Forum |  HardWare.fr | News | Articles | PC | Prix | S'identifier | S'inscrire | Aide | Shop Recherche
2416 connectés 

  FORUM HardWare.fr
  Réseaux grand public / SoHo
  Réseaux

  [REGLE]OpnSense: Problème ouverture de port firewall multi wan

 



 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

[REGLE]OpnSense: Problème ouverture de port firewall multi wan

n°1121707
burn2
ça rox du poney
Posté le 03-06-2020 à 13:50:09  profilanswer
 

Bonjour,
 
Je m'en viens quérir votre aide. :D
 
Contexte:
Dedié sous Proxmox.
Vm opnsense virtualisée qui a sa propore ip failover affectée à une patte.
Plusieurs vm sur des vlan qui sont donc "derrière le firewall" sur un bridge interne proxmox.  
 
Proxmox a donc sa propre ip publique.
Le firewall a sa propre ip publique failover qui sert à la patte par défaut.  
J'ai une patte supplémentaire qui possède une autre ip failover publique.  
(donc c'est comme si on avait 2 arrivées au niveau du firewall côté internet)
 
Voici le problème.
* Si dans nat ==> port forward je rajoute:
Interface  Proto  Address  Ports  Address  Ports  IP  Ports  Description
INTERNET  TCP  *  *  *  22 (SSH)  X.X.X.X  22 (SSH)  
Puis que dans rules ==> INTERNET j'ouvre le port 22:
IPv4 TCP/UDP  *  *  X.X.X.X  22 (SSH)  *  *  
ça marche, le port SSh de l'ip de l'interface internet est bien routée vers ma vm.
Donc la configuration depuis la patte internet principale fonctionne.
 
* Si dans nat ==> port forward je rajoute:
Interface  Proto  Address  Ports  Address  Ports  IP  Ports  Description
INTERNET2  TCP  *  *  *  22 (SSH)  X.X.X.X  22 (SSH)  
Puis que dans rules ==> INTERNET2 j'ouvre le port 22:
IPv4 TCP/UDP  *  *  X.X.X.X  22 (SSH)  *  *  
ça ne marche pas.  
Aucune réponse depuis l'extérieur.  
 
* Si dans nat ==> port forward je rajoute à la place:
Interface  Proto  Address  Ports  Address  Ports  IP  Ports  Description
INTERNET2  TCP  *  *  *  22 (SSH)  X.X.X.X  22 (SSH)  
Mais que je mets "PASS" dans Filter rule association au lieu de rules, alors ça marche.
 
La question est donc pourquoi je n'arrive pas à le faire fonctionner en utilisant des règles??
La seule différence étant donc que la patte internet2 n'est pas la patte principale déclarée dans le firewall.
 
 
Merci d'avance.


Message édité par burn2 le 06-06-2020 à 15:35:16

---------------
"C'est vrais qu'un type aussi pénible de jour on serait en droit d'espérer qu'il fasse un break de nuit mais bon …"
mood
Publicité
Posté le 03-06-2020 à 13:50:09  profilanswer
 

n°1121808
mqnu
Hu ?
Posté le 04-06-2020 à 12:33:19  profilanswer
 

Salut,
- Peux tu mettre ça sous forme de capture d'écran ? Ca serait plus lisible je pense.
- Quelle est la filter rule associée ?


---------------
:o
n°1121816
burn2
ça rox du poney
Posté le 04-06-2020 à 13:25:35  profilanswer
 

:hello:

 

Merci pour ta réponse, le pb c'est pour anonymiser tous les screens. :/
Dans mes interfaces je me suis mi des infos etc.

 

Est ce que ça ça te suffit pour comprendre? :)
Donc le nat:
https://reho.st/preview/self/e795c13f7972befb2126c1fbf9482c178ac879f1.jpg
(ici la règle 2 est toujours en "pass" et non pas sur rule)

 

Et les règles qui sont identiques sur l'interface INTERNET (qui est la principale)
https://reho.st/preview/self/02be857dae2015fff4c0fb24454c623888ce12cb.jpg
(la règle 443 c'était un test pour l'interface de contrôle du firewall volontairement désactivée)

 

Et INTERNET_XXXX
https://reho.st/preview/self/053466b40aede15fd2ac6a6ef068fe386a694820.jpg

 


Pour lever tout doute, j'ai mis la même ip en redirection, mais il n'y a pas, les redirections ne fonctionnent que si ça provient de "INTERNET" et pas de INTERNET_.
Sauf si je mets "pass" dans le nat.

 


Message édité par burn2 le 04-06-2020 à 13:26:15

---------------
"C'est vrais qu'un type aussi pénible de jour on serait en droit d'espérer qu'il fasse un break de nuit mais bon …"
n°1121834
mqnu
Hu ?
Posté le 04-06-2020 à 16:07:33  profilanswer
 

Je ne vois pas ce qui peut coincer.
 
Que se passe il si tu supprimes les 2 règles de nat et les règles de firewall associées, puis que tu les crée a nouveau en faisait une règle associée ?
 
Que disent les logs ? Packet capture sur le traffic arrivant sur la 2nde connexion ?


---------------
:o
n°1121837
burn2
ça rox du poney
Posté le 04-06-2020 à 16:12:48  profilanswer
 

C'est ce que j'avais mis en place avant.  
Ben ça marche pour l'interface 1, mais pas pour la 2.
Peut importe ce que je fais en fait.
La seule solution pour que ça passe pour l'interface2, c'est que je mette "pass" au lieu de rule. Mais je ne sais pas pourquoi.  
 
Les logs tu veux que je les regardes dans quelle partie précisément?


---------------
"C'est vrais qu'un type aussi pénible de jour on serait en droit d'espérer qu'il fasse un break de nuit mais bon …"
n°1121844
mqnu
Hu ?
Posté le 04-06-2020 à 17:25:31  profilanswer
 

Si tu fais les 2 règles identiques, ensuite va dans Firewall / Log Files / Live View
 
Tu vois ton traffic entrant arriver ? Du vert, du rouge ?
 
Que donne une packet capture sur ton wan2 ?


---------------
:o
n°1121846
burn2
ça rox du poney
Posté le 04-06-2020 à 17:28:15  profilanswer
 

Je regarde ça dès que j'ai 2 minutes.
Merci


Message édité par burn2 le 04-06-2020 à 17:28:24

---------------
"C'est vrais qu'un type aussi pénible de jour on serait en droit d'espérer qu'il fasse un break de nuit mais bon …"
n°1122024
burn2
ça rox du poney
Posté le 06-06-2020 à 11:42:43  profilanswer
 

Bon j'ai fais le test:
Je l'ai laissé créer la règle pour qu'elle soit liée.

 

Si la règle est créée ==> c'est en vert, je me vois passer.
Mais il ne se passe rien, je n'ai rien qui répond au bout. (connexion ssh).

 

Si je désactive la règle (juste disable donc), je me vois bien rejeté en rouge.
Je me dis que c'est un soucis de routage, ou de sortie qui va pas, genre on ne repart pas par la bonne passerelle ou un truc du style, mais alors pourquoi en "pass" ça marcherait?

 

EDIT: côté firewall je confirme que niveau log tout est ok.
SI je ping je suis rejetté, si je fais un ssh je passe au vert.


Message édité par burn2 le 06-06-2020 à 11:59:17

---------------
"C'est vrais qu'un type aussi pénible de jour on serait en droit d'espérer qu'il fasse un break de nuit mais bon …"
n°1122037
burn2
ça rox du poney
Posté le 06-06-2020 à 14:56:31  profilanswer
 

Plus je creuse, plus je me dis que le pb se passe au niveau du routage.
 
Je fais donc du ssh sur Internet2 redirigé sur une vm dans un vlan X.
Côté packet capture:
Internet 2 ==> je vois bien ma connexion passer.
Côté vlan X, je vois bien ma connexion passer ET la machine me répondre.  
 
 
Maintenant, le plus surprenant, c'est que si je regarde ce qui se passe sur internet "tout cours" soit l'autre patte, ben je vois alors passer des paquets en provenance de mon pc sur le port 22.
 
Donc je me dis qu'il y a un soucis sur le routage, il doit me falloir faire quelque chose pour que ça repart bien comme il faut.  
 
 
 
EDIT: c'est bien ça le pb, si je change de passerelle, en mettant une priorités supérieure à la patte en question, là ça marche.  
Donc le problème provient bien du routage qui coince quelque part.  
 
 
EDIT2: c'est bon j'ai trouvé!!!!
Au niveau des gateway il faut bien les mettre en upstream, sinon ça ne marche pas!
J'ai donc mis tout en upstream, et j'ai réglé la priorité pour que la pate 1 soit bien en prioritaire, et tout le reste en 254.
ET là c'est good ça marche. :)


Message édité par burn2 le 06-06-2020 à 15:35:31

---------------
"C'est vrais qu'un type aussi pénible de jour on serait en droit d'espérer qu'il fasse un break de nuit mais bon …"
n°1123261
burn2
ça rox du poney
Posté le 16-06-2020 à 12:46:08  profilanswer
 

Au final, le problème est réapparu, je ne sais comment.
bref ça ne marchait plus du tout.

 

En recherchant en fait ce n'est pas l'option upstream la solution, je le laisse quand même, mais ce qui règle le soucis c'est ça:
https://forum.opnsense.org/index.php?topic=15900.0

 
Citation :

You can find the general checkbox "Disable reply-to" in system_advanced_firewall.php, which disables the default as Franco mentioned in the other post.



Message édité par burn2 le 16-06-2020 à 12:46:19

---------------
"C'est vrais qu'un type aussi pénible de jour on serait en droit d'espérer qu'il fasse un break de nuit mais bon …"

Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Réseaux grand public / SoHo
  Réseaux

  [REGLE]OpnSense: Problème ouverture de port firewall multi wan

 

Sujets relatifs
modem fibre et internet secSynchronisation multi devices d'une boite mail POP
probleme acces disque partagés win 10[RESOLU]Plus de connexion internet sur mon pc de bureau
Coupure internet ElagageImpossible de me connecter à Internet depuis ma console Xbox 360
Gros problème de Wifidebit faible avec cpl local mais pas sur internet
Problème port rj45 livebox 5 
Plus de sujets relatifs à : [REGLE]OpnSense: Problème ouverture de port firewall multi wan


Copyright © 1997-2018 Hardware.fr SARL (Signaler un contenu illicite) / Groupe LDLC / Shop HFR