'initiateur à enlever les mains de son clavier et réfléchir à ce qu'il fait (parce qu'obligé de l'écrire plus clairement).
    Le lecteur n'est pas obligé de faire des suppositions et de demander des précisions. Marre de ces allers et retours qui encombrent inutilement !

    Ca vous coute quoi de répondre, dès le départ, (puisque vous êtes toujours le premier) :

    Votre description n'est pas compréhensible : il y a beaucoup trop d'inconnu.
    Merci d'utiliser le formulaire de présentation, d'indiquer le maximum de renseignements utiles et précis, de vous poser la question 'ce que j'écris est-il compréhensible'.
    Dès ce formulaire rempli, nous serons à même de donner des réponses utiles et pratiques.

    Cette méthode est-elle la plus efficace  ??? ?
    ça dépend bien sûr du résultat escompté  ;D

    L’initiateur de ce fil a probablement tenu compte de tes remarques et doit être en train de réfléchir au contenu du formulaire.
    A moins que le coté didacticiel de celui-ci et de la démarche lui ait permis de trouver la réponse à sa question, laquelle était très simple.
    Ou alors il a décidé de ne pas revenir car il a compris que ce n'est pas ici qu'il trouvera de l'aide  :-\

    Mais probablement ne le mérite t-il pas puisqu'il ne veut pas se plier à cette règle ni faire d'effort.

    Je veux bien parier qu'il en sera de même pour cet autre fil au sujet duquel tu noteras que je me suis abstenu d'intervenir pour que tu ais le plaisir d'avoir un fil propre:

    • une question
    • un renvoi au formulaire absent

    Au moins, et il n'y a aucune ironie dans mon propos, la réponse que tu y fais est parfaitement claire quant à ta perception de ce que devrait (doit) être la section française du forum  :-[
    Vivement que celle-ci soit scindée en deux, pour reprendre une idée déjà évoquée par d'autres.


Log in to reply