Outils pour utilisateurs

Outils du site

Piste :
fr:infra:documentation_infra_pfsense

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
Prochaine révision		Révision précédente
Prochaine révisionLes deux révisions suivantes
fr:infra:documentation_infra_pfsense [2021/04/25 18:23] – [NAT] celofr:infra:documentation_infra_pfsense [2021/04/25 18:29] – [NAT] celo
Ligne 168: Ligne 168:
 NB : Entre l'installation de pfsense et le moment où on a configuré le NAT pour le réseau patata, le réseau a un peu changé. On a ajouté le réseau routing qui contient les edge, les pfsense, et la vm vpn. Voir : https://wiki.neutrinet.be/fr/infra/network/vlan NB : Entre l'installation de pfsense et le moment où on a configuré le NAT pour le réseau patata, le réseau a un peu changé. On a ajouté le réseau routing qui contient les edge, les pfsense, et la vm vpn. Voir : https://wiki.neutrinet.be/fr/infra/network/vlan
  
-interco = CPT3 ou routing ?? je suis plus sûre ??+interco = OPT3 ou routing ?? je suis plus sûre ??
  
 Le NAT est le procédé par lequel on peut convertir une IP privée en une IP publique pour accéder à internet. La machine envoie des paquets à Pfsense à destination de l'internet avec son IP privée. Pfsense attribue un port à la machine et transmet le paquet plus loin en lui attribuant son IP publique. Quand un paquet lui revient à destination de ce port, il sait qu'il doit l'envoyer à la machine. Le NAT est le procédé par lequel on peut convertir une IP privée en une IP publique pour accéder à internet. La machine envoie des paquets à Pfsense à destination de l'internet avec son IP privée. Pfsense attribue un port à la machine et transmet le paquet plus loin en lui attribuant son IP publique. Quand un paquet lui revient à destination de ce port, il sait qu'il doit l'envoyer à la machine.
Ligne 187: Ligne 187:
 * Le Outbound NAT permet aux machines disposant d'adresses privées d'un réseau du Pfsense de sortir en utilisant son adresse IP publique. * Le Outbound NAT permet aux machines disposant d'adresses privées d'un réseau du Pfsense de sortir en utilisant son adresse IP publique.
  
-**Outbound NAT**+### Outbound NAT
  
 Dans le cas de notre réseau patata, pour faire du Outbound NAT, on choisit l'interface "Routing" car c'est celle-ci qui va permettre de sortir. Dans le cas de l'architecture de Neutrinet, il y a une subtilité car les IP publique sont dans le Vlan Neutrinet et non dans le Vlan Routing. En ajoutant la règle NAT, il faut donc modifier dans la rubrique "Translation" le champ "Interface Adress" pour spécifier l'IP publique du Pfsense au lieu de l'adresse de l'interface qui est une adresse privée. Pour cela, on choisit "Autre" Dans le cas de notre réseau patata, pour faire du Outbound NAT, on choisit l'interface "Routing" car c'est celle-ci qui va permettre de sortir. Dans le cas de l'architecture de Neutrinet, il y a une subtilité car les IP publique sont dans le Vlan Neutrinet et non dans le Vlan Routing. En ajoutant la règle NAT, il faut donc modifier dans la rubrique "Translation" le champ "Interface Adress" pour spécifier l'IP publique du Pfsense au lieu de l'adresse de l'interface qui est une adresse privée. Pour cela, on choisit "Autre"
Ligne 193: Ligne 193:
 + On a aussi mis une règle NAT pour que le Pfsense puisse lui-même se connecter à internet (adresse source 127.0.0.0/8). ?? pas bien compris si c'était pour la démo où si c'était vraiment à faire pour le réseau patata ?? + On a aussi mis une règle NAT pour que le Pfsense puisse lui-même se connecter à internet (adresse source 127.0.0.0/8). ?? pas bien compris si c'était pour la démo où si c'était vraiment à faire pour le réseau patata ??
  
-**Port Fowarding**+### Port Fowarding
  
 Notre réseau patata contiendra les machines virtuelles de différents services de Neutrinet (site web, wiki, pad...). Pour que ceux-ci soit accessible, il faut que les requêtes qui arrivent de l'internet parviennent aux machines qui sont sur le réseau privé. Les machines ne sont pas encore installée mais on a fait un exemple avec une machine de test. Notre réseau patata contiendra les machines virtuelles de différents services de Neutrinet (site web, wiki, pad...). Pour que ceux-ci soit accessible, il faut que les requêtes qui arrivent de l'internet parviennent aux machines qui sont sur le réseau privé. Les machines ne sont pas encore installée mais on a fait un exemple avec une machine de test.
Ligne 201: Ligne 201:
 Pour chaque règle NAT ajoutée dans Pfsense, une règle Firewall correspondante est automatiquement ajoutée pour laisser passer les paquets. Pour chaque règle NAT ajoutée dans Pfsense, une règle Firewall correspondante est automatiquement ajoutée pour laisser passer les paquets.
  
-**IPv6**+### IPv6
  
 Pour l'IPv6, une redirection de port n'est pas nécessaire mais pour protéger nos machines et qu'elles ne soient pas directement joignables depuis l'internet, il est nécessaire d'ajouter des règles Firewall pour bloquer les requêtes qui leur sont destinées. Pour l'IPv6, une redirection de port n'est pas nécessaire mais pour protéger nos machines et qu'elles ne soient pas directement joignables depuis l'internet, il est nécessaire d'ajouter des règles Firewall pour bloquer les requêtes qui leur sont destinées.
Ligne 211: Ligne 211:
 Une autre manière de faire est d'ajouter les adresses des réseaux qu'on gère aux bogons, mais c'est moins visuel dans Pfsense, on préfère donc la première méthode. Une autre manière de faire est d'ajouter les adresses des réseaux qu'on gère aux bogons, mais c'est moins visuel dans Pfsense, on préfère donc la première méthode.
  
-## Divers et maintenance +## Divers et maintenance 
 + 
 +### Ajouter un hôte dans le DNS resolver 
 + 
 +Pour chaque VM installée dans Proxmox, on va créer une entrée dans les services du DNS Resolver et donner à cet endroit l'IP et le nom d'hôte de la machine (Services > DNS resolver > General Setting > Add host). Cela permet qu'à l'installation la machine reçoive automatiquement son nom d'hôte lorsqu'on installe Debian (par une requête reverse IP). Cela permet de vérifier qu'on ne s'est pas trompé et que pfsense connaisse la machine sous son nom d'hôte. C'est un nom d'hôte qui n'est connu que de Pfsense, pas de l'internet. 
 + 
 +On a choisit une convention pour les noms d'hôtes des machines :  machine.cluster.dc.neutri.net.  
 ### Mises à jour et réinstallation avec l'option recover config.xml ### Mises à jour et réinstallation avec l'option recover config.xml
    
Ligne 245: Ligne 252:
  
 Le changement se fait dans les paramètres de la VM dans "Display" et dans l'interface web de pfSense : en cochant "enable serial terminal" et en cochant "disable hardware cheksum ofload" et les autres options hardware dans la rubrique hardware (sinon les performances réseau sont réduites). Le changement se fait dans les paramètres de la VM dans "Display" et dans l'interface web de pfSense : en cochant "enable serial terminal" et en cochant "disable hardware cheksum ofload" et les autres options hardware dans la rubrique hardware (sinon les performances réseau sont réduites).
- + 
 + 
 + 
 +### Troubleshooting divers 
 + 
 +Pas d'accès à internet après avoir configuré un nouveau réseau dans Pfsense, et pas de réponse ping ?  
 + 
 +* Vérifier que le réseau est bien annoncé par Pfsense aux machines Edge au niveau du BGP. Si ça n'est pas le cas, le paquet part bien vers internet mais quand il revient, les machines edge ne savent pas où l'envoyer. 
 + 
 +Ca ne marche pas et on ne comprend vraiment pas pourquoi ? 
 + 
 +* Pfsense ne se met pas toujours complètement à jour immédiatement et il faut parfois recharger les filtres manuellement par un filter reload.
fr/infra/documentation_infra_pfsense.txt · Dernière modification : 2022/07/22 13:15 de 127.0.0.1