Auteur Sujet: Muliti WAN et VLAN - Sortie des paquets systématiquement sur la route par défaut (Lu 235 fois)

dash · « **le:** **Hier** à 13:21:03 »

Bonjour. La version installée est la 26.1.3 sans transfert des règles OLD vers NEW. OPNsense tourne en VM/kvm et est destiné à remplacer Sophos UTM9 qui est EOL.

Le réseau: 2 liens fibres (Adista et Free) entrent dans un switch HP: le port Adista est tagué VLAN1002, le lien Free reste en VLAN 1 (défaut). Un serveur récupère les flux de tous les VLAN sur une interface nommée bone (ifup). Sont également créées des interfaces par VLAN comme bone.1 pour VLAN 1, bone.2 pour VLAN 2 ... bone.1002 pour VLAN 1002. L'interface LAN du serveur est bridgée sur bone.1

Ce setup est parfaitement fonctionnel -y compris les VLAN non défini dans ce message, ipv6, wireguard, etc- et ce depuis des années avec UTM9.

À présent OPNsense: je créé 3 interfaces en bridge de bone, LAN, WAN1 et WAN2. Vu de l'interieur tout est fonctionnel. Le problème se situe au niveau des accès extérieurs en ipv4: les paquets entrants sur WAN2 resortent systématiquement par WAN1 ce qui rend les services inopérationnels sur WAN2. Bien sûr, WAN1 est fonctionnel.

La route par défaut est positionnée sur WAN1. Peu importe que je mette WAN1 = Free ou WAN1 = Adista, le problème persiste ce qui me fait penser que le problème est lié à la mauvaise gestion du VLAN. Dans les paquets sortants sur la mauvaise interface, il y a bien l'IP source de l'interface d'entrée, replyto est donc bien positionné.

J'ai tenté de mettre des règles DNAT et rules en place, rien n'y fait. Ce qui me surprend également c'est qu'un netstat -rn4 me montre l'adresse de WAN2 liée à l'interface de WAN1 et il n' y a aucune sortie (affichage) connectée à l'interface de WAN2

J'ai tenté le forum OPNsense, pas de réaction. Je me permet donc de solliciter les bonnes âmes présentes ici

et qui auraient un éclairage divin me permettant de me sortir de ce mauvais pas.

zoc · « **Réponse #1 le:** **Aujourd'hui** à 15:38:16 »

Bah c'est un peu normal, le routage IP est sans état, donc le routeur n'a qu'une seule source d'information : la table de routage, et en l'occurrence dans le cas présent la route par défaut la plus prioritaire (s'il y en a plusieurs).

Sur un routeur basé sur du Linux (RouterOS dans mon cas) on s'en sort avec la table de connexion (conntrack) et le marquage de paquets/connexions (au niveau firewall donc). Mes connaissances OPNsense étant proche du néant je ne proposerai pas de solution (surement similaire), au contraire je suis curieux de lire la suite pour ma culture personnelle...

dash · « **Réponse #2 le:** **Aujourd'hui** à 16:43:01 »

Merci pour tes réflexions. UTM9 est effectivement un Linux RH. Le conntrack devrait se faire via le VLAN d'autant que l'IP source des paquets réponses est cohérente, c'est ce point qui m' interpelle.

Fyr · « **Réponse #3 le:** **Aujourd'hui** à 18:50:14 »

Moi le passage bizarre c'est ça "... l'adresse de WAN2 liée à l'interface de WAN1 ..."

Tu veux dire que l'IP de ta WAN2 est un alias sur l'interface WAN1 ?

Après si la route par défaut c'est via WAN1 bah tout sortira par WAN1 si tu n'as pas de Policy-Based Route/Route map

Fyr · « **Réponse #4 le:** **Aujourd'hui** à 19:13:46 »

Citation de: zoc le Aujourd'hui à 15:38:16

OPNsense

OPNsense c'est du PF Donc pour les sélections d'interface de sortie faut filtrer la source

Y a une première passe entrante pour taguer les paquets plus particuliers
pass in quick on $int_if.$vlan from 192.168.1.1 to any tag ISP2
pass in quick on $int_if from 192.168.1.0/24 to any. <- pas de tag donc pour la regle globale

Et une deuxième passe sortante pour balancer les paquets sur une paire interface + IP
pass out quick route-to ($out_if 10.96.0.1) tagged ISP2

Et on peut compter avec

Code: [Sélectionner]

pfctl -sr -v pour voir si la règle intercepte bien

Après ils ont changé leur "règles" en 26.1 sans que je sache ce que ça recouvre : juste leur API/interface web ou changement "du moteur" de filtrage.