Bonjour,
 
Je m'en viens quérir votre aide.
 
Contexte:
Dedié sous Proxmox.
Vm opnsense virtualisée qui a sa propore ip failover affectée à une patte.
Plusieurs vm sur des vlan qui sont donc "derrière le firewall" sur un bridge interne proxmox.  
 
Proxmox a donc sa propre ip publique.
Le firewall a sa propre ip publique failover qui sert à la patte par défaut.  
J'ai une patte supplémentaire qui possède une autre ip failover publique.  
(donc c'est comme si on avait 2 arrivées au niveau du firewall côté internet)
 
Voici le problème.
* Si dans nat ==> port forward je rajoute:
Interface  Proto  Address  Ports  Address  Ports  IP  Ports  Description
INTERNET  TCP  *  *  *  22 (SSH)  X.X.X.X  22 (SSH)  
Puis que dans rules ==> INTERNET j'ouvre le port 22:
IPv4 TCP/UDP  *  *  X.X.X.X  22 (SSH)  *  *  
ça marche, le port SSh de l'ip de l'interface internet est bien routée vers ma vm.
Donc la configuration depuis la patte internet principale fonctionne.
 
* Si dans nat ==> port forward je rajoute:
Interface  Proto  Address  Ports  Address  Ports  IP  Ports  Description
INTERNET2  TCP  *  *  *  22 (SSH)  X.X.X.X  22 (SSH)  
Puis que dans rules ==> INTERNET2 j'ouvre le port 22:
IPv4 TCP/UDP  *  *  X.X.X.X  22 (SSH)  *  *  
ça ne marche pas.  
Aucune réponse depuis l'extérieur.  
 
* Si dans nat ==> port forward je rajoute à la place:
Interface  Proto  Address  Ports  Address  Ports  IP  Ports  Description
INTERNET2  TCP  *  *  *  22 (SSH)  X.X.X.X  22 (SSH)  
Mais que je mets "PASS" dans Filter rule association au lieu de rules, alors ça marche.
 
La question est donc pourquoi je n'arrive pas à le faire fonctionner en utilisant des règles??
La seule différence étant donc que la patte internet2 n'est pas la patte principale déclarée dans le firewall.
 
 
Merci d'avance.

Salut,
- Peux tu mettre ça sous forme de capture d'écran ? Ca serait plus lisible je pense.
- Quelle est la filter rule associée ?

Merci pour ta réponse, le pb c'est pour anonymiser tous les screens.
Dans mes interfaces je me suis mi des infos etc.

Est ce que ça ça te suffit pour comprendre?
Donc le nat:

(ici la règle 2 est toujours en "pass" et non pas sur rule)

Et les règles qui sont identiques sur l'interface INTERNET (qui est la principale)

(la règle 443 c'était un test pour l'interface de contrôle du firewall volontairement désactivée)

Et INTERNET_XXXX

Pour lever tout doute, j'ai mis la même ip en redirection, mais il n'y a pas, les redirections ne fonctionnent que si ça provient de "INTERNET" et pas de INTERNET_.
Sauf si je mets "pass" dans le nat.

Je ne vois pas ce qui peut coincer.
 
Que se passe il si tu supprimes les 2 règles de nat et les règles de firewall associées, puis que tu les crée a nouveau en faisait une règle associée ?
 
Que disent les logs ? Packet capture sur le traffic arrivant sur la 2nde connexion ?

C'est ce que j'avais mis en place avant.  
Ben ça marche pour l'interface 1, mais pas pour la 2.
Peut importe ce que je fais en fait.
La seule solution pour que ça passe pour l'interface2, c'est que je mette "pass" au lieu de rule. Mais je ne sais pas pourquoi.  
 
Les logs tu veux que je les regardes dans quelle partie précisément?

Si tu fais les 2 règles identiques, ensuite va dans Firewall / Log Files / Live View
 
Tu vois ton traffic entrant arriver ? Du vert, du rouge ?
 
Que donne une packet capture sur ton wan2 ?

Je regarde ça dès que j'ai 2 minutes.
Merci

Bon j'ai fais le test:
Je l'ai laissé créer la règle pour qu'elle soit liée.

Si la règle est créée ==> c'est en vert, je me vois passer.
Mais il ne se passe rien, je n'ai rien qui répond au bout. (connexion ssh).

Si je désactive la règle (juste disable donc), je me vois bien rejeté en rouge.
Je me dis que c'est un soucis de routage, ou de sortie qui va pas, genre on ne repart pas par la bonne passerelle ou un truc du style, mais alors pourquoi en "pass" ça marcherait?

EDIT: côté firewall je confirme que niveau log tout est ok.
SI je ping je suis rejetté, si je fais un ssh je passe au vert.

Plus je creuse, plus je me dis que le pb se passe au niveau du routage.
 
Je fais donc du ssh sur Internet2 redirigé sur une vm dans un vlan X.
Côté packet capture:
Internet 2 ==> je vois bien ma connexion passer.
Côté vlan X, je vois bien ma connexion passer ET la machine me répondre.  
 
 
Maintenant, le plus surprenant, c'est que si je regarde ce qui se passe sur internet "tout cours" soit l'autre patte, ben je vois alors passer des paquets en provenance de mon pc sur le port 22.
 
Donc je me dis qu'il y a un soucis sur le routage, il doit me falloir faire quelque chose pour que ça repart bien comme il faut.  
 
 
 
EDIT: c'est bien ça le pb, si je change de passerelle, en mettant une priorités supérieure à la patte en question, là ça marche.  
Donc le problème provient bien du routage qui coince quelque part.  
 
 
EDIT2: c'est bon j'ai trouvé!!!!
Au niveau des gateway il faut bien les mettre en upstream, sinon ça ne marche pas!
J'ai donc mis tout en upstream, et j'ai réglé la priorité pour que la pate 1 soit bien en prioritaire, et tout le reste en 254.
ET là c'est good ça marche.

Au final, le problème est réapparu, je ne sais comment.
bref ça ne marchait plus du tout.

En recherchant en fait ce n'est pas l'option upstream la solution, je le laisse quand même, mais ce qui règle le soucis c'est ça:
https://forum.opnsense.org/index.php?topic=15900.0