Livebox>Pfsense>LAN Configuration basique?

moops

je vais refaire pas à pas la procédure d'installation et de vérification.

Merci de votre aide et de votre expertise, j'ai appris des choses.

chris4916

Je réponds à mon propre post histoire de ne pas semer le doute dans l'esprit du lecteur  ;)

Je suis allé voir la conf de la Livebox qui est derrière le pfSense que j'ai installé il y a peu :

• le FW de la livebox, en mode personnalisé (puisque sur les autres modes, impossible de regarder le détail) n'a pas par défaut de règle qui empêcherait un réseau connecté au LAN d'accéder au WAN de la livebox.

A ce stade, si ce n'est pas déjà fait, ça vaut probablement le coup de regarder le détail de ce qui se passe en termes de log au niveau de pfSense (log FW).

Tu peux également, à titre de debug uniquement (ce n'est pas une proposition que je fais en tant que "solution", dès fois que le lecteur comprenne mal), désactiver dans les options "system / advanced / firewall/NAT) désactiver le firewall sans rien changer à tes règles.
si ça fonctionne, ça te donnera la direction dans laquelle il faut approfondir les recherches.

jdh

@chris4916 (post #17) :

Dans #6, vous aviez écrit qu'il fallait ajouter une route dans la Livebox (192.168.1.1/24) vers le réseau LAN (192.168.2.0/24) … ce qui est totalement inutile (et stupide) parce que pfSense fait du nat.

Pour ne pas paraitre idiot, vous avez modifié le post, ne laissant que ce qui est repris de suite par mops (#7) :

De ce que tu décris, l'interface LAN de la livebox répond au ping (exécuté depuis le WAN de pfSense) mais cette livebox ne connaît probablement pas de route vers 192.168.2.0/24  ;)

Puisque pfSense fait du nat,

• le ping (sortant = icmp request) d'un pc dans le LAN est transformé par pfSense
• il devient icmp request avec comme ip source l'ip WAN
• donc la livebox est parfaitement capable de répondre (avec un icmp reply)
• pfSense recevant ce retour sait, par sa table de connexion, transmettre ce retour au PC
  et ceci sans aucune route dans la Livebox !

Vos explications sur votre erreur sont foireuses et tendent à faire croire que je me trompe, en déplaçant le problème.

Ce n'est pas la réalité : vous avez écrit une belle bourde.

Et vous persistez, je cite  :

le ping depuis la livebox vers le LAN ne marche pas… parce qu'il n'y a pas de route depuis la livebox vers le LAN.

Puisque vous ne comprenez pas, regardez mon explication de ce qui se passe réellement (cf les 4 lignes avec -).

Je sais que dans un nouveau post, vous allez expliquer que par 'ping depuis la livebox' vous ne pensiez pas à 'ping RETOUR' … alors que c'est bien le sujet !

Abstenez vous d'intervenir sur les fils où j'interviens, car, quand vous le faites c'est pour essayer de me ridiculiser alors, que, comme ici, vous racontez n'importe quoi, emballé au milieu de certaines choses vraies (et vous êtes pris la main dans le sac !).

NB : il m'arrive, bien évidemment, de me tromper, mais moi je ne triche pas en modifiant mes posts et en accusant les autres !

jdh

Je reprends les choses importantes :

• WAN (et LAN) ne doivent pas avoir 'private networks'
• si WAN est en static, il faut tout définir ip, masque, passerelle (gateway) et dns
• le test des 3 ping doit fonctionner en 1 depuis pfSense (ping 1.1; ping 77…; ping googl...
• en 2 depuis un pc, correctement configuré, 4 ping (ping 2.1; ping 1.1; ping 77...; ping googl...)

Quand tout cela fonctionne, il faut essayer http avec un navigateur.

Il est judicieux de faire des packet capture pour vérifier ce qui se passe (et notamment le nat) !

moops

Bonjour,

Après quelques jours de pause, je reviens sur mon problème. Je suis toujours au même point.
Cependant, il m'est venu une réflexion que je souhaiterai vous soumettre.

Le projet :

Le but de la manoeuvre est  de conserver ma Livebox avec TV et Téléphone, avec une machine PFsense pour le LAN.
Cette machine supplémentaire a pour fonction double de protéger mes machines clientes (Nas, ordinateurs personnel, tablettes, etc…) des coupures intempestives de la Livebox et proteger mes données. La machine PFsense garantissant un réseau LAN stable, même lors d'une coupure WAN.

La problématique :

Malgré une installation standard et en suivant les tutoriels et infos sur le net, je n'arrive pas à joindre les pages http et https d'internet, même en indiquant les DNS orange. Les rules en Lan sont ok les ping le sont aussi. (selon les tests effectuées suite au posts précédents)

Les pistes :

Je crois que mon erreur est d'oublier que les DNS sont déjà résolu par la Livebox.
La Livebox est un routeur avec un DHCP et une passerelle. 
Les DNS orange sont "converti"  par la box pour le LAN.

Je devrais donc "convertir" le DNS LAN de la Livebox (192.168.1.1) pour le LAN de la PFsense.

Qu'en pensez vous?
Et si c'est juste, comment le résoudre?

jdh

Avec un schéma

Internet (Orange) <-> Livebox <-> (WAN) pfSense (LAN) <-> réseau interne

pour DNS, on devrait logiquement, en 1, prendre la livebox, en 2, les dns Orange adsl, puis en 3, des DNS tel google (8.8.8.8) ou OpenDns
cf une réflexion de Korben : http://korben.info/choisissez-bien-vos-serveurs-dns.html

Le choix 'dhcp' pour WAN a, dans cette idée, une meilleure efficacité/simplicité que 'static'.
Le choix 'static' suppose de bien savoir ce qu'on fait et d'éviter des baux dhcp voire des coupures …

Il est clair que l'on toujours vérifier les 3 ping d'abord au niveau pfSense avant toute autre chose, et cela doit être correct ...

chris4916

@moops:

Le but de la manoeuvre est  de conserver ma Livebox avec TV et Téléphone, avec une machine PFsense pour le LAN.
Cette machine supplémentaire a pour fonction double de protéger mes machines clientes (Nas, ordinateurs personnel, tablettes, etc…) des coupures intempestives de la Livebox et proteger mes données. La machine PFsense garantissant un réseau LAN stable, même lors d'une coupure WAN.

Ajouter un pare-feu entre la livebox et ton LAN est une bonne idée du point de vue de la sécurité.
Pour les autres points, je ne comprends pas bien ce que tu veux dire  ???
Si ton point est de bénéficier des services supplémentaires de pfSense comme le serveur DHCP et DNS par exemple pour gérer tes services internes, c'est valide mais cela n'a pas de lien avec le fonctionnement ou pas d'internet (et donc du WAN)

Malgré une installation standard et en suivant les tutoriels et infos sur le net, je n'arrive pas à joindre les pages http et https d'internet, même en indiquant les DNS orange. Les rules en Lan sont ok les ping le sont aussi. (selon les tests effectuées suite au posts précédents)

Les pistes :

Je crois que mon erreur est d'oublier que les DNS sont déjà résolu par la Livebox.
La Livebox est un routeur avec un DHCP et une passerelle. 
Les DNS orange sont "converti"  par la box pour le LAN.

Je devrais donc "convertir" le DNS LAN de la Livebox (192.168.1.1) pour le LAN de la PFsense.

Je ne comprends pas ce que tu entends par "convertir" le DNS  ???

Le choix du DNS, hormis si tu accèdes à des DNS qui altèrent, souvent pour des raisons de filtrage, leur réponse, n'a d'importance qu'en termes de performance.

Et donc aux aspects de performance près, tu peux, pour ton client sur le LAN comme pour pfSense et comme pour la Livebox, définir le DNS de ton choix ou hériter du DNS poussé par le serveur DHCP (à condition bien sur que les requêtes DNS soient autorisées par les composants qui sont traversés, ici pfSense (car je ne pense pas que la Livebox permette, avec sa conf standard, de bloquer du DNS sortant)

si tu peux faire, depuis ton client, un "tracert www.google.com", c'est que le DNS que tu as configuré fonctionne.

Peux-tu nous dire quelle est la configuration de ton navigateur sur les aspects proxy ?  ???

moops

Ajouter un pare-feu entre la livebox et ton LAN est une bonne idée du point de vue de la sécurité.
Pour les autres points, je ne comprends pas bien ce que tu veux dire  ???
Si ton point est de bénéficier des services supplémentaires de pfSense comme le serveur DHCP et DNS par exemple pour gérer tes services internes, c'est valide mais cela n'a pas de lien avec le fonctionnement ou pas d'internet (et donc du WAN)

Ma ligne Livebox  à des intéruptions ce qui altère également le LAN de la Livebox  par  des coupure.

Je ne comprends pas ce que tu entends par "convertir" le DNS  ???

Je ne maîtrise pas toutes les notions, excusez moi. il y a aussi un truc que je ne dois pas maîtriser pour être aussi près de la solution.

si tu peux faire, depuis ton client, un "tracert www.google.com", c'est que le DNS que tu as configuré fonctionne.

Oui, traceroute google.fr donne, a partir de pfsense tout les relais ip vers google.fr

à partir  du client  traceroute s'arrête au LAN pfsense

Peux-tu nous dire quelle est la configuration de ton navigateur sur les aspects proxy ?  ???

"utiliser les proxy du systeme"

Questions: dois-je avoir des rêgles Nat?

chris4916

Avec les règles de NAT par défaut, ça doit marcher.

Si ton trace route s'arrête à pfSense, ça montre au moins que la résolution de nom fonctionne.
Pas besoin donc de t'embêter, pour le moment avec le DNS

En revanche, à supposer qu'au niveau de l'OS tu n'as tien de spécifique pour le proxy, tu devrais avoir des messages dans les logs du FW

moops

tu devrais avoir des messages dans les logs du FW

voici un exemple de ce que j'ai.

LAN
Icon Reverse Resolve with DNS Icon Easy Rule: Add to Block List 192.168.2.14:27779
Icon Reverse Resolve with DNS Icon Easy Rule: Pass this traffic 192.168.2.1:53   UDP

Mon problème c'est que je ne sais pas interpréter les resultats.

chris4916

Je crois que ce serait beaucoup plus efficace si tu faisais une copie d'écran (et pas limitée à juste les quelques lignes qui te paraissent intéressantes) pour qu'on y comprenne quelque chose.