Discussion :

[Doum_Doum]

Bonjour à tous,

Je sollicite aujourd'hui votre aide afin de configurer correctement mon réseau suite à un changement de box (Free vers SFR).
Je suis moi même informaticien, mais du côté développement, et tout ça commence à dépasser mes compétences

Ma configuration était la suivante:


Plusieurs périphériques derrière un pfSEnse, lui même branché à la Freebox en mode "bridge"
Je ne mets pas tout le réseau, juste les plus importants, un PC, deux serveurs (Web et NAS), un active directory et sa réplication.

Ma nouvelle configuration

Le nouveau boitier SFR ne possède pas de mode bridge (et de plus je préfère conserver la télé)

J'arrive à avoir internet sur le PC en forçant le DNS à 8.8.8.8. Je peux surfer, accéder à Youtube/Netflix, faire du jeu en ligne... mais plusieurs problèmes subsistent.

1 - Configuration du LAN SFR
J'ai tenté plusieurs configs dans le LAN SFR, comme mettre ou ne pas mettre mon pfSense en DMZ, faire une redirection des ports 1 à 65000 (TCP+UPD) sur mon pfSense... ca ne change rien au problèmes suivants, donc je ne sais pas trop quoi faire ici...

2 - DNS (et passerelle)
Effectivement j'ai du forcer 8.8.8.8 sur mon PC.
Avant j'avais 192.168.1.100 / 192.168.1.102 (l'AD pour résolution des noms de machines en local) qui lui même avait 192.168.0.254. Pourquoi cela ne fonctionne plus ? oO
En passerelle tout le monde a 192.168.0.254.

3 - Steam
Alors que j'ai plein d'Internet partout, Steam refuse de :
- Télécharger ou mettre à jour un jeu
- Afficher les icones des jeux ou des succès steam
Je pense qu'il utilise un protocole/port particulier, quelque chose qu'il n'aime pas, qui ne passe pas, mais je ne le comprend pas.
J'ai essayé avec Wireshark de voir quelque chose, mais cet outil dépasse mes compétences.
Sinon je peux me connecter à mon compte (au bout de plusieurs tentatives) et jouer en ligne.

4 - Accès à distance
Ca va avec le point 1. J'essaye deux choses, un accès web sur port 80 et un accès NAS sur port 5000. Je n'ai accès ni à l'un, ni à l'autre.
Je fais bien la redirection de port sur la BOX SFR et la DMZ, mais des fois je me demande si la box prend en compte ce que je configure...

Note : J'ai bien mis à jour mes DNS chez OVH
- home.doumdoum.fr -> 1.2.3.4
- home.doumdoum.fr -> 5.6.7.8
Un simple ping valide le fait que la propagation DNS est faite, j'ai testé via IP également

5 - Réflexion NAT
Idem que point 4 mais venant du LAN.
pfSense gère la réflexion NAT, je ne suis pas sur que ca soit le cas pour la BOX.
Idéalement il serait pas mal dans pfSense de déclarer le même DNS que chez OVH, pour dire home.doumdoum.fr c'est ici ! Ainsi, même en cas de panne internet, les adresses locales fonctionnent. Mais je ne sais pas faire.


Merci pour vos conseils et solutions

[boboss123]

Bonjour,

C'est normal que l'adressage du sous-réseau entre le pfSense et la SFR box soit dans le même sous-réseau que ton LAN ? ça ne serait pas ça le problème ?
=> 192.168.0.0/21 : page = 192.168.0.0 à 192.168.7.254

[Doum_Doum]

Merci boboss123.
Ca c'est une réponse que je craignais

Car 192.168.1.0/24 et 192.168.0.0/21 sont bien deux réseaux distincts avec un masque différent.
Par contre il est vrai qu'une IP toute seulle telle que 192.168.1.1 sans information supplémentaire ne permet pas de déterminer son appartenance.

Comme la SFR box ne permet pas de changer de réseau (Le choix c'est 192.168.1.X / 24, je ne peux changer que le X), cela veut dire que c'est à moi de le faire dans mon LAN... et avec le nombre de machines et programmes qui tournent... je préfère être sur que je ne me lance pas dans une lourde tâche pour rien.

[Doum_Doum]

Alors je viens de passer la patte LAN du pfSense en 192.169.0.254 et un PC en 192.169.3.10, et effectivement Steam télécharge désormais...
Il y a bien mélange de pinceau dans le schmilblick, bien vu !
Je continue avec tout le réseau et fait un update.

Déjà merci !

[fredoche]

Attention ton choix d'IP n'est plus dans la RFC 1918 et les IPs que tu utilises sont adressables sur le net. Celles-ci sont réservées pour FMC Technologies, Inc si tu fais un whois dessus.

A mon avis avec ton pfsense tu pourrais faire du NAT en cascade ou de la DMZ, et surtout régler ce problème de sous-réseau englobant en changeant tes masques comme l'a fait remarquer boboss123

[becket]

Salut.

Le deux réseaux qui s'imbriquent ne pose pas de soucis au niveau du routage !
C'est toujours la route la plus précise qui sera utilisée. Par contre, il est tout à fait possible que cela "merdouille" en fonction de tes règles de filtrage / nat.

La solution la plus simple dans ta situation est de réaliser un double nat en prenant bien soin de rediriger tous le trafic entrant de ta box -> pfsense.

Honnêtement, un double nat, c'est vraiment pas élégant mais ici tu n'as apparemment pas trop le choix.

[Doum_Doum]

Attention ton choix d'IP n'est plus dans la RFC 1918 et les IPs que tu utilises sont adressables sur le net. Celles-ci sont réservées pour FMC Technologies, Inc si tu fais un whois dessus.

Oh me*** bien vu !
J'ai voulu faire simple pour conserver mon organisation (0 réseau / 1 serveur / 3 postes personnels / ...)
Donc soit rester en 192.168 mais tout décaler à plus loin que 192.168.0.X / 192.168.1.X et donc tout ré-adresser, bordel, soit utiliser 172.16.0.0/12 (qui en /21 me convenait très bien)

Par contre, il est tout à fait possible que cela "merdouille" en fonction de tes règles de filtrage / nat.

Ok. Effectivement je ne maîtrise pas assez le bousin pour m'amuser à ça. Je ne fais que des choses simples, firewall, de la redirection de port, du VPN et c'est à peu près tout... Autant que mes deux adressages soient bien différents.

Merci pour les infos à vous trois.

Du coup DMZ dans un premier temps sur le pfSense.

Les premiers essaie en 169 m'ont permis de valider le fonctionnement de Steam et les accès à distance.
Par contre la réflexion NAT pour le moment il n'en veut pas.

[Doum_Doum]

Hello,

Un update sur la situation, après avoir bien galéré (vu le nombre de connexions), la domotique qui n'a pas supporté le reboot (crash de la partition) et mon téléphone qui a décidé de rendre l'âme... oui je suis un chat noir en fait...



1 - Configuration du LAN SFR
La box SFR a son LAN avec deux IP, le pfSense et le boitier TV. La DMZ est dirigée sur le pfSense

2 - DNS (et passerelle)
Le DHCP attribue aux machines les DNS 172.16.1.100 / 172.16.1.102 (pour résolution locale) et passerelle 172.16.0.254. Les contrôleurs de domaines possèdent en résolution DNS parent 172.16.0.254 également (pour résolution LAN SFR puis externe).

3 - Steam
Réglé avec le nouvel adressage

4 - Accès à distance
Réglé avec la DMZ et le réadressage

5 - Réflexion NAT
SFR ne le gère pas visiblement, j'ai ajouté une entrée sur le DNS de home.doumdoum.fr => 192.168.1.10 (patte WAN), du coup les requêtes en provenance du LAN reviennent bien dans le LAN en passant par le WAN et les règles de redirection de port qu'il peut y avoir.

Il ne me reste plus qu'à surveiller les programmes qui tournent, les sauvegardes etc... mais en tout cas ça m'a l'air réglé.

Merci pour votre aide et vos remarques. Puisse cela servir à d'autres