5 votes

Remi Despres-Smyth avatar

PfSense : Comment router le trafic via le port WAN ?

Demandé el 24 de Mai, 2010
Quand la question a-t-elle été
35999 affichage
Nombre de visites la question a
5 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Version expert

Je veux créer une route dans pfSense qui enverra le trafic par le port physique WAN , pas par le port WAN PPPoE . Je veux pouvoir communiquer avec le serveur web de mon modem DSL; me permettant de voir le débit de synchronisation actuel et les marges de SnR. Le modem ne reçoit pas les paquets qui lui sont destinés, car ils sont envoyés à travers le tunnel PPPoE .

Version longue

Mon routeur pfSense est responsable de mettre en place la connexion PPPoE sur DSL avec mon FAI. Lorsqu'une machine sur le LAN souhaite envoyer des paquets vers Internet, la route par défaut envoie les paquets par la connexion PPPoE . Ces paquets, enveloppés dans un en-tête PPPoE , sont envoyés sur le câble Ethernet vers mon modem DSL. De là, ils sont envoyés au FAI et à Internet dans son ensemble.

+----------------------+ +----------------------+    
|En-tête IPv4 (20 octets)| |En-tête PPPoE (8 octets)|    
|                      |===>| pfSense |===>|En-tête IPv4 (20 octets)|===>|Modem|===>{Internet}
|                      | |                      | | 
+----------------------+ +----------------------+

Je veux un moyen d'envoyer un paquet par le port WAN lui-même - pas par le port WAN PPPoE.

Mon modem est là-bas, avec une interface http où je peux surveiller

  • vitesse de connexion
  • rapport signal sur bruit
  • largeur de bande
  • heure de connexion

Chaque fois que j'essaie de définir une route pour la destination 192.168.2.1 (l'IP à laquelle le modem écoutera les requêtes HTTP) pour passer par le port WAN , elles finissent par passer par le port PPPoE .

La différence étant qu'ils sont enveloppés dans un paquet de protocole PPPoE, et le modem ne reçoit pas le paquet, il est livré au FAI.

Étant donné que pfSense n'a pas la capacité de diriger le trafic par le port physique WAN: comment puis-je diriger le trafic par le port physique WAN sur pfSense?

Voici la même question que j'ai posée il y a 3 ans sur le forum pfSense:

Mon modem a une interface web. C'est pratique car je peux voir s'il est réellement connecté, le bruit de ligne, les taux d'erreurs, etc.

Si je connecte le modem à mon PC destop (plutôt qu'au PC pfSense), je peux envoyer des pings et naviguer sur l'interface web du modem. L'IP du modem est 192.168.0.254 et écoute sur le port 8080. Je peux également tracer les activités de mon PC:

Ping du modem

ARP REQ    Phalanx => Broadcast     192.168.0.98  -?- 192.168.0.254
ARP RESP   Phalanx <= Ovislink_LAN  192.168.0.254 -!- 192.168.0.98
IP/ICMP    Phalanx => Ovislink_LAN  192.168.0.98  =>  192.168.0.254 ECHO
IP/ICMP    Phalanx <= Ovislink_LAN  192.168.0.98  <=  192.168.0.254 ECHOREPLY

Vous pouvez voir mon ordinateur envoyer une diffusion ARP, demandant l'adresse MAC du modem (l'Ovislink). Le modem répond avec son IP, l'écho part, et je reçois une réponse. Des détails similaires peuvent être vus lorsque je me connecte au port web du modem:

Connexion au port web 8080

ARP REQ     Phalanx => Broadcast    192.168.0.98       -?- 192.168.0.254
ARP RESP    Phalanx <= Ovislink_LAN 192.168.0.254      -!- 192.168.0.98
IP/TCP      Phalanx => Ovislink_LAN 192.168.0.98:50001 =>  192.168.0.254:8080 SYN
IP/TCP      Plalanx <= Ovislink_LAN 192.168.0.98:50001 <=  192.168.0.254:8080 SYNACK
IP/TCP      Phalanx => Ovislink_LAN 192.168.0.98:50001 =>  192.168.0.254:8080 ACK

Après la demande ARP, une connexion TCP est établie avec le processus normal SYN, SYN ACK, ACK. Et tout va bien.

Maintenant, au lieu de connecter le modem à mon PC de bureau, je le connecte au PC qui exécute pfSense.

Remarque: Auparavant, j'avais modifié l'adresse IP LAN de pfSense pour être 192.168.1.1/16, plutôt que 192.168.1.1/24. Cela est dû au fait que mon réseau était déjà 192.168.0.0/16.

La première chose que je fais est de désactiver la fonction "Bloquer les réseaux privés" sous Interfaces->WAN, car l'interface LAN de mon modem fonctionne en tant que 192.168.0.254. Cela supprime la première entrée de pare-feu sous Pare-feu->Règles qui bloquait tout le trafic RFC1918. Ensuite, j'ai ajouté une règle de pare-feu :

Action: Pass
Interface: WAN
Protocole: TCP
Source: Hôte unique ou alias, 192.168.0.254
Destination: Sous-réseau LAN
Plage de ports de destination: tous
Enregistrer les paquets: Oui
Description: Modem ADSL

Après avoir enregistré et appliqué mes modifications, j'ai essayé d'utiliser la fonction Diagnostics->Ping pour pinger 192.168.0.254 côté WAN. Cela n'a évidemment pas fonctionné.

J'y ai réfléchi, et il me semble que je ne peux pas simplement autoriser les paquets TCP en provenance de 192.168.0.254 sur le WAN, je dois aussi autoriser les paquets de réponse ARP (sinon comment pfSense pourrait-il trouver l'adresse MAC du matériel auquel il essaie d'envoyer un paquet IP?). Il m'est également apparu que je ne peux pas dire que LAN est la destination, car c'est en fait l'interface WAN qui fait le ping. J'ai donc mis à jour la règle de pare-feu comme suit :

Action: Pass
Interface: WAN
Protocole: tout
Source: Hôte unique ou alias, 192.168.0.254
Destination: tout
Plage de ports de destination: tous
Enregistrer les paquets: Oui
Description: Modem ADSL

Maintenant, quand je le ping...ça ne marche pas. Pas de réelle surprise là. Alors j'ai décidé de lancer une trace de paquets :

Interface: WAN
Adresse de l'hôte: 192.168.0.254
Compter: 1
Niveau de détail: Complet

J'ai commencé la trace, fait un ping depuis Diagnostics->Ping, et j'obtiens...rien. Pas de réponse au ping, et pas de paquets dans la trace.

Alors maintenant, il m'apparait que juste parce que :

  • pfSense est sur le sous-réseau 192.168.1.1/16
  • mon PC de bureau est sur le sous-réseau 192.168.0.98/16
  • mon serveur est sur le sous-réseau 192.168.0.10/16

peut-être que le modem n'est pas sur le sous-réseau /16. je reconnecte le modem à mon PC de bureau, me connecte à l'interface web et vois qu'il est configuré pour 192.168.0.254/24. Je reconfigure alors le modem pour 192.168.1.254/24. Je reconfigure ensuite

  • mon PC de bureau en 192.168.1.98,
  • le serveur en 192.168.1.10,
  • et maintenant le modem est 192.168.1.254
  • en plus de pfSense en 192.168.1.1.

Je reconnecte le modem au boîtier pfSense, j'essaie de le pinger et...pas de réponse. Je fais une trace de paquets pour les paquets provenant de 192.168.1.254 et je vois...rien.

Je suis maintenant perplexe, et je demande de l'aide.

Demandé el 24 de Mai, 2010 par Remi Despres-Smyth

Réponses

Trop de publicités?

2voto

nicorellius avatar
nicorellius Points 6445

Je ne suis pas sûr que ce soit possible avec DSL... Pouvez-vous créer une règle de pare-feu avec uniquement des paramètres WAN? Autrement dit, rendez-vous dans Pare-feu > Règles > WAN et créez la règle là-bas. Assurez-vous de restreindre le trafic pour ne pas inclure PPPoE, c'est-à-dire LAN > WAN.

Répondu el 24 de Mai, 2010 par nicorellius (6445 Points )

2voto

endryha avatar
endryha Points 1237

Je pense avoir réussi à faire ce que vous avez demandé. Vous devrez ajouter une interface, une passerelle et une règle pour router le trafic vers cette passerelle pour la plage IP de votre modem.

Donc ma configuration : Routeur Billion connecté au câble téléphonique - paramétré en mode pont. Routeur pfsense connecté au routeur Billion via un câble LAN. Version pfsense 2.1.5

pfsense configuré pour avoir 3 interfaces :

  • WAN - PPPOE sur re0 (configuré dans l'assistant de configuration)
  • LAN - hôte dhcp sur em0 avec attribution d'IP entre 192.168.1.128 et 192.168.1.192 en dhcp (configuré dans l'assistant de configuration)
  • MODEMACCESS - client dhcp sur re0 (ajouté manuellement après la configuration)

Passerelles :

  • GW_WAN - interface = WAN ; Adresse IP de la passerelle = dynamique ; passerelle par défaut
  • MODEMACCESS_DHCP - interface = MODEMACCESS ; Adresse IP de la passerelle = dhcp ; PAS passerelle par défaut

Règles :

  • Sous WAN j'ai les habituels 2 blocs et un pass all, passerelle = par défaut
  • Sous LAN j'ai une règle de blocage source 192.168.1.1/24 et destination 192.168.1.1/24 et quelques règles d'assignation de file d'attente de 192.168.1.x à !192.168.1.x, passerelle = par défaut
  • Sous MODEMACCESS source 192.168.1.1/24 à destination 10.0.0.2/24 avec passerelle MODEMACCESS_DHCP

IP pour les dispositifs :

  • Adresse IP du routeur Billion : 10.0.0.2
  • Adresse IP LAN de pfsense : 192.168.1.1
  • Adresse IP publique WAN de pfsense déterminée par PPPOE
  • Adresse IP MODEMACCESS de pfsense déterminée par le serveur DHCP de Billion

Je peux accéder à l'interface web du routeur Billion en tapant 10.0.0.2 (ou le nom d'hôte) dans n'importe quel navigateur sur n'importe quel PC sur le réseau LAN. Je peux accéder à Internet sur n'importe quel appareil connecté au réseau LAN (via la connexion PPPOE sur pfsense).

Répondu el 16 de Novembre, 2014 par endryha (1237 Points )

1voto

Bennett Dill avatar
Bennett Dill Points 1552

Il me semble que votre routeur modem est en mode pont, et que le routeur pfSense est configuré avec l'identifiant client PPPoE pour recevoir votre IP publique directement de l'ISP. Assurez-vous que le routeur n'est pas en mode pont, et qu'il est configuré en tant que serveur DHCP. Ensuite, indiquez à pfSense d'obtenir son IP WAN par DHCP.

C'est vraiment juste une supposition...

Répondu el 11 de Février, 2011 par Bennett Dill (1552 Points )

1voto

Jared avatar
Jared Points 115

Ma réponse pourrait être similaire à celle de certains autres participants. Mais je pense que cela (https://doc.pfsense.org/index.php/Accessing_modem_from_inside_firewall) répondra à votre question

Répondu el 12 de Février, 2015 par Jared (115 Points )

0voto

coffeekid avatar
coffeekid Points 21

Pour mettre en place cela, vous auriez besoin d'un commutateur pour brancher le modem. Le pare-feu PFSense se branchera sur ce commutateur avec deux ports. Un port apparaîtra initialement comme un port OPT, mais vous pouvez le renommer. Le pare-feu utilisera la connexion PPPoE comme interface WAN mais vous pouvez router vers le modem sur l'interface opt.

Répondu el 30 de Mars, 2014 par coffeekid (21 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X