Discussion :

[ludo40190]

Bonjour à tous,

Voilà mon problème :

J'ai créé une architecture pour que des postes clients aient un accès internet depuis le bureau.
J'ai mis un place un pfSense (uniquement pour le firewall pour l'instant).

Donc pas de problème au niveau de la box, du pfsense, et du routeur (pour le routage inter-vlan), j'ai créé mes routes etc... Vois schéma en PJ.

Les postes clients passent bien par leur passerelle (routeur pour le routage inter-vlan) en premier, puis passe par le pfSense, puis par la box, puis dans l'Internet

J'ai créé quelques règles dans le firewall du pfSense pour qu'il accepte le http, https, et les requêtes DNS.
Les postes clients ont bien un accès à internet, tous les sites internet fonctionnent, etc... c'est parfait

En revanche, impossible d’accéder en http (TCP 80) à l'interface web d'administration de la box, et c'est bien le pare-feu qui bloque le flux

Le flux bloqué est dans le sens :
Box (TCP 80) ==> Poste client (TCP >1024)
Les flags TCP bloqués sont SA (SYN-ACK).

Donc je pense le poste client envoie un SYN à la box, là c'est OK, puis la box renvoie un SYN/ACK au client (enfin une connexion TCP quoi!!!), et c'est bien ce dernier flux SYN/ACK qui est bloqué!!!!

En PJ il y a l'erreur.
C'est une règle par défaut (que l'on ne peut enlevé) qui bloque le flux.

La solution est bien évidemment d'ajouter la bonne règle afin de laisser le flux passer.

Mais malgré mes heures de recherches, de test, etc... je n'y arrive pas...

Quelqu'un sait-il quelle(s) règle(s) dois-je appliquer afin que cela fonctionne?

Merci d'avance j'en ai marre de m'arracher les cheveux

[Cybher]

bonjour,

peux tu expliquer comment cela fonctionne niveau routage?
le routeur ne route t-il pas directement le paquet de ton client vers la box sans passer par le pfsense?


Michel

[ludo40190]

Bonjour,


Alors oui c'est vrai le schéma qui était en PJ correspond au schéma physique...

La vue logique est en PJ

Voici les routes :

PC Client :
Passerelle : 192.168.2.254

CISCO 3750:
0.0.0.0 0.0.0.0 192.168.3.253 (route par défaut)
Le routage inter-vlans est OK (ip routing).

PfSense:
0.0.0.0 0.0.0.0 192.168.1.1 (route par défaut)
192.168.2.0 255.255.255.0 192.168.3.254

Box:
192.168.2.0 255.255.255.0 192.168.1.253
Et le routage de la box vers le reste du monde est gérée par la box..

Voilà comment j'ai fait ça...

[ludo40190]

Bon j'ai trouvé, il y avait 2 erreurs.

1 - L'adresse 192.168.1.254/24 n'a rien à faire là

2 - J'ai du modifier certaines règles sur le firewall du PfSense (c'est un peu compliqué car c'est avec une interface graphique... il m'a fallu du temps pour bien le comprendre).

Voilà bonne soirée.