Netgate SG-1000 microFirewall

Author Topic: pfsense dns active directory  (Read 148 times)

0 Members and 1 Guest are viewing this topic.

Offline kvienbeach

  • Newbie
  • *
  • Posts: 7
  • Karma: +0/-0
    • View Profile
pfsense dns active directory
« on: April 13, 2018, 04:41:38 pm »
Bonjour,

e rencontre des difficultés concernant la configuration de pfsense et le dns de l'ad.
J'arrive à pinuer 8.8.8.8 depuis pfsense.
Je n'arrive pas par exemple à pinguer 8.8.8.8 depuis l'ad.
En effet je souhaiterai obtenir internet dans mon lan pour installer et mettre à jour mes équipements.
Faut il mettre en place un dns forwarder ?

Cordialement

Offline chris4916

  • Hero Member
  • *****
  • Posts: 1867
  • Karma: +95/-11
    • View Profile
Re: pfsense dns active directory
« Reply #1 on: April 14, 2018, 01:10:36 am »
Plusieurs solutions, en fonction de quel est le problème (mais comme la question est posée de manière étrange, je ne sais pas trop me positionner):

Si c'est un problème de résolution de nom
- DNS forwarder ou resolver ou alors choisir de laisser passer, via le FW, le port 53 (attention, cela nécessite udp ET tcp). Je pense que forwarder ou resolver sont des approches bien meilleures.

Si c'est un problème de ping (mais quel serait l'intérêt ?), il faut autoriser ICMP
Jah Olela Wembo: Les mots se muent en maux quand ils indisposent, agressent ou blessent.

Offline ccnet

  • Hero Member
  • *****
  • Posts: 2895
  • Karma: +37/-13
    • View Profile
Re: pfsense dns active directory
« Reply #2 on: April 14, 2018, 06:46:04 am »
Si problème de ping donc icmp rien à voir avec DNS ni ad d'ailleurs. Ping depuis l'ad je ne sais pas ce que cela signifie.
Pb de résolution de nom alors renseigner correctement le DNS employé pour les hôtes locaux et avec le bon forward vers les DNS de votre isp.
Bref question pas claire.

Offline kvienbeach

  • Newbie
  • *
  • Posts: 7
  • Karma: +0/-0
    • View Profile
Re: pfsense dns active directory
« Reply #3 on: April 15, 2018, 05:03:37 am »
 
klgt
 
Signaler  Citer  Modifier
Il y a 22 minutes

Bonjour,

merci pour l'aide.

Pour la configuration du nat de pfsense j'ai suivi ces tutos:

https://computerz.solutions/pfsense-acces-serveur-dns-derriere-firewall-nat/

https://computerz.solutions/pfsense-2-3-faire-nat-dune-connexion-internet-vers-lan/

Sur le dns de l'active directory (ad) j'ai ajouté en redirecteur le dns du FAI: 192.168.1.1

voici la configuration de mon routeur:

R1_c3745#sh run

Building configuration...

Current configuration : 1275 bytes

!

version 12.4

service timestamps debug datetime msec

service timestamps log datetime msec

no service password-encryption

!

hostname R1_c3745

!

boot-start-marker

boot-end-marker

!

!

no aaa new-model

memory-size iomem 5

no ip icmp rate-limit unreachable

ip cef

!

!

!

!

no ip domain lookup

ip auth-proxy max-nodata-conns 3

ip admission max-nodata-conns 3

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

ip tcp synwait-time 5

!

!

!

!

!

interface FastEthernet0/0

 no ip address

 shutdown

 duplex auto

 speed auto

!

interface FastEthernet0/1

 no ip address

 shutdown

 duplex auto

 speed auto

!

interface FastEthernet1/0

 ip address 10.0.0.2 255.255.255.252

 duplex auto

 speed auto

!

interface FastEthernet2/0

 ip address 192.168.2.6 255.255.255.248

 duplex auto

 speed auto

!

interface FastEthernet3/0

 ip address 192.168.3.6 255.255.255.248

 duplex auto

 speed auto

!

ip forward-protocol nd

ip route 0.0.0.0 0.0.0.0 10.0.0.1

ip route 192.168.1.0 255.255.255.0 10.0.0.1

!

!

no ip http server

no ip http secure-server

!

no cdp log mismatch duplex

!

!

!

control-plane

!

!

!

!

!

!

!

!

!

!

line con 0

 exec-timeout 0 0

 privilege level 15

 logging synchronous

line aux 0

 exec-timeout 0 0

 privilege level 15

 logging synchronous

line vty 0 4

 login

!

!

end


- je vous joint mon schéma réseau

Offline ccnet

  • Hero Member
  • *****
  • Posts: 2895
  • Karma: +37/-13
    • View Profile
Re: pfsense dns active directory
« Reply #4 on: April 15, 2018, 07:46:36 am »
La question n'est toujours pas plus claire.

Offline kvienbeach

  • Newbie
  • *
  • Posts: 7
  • Karma: +0/-0
    • View Profile
Re: pfsense dns active directory
« Reply #5 on: April 15, 2018, 11:13:08 am »
Je n'arrive pas à avoir accès à internet dans mon lan.

Même après avoir configuré le NAT, le dns resolver et la règle ouvrant le port 53 en udp, sur pfsense.
Sur le dns windows j'ai mis en oeuvre un redirecteur vers le DNS de mon FAI: 192.168.1.1.

Cependant comment indiqué au routeur de router les autres adresses ip au parefeu, afin de pouvoir résoudre les réoslutions de noms ?
Pour cela j'ai ajouté sur mon routeur une route par défaut:
0.0.0.0 0.0.0.0 @ip de pfsense

Avez vous d'autre idées ?

Cordialement
« Last Edit: April 15, 2018, 11:26:58 am by kvienbeach »

Offline ccnet

  • Hero Member
  • *****
  • Posts: 2895
  • Karma: +37/-13
    • View Profile
Re: pfsense dns active directory
« Reply #6 on: April 15, 2018, 01:33:09 pm »
Vous n'avez rien à configurer en ce qui concerne le nat. Remettez les paramètres par défaut
Sur Lan vous devez autoriser en tcp 80 et 443 vers any.
Vos poste de travail doivent avoir une gateway par défaut qui est l'ip lan de Pfsense.
Arrêter de toucher au routage. Revenez au paramètres par défaut.
Les DNS seront votre dc, puis enventuellement pfsense (ip lan toujours)
Pfsense doit permettre au dc de sortir sur internet udp/tcp 53 vers les DNS publics.
Je doute fort que le DNS de votre fai soit 192.168.1.1. C'est absurde évidemment.
Ajustez votre config dhcp si besoin.
Retenez que Pfsense nat et route ce qui doit l'etre par défaut.

Offline kvienbeach

  • Newbie
  • *
  • Posts: 7
  • Karma: +0/-0
    • View Profile
Re: pfsense dns active directory
« Reply #7 on: April 15, 2018, 01:56:13 pm »
Le problème que je rencontre c'est que je dois interconnecter 3 réseaux différents au sein du routeur.
Soit:
- réseau A vers pfsense 10.0.0.0/30
- réseau B vers AD-DNS 192.168.2.0/29
- réseau C vers centos 192.168.3.0 /29

Je souhaiterai que l'AD-DNS, centos puissent faire leur mise à jour et accéder à internet.

Comment paramétrer le routeur, faut il faire du nat du réseau B et C pour le naté dans le réseau A ?

Cordialament

Offline ccnet

  • Hero Member
  • *****
  • Posts: 2895
  • Karma: +37/-13
    • View Profile
Re: pfsense dns active directory
« Reply #8 on: April 15, 2018, 04:25:36 pm »
Soit vous n'avez pas lu le minium de documentation soit vous ne l'avez pas comprise.
Dans votre cas ce qui vaut pour lan vaut pour les autres réseaux connectes à Pfsense.
Ne touchez pas au nat, ni au routage. Revoyez les bases ou apprenez les !
Il faut juste les bonnes règles pour les flux nécessaires.

Offline kvienbeach

  • Newbie
  • *
  • Posts: 7
  • Karma: +0/-0
    • View Profile
Re: pfsense dns active directory
« Reply #9 on: April 15, 2018, 04:46:56 pm »
J'ai mis du nat sur mon routeur:

R1(config)# ip nat inside source static 192.168.2.1 10.0.0.3

R1(config)# interface fastEthernet 2/0
R1(config-if)# ip nat inside
R1(config-if)# exit

R1(config)# interface fastEthernet 1/0
R1(config-if)# ip nat outside
R1(config-if)# exit

Et depuis mon dns arrive à faire les résolutions de noms.

Est ce que je vais dans la bonne direction ?

Cordialement

Offline ccnet

  • Hero Member
  • *****
  • Posts: 2895
  • Karma: +37/-13
    • View Profile
Re: pfsense dns active directory
« Reply #10 on: April 16, 2018, 02:34:48 am »
Mon routeur : quel est cet équipement ?
A l'évidence pas Pfense !

Offline kvienbeach

  • Newbie
  • *
  • Posts: 7
  • Karma: +0/-0
    • View Profile
Re: pfsense dns active directory
« Reply #11 on: April 16, 2018, 02:42:16 am »
Je vous joint mon schéma réseau:
mon pfsense est relié au routeur (R1)

Offline kvienbeach

  • Newbie
  • *
  • Posts: 7
  • Karma: +0/-0
    • View Profile
Re: pfsense dns active directory
« Reply #12 on: April 16, 2018, 09:40:20 am »
j'ai enlevé le nat sur le routeur.
J'ai compris comment rentrer les routes sur l'interface graphique de pfsense:
192.168.2.0/29 10.0.0.2
192.168.3.0/29 10.0.0.2

J'ai autoriser les règles sur le WAN et le LAN pour:
TCP/UDP 53, HTTP 80, HTTPS 443

A présent je ne comprends pas comment paramétrer le NAT de pfsense.
J'ai suivi ces tutos:

https://computerz.solutions/pfsense-acces-serveur-dns-derriere-firewall-nat/

https://computerz.solutions/pfsense-2-3-faire-nat-dune-connexion-internet-vers-lan/

Ainsi j'ai activé:

- nat outbound manuel: sur interfance WAN:
source any any - destination port any et nat adresse celui du WAN Address

j'ai activé: le dns resolver

J'arrive à faire un ping de 8.8.8.8 mais la résolution dns ne se fait pas.


Offline ccnet

  • Hero Member
  • *****
  • Posts: 2895
  • Karma: +37/-13
    • View Profile
Re: pfsense dns active directory
« Reply #13 on: April 16, 2018, 02:16:06 pm »
J'ai autoriser les règles sur le WAN et le LAN pour:
TCP/UDP 53, HTTP 80, HTTPS 443
Cela ne sert à rien sur wan.

Quote
A présent je ne comprends pas comment paramétrer le NAT de pfsense.
Pour quoi faire ?