La Fibre
Hébergeurs et opérateurs pro / entreprises => Hébergeurs et opérateurs pro / entreprises => 
Scaleway => Discussion démarrée par: DamienC le 21 novembre 2016 à 16:36:49
-
Bonjour à tous,
Depuis pas mal de temps, j'ai quelques serveurs chez Online.net avec VMWare ESXi 6.
J'ai deux IPs minimum par serveur, une IPv4 publique pour le lien de management et une autre (en failover) pour l'interface WAN de mon firewall.
Jusqu'à présent mon firewall était sous un Debian 8 avec iptables & Co, RAS, tout fonctionne très bien.
Aujourd'hui, j'ai un nouveau serveur dans mon cluster et je me suis dis, tiens pourquoi ne pas tester le FORK de PfSense, OpenSense en guise de firewall.
J'ai fais l'installation sans problème:
em0 est mon interface WAN en 212.129.52.212/32 (avec une @MAC custom )
em1 est mon interface LAN en 192.168.255.254/16
J'ai défini comme passerelle éloignée (hors subnet de l'IP failover) celle de mon interface de management, c'est à dire 163.172.85.1.
Jusqu'à là, tout fonctionne à merveille et mon OpenSense peut ping l'Internet.
J'ai activé le NAT/PAT sur le firewall, j'ai défini un range DHCP pour faire mes netinst d'ISO, RAS, les machines ont bien une IP dans mon subnet /16.
Mais aucune d'entre elle ne peut aller sur Internet, elles ne franchissent pas le premier hop.
Je dois manquer de compétence en matière de PfSense, j'ai du oublier quelque chose...
Quelqu'un aurait une idée? Merci d'avance. Je poste quelques screens de l'interface (très sympa au passage).
Cordialement,
DamienC
-
Bonjour à tous,
Depuis pas mal de temps, j'ai quelques serveurs chez Online.net avec VMWare ESXi 6.
J'ai deux IPs minimum par serveur, une IPv4 publique pour le lien de management et une autre (en failover) pour l'interface WAN de mon firewall.
Jusqu'à présent mon firewall était sous un Debian 8 avec iptables & Co, RAS, tout fonctionne très bien.
Aujourd'hui, j'ai un nouveau serveur dans mon cluster et je me suis dis, tiens pourquoi ne pas tester le FORK de PfSense, OpenSense en guise de firewall.
J'ai fais l'installation sans problème:
em0 est mon interface WAN en 212.129.52.212/32 (avec une @MAC custom )
em1 est mon interface LAN en 192.168.255.254/16
J'ai défini comme passerelle éloignée (hors subnet de l'IP failover) celle de mon interface de management, c'est à dire 163.172.85.1.
Jusqu'à là, tout fonctionne à merveille et mon OpenSense peut ping l'Internet.
J'ai activé le NAT/PAT sur le firewall, j'ai défini un range DHCP pour faire mes netinst d'ISO, RAS, les machines ont bien une IP dans mon subnet /16.
Mais aucune d'entre elle ne peut aller sur Internet, elles ne franchissent pas le premier hop.
Je dois manquer de compétence en matière de PfSense, j'ai du oublier quelque chose...
Quelqu'un aurait une idée? Merci d'avance. Je poste quelques screens de l'interface (très sympa au passage).
Cordialement,
DamienC
Mauvaise adresse IP de passerelle par défaut obtenue sur les machines via DHCP ?
Cela expliquerait pourquoi elles ne peuvent pas joindre un hôte à l'extérieur du réseau local.
-
Mauvaise adresse IP de passerelle par défaut obtenue sur les machines via DHCP ?
Cela expliquerait pourquoi elles ne peuvent pas joindre un hôte à l'extérieur du réseau local.
Je ne crois pas que le problème soit là. Les clients récupèrent l'adresse de passerelle 192.168.255.254/16, ils peuvent ping la passerelle, utiliser la résolution DNS du OpenSense... Mais rien de plus. J'avoue ne pas bien comprendre.
-
Ton NAT est foireux non ? TCPDump existe sur cette
horreurplateforme ?
-
Ton NAT est foireux non ? TCPDump existe sur cette horreurplateforme ?
C'est pas moi qui fait le NAT^^ Le truc est censé le faire seul.
Ouuh tu en demandes beaucoup Hugues, je vais voir^^
Sinon, au pire, je repasse sur un firewall iptables mais franchement je commence à me lasser de faire mes règles à la main, je commence a en avoir beaucoup :x
EDIT: Auriez-vous une autre solution de firewalling à proposer?
-
Pour iptables, il y a Firewall Builder (http://www.fwbuilder.org/)
Et aussi, Firewall Builder makes firewall management easy by providing a drag-and-drop GUI application that can be used to configure Linux iptables, Cisco ASA and PIX, Cisco FWSM, Cisco router access lists, pf, ipfw and ipfilter for BSD, and HP ProCurve ACL firewalls.
-
Pour iptables, il y a Firewall Builder (http://www.fwbuilder.org/)
Merci pour ce lien, je viens de tester, ça peut me faire gagner un peu de temps... Mais ça reste toujours aussi rudimentaire ;D
Ce qu'l y a de bien avec un OpenSense, c'est qu'on peut vraiment tout faire très rapidement et les modification apportées sont immédiates.
Mais il ne fonctionne pas dans ce type de configuration... Dommage :-[
-
c'est peut-etre juste le ping qui n'est pas autorisé par le NAT/FW par défaut. Quelles sont les règles par défaut ?
-
Quelles sont les règles par défaut ?
Les voici, en PJ.
c'est peut-etre juste le ping qui n'est pas autorisé par le NAT/FW par défaut.
De ce que je vois, ce n'est pas le cas.
L'interface indique que tout est refusé en entrée du WAN, c'est ce qu'il faut.
Je me demande si le forwarding se fait bien...
-
c'est dans Firewall>Nat>Outbound la config. par defaut c'est "Automatic outbound NAT rule generation" en principe.
apres dans "Firewall>Log Files>..." tu peux voir ce qui est bloqué.
-
c'est dans Firewall>Nat>Outbound la config. par defaut c'est "Automatic outbound NAT rule generation" en principe.
apres dans "Firewall>Log Files>..." tu peux voir ce qui est bloqué.
Ah oui merci pour l'info!
Euh je vois que toutes mes requêtes sont bloquées et je ne comprend rien à la capture... :(
-
ca ce n'est pas du trafic qui te concerne, on dirait du flood de broadcast qui a lieu dehors.
faut tenter un ping de l'interieur et voir si ca bloque par exemple.
Je vois aussi que t'a pris un /16 pour le lan. Verifie bien que tout le monde a le bon masque.
-
Bon, là je ne comprend pas trop.
Mes clients Windows n'accèdent pas à l'extérieur alors que mes clients linux oui...