PhenIXUS

[Geeks]

Ok pour les aliases. Je comprends leurs philosophies.

Mais ça ne m'explique toujours pas pourquoi Bleu ne peut accédé à internet...
D'autant plus que le DHCP à l'air de fonctionné dessus et que les ips remontes.
D'autant plus, encore, et même si ce n'est pas le même port; les IMCP passent.
Mais toujours pas de http... ni du reste d'ailleurs

A par ça, je suis d'accord avec toi Titofe, je vais devoir gérer ma DMZ avec des aliasses. Merci pour le lien que je vais me chargé de lire et de comprendre.
Et puis si un passage me paraît ardu, je poserais des question afin d'en apprendre plus

[jdh]

C'est marrant le lien que tu as trouvé Titofe : je l'avais juste parcouru sans en voir le "sel" !
Parce que c'est un ... mauvais exemple (enfin si on choisi mal l'interface : ça ne fonctionne pas comme règle NAT !)

Si un serveur est en DMZ, que depuis le LAN, on y accède sur les ports SMTP, HTTP et FTP, on aura intérêt à créer 2 alias :
- srvMAIL (hôte) = adresse ip du serveur en DMZ,
- portMAIL (port) = 25, 80, 21.
Ensuite, on créé une règle dans l'onglet LAN en indiquant :
- source : LAN subnet (ou un alias)
- destination : srvMAIL
- proto : TCP (ouf les 3 protocoles sont en TCP)
- port : portMAIL
Cela donne une règle au lieu de 3, avec facilité de lecture (passez la souris sur l'alias et vous verrez).


NB : L'explication du site pfSense oublie que l'on ne peut dispatcher le même protocole à 3 serveurs : on envoie le paquet 1 sur le serveur 1, puis 2 vers 2, ... ? Gag !

[Geeks]

Effectivement... Je suis aller voir le site en question. c'est plutôt fourni. Je dirais même que si j'étais anglophobe, ce serais mon site de chevet. Toutefois; pour le moment; je n'ai qu'un seul serveur Web

Tien, en cherchant à propos des nats.... Oui, bon, à cette heure-ci on a encore quelques neurones qui tournes et qui font leurs investigations, je suis tomber sur cette page de mon modem:


Est-ce que le problème de communication de BLEU sur internet aurait pour origine cette page ? Si c'est le cas, comment puis-je modifier pour que ça soit compatible avec Pfsense ?

Merci

[jdh]

Le routeur (puisque c'est un modem/routeur) fonctionne correctement. Pourquoi le modifier ?

L'interface BLUE fonctionne mal ? On teste
- un PC connecté en BLUE reçoit les éléments par DHCP ou est configuré en manuel (ip, masque, passerelle, dns)
- création de la règle par défaut : source BLUE subnet, destination any, proto any
- test de ping : l'ip BLUE puis l'ip 98.139.102.145 (c'est www.yahoo.fr) puis www.yahoo.fr

[Geeks]

Le routeur (puisque c'est un modem/routeur) fonctionne correctement. Pourquoi le modifier ?

Ok, c'étais juste une supposition.

L'interface BLUE fonctionne mal ? On teste
- un PC connecté en BLUE reçoit les éléments par DHCP ou est configuré en manuel (ip, masque, passerelle, dns)
- création de la règle par défaut : source BLUE subnet, destination any, proto any
- test de ping : l'ip BLUE puis l'ip 98.139.102.145 (c'est http://www.yahoo.fr) puis http://www.yahoo.fr

Le Pc connecté en bleu obtient son adresse depuis le DHCP.
- L'ifaces de bleu est 10.0.2.254/24 soit un masque de sous-rx étant 255.255.255.0
- La plage est 10.0.2.1 à 10.0.2.200 (ce qui est situer après 200 sera en ip fixe; imprimante réseau, samba entre autre).
- L'IP recu sur le PC connecté en BLEU à pour adresse ip:
inet adr:10..2.1 bcast:10.0.2.255 masque:255.255.255.0

Passons aux tests. Si je ping sur 98.139.102.14 j'obtiens ceci:

alexandre@portable-alex:~$ ping 98.139.102.14
PING 98.139.102.14 (98.139.102.14) 56(84) bytes of data.
64 bytes from 98.139.102.14: icmp_seq=1 ttl=39 time=195 ms
64 bytes from 98.139.102.14: icmp_seq=2 ttl=40 time=203 ms
64 bytes from 98.139.102.14: icmp_seq=3 ttl=39 time=202 ms
64 bytes from 98.139.102.14: icmp_seq=4 ttl=41 time=191 ms
64 bytes from 98.139.102.14: icmp_seq=5 ttl=41 time=189 ms
64 bytes from 98.139.102.14: icmp_seq=6 ttl=39 time=207 ms
64 bytes from 98.139.102.14: icmp_seq=7 ttl=40 time=202 ms
64 bytes from 98.139.102.14: icmp_seq=8 ttl=40 time=216 ms
64 bytes from 98.139.102.14: icmp_seq=9 ttl=41 time=200 ms

Si je ping sur http://www.yahoo.fr/ j'obtiens ceci:

alexandre@portable-alex:~$ ping http://www.yahoo.fr/
ping: unknown host http://www.yahoo.fr/

On voie bien que quelque-chose ne colle pas. Mais dire quoi, j'avoie que chu pas devin et que j'ai bien du mal à comprendre pourquoi.

[jdh]

Le moins que l'on puisse dire, c'est que la résolution dns n'est pas correcte !

Je suppose que pfSense fait office de DHCP et DNS pour chaque interface.

tests :
- le service dns forwarder est-il actif ? (sans doute oui)
- le serveur dhcp fourni-t-il lui-même comme serveur dns ? (une erreur de saisie ?)
- le firewall résoud il les noms dns ? (nslookup http://www.yahoo.fr 10.0.2.254)

[Geeks]

Le moins que l'on puisse dire, c'est que la résolution dns n'est pas correcte !

A priori...

Je suppose que pfSense fait office de DHCP et DNS pour chaque interface.

IpCop le faisait avant. C'est pas forcément le cas de PFSense. Comment alors les configurer ?

tests :
- le service dns forwarder est-il actif ? (sans doute oui)

Si on me dit ou cherché et à quoi ça ressemble, je vous retournerais une image correspondante à ma configuration.

tests :
- le serveur dhcp fourni-t-il lui-même comme serveur dns ? (une erreur de saisie ?)

Euh... Bonne question. Ma connaissance actuelle des réseaux ne me permet pas de le dire de façon sure

tests :
- le firewall résoud il les noms dns ? (nslookup http://www.yahoo.fr 10.0.2.254)

Voilà le résultat du dernier test :

alexandre@portable-alex:~$ nslookup http://www.yahoo.fr
Server: 10.0.1.254
Address: 10.0.1.254#53

Non-authoritative answer:
http://www.yahoo.fr canonical name = rc.europe.fyeu.b.yahoo.com.
Name: rc.europe.fyeu.b.yahoo.com
Address: 87.248.121.75

Je crois bien qu'il trouve. Mais est-ce que mon modem renvoie bien sur la wan la réponse ? Idem entre Wan et Bleu ? Et enfin entre Bleu et mes Pc ?

[jdh]

Le DHCP et DNS forwarder se configurent dans
- Services > DHCP Server
- Services > DNS forwarder

Après les interfaces, ce sont les 2 choses qu'il faut configurer.


NB : les réseaux BLUE et LAN doivent être bien distincts ! (notamment les réglages de DHCP serveur peuvent et doivent être différents !)

[Geeks]

Le DHCP et DNS forwarder se configurent dans
- Services > DHCP Server
- Services > DNS forwarder

Ok, voila les images de chaque services:
- Le service DHCP Server pour l'iface LAN :



- Le service DHCP Server pour l'iface BLEU :



-Le service DNS Forwarder est pour le moment :

Après les interfaces, ce sont les 2 choses qu'il faut configurer.

J'ai un peu honte de le dire; j'assume ! Je ne savait pas que c'était ça qu'il fallait configurer ensuite. Mais je vais apprendre et comprendre pour que le prochain coup je n'ai pas à reposer la question

NB : les réseaux BLUE et LAN doivent être bien distincts ! (notamment les réglages de DHCP serveur peuvent et doivent être différents !)

Oui, et je suis parfaitement d'accord avec ça. Si tu regarde le schéma, tout ce qui est 10.0.1.XX est LAN. Tout ce qui est 10.0.2.XX est BLEU. Tout ce qui est 10.0.3.XX est DMZ. J'en ai pas encore parlé mais, tout ce qui sera 10.0.4.XX sera VPN.

[jdh]

Il est souhaitable que le serveur DHCP indique un serveur DNS (en l'occurence l'adresse ip de l'interface servie) !! (Ce n'est pas le cas !)

Je rappelle qu'un matériel DOIT obligatoirement disposer, soit manuellement, soit automatiquement (=par DHCP), de
- une adresse ip,
- un masque,
- une gateway,
- un serveur dns.

Pour un PC quelconque, on doit toujours vérifier ces 4 informations (et s'assurer de les fournir si on configure le serveur DHCP).

NB : le message indiquant qu'on peut laisser en blanc la zone serveur DNS est erronée AMPSHA : toujours indiquer l'adresse ip de l'interface.