The pfSense Store

Author Topic: Réglages élémentaires sur ma configuration 1 Lan / 2 Wan  (Read 382 times)

0 Members and 1 Guest are viewing this topic.

Offline Anjou Web

  • Newbie
  • *
  • Posts: 17
  • Karma: +0/-0
    • View Profile
Réglages élémentaires sur ma configuration 1 Lan / 2 Wan
« on: November 19, 2017, 10:17:38 am »
Bonjour, je reprends tout mon message car l'interface s'est rechargée alors que j'arrivais à la fin, snif!!!! C'est ça a vouloir mettre plus de détail, je vais être plus bref. Donc...

Contexte : pour mon agence web, je gère depuis plusieurs années un serveur NAS sous Ubuntu qui sert donc de NAS en serveur SAMBA, + FTP, PHP (uniquement interne) + MySQL (uniquement interne) + OpenVPN (pour accéder à distance aux partages samba). N'ayant pas une grosse connexion internet, ADSL 4M, nous utilisons 2 connexion WAN que je réunis avec un routeur dual WAN ( Lynksys by Cisco au départ en RV042 et plus récemment en RV325 ) Récémment je viens de prendre une connexion 4G que je mis en WAN2

Voici l'architecture

   WAN1          WAN2
     |             |
     ---   RV325 ---
              |
    Switch NETGEAR 1Gb/s
           |||||||
environ 10 postes clients sous windows + 2 bornes WiFi + imprimantes + smarphones + tablettes....


Besoin : les postes et autres périphériques sont sur 192.168.0.0/24 avec en passerelle le RV325, sur les postes nous utilisons la navigation web donc, les emails, des transferts FTP et des SKypes toutes la journée. Pour certains nous utilisons le SSH, et il y a des synchronisations Rsync de plusieurs de nos serveurs WEB (distants donc), du VNC (un port unique par poste) et donc du VPN pour les personnes en télétravail pour accéder au Samba.
Depuis quelques temps les temps de réponses sont devenus de plus en plus longs et pas mal de Time out (pratiquement 5 à 10 secondes pour qu'une page s'affiche) j'ai vite identifié le fautif le RV325... en fait ça fait plusieurs fois que je le change, au départ RV042, et ils saturent vite, est-ce que c'est parce que sous dimensionné ou volontairement de moins en moins performant pour qu'on le change, c'est un autre débat, mais je ne peux plus rester comme ça. J'ai donc cherché une solution logicielle (d'où pfSense 2.4 et équipé le NAS de 3 nouvelles cartes réseaux, une pour le LAN et 2 pour les WAN en giga bits. J'ai montée une VM (virtualbox) sur le NAS et associé ces 3 cartes à la VM.

Ce que je souhaite c'est donc reproduite le fonctionnement du RV325, c'est-à-dire, que les connexions http passent par les 2 WAN, les https par le WAN1, le FTP par le WAN2 (sinon nombreuses deco) les mails sur les 2.... et gérer dans l'autre sens certains ports 5900 par exemple vers une IP du réseau... et c'est là que je sèche, je ne trouve pas comment faire, et j'ai peur de trop bidouiller et casser la config pfSense


Schéma :

WAN : 2 connexions donc
  Wan 1 : Netgear D1500, avec ip publique fixe et ip interne fixe 192.168.10.1
          Interface WAN1 pfsense WAN1_Orange1 en IP fixe 192.168.10.10
          DNS 8.8.8.8
  Wan 2 : huawei, avec ip publique flottante et ip interne fixe 192.168.20.1
          Interface WAN2 pfsense WAN1_4GBOX en IP fixe 192.168.20.10
          DNS 8.8.8.8
Paramétré en LoadBalancing

LAN : 1 sur la VM pfSense (192.168.0.203), mais une autre physiquement sur le même serveur (le NAS donc) en 192.168.0.202.

Physiquement les cartes WAN1 et 2 sont respectivements connectées sur leurs modems. De leur côté, la LAN (192.168.0.203) de la VM et la LAN du NAS (192.168.0.202) sont connectées sur le switch.

DMZ : pas de DMZ

WIFI : des bornes sur le switch mais pas directement intégrés dans le pfSense

Autres interfaces : j'ai juste fait le groupe de 2 passerelles pour le load balancing ( nom du groupe WANs)

Règles NAT : Rien dans Port Forward, 1:1 et NPt et des règles créées automatiquement dans l'outbound que j'ai en Hybrid OutBound NAT

Mappings
Interface   Source   Source Port   Destination   Destination Port   NAT Address   NAT Port   Static Port   Description   Actions
WAN1_ORANGE1   127.0.0.0/8   *   *   500   WAN1_ORANGE1 address   *      Auto created rule for ISAKMP - localhost to WAN1_ORANGE1   
WAN1_ORANGE1   127.0.0.0/8   *   *   *   WAN1_ORANGE1 address   *      Auto created rule - localhost to WAN1_ORANGE1   
WAN2_4GBOX   127.0.0.0/8   *   *   500   WAN2_4GBOX address   *      Auto created rule for ISAKMP - localhost to WAN2_4GBOX   
WAN2_4GBOX   127.0.0.0/8   *   *   *   WAN2_4GBOX address   *      Auto created rule - localhost to WAN2_4GBOX   
WAN1_ORANGE1   192.168.0.0/24   *   *   500   WAN1_ORANGE1 address   *      Auto created rule for ISAKMP - LAN to WAN1_ORANGE1   
WAN1_ORANGE1   192.168.0.0/24   *   *   *   WAN1_ORANGE1 address   *      Auto created rule - LAN to WAN1_ORANGE1   
WAN2_4GBOX   192.168.0.0/24   *   *   500   WAN2_4GBOX address   *      Auto created rule for ISAKMP - LAN to WAN2_4GBOX   
WAN2_4GBOX   192.168.0.0/24   *   *   *   WAN2_4GBOX address   *      Auto created rule - LAN to WAN2_4GBOX   

Automatic Rules:
Interface   Source   Source Port   Destination   Destination Port   NAT Address   NAT Port   Static Port   Description
WAN1_ORANGE1   127.0.0.0/8 192.168.0.0/24   *   *   500   WAN1_ORANGE1 address   *      Auto created rule for ISAKMP
WAN1_ORANGE1   127.0.0.0/8 192.168.0.0/24   *   *   *   WAN1_ORANGE1 address   *      Auto created rule
WAN2_4GBOX   127.0.0.0/8 192.168.0.0/24   *   *   500   WAN2_4GBOX address   *      Auto created rule for ISAKMP
WAN2_4GBOX   127.0.0.0/8 192.168.0.0/24   *   *   *   WAN2_4GBOX address   *      Auto created rule


Règles Firewall : J'ai juste modifié dans le LAN pour le load balancing, j'ai donc :
   Floating : Rien
   WAN1_ORANGE1 :
Protocol   Source   Port   Destination   Port   Gateway   Queue   Schedule   Description
*   Reserved   *   *   *   *   *      Block bogon networks   
   WAN2_4GBOX :
Protocol   Source   Port   Destination   Port   Gateway   Queue   Schedule   Description
*   Reserved   *   *   *   *   *      Block bogon networks   

   LAN :
Protocol   Source   Port   Destination   Port   Gateway   Queue   Schedule   Description   Actions
*   *   *   LAN Address   80   *   *      Anti-Lockout Rule   
IPv4 *   LAN net   *   *   *   WANs   none       Default allow LAN to any rule      
IPv6 *   LAN net   *   *   *   *   none       Default allow LAN IPv6 to any rule      


Packages ajoutés : iftop (pas utilisé juste pour voir)
Autres fonctions assignées au pfSense : Pour le moment rien, je remontrais ptet le VPN par la suite.


Question : Tout fonctionne bien, les postes clients ont accès à internet, en load balancing, mais j'ai besoin maintenant de faire des réglages je pense de base, ça doit sûrement pas être compliqué mais je ne voudrais pas casser ma config en testant et savoir vers où chercher ? Dans un premier temps pensant que ça se ferait au niveau du FireWall j'ai mis en place les alias dont je pense avoir besoin au niveau des ports :
_AllTrafic   1:65535   Tous les ports    
_FTP   21   FTP Classique    
_FTP_NAS   8021   FTP du NAS    
_HTTP   80, 8080   www    
_HTTPS   443   www SSL    
_Mails   25, 109, 110, 143, 465, 587, 993, 995   POP3 - SMTP - IMAP    
_SSH   22   SSH Classique    
_VNC_Manu   15900   Pour VNC Manu    
_VPN   1194   VNC du NAS

mais je ne les retrouve pas dasn les interfaces ensuite.

Donc ce que j'ai besoin, c'est de dire
le http LAN vers WAN sont sur les 2 WANs
le ftp sur WAN2 (car bcp de déconnexions si 2 Wan)
le SKYPE sur WAN2
les mails sur WAN2
le SSH sur WAN1 (car ip fixe et j'ai des filtrages par IP sur les serveurs distants)

et inversement
le VNC_MANU vers IP 192.168.0.50 par exemple
le VPN vers 192.168.0.202 par exemple... (en attendant de remonter le VPN au niveau de ce serveur pfSense)

Logs et tests : Je ne trouve pas dans quelle direction aller pour mettre en place ces règles.

J'ai vraiment l'impression que c'est super puissant pfSense mais qu'il me manque 2 ou 3 ficelles pour faire ce dont j'ai besoin.Si vous pouviez me donner quelques règles à mettre en place pour les besoin d'au dessus, pour le reste j'arriverai sûrement à transposer.

Merci pour vos pistes.
Manu

Offline chris4916

  • Hero Member
  • *****
  • Posts: 1812
  • Karma: +89/-11
    • View Profile
Re: Réglages élémentaires sur ma configuration 1 Lan / 2 Wan
« Reply #1 on: November 19, 2017, 11:29:14 pm »
J'ai un peu du mal à comprendre qu'est-ce qui fonctionne et qu'est-ce qui ne fonctionne pas dans ta configuration actuelle.

Comme tu as, à priori, déjà mis en place le load balancing, tu as compris le principe des gateway au niveau des règles de FW. Du coup, il ne devrais pas y avoir de problème pour les autres règles puisque le principe est identique.

Pour les alias, ils sont accessibles dans les règles de FW lorsque tu choisis "single host or alias" and source ou destination. Idem pour les ports où tu peux choisir un alias également.

Ce qui te manque, c'est probablement juste un peu de lecture de la doc.

NB: FTP, c'est chaud...  8)


Jah Olela Wembo: Les mots se muent en maux quand ils indisposent, agressent ou blessent.

Offline Anjou Web

  • Newbie
  • *
  • Posts: 17
  • Karma: +0/-0
    • View Profile
Re: Réglages élémentaires sur ma configuration 1 Lan / 2 Wan
« Reply #2 on: November 20, 2017, 02:38:13 am »
Bonjour Chris4916,

ce qui me manque c'est justement où faire les réglages, et je ne retrouvais pas mes aliases donc je pensais qu'il fallait que j'aille dans d'autres pages ou ajouter un package ou autre. J'ai préférer prendre le temps de poster sur le forum au lieu de casser la config.

Oui j'ai déjà fait du loadbalancing mais j'avais l'habitude à l'interface et il y avait beaucoup moins d'options.... ou tout du moins beaucoup plus simple (des habitudes de vieux gars sûrement :-)).

Maintenant que tu m'as dit que c'était dans les règles de FW et dans "single host or alias" je vais pouvoir m'y consacrer, ce soir je pense.

j'ai cependant 2 questions (qui ne sont pas complètement liée à pfsense, mais un peu quand même) :
   - FTP, c'est chaud.... tu parles de quoi, au niveau sécurité ? ou au niveau paramétrage ? Car à dire vrai je pense qu'on va le stopper bientôt, et ne passer que par du VPN.
   - Tous les routeurs dual wan on des capacités limite de 20.000 40.000 ou plus de connexions simultanées, quand est-il d'un serveur pfsense, qu'est-ce qui donne ces limites :
        > les cartes réseaux (je n'ai pas trouvé l'info sur mes cartes TP-LINK TG-3269 et TP-LINK TG-3468),
        > la config sur le serveur pfsense (en fonction de la mémoire et le proc) si c'est le cas y a-t-il un moyen de calculer?
        > la config de l'os hôte ( ici Ubuntu 14.04 LTS )

Merci d'avance pour tes réponses.

Manu.

Offline ccnet

  • Hero Member
  • *****
  • Posts: 2813
  • Karma: +35/-11
    • View Profile
Re: Réglages élémentaires sur ma configuration 1 Lan / 2 Wan
« Reply #3 on: November 20, 2017, 03:33:51 am »
Quote
- FTP, c'est chaud.... tu parles de quoi, au niveau sécurité ? ou au niveau paramétrage ?
Les deux. FTP n'est pas sûr car toutes les informations, authentification comprise, transitent en clair sur le réseau.
Et c'est une vrai problème à filtrer convenablement à cause de la conception de ce protocole et de ces modes de fonctionnement.
Bref à proscrire.
Quote
Tous les routeurs dual wan on des capacités limite de 20.000 40.000 ou plus de connexions simultanées, quand est-il d'un serveur pfsense, qu'est-ce qui donne ces limites :
https://www.pfsense.org/about-pfsense/features.html

Offline Anjou Web

  • Newbie
  • *
  • Posts: 17
  • Karma: +0/-0
    • View Profile
Re: Réglages élémentaires sur ma configuration 1 Lan / 2 Wan
« Reply #4 on: November 20, 2017, 05:22:58 am »
Quote
Les deux. FTP n'est pas sûr car toutes les informations, authentification comprise, transitent en clair sur le réseau.
Et c'est une vrai problème à filtrer convenablement à cause de la conception de ce protocole et de ces modes de fonctionnement.
Bref à proscrire.

Ouais je suis OK je sais qu'il faut que je revois ça.... juste un peu de manque de temps


Quote
https://www.pfsense.org/about-pfsense/features.html

Merci pour la doc, ça semble donc juste un réglage au niveau du serveur et de la RAM qu'on lui affecte (j'imagine que les cartes doivent y jouer). Donc 1KB par connexion, dans mes derniers tests un client Windows c'est environ 400 connexions simultanées (de mémoire quand j'avais testé ça) on serait donc à 0,5 Mo de RAM par client c'est vraiment super raisonnable.

Merci pour les infos.



Offline Anjou Web

  • Newbie
  • *
  • Posts: 17
  • Karma: +0/-0
    • View Profile
Re: Réglages élémentaires sur ma configuration 1 Lan / 2 Wan
« Reply #5 on: November 21, 2017, 12:40:51 pm »
Bonsoir à tous, décidément pfsense me donne du fil à retordre, je ne comprends pas ce qui me bloque. Dans ma config expliquée plutôt, j'ai besoin d'ouvrir le port 5900 pour qu'il tape sur un poste client. Pour mémoire tout fonctionnait avant avec le dual wan linksys, donc je ne pense pas avoir au niveau des modem, mais j'ai quand même vérifié.

Sur le WAN2 : j'ai mis en DMZ et tout envoyé sur l'ip de l'interface WAN2_4GBOX 192.168.20.10 (je limiterai juste au port par la suite mais je me suis dit autant ouvrir plus large au début et refermer ensuite)
Sur le serveur pfsense : j'ai mis la règle de FW sur l'interface WAN2_4GBOX les réglages suivants
   - Source WAN2_4GBOX net
   - Sur le port * (encore une fois je fermerai ensuite)
   - Destination 192.168.0.50 (l'ip de la machine en question)

et je n'arrive pas à avoir la demande de mot de passe classique de VNC (car vu le port vous aurez deviné que c'est pour VNC)

Je joins des captures à mon message pour plus de détail.

Manu.

Offline ccnet

  • Hero Member
  • *****
  • Posts: 2813
  • Karma: +35/-11
    • View Profile
Re: Réglages élémentaires sur ma configuration 1 Lan / 2 Wan
« Reply #6 on: November 21, 2017, 04:06:05 pm »
Et le transfert de port vers le poste pour le port 5900 ?

Offline Anjou Web

  • Newbie
  • *
  • Posts: 17
  • Karma: +0/-0
    • View Profile
Re: Réglages élémentaires sur ma configuration 1 Lan / 2 Wan
« Reply #7 on: November 21, 2017, 04:53:16 pm »
Bonsoir CCnet,

vu qu'on est en wildcard, ça ne fait pas le transfert de port ? (Le poste client est bien avec l'IP 192.168..0.50)

Cordialement,

Offline ccnet

  • Hero Member
  • *****
  • Posts: 2813
  • Karma: +35/-11
    • View Profile
Re: Réglages élémentaires sur ma configuration 1 Lan / 2 Wan
« Reply #8 on: November 21, 2017, 05:01:09 pm »
D'où tenez vous cette explication ?
Sur tous les firewalls, si il n'y a pas une translation d'adresse ou un tansfert de port ET la règle qui va avec cela ne fonctionne pas.
Dans la cas de Pfsense si vous créez votr etransfert de port, par défaut et sauf à décocher l'option, la règle nécessaire au filtrage sera automatiquement créée.

Offline Anjou Web

  • Newbie
  • *
  • Posts: 17
  • Karma: +0/-0
    • View Profile
Re: Réglages élémentaires sur ma configuration 1 Lan / 2 Wan
« Reply #9 on: November 21, 2017, 05:14:52 pm »
Quote
D'où tenez vous cette explication ?
Euh je pose juste la question.

Donc la config en copie d’écran en piece jointe vous semble bonne ?

Offline ccnet

  • Hero Member
  • *****
  • Posts: 2813
  • Karma: +35/-11
    • View Profile
Re: Réglages élémentaires sur ma configuration 1 Lan / 2 Wan
« Reply #10 on: November 21, 2017, 05:41:18 pm »
Oui, besoin d'udp ?

Offline Anjou Web

  • Newbie
  • *
  • Posts: 17
  • Karma: +0/-0
    • View Profile
Re: Réglages élémentaires sur ma configuration 1 Lan / 2 Wan
« Reply #11 on: November 28, 2017, 03:07:44 pm »
Bonsoir, j'ai de nouveau un peu de temps donc je reprends mes tests.

J'ai donc réussi à gérer le VNC, c'est impeccable. Il me reste 2 choses à voir, la première j'ai un petit soucis, pour reprendre rapidement mon architecture : en "local" je suis sur la plage 192.168.0.0/24 pour tous les postes client, j'ai un réseau entre le pfSense (192.168.10.10) et le WAN 1 (192.168.10.1) et un troisième entre le pfSense (192.168.20.10) et le wan 2 (192.168.20.1)

Mon problème est l'accessibilité à l'interface web des modem, si je connecte un PC directement sur le modem j'arrive à accéder à l'interface web sans problème, mais depuis le réseau 192.168.0.0/24 je n'y parviens pas. Je n'arrive pas non plus à pinguer les modem, alors qu'en direct ça fonctionne.

J'ai tenté de mettre en place des règles pour que tous les entrées (any) sur le port 80, à destination de 192.168.10.1 un oblige l'utilisation de la passerelle du WAN1 et inversement en WAN2 mais je n'y parviens pas, à chaque fois j'obtiens un message de Google Chrome "192.168.10.1 a mis trop de temps à répondre"

D'après de l'interface du pfsense, le diag / Ping à partir du LAN répond bien :

PING 192.168.10.1 (192.168.10.1) from 192.168.0.203: 56 data bytes
64 bytes from 192.168.10.1: icmp_seq=0 ttl=30 time=1.074 ms
64 bytes from 192.168.10.1: icmp_seq=1 ttl=30 time=1.108 ms
64 bytes from 192.168.10.1: icmp_seq=2 ttl=30 time=1.271 ms

--- 192.168.10.1 ping statistics ---
3 packets transmitted, 3 packets received, 0.0% packet loss
round-trip min/avg/max/stddev = 1.074/1.151/1.271/0.086 ms


Je suppose que je ne fais pas bien mes règles (cf fichier attaché)

Quelqu'un peut m'aiguiller ?

Manu.


Offline chris4916

  • Hero Member
  • *****
  • Posts: 1812
  • Karma: +89/-11
    • View Profile
Re: Réglages élémentaires sur ma configuration 1 Lan / 2 Wan
« Reply #12 on: November 28, 2017, 11:18:16 pm »
Cette règle ne permet pas de faire du ping, lequel s'appuie sur ICMP
Jah Olela Wembo: Les mots se muent en maux quand ils indisposent, agressent ou blessent.

Offline Anjou Web

  • Newbie
  • *
  • Posts: 17
  • Karma: +0/-0
    • View Profile
Re: Réglages élémentaires sur ma configuration 1 Lan / 2 Wan
« Reply #13 on: November 28, 2017, 11:21:22 pm »
Ok mais elle devrait me permettre d’accéder à l’interface web non ?

Offline chris4916

  • Hero Member
  • *****
  • Posts: 1812
  • Karma: +89/-11
    • View Profile
Re: Réglages élémentaires sur ma configuration 1 Lan / 2 Wan
« Reply #14 on: November 28, 2017, 11:41:12 pm »
probablement... ce que je veux dire, c'est que juste montrer une tranche très étroite de règle ne permet absolument pas de déterminer si celle est effective ou pas.

Si tu penses que c'est un problème de règle de FW, tu peux toujours activer le log, ce qui te diras quelle règle est appliquée pour le flux en question.

en regardant ce que tu montres ici, c'est impossible. Tout ce que je peux te dire, c'est que cette règle n'est pas utilisée puisque aucun flux n'est comptabilisé (states 0/0)
Jah Olela Wembo: Les mots se muent en maux quand ils indisposent, agressent ou blessent.