Comportement suspect du routage [résolu]



  • Bonjour,

    Actuellement j'ai deux routeurs pour aller vers internet.

    Le routeur 1 : 185.XX.XX.9 ( ma default gateway )
    Le routeur 2 : 185.XX.XX.1

    J'ai ajouté la route suivante :
    193.252.176.125/32 via 185.XX.XX.1.

    L'idée est que pour les paquets à destination du 193.252.176.25, le routeur de sorti soit le routeur 2 ( 185.XX.XX.1 ).

    Problème, quand je fais un traceroute depuis l'interface de pfsense, le paquet sort toujours par le routeur 1. Encore plus bizarre, si je fais un traceroute, depuis un serveur qui est derrière pfsense, alors dans ce cas, le routeur choisi est bien le bon.

    Quelqu'un a t'il déjà eu ce problème ?

    Merci d'avance pour votre aide.
    Cordialement,
    Soulearth



  • La "bonne" manière pour faire ce genre de chose consiste à utiliser l'option "gateway" dans les règles de FW (policy based routing) mais cela veut dire que la règle de routage s'applique au niveau de l'interface "entrante" de pfSense



  • Problème, quand je fais un traceroute depuis l'interface de pfsense, le paquet sort toujours par le routeur 1. Encore plus bizarre, si je fais un traceroute, depuis un serveur qui est derrière pfsense, alors dans ce cas, le routeur choisi est bien le bon.

    Premier cas : cela me semble normal puisque c'est la route par défaut.
    Pour le second cas il faudrait que nous connaissions la configuration de Pfsense.

    Cela dit la méthode préconisée par chris4916 est la bonne. Vos deux routeurs sont dans le même sous-réseau ?



  • Bonjour,

    Merci pour vos retours.
    Effectivement, je pensais que quand une route était plus "précise" que la route par default, elle avait la priorité. Il semblerait que non.

    Voici ce que j'ai trouvé : "Everything that passes out of a WAN interface (any interface with a gateway selected) gets routed to the WAN's gateway by default by the pass out rule, so if you have a static route on an interface with a gateway that goes somewhere other than the gateway on that interface, you need a floating rule to bypass said policy routing. Pass out on WAN from the appropriate source to the destination of the static route with no gateway selected with quick chosen"

    Source : https://forum.pfsense.org/index.php?topic=49963.0

    Donc si je comprends bien, si une gateway est définie sur une interface, tous les paquets qui transitent par cette interface vont obligatoirement vers cette gateway, quelque soit les routes static qu'on a ajouter. A moins de jouer avec des règles en floating, ce qui est moyennent pratique …

    Pour répondre à votre question, oui les deux routeurs sont dans le même réseau, mais reliés à des FAI différents.

    Cordialement,
    Soulearth.



  • salut salut

    Je vais passer pour un casse collions mais pouvez vous vous conformer ca https://forum.pfsense.org/index.php?topic=79600.0 s il vous plait.
    La raison de ma demande est que je n arrive pas a comprendre votre montage réseaux, du moins je suppute une erreur et ou une incompréhension voir une incohérence.
    Personnellement je suis plus visuel, c'est pourquoi j'insiste pour voir un schéma de votre montage (box, routers, switch, et ou vlan s il y a) avec vos découpages ip.

    Etant bien moins expert que mes honorables confrères, si je comprends avec ce que vous allez rajouter, je suis persuadé que eux pourront vous répondre au mieux.

    Cordialement.



  • Bonjour,
    Il est vrai qu'un petit schéma ne fait jamais de mal.

    Contexte professionnel : Deux sites. Bureau et infra distante.

    L'objectif était d'avoir un routeur qui soit la gateway par défaut ( router 1, IP 185.X.X.9 ) et d'ajouter un second router ( router 2, IP 185.X.X.1 ) qui serait utilisé pour des routes bien spécifiques comme par exemple le /32 de notre bureau qui est sur un autre site.

    Le problème, c'est qu'a priori, quand on a défini une gateway sur une interface, même les routes statiques ne sont pas prise en compte, ou alors il faut effectuer des manipulations supplémentaires dans les rules en floating.

    Cordialement,
    Soulearth




  • @soulearth:

    Pour répondre à votre question, oui les deux routeurs sont dans le même réseau, mais reliés à des FAI différents.

    Il est normalement souhaitable, pour bénéficier de tes 2 accès internet différents, de mettre en place 2 WAN différents coté pfSense, avec 2 interfaces  ;)

    NB: je n'ai jamais essayé avec 1 interface et 2 IP différentes (donc avec une VIP)



  • @soulearth:

    L'objectif était d'avoir un routeur qui soit la gateway par défaut ( router 1, IP 185.X.X.9 ) et d'ajouter un second router ( router 2, IP 185.X.X.1 ) qui serait utilisé pour des routes bien spécifiques comme par exemple le /32 de notre bureau qui est sur un autre site.

    Des masques… il manque des masques  ;)
    si tu fais, par exemple 185.x.x.1/29 et 185.x.x.9/29, ce sont bine 2 réseaux différents  :-*



  • Effectivement, avec deux interfaces, dans deux réseaux différents, le problème ne se serait pas posé.

    D'après ce que j'ai compris, le problème se pose parce que mes deux routeurs sont dans le même réseau (backbone), et parce que mon interface WAN a déjà une gateway qui à prend le pas sur toutes les autres routes.

    Pour les masques, bien d'accord avec toi, mais tout est bien en /28.



  • Je viens de reparcourir le fil rapidement.
    Je n'avais pas compris que c'est une seule interface wan avec deux ip dont une vip. Cela change tout et la solution repose sur la nat outbound et non sur la gestion de gateway différente. Avec les règles de nat convenables vous obtiendrez le résultat souhaité.
    Donc oui le formulaire eut été souhaitable encore une fois.



  • Bonjour,

    Merci beaucoup pour tous vos retours.

    Je sais maintenant ce qui à posé problème et comment ce dernier aurait pu être évité, à savoir :

    • si une gateway est définie sur une interface, elle a "priorité" sur les routes statiques. Un paquet qui sort par cette interface va à la gateway sélectionnée, quelques soit les routes statiques.
    • pour bénéficier de 2 accès internet différents, il est préférable de mettre en place 2 WAN différents coté pfSense, avec 2 interfaces

    Cordialement,
    Soulearth


Log in to reply