5 votes

Remi Despres-Smyth avatar

PfSense : Comment router le trafic via le port WAN ?

Demandé el 24 de Mai, 2010
Quand la question a-t-elle été
35993 affichage
Nombre de visites la question a
5 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Version Expert

Je veux créer une route dans pfSense qui enverra le trafic par le port physique WAN, et non par le port PPPoE WAN. Je veux pouvoir communiquer avec le serveur web de mon modem DSL ; me permettant de voir le débit de synchronisation actuel et les marges de Signal sur Bruit (SnR). Le modem ne reçoit pas les paquets destinés à lui car ils sont envoyés à travers le tunnel PPPoE.

Version Longue

Mon routeur pfSense est responsable de mettre en place la connexion PPPoE via DSL avec mon FAI. Lorsqu'une machine sur le LAN souhaite envoyer des paquets vers Internet, la route par défaut envoie les paquets via la connexion PPPoE. Ces paquets, enveloppés dans un en-tête PPPoE, sont envoyés sur le câble Ethernet à mon modem DSL. De là, ils sont envoyés à l'ISP, puis à l'Internet en général.

+----------------------+                  +----------------------+    
|En-tête IPv4 (20 octets)|    +--------+    |En-tête PPPoE (8 octets)|    +-----+    {}
|                      |===>|pfSense |===>|En-tête IPv4 (20 octets)|===>|Modem|===>{Internet}
|                      |    +--------+    |                      |    +-----+    {________}
|                      |                  |                      |
+----------------------+                  +----------------------+

Je veux pouvoir envoyer un paquet directement par le port WAN lui-même, et non par le port WAN PPPoE.

Mon modem est là-bas, avec une interface http où je peux surveiller

  • la vitesse de connexion
  • le rapport signal sur bruit
  • la bande passante
  • le temps de connexion

Chaque fois que j'essaie de définir une route pour une destination de 192.168.2.1 (l'IP à laquelle le modem écoutera pour les requêtes HTTP) pour passer par le WAN, elles finissent par passer par le port PPPoE.

La différence étant qu'ils sont enveloppés dans un paquet de protocole PPPoE, et le modem ne reçoit pas le paquet, il est livré à l'ISP.

Étant donné que pfSense n'a pas la capacité de diriger le trafic vers le port WAN physique: comment puis-je diriger le trafic vers le port WAN physique sur pfSense?

Voici la même question que j'ai posée il y a 3 ans sur le forum pfSense:

Mon modem a une interface web. C'est pratique car je peux voir s'il est réellement connecté, le bruit de la ligne, les taux d'erreur, etc.

Si je connecte le modem à mon PC de bureau (plutôt qu'au PC pfSense), je peux faire des pings et naviguer sur l'interface web du modem sans problème. L'IP du modem est 192.168.0.254, et écoute sur le port 8080. Je peux aussi tracer les paquets de mon PC :

Ping du modem

REQ ARP    Phalanx => Broadcast     192.168.0.98  -?- 192.168.0.254
RESP ARP   Phalanx <= Ovislink_LAN  192.168.0.254 -!- 192.168.0.98
IP/ICMP    Phalanx => Ovislink_LAN  192.168.0.98  =>  192.168.0.254 ECHO
IP/ICMP    Phalanx <= Ovislink_LAN  192.168.0.98  <=  192.168.0.254 ECHOREPLY

Vous pouvez voir mon ordinateur envoyer une diffusion ARP, demandant l'adresse MAC du modem (le Ovislink). Le modem répond avec son IP, l'écho part, et je reçois une réponse. Des détails similaires peuvent être vus lorsque je me connecte au port web du modem :

Connexion au port web 8080

REQ ARP     Phalanx => Broadcast    192.168.0.98       -?- 192.168.0.254
RESP ARP    Phalanx <= Ovislink_LAN 192.168.0.254      -!- 192.168.0.98
IP/TCP      Phalanx => Ovislink_LAN 192.168.0.98:50001 =>  192.168.0.254:8080 SYN
IP/TCP      Plalanx <= Ovislink_LAN 192.168.0.98:50001 <=  192.168.0.254:8080 SYNACK
IP/TCP      Phalanx => Ovislink_LAN 192.168.0.98:50001 =>  192.168.0.254:8080 ACK

Après la requête ARP, une connexion TCP est établie avec le processus normal de SYN, SYN ACK, ACK. Et tout va bien.

Maintenant, plutôt que de connecter le modem à mon PC de bureau, je le connecte au PC qui exécute pfSense.

Remarque : Auparavant, j'avais changé l'adresse IP LAN de pfSense pour être 192.168.1.1/16, plutôt que 192.168.1.1/24. Cela est dû au fait que mon réseau était déjà en 192.168.0.0/16.

La première chose que je fais est de désactiver la fonction "Bloquer les réseaux privés" sous Interfaces->WAN, car l'interface LAN de mon modem fonctionne sous 192.168.0.254. Cela supprime la première entrée pare-feu sous Firewall->Rules qui bloquait tout le trafic RFC1918. Ensuite, j'ajoute une règle pare-feu :

Action : Autoriser
Interface : WAN
Protocole : TCP
Source : Hôte unique ou alias, 192.168.0.254
Destination : sous-réseau LAN
Plage de ports de destination : any
Journaliser les paquets : Oui
Description : Modem ADSL

Après avoir enregistré et appliqué mes modifications, j'ai essayé d'utiliser la fonction Diagnostics->Ping pour faire un ping sur 192.168.0.254 du côté WAN. Ce qui, bien sûr, n'a pas fonctionné.

J'y ai réfléchi, et il me semble que je ne peux pas simplement autoriser les paquets TCP en provenance de 192.168.0.254 vers le WAN, je dois également autoriser les paquets de réponse ARP (sinon comment pfSense pourrait-il trouver l'adresse MAC du matériel auquel il essaie d'envoyer un paquet IP?). Il m'a également semblé que je ne pouvais pas indiquer LAN comme destination, car c'est en fait l'interface WAN qui envoie le ping. J'ai donc mis à jour la règle pare-feu comme suit :

Action : Autoriser
Interface : WAN
Protocole : any
Source : Hôte unique ou alias, 192.168.0.254
Destination : any
Plage de ports de destination : any
Journaliser les paquets : Oui
Description : Modem ADSL

Maintenant, quand je fais un ping, ça ne fonctionne pas. Aucune surprise là-bas. J'ai donc décidé de faire une trace de paquets :

Interface : WAN
Adresse de l'hôte : 192.168.0.254
Nombre : 1
Niveau de détail : Complet

J'ai démarré la trace, fait un ping depuis Diagnostics->Ping, et je n'ai rien obtenu. Aucune réponse au ping, et aucun paquet dans la trace.

Maintenant, il me semble que juste parce que :

  • pfSense est sur le sous-réseau 192.168.1.1/16
  • mon bureau est sur le sous-réseau 192.168.0.98/16
  • mon serveur est sur le sous-réseau 192.168.0.10/16

peut-être que le modem n'est pas sur le sous-réseau /16. Je rebranche le modem à mon bureau, me connecte à l'interface web et vois qu'il est configuré pour 192.168.0.254/24. Alors je reconfigure le modem pour 192.168.1.254/24. Je reconfigure ensuite

  • mon bureau pour être 192.168.1.98,
  • le serveur pour être 192.168.1.10,
  • et maintenant le modem est 192.168.1.254
  • en plus de pfSense étant 192.168.1.1.

Je reconnecte le modem à la box pfSense, essaie de faire un ping et je n'obtiens...aucune réponse. J'ai alors fait une trace de paquets pour les paquets en provenance de 192.168.1.254 et je n'ai vu...rien.

Je suis maintenant perplexe et demande de l'aide.

Demandé el 24 de Mai, 2010 par Remi Despres-Smyth

Réponses

Trop de publicités?

2voto

nicorellius avatar
nicorellius Points 6445

Pas sûr que ce soit possible avec DSL... Pouvez-vous créer une règle de pare-feu avec uniquement des paramètres WAN ? En d'autres termes, rendez-vous dans Pare-feu > Règles > WAN et créez la règle là-bas. Assurez-vous de restreindre le trafic pour qu'il n'inclut pas PPPoE, c'est-à-dire LAN > WAN.

Répondu el 24 de Mai, 2010 par nicorellius (6445 Points )

2voto

endryha avatar
endryha Points 1237

Je pense avoir réussi à faire ce que vous avez demandé. Vous devrez ajouter une interface, une passerelle et une règle pour router le trafic vers cette passerelle pour la plage d'IP de votre modem.

Donc, ma configuration : Routeur Billion connecté au câble téléphonique - configuré en mode pont. Routeur pfsense connecté au routeur Billion via un câble LAN. Version pfsense 2.1.5

pfsense configuré pour avoir 3 interfaces :

  • WAN - PPPOE sur re0 (configuré dans l'assistant de configuration)
  • LAN - hôte dhcp sur em0 avec dhcp attribuant des IP entre 192.168.1.128 et 192.168.1.192 (configuré dans l'assistant de configuration)
  • MODEMACCESS - client dhcp sur re0 (ajouté manuellement après la configuration)

Passerelles :

  • GW_WAN - interface = WAN ; adresse IP de la passerelle = dynamique ; passerelle par défaut
  • MODEMACCESS_DHCP - interface = MODEMACCESS ; adresse IP de la passerelle = dhcp ; PAS passerelle par défaut

Règles :

  • Sous WAN j'ai les 2 blocs habituels et un 'pass all', passerelle = par défaut
  • Sous LAN j'ai la règle de blocage source 192.168.1.1/24 et destination 192.168.1.1/24 et quelques règles d'assignation de file d'attente de 192.168.1.x à !192.168.1.x, passerelle = par défaut
  • Sous MODEMACCESS source 192.168.1.1/24 à destination 10.0.0.2/24 avec passerelle MODEMACCESS_DHCP

IPs des appareils :

  • Adresse IP du routeur Billion : 10.0.0.2
  • Adresse IP LAN de pfsense : 192.168.1.1
  • Adresse IP publique WAN de pfsense déterminée par PPPOE
  • Adresse IP MODEMACCESS de pfsense déterminée par le serveur DHCP de Billion

Je peux accéder à l'interface web du routeur Billion en tapant 10.0.0.2 (ou le nom d'hôte) dans n'importe quel navigateur sur n'importe quel PC sur le réseau LAN. Je peux accéder à Internet sur n'importe quel appareil connecté au réseau LAN (via la connexion PPPOE sur pfsense).

Répondu el 16 de Novembre, 2014 par endryha (1237 Points )

1voto

Bennett Dill avatar
Bennett Dill Points 1552

Il me semble que votre modem routeur est en mode bridge et que le routeur pfSense est configuré avec l'identifiant client PPPoE pour recevoir votre adresse IP publique directement de l'ISP. Assurez-vous que le routeur n'est pas en mode bridge et qu'il est configuré en tant que serveur DHCP. Ensuite, dites à pfSense d'obtenir son adresse IP WAN par DHCP.

C'est juste une supposition...

Répondu el 11 de Février, 2011 par Bennett Dill (1552 Points )

1voto

Jared avatar
Jared Points 115

Ma réponse pourrait être similaire à ce que d'autres ont posté. Mais je pense que ce (https://doc.pfsense.org/index.php/Accessing_modem_from_inside_firewall) répondra à votre question

Répondu el 12 de Février, 2015 par Jared (115 Points )

0voto

coffeekid avatar
coffeekid Points 21

Pour configurer cela, vous auriez besoin d'un commutateur pour brancher le modem. Le pare-feu PFSense sera branché sur ce commutateur avec deux ports. Un port apparaîtra initialement comme un port OPT, mais vous pouvez le renommer. Le pare-feu utilisera la connexion PPPoE comme interface WAN, mais vous pouvez router vers le modem via l'interface opt.

Répondu el 30 de Mars, 2014 par coffeekid (21 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X