bonjour à tous
 
j'ai un problème qui me rend fou et j'ai l'impression de passer à côté de quelque chose d'évident
 
cela concerne du routage. Su mon firewall/routeur (pfsense) j'ai cette table de routage :
 

 
 
Mon réseau principal (appelons le LAN) est en 192.168.168.0/21 et je tente de pinger vers 192.168.20.2
 
Si depuis le routeur je ping l'adresse directement edpuis l'interface qui le concerne (192.168.20.1/24) il me répond. Si je le fais depuis une autre interface, c'est niet.
Si je fais depuis le lan, c'est niet aussi mais l'interface du routeur elle répond bien (192.168.20.1/21), ce qui m'indique que ma rêgle firewall est ouverte car si je la coupe, cette même interface ne répond plus.
 
Qu'est ce que j'ai raté ou mal compris ?

tu as raté le fait qu'un ping c'est une question et une réponse.
La question arrive peut être comme il faut à la machine mais la réponse passe peut être par un autre chemin et bloque qq part

Merci pour ta réponse
 
C'est effectivement ce que j'arrive comme conclusion à l'instant.
 
Quel serait la rêgle (théorique dirons nous) que j'aurais oubliée. ou plus simplement, que ferais-tu ?

Je lancerai un wireshark sur la machine destination du ping. Regarder comme quoi elle le renvoie bien et regarder à quelle routeur (via la mac de destination) le paquet part pour vérifier que c'est bien le bon routeur, puis aller de routeur en routeur voir où le paquet va.

malheureusement la machine de destination c'est une "black box"  
 
pas d'accès même pas physique

port en mirroring sur le switch

pas bête
 
pour l'instant en tentant de "truander" l'histoire,j'ai mis comme gateway à l'interface du routeur qui se trouve en 192.168.20.0/24 sa propre adresse. Là, le ping et la connexion fonctionnent bien.
 
J'ai du mal à m'expliquer le fonctionnement (dû surement à mon manque de connaissance).
 
Par contre en remote ça ne fonctionne toujours pas là ou ça devrait...

Euh dans ta table de routage tu as pas ton /21

celui là ?
 
192.168.168.0/21     link#1     U     0     1664019     1500     em0      

Oups suis aveugle

je suis rassuré de ce côté déjà
 
une idée de pourquoi j'ai dû mettre sa propre adresse comme gateway à l'interface qui est en 192.168.20.1 pour pouvoir communiquer avec la black box qui est derrière ?

Pas du tout.
 
Fais un schéma si tu peux histoire de voir plus clair

en gros :
 
192.168.168.5/21 <--->  (192.168.168.9/21) routeur (192.168.20.1/24) <--> 192.168.20.2/24
 
Le routeur a également plusieurs cartes sur d'autres réseaux qui elles sont connectées à internet (différents ISP)
 
Si je dit que l'interface du routeur 192.168.20.1/24 a comme GW elle même la communication se passe bien, si je l'enlève plus rien ne passe (je vois bien les trames partir, mais pas revenir)

Je sais pas trop suis pas expert sur pfsense mais là c'est comme s'il n'y avait pas de routage activé ou des règles de fw

c'est ce que je me dit mais je vois pas quoi

personne n'est inspiré ?

Cela fait bien longtemps que j'ai pu toucher à PFSense, mais à tout hasard, ta Black Box n'est pas sur une red/dmz interface qui aurait une règle implicite qui empêcherait ton "echo reply" de passer ?

en fait non car depuis le routeur ou depuis une workstation sur le même subnet, la "blackbox" répond au ping

Le routeur par défaut de la blackbox, c'est bien ton pfsense ?

c'est ce que me confirme le technicien...

hello,
 
retour d'info : c'est bien la blackbox qui avait quelque chose de foireux dans sa config. Elle n'avait pas de route par défaut et les DNS étaient douteux.
 
Passage en DHCP avec reserved lease et ça roule comme en 40

Nickel