pfSense Gold Subscription

Author Topic: Environnement test incluant pfsense sous env. prod avec pfsense (résolu)  (Read 345 times)

0 Members and 1 Guest are viewing this topic.

Offline carobell

  • Newbie
  • *
  • Posts: 10
  • Karma: +0/-0
    • View Profile
EDIT2 : Semblerais que trop d'information soient pas assez donc revoici mon problème en plus simple :

Mon infrastructure :
         (((internet)))
                  I
                  I
            [routeur] (192.16.0.0/23 255.255.254.0)
           I              I
           I              I
   [pfsense]----[user] (192.16.1.0/24 255.255.255.0)

Le problème :
Pfsense communique avec routeur mais pas avec l'internet. Pfsense et user communiquent ensemble si user utilise pfsense comme gateway, user communique avec router et internet s'il utilise le routeur comme gateway.
Comment faire pour qu'il communique avec internet. Quel serait les étape pour trouver une solution ?

J'ai déjà essayer de donner une adresse statique, ajouter/supprimer des règles du coter du routeur et du pfsense. 
J'ai refait l'installation à plusieurs reprise et même de base, avec rien de modifier, toujours pas d'internet sur pfsense.

EDIT:

Contexte : Organisme avec serveur de production a besoin d'un environnement test pour tester des nouvelles configurations
Besoin : Idem

Schéma : https://imgur.com/XoquCtW

WAN : internet ?
LAN :  VLAN des serveurs
DMZ : ?
WIFI : aucun
Autre interfaces : VLAN test et VLAN utilisateurs
Règles NAT: ?
Règles Firewall : ?
Package : Très franco, aucun lien avec le problème.
Autres fonction : OpenVPN

Question : Comment installer un PFSENSE dans le VLAN test qui aura accès à internet mais pas au réseau production.

Recherche : Ici et sur reddit, à date personne ne semble avoir fait. Toute les possibilité de WAN tester, rien changer. "Bogon networks" activé/désactivé, rien changer.
Log et tests : Internet fonctionne pas mais je suis capable de me connecter au PFSENSE de production par le VLAN test.


ORIGINAL :

J'essaie de faire un environnement test sous celui de la production.

Pour l'instant j'ai PFSENSE01 qui est celui de la production, fonctionnel et tout. J'ai créer un VLAN pour le réseau de test et installé une machine TEST-PFSENSE. Elle recoit une adresse de PFSENSE01 et les deux machines communiques ensemble à travers le vlan, c'est magique.

Le problème est que TEST-PFSENSE n'a pas accès à internet. Que je ne soit pas capable de communiquer avec le réseau de production est super, mais j'aimerais au moins avoir internet pour mes test!

Voici une image assez bof de ce que j'essaie de faire : https://imgur.com/XoquCtW

En gros, j'ai un ordinateur client qui me permet d’accéder au PFSENSE01 et TEST-PFSENSE mais il n'a pas accès a internet. Est-ce que quelqu'un aurait une idée de comment configurer?
« Last Edit: September 14, 2017, 12:08:36 pm by carobell »

Offline jdh

  • Hero Member
  • *****
  • Posts: 1686
  • Karma: +43/-11
    • View Profile
Re: Environnement test incluant pfsense sous env. prod avec pfsense
« Reply #1 on: September 12, 2017, 11:10:18 am »
Les débutants devraient regarder le fil A LIRE EN PREMIER !

Je propose un jeu :
- lisez votre post (il est impossible que vous l'ayez déjà fait)
- est-il synthétique, clair, compréhensible par quelqu'un d'autre ?

La réponse sera NON, NON et NON.
Donc ...


Nicolas BOILEAU (L'art poétique - 1674) :
Avant donc que d'écrire, apprenez à penser.
Selon que notre idée est plus ou moins obscure,
L'expression la suit, ou moins nette, ou plus pure.
Ce que l'on conçoit bien s'énonce clairement,
Et les mots pour le dire arrivent aisément.
Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

Offline carobell

  • Newbie
  • *
  • Posts: 10
  • Karma: +0/-0
    • View Profile
Re: Environnement test incluant pfsense sous env. prod avec pfsense
« Reply #2 on: September 12, 2017, 11:24:23 am »
Merci de votre réponse, j'ai modifier le message en suivant le guide. Est-ce que c'est plus comprenable ? 

Offline ccnet

  • Hero Member
  • *****
  • Posts: 2786
  • Karma: +35/-11
    • View Profile
Re: Environnement test incluant pfsense sous env. prod avec pfsense
« Reply #3 on: September 12, 2017, 11:43:08 am »
Plus compréhensible? pas vraiment !Il n'y a que des points d'interrogation. Vous ne savez pas décrire comment est configuré Wan (par exemple) ? Alors il y a un problème.

Pour quoi faire ce vlan, êtes vous certain d'en avoir l'usage ? Je suis septique. Que cet extrait de  Boileau est justifié !

Je ne manque pas de m'appliquer à moi même cette sentence. Une difficulté à exprimer un aspect technique dans mon métier (la sécurité des SI) me conduit systématiquement à reconsidérer la compréhension que j'en ai.

Offline carobell

  • Newbie
  • *
  • Posts: 10
  • Karma: +0/-0
    • View Profile
Re: Environnement test incluant pfsense sous env. prod avec pfsense
« Reply #4 on: September 12, 2017, 12:14:25 pm »
Comment est configurer le WAN ? et bien il est connecter au travers d'une interfaces qui elle est configurer en DHCP, qu'est-ce que vous voulez savoir de plus ? Même si je vous donne le nom de l'interface ou l'adresse qui en ressort, cela ne changera pas que le WAN fonctionne sur le PFSENSE d'origine et qu'il ne permet pas d'avoir accès a internet par le 2e.

Les VLAN sont nécessaire puisque la switch auquel tout mes composants sont connecter est configurer en VLAN pour ne pas que les différents réseaux se touche. Je ne voit pas, encore, en quoi cela change la question principale.

Oui il y a beaucoup de ? parce que je ne voit pas en quoi cela aide la question qui me semble très claire, juste pour voir si cela aide, je reformule :
 J'ai un serveur PFSENSE qui recoit adresse A et donne adresse B. je veux un 2e PFSENSE sous se premier PFSENSE qui recoit adresse A et envoie adresse C.

De plus, en quoi ma difficulté à exprimé ce que je ne réussis pas à faire, parce que je ne sais pas pourquoi cela ne fonctionne pas, veux impérativement dire que je ne sais pas de quoi je parle ?

J'aurais penser qu'un forum qui s'appelle "pfsense" aurait plus d'aide sur PFSENSE et moins sur ma manière de m'exprimé. Bravo pour vous si les mots vous viennent facilement, la prochaine réponse je vous la dessine.

Offline ccnet

  • Hero Member
  • *****
  • Posts: 2786
  • Karma: +35/-11
    • View Profile
Re: Environnement test incluant pfsense sous env. prod avec pfsense
« Reply #5 on: September 12, 2017, 01:32:55 pm »
Dans votre schéma test-pfsense est connecté directement sur une interface du firewall de production. Ce serait une bonne solution. Le Vlan ne sert alors à rien. Mais il y a un switch dont nous ne savons pas où il se trouve. Pas plus d'information sur le plan d'adressage de cette infrastructure. L'interface wan de test-pfsense est-ele dans le même réseau que le lan du firewall de production ? Nous ne savons pas.
Compte tenu de votre besoin (supposé car vous ne dites rien de ce qu'est votre besoin de sécurité. Vous décrivez des solutions "a priori" mais rien qui exprime le besoin de sécurité)  il n'est pas évident qu'il faille utiliser un second firewall. Une interface supplémentaire pourrait convenir sur votre firewall de prod. L'isolation avec Lan serait effective.
Quote
J'aurais penser qu'un forum qui s'appelle "pfsense" aurait plus d'aide sur PFSENSE et moins sur ma manière de m'exprimé
Vous n'avez pas tort mais votre façon de vous exprimer ne nous permet pas de comprendre votre configuration, ce qui rend quasiment impossible un diagnostic de votre problème et la détermination d'une éventuelle solution.

Offline chris4916

  • Hero Member
  • *****
  • Posts: 1779
  • Karma: +87/-11
    • View Profile
Re: Environnement test incluant pfsense sous env. prod avec pfsense
« Reply #6 on: September 12, 2017, 01:48:20 pm »
Comment est configurer le WAN ? et bien il est connecter au travers d'une interfaces qui elle est configurer en DHCP, qu'est-ce que vous voulez savoir de plus ? Même si je vous donne le nom de l'interface ou l'adresse qui en ressort, cela ne changera pas que le WAN fonctionne sur le PFSENSE d'origine et qu'il ne permet pas d'avoir accès a internet par le 2e.

Ce n'est pas tout à fait aussi simple que ça  ;)

Si par exemple ton LAN de prod et ton LAN de test partagent le même plan d'adressage, ça ne va pas marcher. Du coup, décrire le plan d'adressage globale n'est pas inutile, que ce soit au travers d'un formulaire ou pas  ;)
Par ailleurs, tu peux assez simplement vérifier si ton pfSense de test (je parle bien ici du pfSense lui même et pas d'un PC sur le LAN de test) accède à internet. si ce n'est pas le cas, il est illusoire de tester depuis le LAN.

Enfin, il peut y avoir tout un tas de bonnes raisons pour que ça ne fonctionne pas: des règles de firewall bien sûr mais également des routes qui manquent  8)

Offline jdh

  • Hero Member
  • *****
  • Posts: 1686
  • Karma: +43/-11
    • View Profile
Re: Environnement test incluant pfsense sous env. prod avec pfsense
« Reply #7 on: September 12, 2017, 08:44:22 pm »
Réécriture du problème :
Vous avez réécrit votre problème en introduisant les 'sections' conseillées ... mais vous n'avez pas compris le sens de ce formulaire, qui est de décrire sans ambiguité !

En effet, ce que vous éditez n'apporte ... rien (même pas presque rien).
Votre schéma (un schéma vaut mille mots) laisse tant de doutes qu'aucun mot ne vienne lever : les 2 plus fréquents intervenants sont comme moi : ils ne comprennent pas, c'est qu'il y a une raison !

Le 'Contexte' : contexte pro, ok, mais, je pense que vous n'êtes pas le concepteur de la partie gauche du schéma, vous êtes celui qui a été chargé d'ajouter la partie droite, en mode stagiaire peut-être ?

Quote
Log et tests : Internet fonctionne pas mais je suis capable de me connecter au PFSENSE de production par le VLAN test.
Que veut dire 'me connecter' ?
Il est notable que pfSense dispose d'une analyse de trafic (Diagnostics > Packet capture) qui n'aura aucune peine à vérifier qu'un paquet requête dns a ou non une réponse !

Le forum est rempli de fils avec présentations ambigües, peu claires, demandes de précision ...


Votre schéma :
Remarque 1 :
- Il s'agit d'un schéma 'logique' (fonctionnel).
- Mais AUCUNE info sur le schéma physique : où y a-t-il des switchs ? Y a-t-il de la virtualisation (avec switchs) ? combien exactement d'interfaces a chaque pfsense (nombre, noms, adressage) ?

Remarque 2 :
A gauche, il y a 'pfsense01' et 'pfsense02'; et de multiples 'traits' vers un groupe de 3 boites.

En bas à gauche, les 3 boites 'Serveur', 'Prod' et 'ctc' DOIVENT ou DEVRAIENT être dans un même réseau logique, que j'appellerai 'LAN'.
En haut à gauche, les 2 'pfsense01' et 'pfsense02' DOIVENT ou DEVRAIENT être un cluster de pfsense (l'un master, actif, l'autre slave, passif).
Mais le lien, indiqué, entre les 2 étant mal disposé met le doute ...
Voyez, si chaque pfsense01 ou 02 était correctement décrit ...

Usuellement, avec un cluster (physique conseillé), il y a 2 pfsense avec, chacun 3 interfaces (WAN, LAN, LINK), et 2 switchs généraux (l'un sur WAN, l'autre sur LAN), LINK pouvant être un simple câble croisé.
Chaque pfSense dispose de ses 3 propres adresses (sur chaque interface).
Et il y a 2 adresses ip virtuelles (l'une sur WAN, l'autre sur LAN) qui basculeront d'un pfsense à l'autre au gré de la bascule master/slave.
De facto, il faut ajouter des règles de 'sortie', sur chaque interface : le flux doit sortir, par interface, avec l'ip virtuelle, et non l'ip réelle de chacun des pfsense !

Votre greffe (d'un pfsense de test) sur seul l'un des membres d'un cluster, et sur une interface non précisée est DELICATE !
Tant à faire (vous), qu'à imaginer (lecteurs) !


Avant d'aller plus loin, je pose, donc, 2 questions :
- êtes vous concepteur de la partie gauche ?
- pfsense01 et 02 sont-ils en cluster ?
(Je suppose NON et OUI.)

Il reste la question majeure, dont la réponse ne peut qu'être exprimée qu'avec des mots (qui viennent aisément) : que voulez vous faire ?
(La façon de faire se déduit de ce qu'on veut faire. Parfois, même pour les meilleurs, ce qu'on fait ne correspond pas à ce qu'on veut faire ! ATTENTION : profond)
En particulier, faire un pfsense de test autour d'un cluster se réalise, normalement, en se branchant sur le switch WAN (s'il y a des ip dispos) !
(Je suppose que, faute de clarté sur l'objectif, faute de compréhension exhaustive de la solution existante, la déduction est très incorrecte et la mise en oeuvre ... non fonctionnelle.)
Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

Offline carobell

  • Newbie
  • *
  • Posts: 10
  • Karma: +0/-0
    • View Profile
Re: Environnement test incluant pfsense sous env. prod avec pfsense
« Reply #8 on: September 13, 2017, 08:14:39 am »
Merci! Je commence a comprend ce que vous ne comprenez pas. Ce que je veux faire est prendre le réseau tel qu'il est en se moment (que je n'ai pas monter) et en faire un copie conforme (en changeant les adresses de toutes les machines) pour pouvoir faire des test. Étape #1 : faire une copie du pfsense puisque en se moment il a été configurer par quelqu'un d'autre et je n'ai pas plus d'info que cela sur le sujet.

La plan d'adresse est bon, rien n'es interposé, tout le monde est différent. Si vous voulez un exemple, PFSense01 est 192.168.0.1, pfsense02 est 10.0.0.1 et test-pfsense est 172.16.0.1.
Si vous voulez aller plus loin, le vlan d'utilisateur reçoit 192.168.1.1, serveur 192.168.2.1, etc, etc tout le monde en /24.

La création du vlan a été fait sur la switch qui relie toute les machines. Dans le schéma elle serait entre pfsense01/02 et tout le reste. PFsense 02 est supposer etre en sync avec pfsense01 pour faire de la HA. Je dit bien supposer, parce que l'une des multiples raison de tout se charabia est que tout fonctionne bien parce que çà fonctionne. Notre haute-disponibilité n'est pas des disponible et c'est un problème pour un autre jour~

LA seule sécurité que je veux est que je ne veux pas que les deux environnement se "touche", que même si les adresses soient identique, il n'y ai pas de conflit. C'est demander beaucoup, mais je peux toujours rêver.

"me connecter" = accéder ? Je pose une question parce que connecter veux dire connecter, je ne vois pas trop comment le reformuler.

Mon client, si je le configure pour recevoir une adresse du pfsense01 (sous le vlan test) à aucun problème pour se connecter a internet. c'est "seulement" quand je le fait à travers test-pfsense.

Pour la virtualisation vous m'avez perdu.... j'ai des serveurs virtuel, mais encore je ne veux pas refaire le réseau au complet (pour l'instant) quand mon problème est seulement entre deux machines.
Chaque pfsense ? ils ont tous 4 interfaces physique et plein de vlan, mais pour test-pfsense seulement 2 d'utiliser puisque mon problème est avec le WAN et le LAN (j'imagine).

Switch WAN ? La machine qui fournis internet a toute les autre machine est pfsense01. La "seule" différence entre comment celle ci est fait physiquement est que test pfsense doit etre connecter a une switch avant de se rendre a pfsense01.

Voici une version a jour du plan et j'ai enlever les trucs qui semble vous chicotez, parce que (pour l'instant) il ne sont pas nécessaire et c'est la raison première pourquoi je vais tout ça (ex pfsense02 qui est supposer être en cluster mais il n'y a rien d'installer dessus) : https://imgur.com/a/M9dzI

J'y suis aller du coq à l'âne mais bon, je pense avoir répondu a tous.

Offline jdh

  • Hero Member
  • *****
  • Posts: 1686
  • Karma: +43/-11
    • View Profile
Re: Environnement test incluant pfsense sous env. prod avec pfsense
« Reply #9 on: September 13, 2017, 01:19:26 pm »
Vous répondez (mal) aux questions que je me pose (que les lecteurs doivent se poser) ... et vous ne rassurez en aucune manière.

La partie gauche, vous ne l'avez pas conçue. Et il semble clair que vous ne la maitrisez pas.
pfSense01/02 sont en cluster (mais il n'y aurait rien dessus ???). Très flou aussi !
L'expression de besoin est peu claire (= pas nette et franche).

Je n'ai aucune confiance dans votre capacité à gérer (je suis désolé, c'est mon impression).

Je vais, donc, me garder de vous donner le moindre conseil.


En particulier,
- votre réponse sur 'je peux me connecter' est trop peu claire,
- de mon point de vue, l'attente de l'objectif (avoir une infra identique mais séparée) devrait passer par un branchement sur le switch WAN et non directement au niveau d'un pfSense

Au regret.
Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

Offline carobell

  • Newbie
  • *
  • Posts: 10
  • Karma: +0/-0
    • View Profile
Re: Environnement test incluant pfsense sous env. prod avec pfsense
« Reply #10 on: September 13, 2017, 02:23:27 pm »
Merci tout de même d'avoir essayé de comprendre, je crois ? Vous comprendrez que votre manière de répondre à mes questions sans y répondre ne me donne pas confiance en votre capacité d'analyser le problème.

Je ne sais toujours pas ce que vous voulez dire par connexion a la switch WAN, puisque comme j'ai écris plus haut, la personne qui a fait la partie de gauche a connecter le câble internet directement dans le pfsense01. Les pfsense 01 et 02, a cause de cela, ne peuvent être en haute-disponibilité puisque si pfsense01 ne fonctionne plus, l'internet ne passe plus. Et "rien dessus" sous entendait qu'il est configurer de base, donc, de mon côté, j’imagine que la personne a commencer le travail mais ne l'a pas terminer. Parce que je suis certain que vous poserez la question : non je ne peux pas connecter le fil dans la switch. Cela à été configuré par mon prédécesseur et cela fonctionne (pour l'instant) donc je n'y toucherai pas tant que je ne serai pas 100% certain que la production continue pendant les test.

Mais nous nous égarons, les autres problème de la "partie gauche" ne peuvent être résolu tant que la partie droite soient faite. De la même manière que de dire plus d'une fois que je n'ai pas fait la partie gauche m’empêche d'une manière ou d'une autre de faire la partie de droite ? Je ne vois pas en quoi vouloir corriger les problèmes (multiples) du serveur change le fait que le pfsense que j'ai installer dans mon vlan de test ne ping pas internet. Vous voulez que je vous fasse un contre-rendu de l'installation ? Je peux même prendre des photo-écran juste pour que vous me croyez. 

Mais sérieux, je n'ai pas juste ça à faire de me répéter. Vous avez bien le droit de croire que je ne maîtrise pas assez la matière pour recevoir de l'aide, mais alors, pourquoi me faire perdre du temps a essayer de vous expliquer ? Je vous dit que j'ai de la difficulté avec la question #3 et vous me dites: "ah! et bien si tu ne peux pas répondre à la question 12 je ne peux pas t'aider, arrange toi". Comment devrais-je réagir a ce moment ? Tout abandonner et si jamais ces informations deviendraient utiles a un autre (en bien ou en mal), qu'il s'arrange! Si t'as pas 20 ans d'expérience avec un logiciel qui en fait 10 ca vaut pas la peine de répondre aux questions.

Et puis, mon commentaire de "je ne peux pas me connecter", en quoi est-ce que cela est pas claire ? Comment accédez-vous au pfsense de votre côté ? La magie ? J'imagine qu'il y a une machine cliente connecter par des fils qui se rendent de point A à point B et qui, éventuellement, se rendent jusqu'à la machine qui vous sert de serveur pfsense. Ainsi, si la machine cliente se connecte bien à l'interface graphique de pfsense, j'imagine qu'il y a connexion entre les deux. Non ? Peut-être que communication vous irais plus ?

Retour au problème principale.

Mon wan se connecte au DHCP du lan. J'ai désactivé le dhcp dans le lan et maj le wan, mais il reprend tout de même la même adresse. J'essaie de trouver comment le faire connecter au pfsense01 mais rien a faire, l'info m'échappe.
Mon cerveau est en compote, j'ai ajouter/enlever/modifier/etc des règles des deux côté et test-pfsense se connecte toujours pas à internet. le LAN a aucun probleme, lan à wan non plus.
Quel info de plus est-ce que je peux donner pour aller plus loin ? La seule règle qui n'est pas par defaut est un pass de tout (any) dans le wan.
Juste pour aider au problème mes clients s'éteignent au 10 minutes et je ne sais pas pourquoi, la joie~ 

Par ailleurs, tu peux assez simplement vérifier si ton pfSense de test (je parle bien ici du pfSense lui même et pas d'un PC sur le LAN de test) accède à internet. si ce n'est pas le cas, il est illusoire de tester depuis le LAN.

Enfin, il peut y avoir tout un tas de bonnes raisons pour que ça ne fonctionne pas: des règles de firewall bien sûr mais également des routes qui manquent  8)
Je viens tout juste de relire ton message et, j'en suis désolé, complètement passé a côter de ces phrases.

Quand je dit que test-pfsense ne se connecte pas à internet, je parle bien du serveur en tant que tel qui ne ping pas. Faire un traceroute ressort rien. Pour un problème de route je ne vois pas comment puisque la route est bien définis :
Internet --­> pfsense01 --> vlan test --> switch --> vlan test --> test-switch --> test-pfsense & test-client
J'ai ajouter les switch et vlan, mais elle communique déjà ensemble donc ne devrais pas être un problème.

Si je configure mon client pour qu'il se connecte au pfsense01 (au travers du gateway de la vlan test) il à accès à internet. Donc, comme écris plus haut, mon test-client n'est pas en cause, ni le vlan.
Le lan de test-pfsense fonctionne, je m'y connecte avec le test-client, mais, internet ne fonctionnant pas, je peux rien faire de plus.

Les seules rêgles qu'il y a sont celles par défault + une rĝle de wan pass any. J'ai tester plusieurs type de rĝle et à date rien n'a changer....
Si le problème est pfsense01, il y a une rĝle NAT pour laisser passé tout ce qui se passe dans la vlan test.

Théoriquement cela devrait fonctionner, mais je suis encore pris...
« Last Edit: September 13, 2017, 02:40:47 pm by carobell »

Offline ccnet

  • Hero Member
  • *****
  • Posts: 2786
  • Karma: +35/-11
    • View Profile
Re: Environnement test incluant pfsense sous env. prod avec pfsense
« Reply #11 on: September 14, 2017, 06:01:01 am »
Vous êtes vraiment très, très difficile à comprendre et terriblement imprécis.
Quote
Quand je dit que test-pfsense ne se connecte pas à internet, je parle bien du serveur en tant que tel qui ne ping pas. Faire un traceroute ressort rien.
Ne ping pas: depuis quelle interface vers quelle destination ?
Un trace route qui ne donne aucun résultat ? c'est inquiétant !

Quote
Pour un problème de route je ne vois pas comment puisque la route est bien définis :
Internet --­> pfsense01 --> vlan test --> switch --> vlan test --> test-switch --> test-pfsense & test-client
Votre définition d'une route est assez étonnante et je ne sais pas comment vous implémentez cela dans une configuration.
Dans un premier temps c'est le chemin inverse qui nous intéresse.
Pour moi la définition d'une route c'est par exemple (Windows)  la ligne de commande :
Code: [Select]
route ADD 192.168.35.0 MASK 255.255.255.0 192.168.0.2Je ne vois pas ce que le vlan , le switch font dans votre définition d'une route ! Ils n'ont rien à y faire.

Quote
J'ai ajouter les switch et vlan, mais elle communique déjà ensemble donc ne devrais pas être un problème.
Je ne comprend pas cette phrase.

Au milieu de ce fatras une piste peut être : la configuration dns ? Mais si le routage n'est pas correct cela ne changera rien.

Dernier point votre architecture, du moins pour ce que l'on en comprend est complètement aberrante pour ce que vous souhaitez faire.

Quote
Log et tests : Internet fonctionne pas mais je suis capable de me connecter au PFSENSE de production par le VLAN test.
et
Quote
Que je ne soit pas capable de communiquer avec le réseau de production est super, mais j'aimerais au moins avoir internet pour mes test!
Complètement contradictoire. Bref.

En terme d’architecture la solution de JDH est la plus conforme à ce que vous dites vouloir faire. L'isolation est maximum (si c'est correctement implémenté).
Ensuite vous pouvez aussi connecter Pfsense test sur une interface dédié de Pfsense-01 mais avec vos histoires de cluster assez aléatoire .... nous ne sommes sûrs de rien. Normalement on devrait le faire sur la vip du cluster paramétrée à cet effet.

Quote
Recherche : Ici et sur reddit, à date personne ne semble avoir fait.
Que neni ! J'ai d'ailleurs en ce moment quelque chose de ce genre en plus épicé puisque c'est réalisé avec un Arkoon 360 et un ASA 5510.
Les objectifs n'étant pas les mêmes, l’architecture est différente.

Pas facile d'y voir clair, quel fouillis. Je pense aussi que vous avez les bras trop courts pour boxer dans cette catégorie. C'est une expression.
« Last Edit: September 14, 2017, 06:56:08 am by ccnet »

Offline jdh

  • Hero Member
  • *****
  • Posts: 1686
  • Karma: +43/-11
    • View Profile
Re: Environnement test incluant pfsense sous env. prod avec pfsense
« Reply #12 on: September 14, 2017, 06:49:38 am »
Je pense avoir analysé et essayé de comprendre.
Puis j'ai indiqué des éléments de pratiques utiles, que l'on rencontre dans la vrai vie.

Je ne doute pas que votre tache soit complexe : il n'est jamais facile, même expérimenté, de reprendre une infra que l'on a pas conçu, avec peu de doc.
(Alors avec peu d'expertise ...)


Si votre but est d'avoir une solution de repli parce que le cluster ne fonctionne pas comme attendu,
la méthode simple est
- un papier, un crayon
- de la réflexion, beaucoup de réflexion : quels sont les réseaux ? quels sont les vlan ? quels sont les adressages ? quels sont les flux à autoriser (dans les 2 sens) ?
- un seul et unique pfSense

L'identification est le travail ESSENTIEL : mieux vous aurez identifié, plus facile est la config ...
Créer 20, 30 alias n'est pas très long quand on normalise bien les noms ... (C'est MAJEUR)
Créer 10, 20 règles ne prend pas très long quand un tableau croisé (zones vers zones) est bien rempli ...

Mettons 20' pour installer pfSense sur un hardware.
Mettons 15' pour configurer chaque interface ...
Mettons 20' pour les alias ...

Je ne pense pas que le job d'identification soit suffisant : il faudrait être bien plus précis que vous le montrez depuis le début : il ne faut AUCUNE ambigüité !
Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

Offline carobell

  • Newbie
  • *
  • Posts: 10
  • Karma: +0/-0
    • View Profile
Re: Environnement test incluant pfsense sous env. prod avec pfsense
« Reply #13 on: September 14, 2017, 09:48:00 am »
Vous êtes vraiment très, très difficile à comprendre et terriblement imprécis.
Quote
Quand je dit que test-pfsense ne se connecte pas à internet, je parle bien du serveur en tant que tel qui ne ping pas. Faire un traceroute ressort rien.
Ne ping pas: depuis quelle interface vers quelle destination ?
Un trace route qui ne donne aucun résultat ? c'est inquiétant !
Depuis le LAN vers 8.8.8.8. Le traceroute me dit qu'il communique avec le test-pfsense et qu'il timeout par la suite. Oui inquiétant, merci, je pense être au courant.

Quote
Quote
Pour un problème de route je ne vois pas comment puisque la route est bien définis :
Internet --­> pfsense01 --> vlan test --> switch --> vlan test --> test-switch --> test-pfsense & test-client
Votre définition d'une route est assez étonnante et je ne sais pas comment vous implémentez cela dans une configuration.
Dans un premier temps c'est le chemin inverse qui nous intéresse.
Pour moi la définition d'une route c'est par exemple (Windows)  la ligne de commande :
Code: [Select]
route ADD 192.168.35.0 MASK 255.255.255.0 192.168.0.2Je ne vois pas ce que le vlan , le switch font dans votre définition d'une route ! Ils n'ont rien à y faire.
On se comprend la dessus! Alors pourquoi tout le monde me demande des info sur celles ci ?
Si vous voulez la route en ip à partir de test-pfsense :
172.16.1.1 255.255.255.0 (test-pfsense) --­> 172.16.0.1 255.255.255.0 (vlan test dans pfsense01) --> 192.168.0.1 255.255.255.0 (pfsense01) --> internet
J'ai l'impression d'être dans un jeu de charade. Comme dit plusieurs fois, la connexion entre test-pfsense et pfsense01 ne se fait pas bien que l'un est installer sous l'autre.

Quote
Quote
J'ai ajouter les switch et vlan, mais elle communique déjà ensemble donc ne devrais pas être un problème.
Je ne comprend pas cette phrase.
On a déjà établie que les switch et vlan n'ont rien a faire avec le problème, donc j'en parle plus.

Quote
Au milieu de ce fatras une piste peut être : la configuration dns ? Mais si le routage n'est pas correct cela ne changera rien.

Dernier point votre architecture, du moins pour ce que l'on en comprend est complètement aberrante pour ce que vous souhaitez faire.

Quote
Log et tests : Internet fonctionne pas mais je suis capable de me connecter au PFSENSE de production par le VLAN test.
et
Quote
Que je ne soit pas capable de communiquer avec le réseau de production est super, mais j'aimerais au moins avoir internet pour mes test!
Complètement contradictoire. Bref.
Et c'est a ce moment ci que je retourne sur ma parole. La vlan test est importante, le seul moment ou elle l'est en fait. Je peux me connecter au pfsense01 SEULEMENT par la vlan et rien d'autre. Les serveur et client qui sont dans le vlan prod sont intouchable. Dès que je configure le test-pfsense cette connection ne se produit plus puisque le WAN prend une adresse du LAN.

Quote
En terme d’architecture la solution de JDH est la plus conforme à ce que vous dites vouloir faire. L'isolation est maximum (si c'est correctement implémenté).
Ensuite vous pouvez aussi connecter Pfsense test sur une interface dédié de Pfsense-01 mais avec vos histoires de cluster assez aléatoire .... nous ne sommes sûrs de rien. Normalement on devrait le faire sur la vip du cluster paramétrée à cet effet.
Oublier le cluster et la seul interface disponible est le vlan. Çà donne presque la même chose...

Quote
Quote
Recherche : Ici et sur reddit, à date personne ne semble avoir fait.
Que neni ! J'ai d'ailleurs en ce moment quelque chose de ce genre en plus épicé puisque c'est réalisé avec un Arkoon 360 et un ASA 5510.
Les objectifs n'étant pas les mêmes, l’architecture est différente.
Je voulais bien dire de la manière que je le fait, les yeux bander et les bras attaché dans le dos.
J'ai aussi déjà fait en machine virtuel, mais tout semble plus facile quand il n'Y a pas de pièces physique dans le chemin....

Quote
Je ne pense pas que le job d'identification soit suffisant : il faudrait être bien plus précis que vous le montrez depuis le début : il ne faut AUCUNE ambigüité !
Ce qui est sympatique avec cette phrase est que la personne qui a créer le pfsense ne savais pas plus ce qu'ils faisait. La personne qui a essayer d'améliorer a dû laisser le travaille a moitié fait et moi on me demande de faire des test. Alors je fais des test.

Quote
L'identification est le travail ESSENTIEL : mieux vous aurez identifié, plus facile est la config ...

Je sais déjà ce qui devrais être où, le problème est qu'il n'y a pas seulement le pfsense, ce n'est que la premiere étape. Refaire un pfsense de 0 ? deviner ce que j'essaie de faire, mais je passe plus de temps à répondre a des messages qui passe a 1000 km de la question. Si faire avec ce que j'ai est trop compliqué, bah merci, passer au suivant. Je ne cherche pas de me rendre la tâche simple, j'essaie de trouver une solution au problème que j'ai en se moment.

PFSense n'est pas m'a priorité dans les serveurs a reconfigurer. J'ai d'autres chats a fouetter et tant que je n'ai pas d'environnement test, je ne pourrai le faire. L'environnement test ne fonctionnera pas si je ne peux pas me connecter à internet. Si c'est si compliqué à comprendre, arrêter de me dire que je n'y connais rien et donner moi des sources.
« Last Edit: September 14, 2017, 09:57:08 am by carobell »

Offline ccnet

  • Hero Member
  • *****
  • Posts: 2786
  • Karma: +35/-11
    • View Profile
Re: Environnement test incluant pfsense sous env. prod avec pfsense
« Reply #14 on: September 14, 2017, 11:20:29 am »
Terminé pour moi. Vous n'êtes pas capable d'exposer clairement les données d'un problème, avec la rigueur nécessaire. On ne vous demande pas des discours ni des circonvolution verbales. Le tout au milieu d'un magma orthographique et d'informations contradictoires.