Provya

Expertise pfSense

Sommaire des articles  -  Liens & Actualités  -  Firewall pour pfSense

# - @ - Guillaume - 21/12/2020 à 10:59:14

@Wookiee :
Bonjour,

Je comprends mieux votre architecture. Pour relier votre unique interface WAN à deux box Internet, le plus simple est de procéder ainsi (peut-être est-ce déjà ce que vous avez fait ?) :
- configurer votre interface WAN en adresse IP statique (ex : 192.168.99.100/24)
- configurer la BOX 1 en adresse IP statique sur le même plan d'adressage (ex : 192.168.99.1/24)
- configurer la BOX 2 en adresse IP statique sur le même plan d'adressage (ex : 192.168.99.2/24)
- configurer deux gateway sur le pfSense : l'une pointant sur la BOX 1 (192.168.99.1) et l'autre pointant sur la BOX2 (192.168.99.2)

Ainsi, vos deux connexions Internet seront accessible via votre unique interface WAN.
Vous pourrez ensuite choisir de router le trafic sortant via l'une ou l'autre gateway.

Est-ce cela que vous avez fait ?
Cette configuration fonctionne-t-elle ? Si elle ne fonctionne pas, alors c'est que le routage se fait de manière asymétrique et qu'il faudra passer par une règle de floating.

Cordialement,

Guillaume
--
Provya

# - @ - Wookiee - 15/12/2020 à 10:51:19

@Guillaume :

Bonjour et merci pour votre réponse :-)

Au départ aussi je pensais que je n'aurais juste rien à ajouter.

Mais le VPN fonctionnait avec un seul accès internet. Lorsque j'ai basculé sur le 2nd accès cela a bloqué l'accès au serveur VPN.

Oui le Pfsense héberge le serveur OpenVPN.

Comme mon Pfsense est une machine physique avec 1 interface LAN et 1 interface WAN je pensais qu'il fallait que je rajoute une interface ( une carte réseau) ou alors que je virtualise la machine pour me libérer de cela.

J'ai sûrement un problème de routage. Mais comme la machine est en production je ne peux pas faire ce que je veux ^^

Merci en tout cas. Je vais ré-épluché les articles car la solution doit être là quelque part ;-)

Cordialement.

Wookiee

# - @ - Guillaume - 14/12/2020 à 08:21:20

@Mickelebof :

Parfait,

Merci d'avoir indiqué la solution mise en œuvre.

Cordialement,

Guillaume
--
Provya

# - @ - Mickelebof - 12/12/2020 à 18:03:18

@Guillaume :

Merci pour votre aide, je viens juste de trouver le problème !

En fait avec le paquet capture, j'avais des erreurs de checksum.
Je les avais mis de côté vu que le ping passait bien.

Je suis revenu sur ma configuration initiale, qui correspond donc à votre tuto et j'ai désactivé la case : Disable hardware checksum offload

Et là, miracle, tout fonctionne parfaitement !

En vous souhaitant un très bon week end :)

Cordialement,
Mick

# - @ - Guillaume - 12/12/2020 à 17:56:13

@Mickelebof :
Je comprends mieux votre schéma avec votre explication.

Vous ne devez pas remplacer le 1:1 NAT par du Outbound NAT, mais faire les deux : vous conservez la configuration 1:1 NAT et vous ajoutez une règle d'Outbound NAT pour votre interface WAN (à faire sur chaque pfSense).

Cordialement,

Guillaume
--
Provya

# - @ - Mickelebof - 12/12/2020 à 14:57:33

@Guillaume :

Effectivement, en utilisant le pfsense comme gateway par défaut, ça prend tout son sens (je n'y avais pas pensé) :-)

Je me doutais que ça n'allait pas vous plaire cette histoire de LAN et WAN sur mon schéma, je ne savais pas comment les représenter :-P

En fait ce sont juste les noms de mes interfaces sur le pfsense (qui est une VM).
J'ai donc juste une interface avec comme adresse 192.168.1.12 (site A) qui s'appelle "WAN" dans pfsense.
L'interface LAN (logique) est celle qui porte l'IP du tunnel 10.0.8.1 (site A)

Ok donc si j'ai bien compris, votre tuto implique d'utiliser le pfsense comme default gw pour que ça fonctionne et donc dans mon cas ne pas faire du NAT 1:1 mais du Outbound. Je vais donc essayer ça de ce pas, merci :)

Cordialement,
Mick

# - @ - Guillaume - 12/12/2020 à 14:38:23

@Mickelebof :

Je voulais parler de 1:1 NAT et non pas d'Outbound NAT dans ma réponse précédente.

Si pfSense est la passerelle par défaut de vos équipements alors vous n'avez pas besoin d'ajouter de routes sur vos postes A et B. Mais vu ce que vous décrivez, je comprends que ce n'est visiblement pas le cas.

Si pfSense n'est pas la passerelle par défaut alors à votre place je ferais du SNAT : c'est-à-dire configurer une règle d'Outbound NAT sur le pfSense du site B pour que les paquets en provenance du site A et à destination du LAN du site B prennent l'adresse IP du pfSense du site B.
Idem dans l'autre sens sur le pfSense du site A.

Je ne comprends pas très bien votre schéma où LAN et WAN semblent inversés et surtout où il semble que la gateway du pfSense (le routeur fibre) soit sur le même réseau que votre LAN (192.168.1.0/24). Vous ne pouvez pas avoir le même plan d'adressage côté LAN et côté WAN ; ou alors c'est que vous aimez réellement vous créer des problèmes ;-)

Cordialement,

Guillaume
--
Provya

# - @ - Mickelebof - 12/12/2020 à 13:13:47

Bonjour @Guillaume

Merci pour la réponse rapide !

J'utilise pfsense (2.4.5):)

Alors en fait, si depuis le site A (192.168.1.119) je veux joindre 192.168.1.152 du site B, il faut donc que j'atteigne 192.168.200.152 depuis mon site A, correct ?
Donc sur ma machine 192.168.1.119, il me faut une route pour lui dire d'atteindre 192.168.200.0/24 en passant par 192.168.1.12 (IP pfsense) ?
Sinon j'ai un network unreachable.

J'ai essayé de faire un schéma de mon besoin, j’espère qu'il est compréhensible :)
Schéma : https://nextcloud.sboule.fr/s/p9DQQ2cBQPMNcXA/preview

Sans cette route, je ne vois pas comment je peux joindre 192.168.200.0/24 depuis mon réseau A en 192.168.1.0/24.
J'ai bien sur mis la route retour sur la machine du réseau B.

"Les règles d'Outbound NAT sont-elles bien configurées sur la bonne interface (l'interface logique OpenVPN) ?" =>
Alors justement c'est bien là la question, vous ne parlez pas de règle Outbound dans le tuto et je dois avouez que j'ai du mal avec ça, donc il en faut bien ?
J'ai essayé pas mal de règles, sur l'interface logique OpenVPN, mais rien y fait.
Je pense que je ne dois pas faire comme il faut à ce niveau :(

Mick

# - @ - Guillaume - 12/12/2020 à 12:06:30

@Mickelebof :
Bonjour Mick,

Pourquoi avoir configuré une route statique ?

Les règles d'Outbound 1:1 NAT sont-elles bien configurées sur la bonne interface (l'interface logique OpenVPN) ?

Avec l'outil "Packet Capture", si vous voyez repartir les paquets, par quelle interface repartent-ils ? Par la bonne interface (l'interface OpenVPN) ?

D'une façon générale, si le ping passe, le reste doit passer aussi (à condition que les règles de firewall le permettent, bien-sûr). Enfin, vous utilisez pfSense ou OPNsense ?

Cordialement,

Guillaume
--
Provya

# - @ - Mickelebof - 12/12/2020 à 11:13:42

Bonjour,

Tout d'abord merci pour votre (vos) tutos :)

J'ai appliqué les instructions avec soins mais rien y fait, ça ne fonctionne pas :(
Le tunnel OpenVPN est bien monté (Up/Up des 2 cotés)

J'ai ajouté une route statique sur 1 machine de chaque site :

Site A (192.168.1.119) => 192.168.200.0/24 via 192.168.1.12 dev eth0 (la gateway est l'IP WAN de pfsense)

Site B (192.168.1.152 => 192.168.100.0/24 via 192.168.1.71 dev eth0 (la gateway est l'IP WAN de pfsense)

Le ping fonctionne correctement des 2 cotés, je vois également les paquets arriver et repartir correctement (tcpdump)

Par contre je ne peux utiliser aucun port (ssh par exemple).
Sur mes tcpdump, je vois bien les paquets arriver sur la cible et en repartir, mais il semble que n'a ne revient pas jusqu'à la source :(

J'ai tout de suite pensé à un problème de rules FW mais tout est passants, je vois d'ailleurs bien dans les logs que c'est passant (coche verte).

Du coup je sèche, est-ce qu'il y a d'autres règles ne NAT (outbound ?) à mettre en place ?
Etant donné que le FW ne semble pas être bloquant, je pense donc à un problème de NAT mais je ne trouve pas la solution.

Merci pour votre aide.
Cordialement,
Mick

# - @ - Guillaume - 07/12/2020 à 10:33:59

@Guigui :
Bonjour,

Oui, c'est possible. Pour compléter la réponse apportée dans mon autre commentaire, il suffit d'annoncer correctement les routes dans les champs "Local network(s)" et "Remote network(s)" de vos liens OpenVPN.

Si vous pensez que la configuration est bonne, mais que le routage ne s'applique pas correctement, vous pouvez vous appuyer sur notre article pfSense - Comprendre et analyser ses règles de routage ou encore utiliser l'outil "Packet Capture" (accessible depuis le menu Diagnostic) afin de visualiser via quelle interface repartent les paquets de M1 arrivant sur le pfSense2.

Cordialement,

Guillaume
--
Provya

# - @ - Guigui - 04/12/2020 à 15:00:10

Bonjour,


J'ai 3 PfSence et 2 VPN : M1 -> PfSence1 --vpn1 -- PfSence2 -- vpn2 -- PfSence3 ->M2

Est il possible de mettre en place une NAT sur le pfSence2 pour que la machine M1 puisse attendre le M2 au travers des vpn 1 et 2 ?

Pour l'instant je vois mes paquets arrivé sur PfSence2 mais pas repartire vers PfSence3 et M2.

Guigui

# - @ - Guigui - 04/12/2020 à 14:46:58

@Gibs :
J'ai trouvé mon probleme (La phase 2 n'etait pas monté :(
Maintenant cette partie est OK

Merci

# - @ - Guillaume - 03/12/2020 à 18:20:38

@Guigui :
Bonjour Guillaume,

Oui, bien-sûr, c'est possible.

S'il s'agit de deux VPN sur lesquels vous avez la main, le plus simple est d'annoncer les réseaux de part et d'autre.
Si vous n'avez pas la main sur les VPN ou qu'il y a une contrainte de type overlap, le plus simple est de recourir à du NAT.

Cordialement,

Guillaume
--
Provya

# - @ - Guillaume - 03/12/2020 à 18:11:11

@Wookiee :
Bonjour,

Sur votre pfSense, si c'est un serveur OpenVPN que vous avez configuré (c'est-à-dire que c'est lui qui reçoit les connexions des clients), il n'y a rien à ajouter de plus à votre configuration. La personnalisation se fait côté clients : ils doivent utiliser l'adresse IP publique de la connexion dédiée à l'accès OpenVPN.
En revanche, sur votre pfSense, si c'est un client OpenVPN que vous avez configuré (c'est-à-dire que c'est lui qui se connecte vers un serveur OpenVPN distant), alors vous avez deux possibilités :
- soit créer une route pour forcer le trafic via la bonne passerelle ;
- soit créer un groupe de gateway ne contenant que la passerelle de la connexion pour l'accès OpenVPN et, dans la configuration de votre client OpenVPN, choisir cet groupe de gateway pour le champ "Interface".

Cordialement,

Guillaume
--
Provya

# - @ - Guigui - 02/12/2020 à 14:06:02

bonjour,

sur mon pfsence, j'ai 2 VPN et j'aimerais mettre en place du NAT pour que les flux recu dans un VPN soit renvoyer vers l'autre VPN :
MVPN1 -> PfSense -> MVPN2.
Penez vous que cela soit possible ?

Guillaume

# - @ - Wookiee - 01/12/2020 à 15:17:08

Bonjour,

merci pour toutes ces informations que vous nous donnez dans vos articles ! Elles sont une mine d'or ^^

Je voulais un éclaircissement sur la façon de procéder afin d'avoir 2 sorties WAN via une seule interface physique

- 1 pour l'accès internet en général
- 1 configurée pour un accès openvpn

Les deux routeurs côté WAN sont sur le même réseau. (Mais cela peut être modifié)

Mon serveur openvpn est déjà configuré et fonctionne sur pfsense. Il sort par l'une des arrivées internet.

Dois-je créer un groupe de passerelle et l'appliquer par défaut ? Cela e risque de ne pas être suffisant je pense et faut-il aussi reconfigurer openvpn pour lui spécifier la sortie ?

Merci d'avance et une bonne journée !