Outils pour utilisateurs

Outils du site


fr:rapports:2021:04-25

2021-04-25 (Neutriton) : pfsense NAT

Présences :

  • HgO
  • tierce (gollum)
  • Tharyork
  • Célo
  • niko (nikel)

Jitsi : https://jitsi.belnet.be/neutriton Caldarium : https://caldarium.be/fr:contact

Météo

Moment informel durant lequel on exprime en peu de mots comment on se sent et si on a une attente forte pour la réunion. Ce n'est pas un moment de discussion mais d'expression individuelle et ce n'est pas obligatoire 🙂

Attente(s) forte(s)

Si l'une ou l'autre personne exprime une attente forte, merci de vous en occuper en priorité ou de la noter dans le hub ou dans un point approprié.

Ordre du jour

pfsense NAT

Comment est configuré pfSens aujourd'hui.

On a 4 interfaces:

  • Routing (vlan 20)
  • Management (vlan 100)
  • Neutrinet (vlan 10)
  • Patata (vlan 11)

Schéma du réseau :

Pour Neutrinet, on a mis le MTU à 1500 au lieu de 9000 (Jumbo Frame). On peut se permettre de monter le MTU puisque la qualité des interfaces (hardware) est bien meilleure aujourd'hui, surtout « en interne ».

Pour pfSense on filtre toujours les paquets sur l'interface par laguelle ils rentrent.

Pour Patata, on n'a rien configuré pour le moment, c'est normal puisque c'est le but de ce Neutriton 😜

Le NAT kézako ? Convertir une IP privée en une IP publique. Quand le paquet va vouloir sortir du réseau interne, pfSense va noter l'IP interne et le port de sortie. Ensuite pour l'extérieur, le paquet aura l'IP publique (celle du NAT). Quand le paquet reviendra à la maison, le NAT saura à quel port est associé l'IP interne.

Au niveau des machines on n'a que des IP privées mais on veut pouvoir sortir sur internet. Un paquet a son IP privée, il arrive au Pfsense. Pfsens prend son calpin et attribue un port. Il envoit ensuite le paquet avec son IP. Quand le paquet revient par ce port, il sait qu'il doit l'envoyer à la machine.

En ipv6, il n'y a pas de NAT, parce que toutes les IPv6 sont routable sur les Zinternet et on joue sur des règles de forward.

DNS dans pfSense

Les machines prennent le nom au format machine.cluster.dc.neutri.net (ex test.patata.louise.neutri.net) C'est une convention qu'on s'est donnée. neutri.net est un domaine qui ne sert que pour les machines. On ajoute d'abord la machine en ipv4 puis en ipv6.

  • enregistrer l'adresse de la machine de test dans: Services > DNS resolver > General Setting > Add host
  • idem en ipv6

On configure la machine de test

  • en lui fixant une IPv4 (pour commencer)

On configure des Virtuals IP

  • pour avoir des ip flotantes entre 2 pfsense, on utilise des IP en CARP

Quelques règles nécessaires

Là on permet au réseau PATATA à faire des requêtes DNS et répondre aux pings.

Maintenant on va autoriser PATATA a accéder à Internet™

NAT

Forwarding : bête redirection de port vers une autre machine. Par exemple, si on avait un serveur mail dans notre réseau, on voudrait rediriger le port 25 du pfsense vers le port 25 du serveur mail (donc c'est depuis internet vers réseau interne) 1:1 : pas suivi et tout le reste non plus mdr

Nous on va faire du outbound. Attention, on veut pas passer par l'interface Routing, mais bien l'interface Neutrinet !

On peut tester nos changements avec Diagnostics > Ping 😉 On cible une IP externe, et on fait le ping depuis localhost.

Prochaine réunion

Prochain Neutriton : 23/05 de 10h à 17h Sujet : Installation des VMs (avec Ansible)

Lieu : Caldarium

Météo de fin

Moment informel durant lequel on exprime en peu de mots comment, à titre personnel, la réunion a été vécue que ce soit positif ou négatif. Si une ou plusieurs tension est née durant la réunion, il est peut-être nécessaire d'envisager l'une ou l'autre réunion pour y remédier.

fr/rapports/2021/04-25.txt · Dernière modification: 2022/03/26 08:26 de hgo