Auteur Sujet: Mise en place d'un OpenSense avec une IP Failover  (Lu 2854 fois)

0 Membres et 1 Invité sur ce sujet

DamienC

  • FTTH 2 Gbps : SFR 1Gb/s +
  • Client Orange Fibre
  • *
  • Messages: 1 884
  • Brest (29)
    • Maroquinerie Bysance
Mise en place d'un OpenSense avec une IP Failover
« le: 21 novembre 2016 à 16:36:49 »
Bonjour à tous,

Depuis pas mal de temps, j'ai quelques serveurs chez Online.net avec VMWare ESXi 6.
J'ai deux IPs minimum par serveur, une IPv4 publique pour le lien de management et une autre (en failover) pour l'interface WAN de mon firewall.
Jusqu'à présent mon firewall était sous un Debian 8 avec iptables & Co, RAS, tout fonctionne très bien.

Aujourd'hui, j'ai un nouveau serveur dans mon cluster et je me suis dis, tiens pourquoi ne pas tester le FORK de PfSense, OpenSense en guise de firewall.
J'ai fais l'installation sans problème:

em0 est mon interface WAN en 212.129.52.212/32 (avec une @MAC custom )
em1 est mon interface LAN en 192.168.255.254/16

J'ai défini comme passerelle éloignée (hors subnet de l'IP failover) celle de mon interface de management, c'est à dire  163.172.85.1.

Jusqu'à là, tout fonctionne à merveille et mon OpenSense peut ping l'Internet.
J'ai activé le NAT/PAT sur le firewall, j'ai défini un range DHCP pour faire mes netinst d'ISO, RAS, les machines ont bien une IP dans mon subnet /16.

Mais aucune d'entre elle ne peut aller sur Internet, elles ne franchissent pas le premier hop.

Je dois manquer de compétence en matière de PfSense, j'ai du oublier quelque chose...

Quelqu'un aurait une idée? Merci d'avance. Je poste quelques screens de l'interface (très sympa au passage).

Cordialement,
DamienC

hell0

  • Expert
  • Client SFR fibre FTTH
  • *
  • Messages: 707
  • Paris (75)
Mise en place d'un OpenSense avec une IP Failover
« Réponse #1 le: 21 novembre 2016 à 23:22:18 »
Bonjour à tous,

Depuis pas mal de temps, j'ai quelques serveurs chez Online.net avec VMWare ESXi 6.
J'ai deux IPs minimum par serveur, une IPv4 publique pour le lien de management et une autre (en failover) pour l'interface WAN de mon firewall.
Jusqu'à présent mon firewall était sous un Debian 8 avec iptables & Co, RAS, tout fonctionne très bien.

Aujourd'hui, j'ai un nouveau serveur dans mon cluster et je me suis dis, tiens pourquoi ne pas tester le FORK de PfSense, OpenSense en guise de firewall.
J'ai fais l'installation sans problème:

em0 est mon interface WAN en 212.129.52.212/32 (avec une @MAC custom )
em1 est mon interface LAN en 192.168.255.254/16

J'ai défini comme passerelle éloignée (hors subnet de l'IP failover) celle de mon interface de management, c'est à dire  163.172.85.1.

Jusqu'à là, tout fonctionne à merveille et mon OpenSense peut ping l'Internet.
J'ai activé le NAT/PAT sur le firewall, j'ai défini un range DHCP pour faire mes netinst d'ISO, RAS, les machines ont bien une IP dans mon subnet /16.

Mais aucune d'entre elle ne peut aller sur Internet, elles ne franchissent pas le premier hop.

Je dois manquer de compétence en matière de PfSense, j'ai du oublier quelque chose...

Quelqu'un aurait une idée? Merci d'avance. Je poste quelques screens de l'interface (très sympa au passage).

Cordialement,
DamienC

Mauvaise adresse IP de passerelle par défaut obtenue sur les machines via DHCP ?
Cela expliquerait pourquoi elles ne peuvent pas joindre un hôte à l'extérieur du réseau local.

DamienC

  • FTTH 2 Gbps : SFR 1Gb/s +
  • Client Orange Fibre
  • *
  • Messages: 1 884
  • Brest (29)
    • Maroquinerie Bysance
Mise en place d'un OpenSense avec une IP Failover
« Réponse #2 le: 22 novembre 2016 à 09:21:21 »
Mauvaise adresse IP de passerelle par défaut obtenue sur les machines via DHCP ?
Cela expliquerait pourquoi elles ne peuvent pas joindre un hôte à l'extérieur du réseau local.
Je ne crois pas que le problème soit là. Les clients récupèrent l'adresse de passerelle 192.168.255.254/16, ils peuvent ping la passerelle, utiliser la résolution DNS du OpenSense... Mais rien de plus. J'avoue ne pas bien comprendre.

Hugues

  • AS57199 MilkyWan
  • Expert
  • *
  • Messages: 6 533
  • Paris (15ème)
    • MilkyWan
Mise en place d'un OpenSense avec une IP Failover
« Réponse #3 le: 22 novembre 2016 à 09:47:21 »
Ton NAT est foireux non ? TCPDump existe sur cette horreurplateforme ?

DamienC

  • FTTH 2 Gbps : SFR 1Gb/s +
  • Client Orange Fibre
  • *
  • Messages: 1 884
  • Brest (29)
    • Maroquinerie Bysance
Mise en place d'un OpenSense avec une IP Failover
« Réponse #4 le: 22 novembre 2016 à 09:54:23 »
Ton NAT est foireux non ? TCPDump existe sur cette horreurplateforme ?
C'est pas moi qui fait le NAT^^ Le truc est censé le faire seul.
Ouuh tu en demandes beaucoup Hugues, je vais voir^^

Sinon, au pire, je repasse sur un firewall iptables mais franchement je commence à me lasser de faire mes règles à la main, je commence a en avoir beaucoup :x

EDIT: Auriez-vous une autre solution de firewalling à proposer?
« Modifié: 22 novembre 2016 à 10:24:03 par DamienC »

PacOrly

  • Client Free adsl
  • *
  • Messages: 1 272
  • FTTNRA Orly (94)
Mise en place d'un OpenSense avec une IP Failover
« Réponse #5 le: 22 novembre 2016 à 11:34:48 »
Pour iptables, il y a Firewall Builder

Et aussi, Firewall Builder makes firewall management easy by providing a drag-and-drop GUI application that can be used to configure Linux iptables, Cisco ASA and PIX, Cisco FWSM, Cisco router access lists, pf, ipfw and ipfilter for BSD, and HP ProCurve ACL firewalls.

DamienC

  • FTTH 2 Gbps : SFR 1Gb/s +
  • Client Orange Fibre
  • *
  • Messages: 1 884
  • Brest (29)
    • Maroquinerie Bysance
Mise en place d'un OpenSense avec une IP Failover
« Réponse #6 le: 22 novembre 2016 à 13:13:10 »
Pour iptables, il y a Firewall Builder
Merci pour ce lien, je viens de tester, ça peut me faire gagner un peu de temps... Mais ça reste toujours aussi rudimentaire  ;D
Ce qu'l y a de bien avec un OpenSense, c'est qu'on peut vraiment tout faire très rapidement et les modification apportées sont immédiates. 
Mais il ne fonctionne pas dans ce type de configuration... Dommage  :-[

kgersen

  • Client Bouygues FTTH
  • Modérateur
  • *
  • Messages: 5 534
  • FTTH 1Gb/s sur Paris (75)
Mise en place d'un OpenSense avec une IP Failover
« Réponse #7 le: 22 novembre 2016 à 13:30:51 »
c'est peut-etre juste le ping qui n'est pas autorisé par le NAT/FW par défaut. Quelles sont les règles par défaut ?

DamienC

  • FTTH 2 Gbps : SFR 1Gb/s +
  • Client Orange Fibre
  • *
  • Messages: 1 884
  • Brest (29)
    • Maroquinerie Bysance
Mise en place d'un OpenSense avec une IP Failover
« Réponse #8 le: 22 novembre 2016 à 14:05:40 »
Citer
Quelles sont les règles par défaut ?
Les voici, en PJ.
Citer
c'est peut-etre juste le ping qui n'est pas autorisé par le NAT/FW par défaut.
De ce que je vois, ce n'est pas le cas.

L'interface indique que tout est refusé en entrée du WAN, c'est ce qu'il faut.

Je me demande si le forwarding se fait bien...


kgersen

  • Client Bouygues FTTH
  • Modérateur
  • *
  • Messages: 5 534
  • FTTH 1Gb/s sur Paris (75)
Mise en place d'un OpenSense avec une IP Failover
« Réponse #9 le: 22 novembre 2016 à 17:22:17 »
c'est dans Firewall>Nat>Outbound la config. par defaut c'est "Automatic outbound NAT rule generation" en principe.

apres dans "Firewall>Log Files>..." tu peux voir ce qui est bloqué.


DamienC

  • FTTH 2 Gbps : SFR 1Gb/s +
  • Client Orange Fibre
  • *
  • Messages: 1 884
  • Brest (29)
    • Maroquinerie Bysance
Mise en place d'un OpenSense avec une IP Failover
« Réponse #10 le: 22 novembre 2016 à 17:44:32 »
c'est dans Firewall>Nat>Outbound la config. par defaut c'est "Automatic outbound NAT rule generation" en principe.

apres dans "Firewall>Log Files>..." tu peux voir ce qui est bloqué.


Ah oui merci pour l'info!
Euh je vois que toutes mes requêtes sont bloquées et je ne comprend rien à la capture...  :(

kgersen

  • Client Bouygues FTTH
  • Modérateur
  • *
  • Messages: 5 534
  • FTTH 1Gb/s sur Paris (75)
Mise en place d'un OpenSense avec une IP Failover
« Réponse #11 le: 22 novembre 2016 à 17:51:20 »
ca ce n'est pas du trafic qui te concerne, on dirait du flood de broadcast qui a lieu dehors.

faut tenter un ping de l'interieur et voir si ca bloque par exemple.

Je vois aussi que t'a pris un /16 pour le lan. Verifie bien que tout le monde a le bon masque.

 

Mobile View