Livebox>Pfsense>LAN Configuration basique?



  • Bonjour à tous,

    Je veux mettre un routeur/ firewall comme sous réseau d'un réseau livebox.

    Voici le schéma :

    [livebox]–----------[Wan dhcp 19.168.1.1] PFsense [ Lan ip fixe 192.168.2.1+dhcp]–-------------[client 192.168.2.10]

    Tout ce passe bien jusqu'au moment ou je veux atteindre internet.
    je n'arrive pas a accède au web depuis le client alors que les port lan sont ouverts.
    je "ping" la livebox, je la trouve.

    j'ai fait un essai avec Monowall et en configurant sommairement, j'y suis arrivé sans aucun problème en indiquant les DNS de la Livebox. tout fonctionnait à merveille. Monowall est un peu limité, il lui manque le ssl dont je me sert en permanence.

    Sur PFsense, avec les mêmes DNS…rien à faire.

    Ai-je omis quelque chose?

    Merci pour vos réponses.



  • Salut salut

    Pouvez vous nous fournir les screenshot de votre carte wan et passerelle.

    Je pense que cela vient de là.



  • Attention à bien comprendre

    • une machine a besoin d'une adresse ip, d'un masque réseau, d'une passerelle et d'un dns

    => bien noter dans les schémas l'adresse et les réseaux :
    WAN pfsense : 192.168.1.10/24 (ou /255.255.255.0)    : NB préférer de fixer l'adresse plutôt que DHCP

    Une fois, un PC avec les 4 renseignements, il y a le test des 3 (4) pings :

    Pour le pc 'client' (192.168.2.10/24)

    • ping 192.168.2.1  (ping passerelle) OK oui/non
    • ping 192.168.1.1  (ping livebox) OK oui/non
    • ping 77.153.128.117    (ping sur @) OK oui/non
    • ping google.fr      (idem au dessus + résolution dns) OK oui/non


  • Oui, je vais refaire le schéma pour écarter les doutes.

    le projet est de créé un sous-reseau autonome. La machine qui héberge PFsense est une machine de test en vue d'un déploiement.

    [ Livebox 192.168.1.1/24 DHCP]–------[Wan ipfixe 192.168.1.17/24 (DNS de la livebox)] – block default>firewall rules< Pass any --[ Lan 192.168.2.1/24 - Passerelle 192.168.2.1 DHCP range: 192.168.2.10>192.168.2.150]–--------------- [client 192.168.2.10/24]

    Comme conseillé, j'ai changé le Wan en dhcp par une ip fixe.

    Pour  la machine PFsense

    • ping 192.168.2.1  (ping passerelle) Oui
    • ping 192.168.1.1  (ping livebox) Oui
    • ping 77.153.128.117    (ping sur @) Oui
    • ping google.fr      (idem au dessus + résolution dns) Oui

    Tous les "pings" donnent une réponse positive sur la page de pfsense (web gui)

    Pour le pc 'client' (192.168.2.10/24)

    • ping 192.168.2.1  (ping passerelle) OUI
    • ping 192.168.1.1  (ping livebox) NON
    • ping 77.153.128.117    (ping sur @) NON
    • ping google.fr      (idem au dessus + résolution dns) NON

    Le problème est du coté du Lan donc… j'accède au web gui... Je sèche.



  • Depuis pfsense, les ping 2, 3, 4 montrent que tout est bien (dans le sens pf->lb->internet).

    Depuis le pc du lan,

    • le ping 1 est normal
    • le ping 2 (échec) montre que pf bloque ou que le pc est mal configuré

    vérifier les règles de Firewall > Rules > onglet LAN
    vérifier la config du pc : ipconfig



  • Merci, Voici le resultat ifconfig (machine client sous linux) : adr: 192.168.2.10 Bcast: 192.168.2.255 Masque 225.255.255.0

    informations de connexion de la carte auto eth0

    adresse ip                                    192.168.2.10
    adresse de broadcast                192.168.2.255
    masque de sous-réseau            255.255.255.0
    Route par défaut                        192.168.2.1
    DNS primaire                              192.168.2.1

    de ce coté, sauf erreur de ma part, tout me paraît normal.

    Pour les "rules" du firewall. Ce sont les règles par défaut.

    Firewall>rules>Lan

    1. pass > ||| LAN address| 80||*| Anti -Lockout Rule (celle la fonctionne, c'est l'accès au webgui)

    2 pass >  ipv4|Lan net||||| none| Default allow Lan ipv4 to any rule

    3 pass >  ipv6|Lan net||||| none| Default allow Lan ipv6 to any rule

    Est-ce que ces règles sont mal configurées?



  • @moops:

    Comme conseillé, j'ai changé le Wan en dhcp par une ip fixe.

    C'est une question de point de vue et d'habitude de gestion de son réseau, sans vraiment d'impact sur le fonctionnement.
    De mon coté, je mets tout ou presque en DHCP, sauf les serveurs DHCP et les gateway.

    Utiliser ping pour faire des tests nécessite une bonne compréhension de se qui se passe en terme de réseau et des règles de filtrage éventuelles à chaque niveau. Ping s'appuie par défaut sur ICMP. Tu peux donc très bien avoir une machine que tu va savoir joindre en HTTP (avec ton browser) qui ne répondra pas au ping.

    De ce que tu décris, l'interface LAN de la livebox répond au ping (exécuté depuis le WAN de pfSense) mais cette livebox ne connaît probablement pas de route vers 192.168.2.0/24  ;)

    EDIT: comment est configurée ton interface WAN sur pfSense en ce qui concerne les réseaux de la RFC1819 ?



  • De ce que tu décris, l'interface LAN de la livebox répond au ping (exécuté depuis le WAN de pfSense) mais cette livebox ne connaît probablement pas de route vers 192.168.2.0/24

    Ce n'est le rôle de Pfsense de faire la route du Wan au Lan en mettant une protection entre les deux ? non? Ou je ne comprend plus rien.

    pour le WAN: Les options sont cochées pour les privates networks



  • @moops:

    pour le WAN: Les options sont cochées pour les privates networks

    Tu as bien lu ça:

    When set, this option blocks traffic from IP addresses that are reserved for private networks as per RFC 1918 (10/8, 172.16/12, 192.168/16) as well as loopback addresses (127/8).  You should generally leave this option turned on, unless your WAN network lies in such a private address space, too.

    En gros, ça te dit que si cette option est cochée, l'interface WAN bloque tout ce qui vient de la RFC1819.
    Bien sûr il faut savoir ce que ça signifie (et donc ce qui se cache derrière cette RFC  ;))
    Pour faire simple, tout ce qui vient d'un réseau dit "privé" (et ton segment entre la LiveBOx et pfSense en fait partie puisque le plan d'adressage est une classe C comprise dans 192.168.0.0/16) est bloqué.

    Pour faire des pings depuis la livebox vers le LAN, il faut décocher cette case  8)



  • Ok, merci pour cette explication. j'apprends. décochée.

    Cela veut dire que le Reseau Livebox et le sous reseau peuvent "ce voir"?

    1.Ping de la livebox a WAN >NON
    2.Ping de la livebox a 182.168.2.10 > From 80.10.127.110  icmp_seq=1 Packet filtered
    2.Ping de la livebox a 182.168.2.1 > From 80.10.127.110  icmp_seq=1 Packet filtered



  • Le pc a

    • ip 192.168.2.10
    • masque 255.255.255.0 (ou /24)
    • passerelle 192.168.2.1 = LAN de pfsense
    • dns 192.168.2.1 = LAN de pfsense (sous réserve que DNS forwarder est actif.

    Tout cela est correct.
    Vérifier sur le dns est correct : nslookup google.fr [192.168.2.1]

    Perso je supprimerais la règle ipv6 puisqu'il n'y a pas besoin actuellement d'ipv6.

    Il est bien évident que la livebox (192.168.1.1/24 comme traditionnel) n'a CERTAINEMENT pas à connaitre de route vers 192.168.2.x/24 : pfsense nat le trafic sortant, donc totalement inutile !

    Comme tout semble correct, il faut regarder le trafic en écoutant Diagnostic > Paquet capture.
    Je commencerais pas de simples ping : bien observer les icmp request et icmp reply …

    Evidemment il FAUT décocher 'private network' pour WAN : il a bien une adresse privée ainsi que la gateway/livebox.
    Cette correction doit fonctionner ...



  • @moops:

    Cela veut dire que le Reseau Livebox et le sous reseau peuvent "ce voir"?

    Je ne comprends pas bien le sens de ta question mais si tu veux dire "est-ce que des machines sur le réseau entre la livebox et pfSense peuvent communiquer avec des machines sur le LAN", la réponse est bien sur oui, sous certaines conditions.

    1.Ping de la livebox a WAN >NON
    2.Ping de la livebox a 182.168.2.10 > From 80.10.127.110  icmp_seq=1 Packet filtered
    2.Ping de la livebox a 182.168.2.1 > From 80.10.127.110  icmp_seq=1 Packet filtered

    Comme je l'ai écrit au dessus (même si ça fait bondir jdh  :)) la livebox ne connait pas la router vers le LAN qui est derrière pfSense.
    Donc les tests que tu viens de faire ne peuvent pas marcher.

    1.Ping de la livebox a WAN >NON

    non bien sur si l'interface WAN de pfSense ne réponds pas aux ping ni autorise de session venant du WAN

    2.Ping de la livebox a 182.168.2.10 > From 80.10.127.110  icmp_seq=1 Packet filtered
    3.Ping de la livebox a 182.168.2.1 > From 80.10.127.110  icmp_seq=1 Packet filtered

    J'imagine que tu voulais écrire 192 et pas 182.
    Dans ce cas, la Livebox ne sais pas où aller (pas de router vers 192.168.2.0) et donc essaie de joindre ce réseau via internet.

    Il n'est pas nécessaire, contrairement à ce qu'essaie de me faire dire jdh, de créer cette route…. sauf si tu te mets (inévitablement) à faire des tests "depuis la livebox vers le LAN"

    si ta livebox arrive à contacter internet, que pfSense contacte la livebox et que tu autorise les adresses de la RFC1819, ça devrait fonctionner. mais pas forcément en ping dans tous les sens.
    Le point de jdh sur le DNS est valide: assure toi que tu sais bien résoudre les fqdn.



  • dns 192.168.2.1 = LAN de pfsense (sous réserve que DNS forwarder est actif.

    enable DNS forwarder >actif

    Vérifier sur le dns est correct : Dnslookup google.fr [192.168.2.1]

    192.168.2.1

    server 127.0.01
    81.253.149.1
    80.10.246.130

    google.fr

    173.194.40.120
    173.194.40.119
    173.194.40.111
    173.194.40.127

    Perso je supprimerais la règle ipv6 puisqu'il n'y a pas besoin actuellement d'ipv6.

    C'est fait.

    Le point de jdh sur le DNS est valide: assure toi que tu sais bien résoudre les fqdn.

    Ce que je comprend c'est que le problème de ma config tourne peut être autour des DNS.

    j'ai entré en Wan les dns de ma livebox et mis dns forwarder C'est correct?



  • @moops:

    j'ai entré en Wan les dns de ma livebox, cest correct?

    Un des effets de bord de pfSense en manuel, c'est qu'il faut définir le DNS.
    Tu peux utiliser au choix ta LiveBox ou un DNS publique comme DNS.
    D'ailleurs ça fonctionne puisque tu peux résoudre les fqdn.

    Une des difficultés, lorsque tu es confronté à un problème de ce type, c'est de ne pas te disperser dans tous les sens mais d'essayer au contraire de converger vers ce qui semble être la source du problème.

    Donc pas la peine de te poser des questions à propos du DNS et de faire des changements autour de ce service si depuis le LAN tu peux résoudre des fqdn publiques.

    Depuis le LAN, sais tu accéder à:
    http://192.168.1.1
    ?



  • @moops:

    C'est la que le newbie fait surface.fully qualified domain name j'ai du mal avec cette notion.Ce que je comprend c'est que le problème de ma config tourne autour des DNS.

    Pardon. le fqdn, c'est le nom complet du service cible, c'est à dire le host (la partie gauche) suivi de l'arborescence du domaine auquel est attaché ce host.

    Tu n'as pas de problèmes de DNS si, depuis ton client, "nslookup www.google.com" (par exemple) te renvoie une adresse IP valide.

    Vérifie quand même les options de firewall de ta livebox (pas pour le DNS  8))  ;)



  • Concernant WAN, connecté à une Livebox, il y a 2 choix :

    • dhcp, assez usuel mais suppose renouvellement de baux
    • statique : il faut tout décrire : ip, masque, passerelle, dns (sachant que passerelle et dns se définisse ailleurs que l'interface)
      NB : pour le cas statique2, le dns à indiquer est la livebox et je supprimerai 127.0.0.1 apporté par dns forwarder actif

    Il est clair que 'private network' doit être décoché pour chaque réseau privé : c'est le cas pour WAN et LAN.

    J'avoue ne pas comprendre que les 3 pings depuis WAN (pfSense) aient pu fonctionner avec 'private network' actif …

    Note aux lecteurs :
    Chris4916 a indiqué (post #6) que la livebox devait avoir une route vers le LAN, ce qui est une belle sonnerie (avec un c) !
    Il a corrigé son post pour masquer cela !
    Mais des posts ultérieurs (#7 et #10) mentionne cette idée stupide ...



  • je me suis un peu perdu dans les test, mais maintenant c'est plus clair.

    client ok
    dns ok

    Depuis le Lan pas d'accès au 192.168.1.1 comme si la règle firewall est inopérante a travers les interface Lan>wan
    Du wan acces a 192.168.11

    NB : pour le cas statique2, le dns à indiquer est la livebox et je supprimerai 127.0.0.1 apporté par dns forwarder actif

    effectivement 127.0.0.1 apparait mais le dns forwarder est actif



  • @moops:

    Depuis le Lan pas d'accès au 192.168.1.1 comme si la règle firewall est inopérante a travers les interface Lan>wan
    Du wan acces a 192.168.11

    Il te faut être plus précis.
    "pas d'accès"  ? en faisant quoi ? ping ou http://192.168.1.1  ?  (car je suppose que tu veux écrire 192.168.1.1. et pas 192.168.1.1  :P)

    Si il y a, sur la livebox, un firewall qui empêche les accès depuis un réseau autre que 192.168.1.0/24, le comportement sera, depuis ton LAN, celui que tu décris. (je n'ai pas de livebox pour vérifier)



  • Il te faut être plus précis. "pas d'accès"  ? en faisant quoi ? ping ou http://192.168.1.1  ?  (car je suppose que tu veux écrire 192.168.1.1. et pas 192.168.1.1  :P)

    test effectué plus tot.
    Pour  la machine PFsense

    • ping 192.168.2.1  (ping passerelle) Oui
    • ping 192.168.1.1  (ping livebox) Oui
    • ping 77.153.128.117    (ping sur @) Oui
    • ping google.fr      (idem au dessus + résolution dns) Oui

    Tous les "pings" donnent une réponse positive sur la page de pfsense (web gui)

    Pour le pc 'client' (192.168.2.10/24)

    • ping 192.168.2.1          (ping passerelle) OUI
    • ping 192.168.1.1          (ping livebox) NON et http non plus malgré  la regle pass >  ipv4|Lan net||||| none| Default allow Lan ipv4 to any rule
    • ping 77.153.128.117    (ping sur @) NON
    • ping google.fr                (idem au dessus + résolution dns) NON


  • @moops:

    j'ai réussi précédement avec Monowall. ce ne peut être cela

    Je ne partage pas cette conclusion (mais je comprends peut-être mal les tests que tu as réalisé) :

    • si ça fonctionne avec Monowall mais pas avec pfSense sans que tu changes rien coté Livebox, il y a dans ta conf pfSense un truc qui nous échappe.

    J'ai mis en place il y a quelques jours en remote une configuration assez similaire pour laquelle je n'ai rencontré aucun problème. J'essaie de me connecter dessus en remote pour voir si il y a un truc coté Livebox ou coté règles sur pfSense.



  • je vais refaire pas à pas la procédure d'installation et de vérification.

    Merci de votre aide et de votre expertise, j'ai appris des choses.



  • Je réponds à mon propre post histoire de ne pas semer le doute dans l'esprit du lecteur  ;)

    Je suis allé voir la conf de la Livebox qui est derrière le pfSense que j'ai installé il y a peu :

    • le FW de la livebox, en mode personnalisé (puisque sur les autres modes, impossible de regarder le détail) n'a pas par défaut de règle qui empêcherait un réseau connecté au LAN d'accéder au WAN de la livebox.

    A ce stade, si ce n'est pas déjà fait, ça vaut probablement le coup de regarder le détail de ce qui se passe en termes de log au niveau de pfSense (log FW).

    Tu peux également, à titre de debug uniquement (ce n'est pas une proposition que je fais en tant que "solution", dès fois que le lecteur comprenne mal), désactiver dans les options "system / advanced / firewall/NAT) désactiver le firewall sans rien changer à tes règles.
    si ça fonctionne, ça te donnera la direction dans laquelle il faut approfondir les recherches.



  • @chris4916 (post #17) :

    Dans #6, vous aviez écrit qu'il fallait ajouter une route dans la Livebox (192.168.1.1/24) vers le réseau LAN (192.168.2.0/24) … ce qui est totalement inutile (et stupide) parce que pfSense fait du nat.

    Pour ne pas paraitre idiot, vous avez modifié le post, ne laissant que ce qui est repris de suite par mops (#7) :

    De ce que tu décris, l'interface LAN de la livebox répond au ping (exécuté depuis le WAN de pfSense) mais cette livebox ne connaît probablement pas de route vers 192.168.2.0/24  ;)

    Puisque pfSense fait du nat,

    • le ping (sortant = icmp request) d'un pc dans le LAN est transformé par pfSense
    • il devient icmp request avec comme ip source l'ip WAN
    • donc la livebox est parfaitement capable de répondre (avec un icmp reply)
    • pfSense recevant ce retour sait, par sa table de connexion, transmettre ce retour au PC
      et ceci sans aucune route dans la Livebox !

    Vos explications sur votre erreur sont foireuses et tendent à faire croire que je me trompe, en déplaçant le problème.

    Ce n'est pas la réalité : vous avez écrit une belle bourde.

    Et vous persistez, je cite  :

    le ping depuis la livebox vers le LAN ne marche pas… parce qu'il n'y a pas de route depuis la livebox vers le LAN.

    Puisque vous ne comprenez pas, regardez mon explication de ce qui se passe réellement (cf les 4 lignes avec -).

    Je sais que dans un nouveau post, vous allez expliquer que par 'ping depuis la livebox' vous ne pensiez pas à 'ping RETOUR' … alors que c'est bien le sujet !

    Abstenez vous d'intervenir sur les fils où j'interviens, car, quand vous le faites c'est pour essayer de me ridiculiser alors, que, comme ici, vous racontez n'importe quoi, emballé au milieu de certaines choses vraies (et vous êtes pris la main dans le sac !).

    NB : il m'arrive, bien évidemment, de me tromper, mais moi je ne triche pas en modifiant mes posts et en accusant les autres !



  • Je reprends les choses importantes :

    • WAN (et LAN) ne doivent pas avoir 'private networks'
    • si WAN est en static, il faut tout définir ip, masque, passerelle (gateway) et dns
    • le test des 3 ping doit fonctionner en 1 depuis pfSense (ping 1.1; ping 77…; ping googl...
    • en 2 depuis un pc, correctement configuré, 4 ping (ping 2.1; ping 1.1; ping 77...; ping googl...)

    Quand tout cela fonctionne, il faut essayer http avec un navigateur.

    Il est judicieux de faire des packet capture pour vérifier ce qui se passe (et notamment le nat) !



  • Bonjour,

    Après quelques jours de pause, je reviens sur mon problème. Je suis toujours au même point.
    Cependant, il m'est venu une réflexion que je souhaiterai vous soumettre.

    Le projet :

    Le but de la manoeuvre est  de conserver ma Livebox avec TV et Téléphone, avec une machine PFsense pour le LAN.
    Cette machine supplémentaire a pour fonction double de protéger mes machines clientes (Nas, ordinateurs personnel, tablettes, etc…) des coupures intempestives de la Livebox et proteger mes données. La machine PFsense garantissant un réseau LAN stable, même lors d'une coupure WAN.

    La problématique :

    Malgré une installation standard et en suivant les tutoriels et infos sur le net, je n'arrive pas à joindre les pages http et https d'internet, même en indiquant les DNS orange. Les rules en Lan sont ok les ping le sont aussi. (selon les tests effectuées suite au posts précédents)

    Les pistes :

    Je crois que mon erreur est d'oublier que les DNS sont déjà résolu par la Livebox.
    La Livebox est un routeur avec un DHCP et une passerelle. 
    Les DNS orange sont "converti"  par la box pour le LAN.

    Je devrais donc "convertir" le DNS LAN de la Livebox (192.168.1.1) pour le LAN de la PFsense.

    Qu'en pensez vous?
    Et si c'est juste, comment le résoudre?



  • Avec un schéma

    Internet (Orange) <-> Livebox <-> (WAN) pfSense (LAN) <-> réseau interne

    pour DNS, on devrait logiquement, en 1, prendre la livebox, en 2, les dns Orange adsl, puis en 3, des DNS tel google (8.8.8.8) ou OpenDns
    cf une réflexion de Korben : http://korben.info/choisissez-bien-vos-serveurs-dns.html

    Le choix 'dhcp' pour WAN a, dans cette idée, une meilleure efficacité/simplicité que 'static'.
    Le choix 'static' suppose de bien savoir ce qu'on fait et d'éviter des baux dhcp voire des coupures …

    Il est clair que l'on toujours vérifier les 3 ping d'abord au niveau pfSense avant toute autre chose, et cela doit être correct ...



  • @moops:

    Le but de la manoeuvre est  de conserver ma Livebox avec TV et Téléphone, avec une machine PFsense pour le LAN.
    Cette machine supplémentaire a pour fonction double de protéger mes machines clientes (Nas, ordinateurs personnel, tablettes, etc…) des coupures intempestives de la Livebox et proteger mes données. La machine PFsense garantissant un réseau LAN stable, même lors d'une coupure WAN.

    Ajouter un pare-feu entre la livebox et ton LAN est une bonne idée du point de vue de la sécurité.
    Pour les autres points, je ne comprends pas bien ce que tu veux dire  ???
    Si ton point est de bénéficier des services supplémentaires de pfSense comme le serveur DHCP et DNS par exemple pour gérer tes services internes, c'est valide mais cela n'a pas de lien avec le fonctionnement ou pas d'internet (et donc du WAN)

    Malgré une installation standard et en suivant les tutoriels et infos sur le net, je n'arrive pas à joindre les pages http et https d'internet, même en indiquant les DNS orange. Les rules en Lan sont ok les ping le sont aussi. (selon les tests effectuées suite au posts précédents)

    Les pistes :

    Je crois que mon erreur est d'oublier que les DNS sont déjà résolu par la Livebox.
    La Livebox est un routeur avec un DHCP et une passerelle. 
    Les DNS orange sont "converti"  par la box pour le LAN.

    Je devrais donc "convertir" le DNS LAN de la Livebox (192.168.1.1) pour le LAN de la PFsense.

    Je ne comprends pas ce que tu entends par "convertir" le DNS  ???

    Le choix du DNS, hormis si tu accèdes à des DNS qui altèrent, souvent pour des raisons de filtrage, leur réponse, n'a d'importance qu'en termes de performance.

    Et donc aux aspects de performance près, tu peux, pour ton client sur le LAN comme pour pfSense et comme pour la Livebox, définir le DNS de ton choix ou hériter du DNS poussé par le serveur DHCP (à condition bien sur que les requêtes DNS soient autorisées par les composants qui sont traversés, ici pfSense (car je ne pense pas que la Livebox permette, avec sa conf standard, de bloquer du DNS sortant)

    si tu peux faire, depuis ton client, un "tracert www.google.com", c'est que le DNS que tu as configuré fonctionne.

    Peux-tu nous dire quelle est la configuration de ton navigateur sur les aspects proxy ?  ???



  • Ajouter un pare-feu entre la livebox et ton LAN est une bonne idée du point de vue de la sécurité.
    Pour les autres points, je ne comprends pas bien ce que tu veux dire  ???
    Si ton point est de bénéficier des services supplémentaires de pfSense comme le serveur DHCP et DNS par exemple pour gérer tes services internes, c'est valide mais cela n'a pas de lien avec le fonctionnement ou pas d'internet (et donc du WAN)

    Ma ligne Livebox  à des intéruptions ce qui altère également le LAN de la Livebox  par  des coupure.

    Je ne comprends pas ce que tu entends par "convertir" le DNS  ???

    Je ne maîtrise pas toutes les notions, excusez moi. il y a aussi un truc que je ne dois pas maîtriser pour être aussi près de la solution.

    si tu peux faire, depuis ton client, un "tracert www.google.com", c'est que le DNS que tu as configuré fonctionne.

    Oui, traceroute google.fr donne, a partir de pfsense tout les relais ip vers google.fr

    à partir  du client  traceroute s'arrête au LAN pfsense

    Peux-tu nous dire quelle est la configuration de ton navigateur sur les aspects proxy ?  ???

    "utiliser les proxy du systeme"

    Questions: dois-je avoir des rêgles Nat?



  • Avec les règles de NAT par défaut, ça doit marcher.

    Si ton trace route s'arrête à pfSense, ça montre au moins que la résolution de nom fonctionne.
    Pas besoin donc de t'embêter, pour le moment avec le DNS

    En revanche, à supposer qu'au niveau de l'OS tu n'as tien de spécifique pour le proxy, tu devrais avoir des messages dans les logs du FW



  • tu devrais avoir des messages dans les logs du FW

    voici un exemple de ce que j'ai.

    LAN
    Icon Reverse Resolve with DNS Icon Easy Rule: Add to Block List 192.168.2.14:27779
    Icon Reverse Resolve with DNS Icon Easy Rule: Pass this traffic 192.168.2.1:53   UDP

    Mon problème c'est que je ne sais pas interpréter les resultats.



  • Je crois que ce serait beaucoup plus efficace si tu faisais une copie d'écran (et pas limitée à juste les quelques lignes qui te paraissent intéressantes) pour qu'on y comprenne quelque chose.


Log in to reply