fr:infra:documentation_infra_pfsense
Différences
Ci-dessous, les différences entre deux révisions de la page.
Prochaine révision | Révision précédente | ||
fr:infra:documentation_infra_pfsense [2021/01/20 20:47] – créée celo | fr:infra:documentation_infra_pfsense [2022/07/22 13:15] (Version actuelle) – modification externe 127.0.0.1 | ||
---|---|---|---|
Ligne 166: | Ligne 166: | ||
## NAT | ## NAT | ||
- | To-Do : Tharyrok | + | NB : Entre l' |
+ | |||
+ | Voir aussi ce shéma du réseau : | ||
+ | |||
+ | {{ : | ||
+ | |||
+ | interco = OPT3 ou routing ?? je suis plus sûre ?? | ||
+ | |||
+ | Le NAT est le procédé par lequel on peut convertir une IP privée en une IP publique pour accéder à internet. La machine envoie des paquets à Pfsense à destination de l' | ||
+ | |||
+ | Le réseau patata sera le réseau sur lequel seront les différentes VM qui seront créées dans le cadre de la refonte de l' | ||
+ | |||
+ | Préalablement, | ||
+ | |||
+ | * Des règles IPv4 et IPv6 vers les IP de l' | ||
+ | |||
+ | {{ : | ||
+ | |||
+ | * Des règles OUT en Ipv4 et IPv6 pour sortir vers l' | ||
+ | |||
+ | {{ : | ||
+ | |||
+ | Avec ces règles, les paquets sont autorisés à sortir sur internet, mais sans autre manipulation, | ||
+ | |||
+ | Il y a plusieurs manières de faire du NAT. | ||
+ | |||
+ | * Le Port forwarding permet de dire que l'IP des Pfsense va correspondre au port d'une VM et lui forwarder les paquets. Typiquement, | ||
+ | * Le 1 à 1 fait correspondre l'IP a une machine (tous ports confondus). C'est alors à la machine de jouer le rôle du Firewall. | ||
+ | * Le Outbound NAT permet aux machines disposant d' | ||
+ | |||
+ | ### Outbound NAT | ||
+ | |||
+ | Dans le cas de notre réseau patata, pour faire du Outbound NAT, on choisit l' | ||
+ | |||
+ | + On a aussi mis une règle NAT pour que le Pfsense puisse lui-même se connecter à internet (adresse source 127.0.0.0/ | ||
+ | |||
+ | ### Port Forwarding | ||
+ | |||
+ | Notre réseau patata contiendra les machines virtuelles de différents services de Neutrinet (site web, wiki, pad...). Pour que ceux-ci soient accessibles, | ||
+ | |||
+ | Le port fowarding se fait sur l' | ||
+ | |||
+ | Pour chaque règle NAT ajoutée dans Pfsense, une règle Firewall correspondante est automatiquement ajoutée pour laisser passer les paquets. | ||
+ | |||
+ | ### IPv6 | ||
+ | |||
+ | Pour l' | ||
+ | |||
+ | Par exemple, sans règle supplémentaire, | ||
+ | |||
+ | Pour éviter cela, on doit placer une règle sur l' | ||
+ | |||
+ | Une autre manière de faire est d' | ||
+ | |||
+ | ## Divers et maintenance | ||
+ | |||
+ | ### Ajouter un hôte dans le DNS resolver | ||
+ | |||
+ | Pour chaque VM installée dans Proxmox, on va créer une entrée dans les services du DNS Resolver et donner à cet endroit l'IP et le nom d' | ||
+ | |||
+ | On a choisit une convention pour les noms d' | ||
- | ## Divers et maintenance | ||
### Mises à jour et réinstallation avec l' | ### Mises à jour et réinstallation avec l' | ||
Ligne 202: | Ligne 261: | ||
Le changement se fait dans les paramètres de la VM dans " | Le changement se fait dans les paramètres de la VM dans " | ||
- | + | ||
+ | |||
+ | |||
+ | ### Troubleshooting divers | ||
+ | |||
+ | Pas d' | ||
+ | |||
+ | * Vérifier que le réseau est bien annoncé par Pfsense aux machines Edge au niveau du BGP. Si ça n'est pas le cas, le paquet part bien vers internet mais quand il revient, les machines edge ne savent pas où l' | ||
+ | |||
+ | Ca ne marche pas et on ne comprend vraiment pas pourquoi ? | ||
+ | |||
+ | * Pfsense ne se met pas toujours complètement à jour immédiatement et il faut parfois recharger les filtres manuellement par un filter reload. |
fr/infra/documentation_infra_pfsense.1611172043.txt.gz · Dernière modification : 2021/01/20 20:47 de celo