pfSense + multiple réseaux sur une seule carte réseau

par **yopda** » 06 Oct 2009 20:01

Bonsoir à tous,

Je m'interroge sur la possibilité d'avoir plusieurs réseaux de class C se trouvant sur un switch dans lequel ma patte LAN de pfsense est connectée afin de pouvoir fournir à ces 3 5 ou 10 réseaux un accès internet connecté sur le WAN du dit pfsense.

J'espère que ma question n'est pas trop nébuleuse,

D'avance merci pour vos réponses,

Lionel

par **jdh** » 06 Oct 2009 20:33

En matière de réseaux, on peut faire à peu près n'importe quoi. (<mode joke>il suffit de lire ce forum par moments</mode joke>)

En matière de sécurité, il y a beaucoup moins de possibilités.

Si on connecte 3, 5 ou 10 réseaux à une seule machine, il faut s'intéresser à la possibilité de passer de l'un vers un autre au travers de cette machine !

La meilleure façon de faire (la plus sûre ?) est de disposer d'une machine ayant une carte réseau par réseau ! (D'accord pour 10 réseaux, cela va être dur ...)

Mais la question c'est pourquoi 3, 5 ou 10 réseaux doivent se partager une connexion internet ? Ca cela n' a pas de logique ... (ou elle m'échappe !)

(Sinon, pfSense est très capable de gérer plusieurs cartes réseaux de façon très bonne)

par **ccnet** » 06 Oct 2009 21:10

plusieurs réseaux de class C se trouvant sur un switch

Il faudrait s'entendre sur ce que cela signifie. En résumé vlan ou pas ? Si pas de Vlan la notion de plusieurs réseaux devient toute relative .... pour ne pas dire inexistante.
Il serait possible (notez le conditionnel) d'avoir un seul réseau physique mais autant de domaines de broadcast que vous le souhaitez en utilisant des vlans. Les switchs savent faire, Pfsense aussi. Sur le fond la logique du besoin m'échappe aussi. Il est aussi possible de multiplier les cartes quadri port. Bref à défaut d'informations plus claires sur le besoin, on patauge un peu et on reste dubitatif.

par **yopda** » 07 Oct 2009 09:56

Bonjour à vous deux,

D'abord merci pour votre réactivité donc pour donner plus de détails aujourd'hui j'ai un MPLS en place avec une vingtaine de sites connectés dessus et qui font papa / maman ensemble tout en ayant chacun un adressage en classe C sur 20 'réseaux' différents et pour sortir sur Internet j'ai un 'gros tube' pour l'ensemble de ses sites où je veux coller ( sur le cisco 3750) un pfsense qui par sa patte lan va récupérer le traffic des lans pour ensuite gérer les entrées et les sorties par le wan ... voili voilou

Est-ce plus clair ?

Cordialement

Lionel

par **yopda** » 07 Oct 2009 09:56

Bonjour à vous deux,

D'abord merci pour votre réactivité donc pour donner plus de détails aujourd'hui j'ai un MPLS en place avec une vingtaine de sites connectés dessus et qui font papa / maman ensemble tout en ayant chacun un adressage en classe C sur 20 'réseaux' différents et pour sortir sur Internet j'ai un 'gros tube' pour l'ensemble de ses sites où je veux coller ( sur le cisco 3750) un pfsense qui par sa patte lan va récupérer le traffic des lans pour ensuite gérer les entrées et les sorties par le wan ... voili voilou

Est-ce plus clair ?

Cordialement

Lionel

par **yopda** » 07 Oct 2009 09:57

ouuppsss ... :roll:

par **jdh** » 07 Oct 2009 12:07

Là c'est plus clair ! (pourquoi ne pas l'avoir expliquer au départ ?)

Mettre un accès Internet unique sur le site central pour un réseau (mpls) avec plusieurs "agences" est très très classique.

* pfsense :
Le pfSense aura une adresse sur le réseau central. Il sera la passerelle par défaut locale.
Et il aura une route vers les réseaux d'agence via le routeur.

* pc site central
passerelle par défaut = pfsense
routeur central : doit avoir une route par défaut via le pfsense

* pc site agences :
passerelle par defaut = routeur local
routeur agence : doit avoir route par défaut vers le routeur

Il sera judicieux d'utiliser des alias pour désigner chaque réseau accessible pour définir des rules.
Si Squid est utilisé, il faudra lui indiquer les réseaux pouvant utiliser Squid ...

par **yopda** » 07 Oct 2009 12:42

Ok
merci clair et limpide !!
Et je dirais que j'en suis bien là... Ce qu'il y a maintenant c'est que pour l'exemple, j'ai un des réseau distant en 192.168.133.0/24 avec gateway routeur en 133.10,
la gateway sur site central est en 192.168.100.1 et le CISCO est censé reroute les devant aller vers le net sur le 100.10 qui est la patte lan de pfsense pour que le réseau 133.xxx puisse pinguer le pfsense j'ai crée une route statique du réseau 133 avec la gateway du site central 192168.100.1 , ça pi
gue mais je ne sors sur le net... Ildoit me manquer qqchose ...
Merci de vitrée aide
Lionel

par **ccnet** » 07 Oct 2009 13:20

Si icmp est bon jusqu'à l'interface lan de Pfsense, on peut penser que le routage est correct. En activant les logs sur l'ensemble des règles d'interdiction de l'interface lan, il devrait être possible vérifier si c'est un problème de filtrage. Que donne par exemple ping 194.2.0.20 ? Que veut dire "mais je ne sors sur le net" ?

par **yopda** » 08 Oct 2009 09:56

Bonjour,

Désolé pour la forme hier j'écrivais depuis mon téléphone :-(

En fait je voulais dire , oui je pingue la patte LAN de pfsense et effectivement je n'arrive pas à sortir sur Internet.
En activant les logs sur le LAN je vois apparaître cela :

The rule that triggered this action is:

@49 block drop in log quick all label "Default deny rule"

Lorsque je tente de sortir sur Internet donc il semble qu'il me manque une règle à ce sujet ? mais quoi je n'ai ni résolution de non et au ping d'une adresse extérieur j'ai un time out

Encore merci pour votre aide,

Lionel

par **ccnet** » 08 Oct 2009 10:11

Sur Pfsense depuis l'interface : Diagnostics: Ping. Choisir l'interface wan, dans host mettre 194.2.0.20 puis cliquer le bouton ping. Quel est le résultat ?
Il ne serait pas inutile de vérifier Status: Interfaces pour Wan.

Pour atteindre, par exemple www.google.fr, depuis le lan, il faut, sur Lan autoriser 80/TCP vers any bien sûr mais aussi 53/UDP pour la résolution de nom si pfsense (interface lan) n'est pas le dns de votre lan.
Pour l'activer :
Services: DNS forwarder x Enable DNS forwarder

Lorsque tout cela sera vérifié nous y verrons plus clair.

par **yopda** » 08 Oct 2009 10:51

Alors ...
J'ai fais l'ensemble des étapes de votre réponse.
Lorsqu'au final je pingue j'ai un :
4 packets transmitted, 0 packets received, 100.0% packet loss

Comme si on ne sortait pas depuis le firewall vers le net ce que j'ai du mal à comprendre car avec une machine sur le site central derrière le dit firewall je sors sur internet sans problème , il n y a que depuis les sites distants du mpls que je ne passe pas sur le net.
Le statut de WLAn est bien entendu UP
concernant les règles sur la patte LAN j'ai pour l'install * to any * autant dire tout ouvert :-(

Je cale .. n'y aurait il pas de problème de RF1918 ou autre lié aux réseaux du MPLS qui passe par le pfsense pour tenter d'aller sur Internet ...
Un peu perdu le lionel :-(

par **ccnet** » 08 Oct 2009 21:21

Il n'y a que sur Wan ou l'on peut interdire les ip RFC1918 en cochant une case.

Pour le reste vous êtes en train de me dire que depuis le réseau sur le site central vous avez accès à internet mais que depuis Diagnostics: Ping avec l'interface wan, et 194.2.0.20 comme destination vous avez 100% de perte ?
Qu'est ce qu'il y a après l'interface wan ? Un routeur ?
Wan est en ip publique ou privée ?

par **yopda** » 08 Oct 2009 22:13

Merci pour tout , au final il y ' avait une boucle entre le cisco 3750 du mpls et le cisco 1820 de l'ithd, après qu'il ai corrigé c'est passé comme une lettre à la poste ... donc résolu ...
Merci pour ce soutien ;-)

Je voulais savoir un truc sur les multi vlan côté wan est-ce un bon moyen pour affecter sur chaque vlan un ip publique du pool d'ip que j'ai pour ensuite les associer aux différents réseaux du mpls ?

Bonne soirée,

Lionel

par **ccnet** » 08 Oct 2009 22:46

Je vois bien l'idée mais non. La confusion est fréquente. Pfsense travail en couche 3 (IP) entre les différentes interfaces (sauf si bridge) donc il fait du routage et du filtrage sur des critères des couches 3 et 4. La création d'un Vlan consiste à définir un domaine de broadcast ethernet. Il s'agit donc de couche 2.

En d'autres termes si vous définissez des Vlans, par exemple le 14 et le 15 par exemple, du coté de l'interface Wan et que vous faites de même sur l'interface Lan vous avez quatre vlans et non deux. Pfsense ne prendra pas de décision de routage en fonction des vlans origine et destination (supposée) simplement parce que le protocole de routage ignore fort logiquement tout ce qui se passe au niveau de la liaison de données pour la simple raison qu'elle peut être ethernet d'un côté et atm de l'autre par exemple. Le routage est un protocole de couche 3.

Un vlan, même si il porte le même identifiant ne se poursuit pas au delà d'un routeur. Nous savons qu'à la sortie d'un routeur c'est l'adresse mac de l'interface de sortie du routeur qui se trouve dans l'entête ethernet et non plus celle de l'interface d'origine de la trame.

Vous avez d'autres moyens à votre disposition. Créez des adresses virtuelle dans Pfsense, vous pourrez utiliser partout. Y compris dans des règles de nat ou de "Policy Routing".

Ne perdez pas de vue qu'il y a une règle de nat implicite : tout ce qui sort de Pfsense est naté sur l'ip de Wan à moins qu'un outbound nat par exemple n'ai été défini avec une ip virtuelle. Cas classique du serveur de mail. Bien que le plus souvent ce n'est pas nécessaire puisqu'une seule ip peut suffire grâce aux transferts de port.

pfSense + multiple réseaux sur une seule carte réseau

pfSense + multiple réseaux sur une seule carte réseau

Qui est en ligne ?