Provya

Sécurité et téléphonie

Sommaire des articles  -  Liens & Actualités  -  Firewall pour pfSense

# - @ - Guillaume - Hier, 15/01/2021 à 10:46:21

@Pascal MELOT :
Bonjour Pascal,

Non, ce n'est pas avec une règle de NAT.

C'est avec une règle de filtrage, configurée sur l'interface LAN, sur laquelle vous ferez correspondre pour le champ "Source" l'adresse IP (ou la plage d'adresses IP) que vous voulez orienter vers une passerelle particulière, puis dans les options avancés de la règle de filtrage (bouton "Display Advanced"), vous choisirez la passerelle que vous souhaitez (champ "Gateway").

Cordialement,

Guillaume
--
Provya

# - @ - Pascal MELOT - 14/01/2021 à 22:31:54

Bonsoir,

Est-ce avec une règle outbound NAT que l'on peut obliger UNE ip (ou une partie) du LAN à sortir par une passerelle particulière (quand on a plusieurs accès WAN) ?

Merci
Pascal

# - @ - Guillaume - 13/01/2021 à 17:12:39

@Wookiee :
Bonjour,

Merci et meilleurs vœux également.

Pour ce que je comprends, vous avez sûrement un problème de routage asymétrique. Vous devriez essayer de passer par une règle de type floating avec les paramètres suivants :
- Action : match
- Quick : à cocher si vous avez plusieurs règles de floating
- Interface : WAN
- Direction : out
- Protocol : UDP (sauf si votre service OpenVPN tourne sur TCP)
- Source : any
- Source port : 1194 (le port d'écoute de votre serveur OpenVPN, à adapter si vous l'avez personnalisé)
- Destination : any
- Destination port : any
- Gateway (dans les options avancés) : choisir la gateway associée à votre connexion dédiée à vos accès OpenVPN

Il faut supprimer votre règle de NAT si elle existe toujours.

Cordialement,

Guillaume
--
Provya

# - @ - Guillaume - 13/01/2021 à 17:01:30

@Tonic8 :
Bonjour,

Je viens d'ajouter des exemples de règles de filtrage dans le tuto.

Cordialement,

Guillaume
--
Provya

# - @ - Tonic8 - 09/01/2021 à 19:02:19

Bonsoir

Une des denrieres phrases que vous dite est ' Il nous reste simplement à penser à autoriser ou filtrer nos flux transitant à travers notre nouvelle interface OpenVPN.'

y a t-il un exemple? pour les parametres par exemple pour autoriser un ensemble de client du site B sur le reseau du Pfsense qui est connecté en tant que client vpn a l'autre PFsense?

cordialement
et merci pour le tuto

# - @ - Wookiee - 05/01/2021 à 09:46:00

@Guillaume :

Bonjour Guillaume,

je vous présente mes meilleurs vœux pour cette nouvelle année ainsi qu'à votre famille.

Merci de votre aide !

C'est exactement la manière dont j'ai monté ma configuration.

J'ai aussi renseigné un serveur dns pour chaque passerelle dans les configurations générales.

En même temps j'ai tenté de créer une règle NAT sortante pour orienté le trafic du port OPENVPN vers la bonne passerelle. Mais à chaque fois cela s'est soldé par un échec. ;-)

Une bonne journée à vous !

Pierre

# - @ - Guillaume - 21/12/2020 à 10:59:14

@Wookiee :
Bonjour,

Je comprends mieux votre architecture. Pour relier votre unique interface WAN à deux box Internet, le plus simple est de procéder ainsi (peut-être est-ce déjà ce que vous avez fait ?) :
- configurer votre interface WAN en adresse IP statique (ex : 192.168.99.100/24)
- configurer la BOX 1 en adresse IP statique sur le même plan d'adressage (ex : 192.168.99.1/24)
- configurer la BOX 2 en adresse IP statique sur le même plan d'adressage (ex : 192.168.99.2/24)
- configurer deux gateway sur le pfSense : l'une pointant sur la BOX 1 (192.168.99.1) et l'autre pointant sur la BOX2 (192.168.99.2)

Ainsi, vos deux connexions Internet seront accessible via votre unique interface WAN.
Vous pourrez ensuite choisir de router le trafic sortant via l'une ou l'autre gateway.

Est-ce cela que vous avez fait ?
Cette configuration fonctionne-t-elle ? Si elle ne fonctionne pas, alors c'est que le routage se fait de manière asymétrique et qu'il faudra passer par une règle de floating.

Cordialement,

Guillaume
--
Provya

# - @ - Wookiee - 15/12/2020 à 10:51:19

@Guillaume :

Bonjour et merci pour votre réponse :-)

Au départ aussi je pensais que je n'aurais juste rien à ajouter.

Mais le VPN fonctionnait avec un seul accès internet. Lorsque j'ai basculé sur le 2nd accès cela a bloqué l'accès au serveur VPN.

Oui le Pfsense héberge le serveur OpenVPN.

Comme mon Pfsense est une machine physique avec 1 interface LAN et 1 interface WAN je pensais qu'il fallait que je rajoute une interface ( une carte réseau) ou alors que je virtualise la machine pour me libérer de cela.

J'ai sûrement un problème de routage. Mais comme la machine est en production je ne peux pas faire ce que je veux ^^

Merci en tout cas. Je vais ré-épluché les articles car la solution doit être là quelque part ;-)

Cordialement.

Wookiee

# - @ - Guillaume - 14/12/2020 à 08:21:20

@Mickelebof :

Parfait,

Merci d'avoir indiqué la solution mise en œuvre.

Cordialement,

Guillaume
--
Provya

# - @ - Mickelebof - 12/12/2020 à 18:03:18

@Guillaume :

Merci pour votre aide, je viens juste de trouver le problème !

En fait avec le paquet capture, j'avais des erreurs de checksum.
Je les avais mis de côté vu que le ping passait bien.

Je suis revenu sur ma configuration initiale, qui correspond donc à votre tuto et j'ai désactivé la case : Disable hardware checksum offload

Et là, miracle, tout fonctionne parfaitement !

En vous souhaitant un très bon week end :)

Cordialement,
Mick