[RESOLU] [PfSense] Sortir et rentrer dans son LAN, Me voilà avec une livebox maintenant !

[fmereo]

Hello les poteaux !

Je teste un routeur sous PfSense et je me retrouve avec une galère de paramétrage surement très bête mais je ne trouve pas la solution malgré mes nombreuses recherches…

J'arrive à nater sans souci mes ports réseau pour accéder aux différents services de mon serveur depuis l'extérieur mais par contre impossible d'y accéder depuis l'endroit où est hébergé le serveur (donc mon LAN)…

Mon serveur fait serveur de messagerie et j'ai paramétré les comptes IMAP et SMTP via mon sous-domaine MX (et non pas via l'IP LAN car là je pense que celà fonctionnerait très bien mais ce n'est pas le but, ma machine cliente étant une machine itinérante, je ne tiens pas à changer sa config selon que je sois sur mon LAN ou pas)…

Du coup je n'arrive pas à relever mes mels quand je suis sur mon LAN avec ce routeur PfSense… Quand j'utilise mon routeur Netgear, pas de souci (ma freebox étant en mode pont, elle laisse tout passer)…

Avez-vous une idée du paramétrage que je dois faire au niveau de PfSense pour ne plus avoir ce souci ?

Merci par avance de vos lumières…

Ce message a été modifié par fmereo - 19 May 2014, 11:24.

[PoneyBoy]

Salut!

Si je comprends bien, il faut que tu ailles dans l'interface, dans le menu System, puis Advanced. Dans une case qui s'appelle Network Address Translation, tu as une seule entrée qui s'appelle Disable NAT Reflexion. Elle devrait être cochée par défaut. Si c'est bien le cas, décoches-la.

Ce message a été modifié par PoneyBoy - 11 May 2014, 20:03.

[trouspinette]

Salut!

Si je comprends bien, il faut que tu ailles dans l'interface, dans le menu System, puis Advanced. Dans une case qui s'appelle Network Address Translation, tu as une seule entrée qui s'appelle Disable NAT Reflexion. Elle devrait être cochée par défaut. Si c'est bien le cas, décoches-la.

Bonne réponse de PoneyBoy, c'est cette fonction qu'il faut utiliser.

Mais fais donc un SplitDNS au lieu de NAT Reflection :

A preferable alternative to NAT reflection is deploying a split DNS infrastructure. Split DNS refers to a DNS configuration where your public Internet DNS resolves to your public IPs, and DNS on your internal network resolves to the internal, private IPs. The means of accommodating this will vary depending on the specifics of your DNS infrastructure, but the end result is the same. You bypass the need for NAT reflection by resolving hostnames to the private IPs inside your network.

Disable
No NAT Reflection will be done by default, but it may be done on a per-rule basis.

Enable (NAT + Proxy)
The NAT + proxy mode uses a helper program to send packets to the target of the port forward. It is useful in setups where the interface and/or gateway IP used for communication with the target cannot be accurately determined at the time the rules are loaded. Reflection rules are not created for ranges larger than 500 ports and will not be used for more than 1000 ports total between all port forwards. This mode does not work reliably with UDP, only with TCP. Because this is a proxy, the source address of the traffic, as seen by the server, is the firewall's IP address closest to the server.

Enable (Pure NAT)
The pure NAT mode uses a set of NAT rules to direct packets to the target of the port forward. It has better scalability, but it must be possible to accurately determine the interface and gateway IP used for communication with the target at the time the rules are loaded. There are no inherent limits to the number of ports other than the limits of the protocols. All protocols available for port forwards are supported. If you choose this option, and your servers are on the same subnet as your clients, you will also need to check Enable automatic outbound NAT for Reflection a few options down the page from here.

[cyril2660]

J'ai pas bien compris. Tu as une livebox en amont du pfsense ?
Si oui c'est elle qui interdit de sortir et ré-entrer sur ton LAN.

[fmereo]

@Trouspinette et PoneyBoy : merci je vais regarder ça, je me doutais que c'était une option à la con et que je ne cherchais pas au bon endroit mais ça m'a rendu dingo…

@ cyril2660 : Désolé pour la mauvaise formulation, j'ai voulu faire de l'humour en nommant le phénomène connu de la LiveBox qui empêche de "sortir pour rentrer" dans son propre LAN, je suis bien connecté via une Freebox qui (logiquement) ne pose pas trop de souci à ce niveau-là (sauf quand on ne connait pas PfSense)…

[PoneyBoy]

Ouais mais les Livebox elles ont un loopback de merde...

[fmereo]

Oui, justement

[PoneyBoy]

Personnellement j'ai commencé par faire la manip que je t'ai précisé. Je commence toujours par remettre en marche NAT reflection. Une fois que ça marche je passe à la manip suivante précisée par trouspinette.

[fmereo]

Yep j'aurais clairement dû commencer par ça… Sauf que je ne savais pas où trouver cette cochonnerie d'option (alors que finalement, c'est assez logique)…

[trouspinette]

Yep j'aurais clairement dû commencer par ça… Sauf que je ne savais pas où trouver cette cochonnerie d'option (alors que finalement, c'est assez logique)…

Et alors, ça marche maintenant ???

[lexa]

apparement non, lol, il semble qu'il ait carrément niqué son accès internet !!

[fmereo]

Je suis en déplacement aujourd'hui et demain, j'espère pouvoir tester ça mercrfedi… Je vous tiens au jus… (et non je n'ai, pour l'instant, rien niqué )…

[PoneyBoy]

(et non je n'ai, pour l'instant, rien niqué )…

Alors pourquoi tu nous parles de jus?

[fmereo]

ça doit être mon coté Clo-Clo

[fmereo]

Bon après 2-3 tests, ça farte nickel ! Merci les poteaux…

Faudra que je vous fasse une capture d'écran car l'option se trouvait dans un popupmenu et non pas une case à cocher (dernière version release de PfSense)…

Ce message a été modifié par fmereo - 14 May 2014, 13:54.

[PoneyBoy]

Oh oui une capture !! J'espere que pas trop de choses ont changé car j'ai publié un tuto hier... Ce serait chiant !

[fmereo]

OK je vais te faire ça, pas de souci…

[PoneyBoy]

Merci mon canard bleu.

[fmereo]

Houlà, on devient bien familier mon petit sucre d'orge

Allez chose promise, chose due, voici les captures concernant mon souci, n'hésite pas si tu en veux d'autres…

voici l'écran de System:Advanced :
 admin_access.png ( 239.91 Ko ) Nombre de téléchargements : 40


et celui de l'onglet Firewall/NAT :
 Firewall_NAT.png ( 230.81 Ko ) Nombre de téléchargements : 40


Et la fin de l'écran précédent avec le popupMenu concernant le NAT Reflection :
 Nat_reflection.png ( 230.05 Ko ) Nombre de téléchargements : 46


Ma version de PfSense :
2.1-RELEASE (i386)
built on Wed Sep 11 18:16:22 EDT 2013
FreeBSD 8.3-RELEASE-p11

Ce message a été modifié par fmereo - 14 May 2014, 19:30.

[fmereo]

Humm… J'ai crié victoire trop vite dirait-on…

Maill.app me déconnecte au bout de 10 minutes après son lancement… Je n'ai peut-être pas activé ce qu'il fallait au niveau du routeur…

Ce message a été modifié par fmereo - 14 May 2014, 19:57.

[trouspinette]

Humm… J'ai crié victoire trop vite dirait-on…

Maill.app me déconnecte au bout de 10 minutes après son lancement… Je n'ai peut-être pas activé ce qu'il fallait au niveau du routeur…

???
Si tu as autorisé tout le traffic sortant LAN => WAN, tu ne dois pas avoir de problèmes...

Et que dit les logs Mail.app ? Tu n'as pas de déconnexion WAN ?

[fmereo]

Non pas de déconnexion WAN puisque je continue de surfer trankillou… Je vais regarder ça de plus près ce soir car c'est chelou…

Sinon mon réglage est bien le bon ?

[trouspinette]

Non pas de déconnexion WAN puisque je continue de surfer trankillou… Je vais regarder ça de plus près ce soir car c'est chelou…

Sinon mon réglage est bien le bon ?

Coche aussi ces deux options :
 NAT_Reflection_Advanced.png ( 63.95 Ko ) Nombre de téléchargements : 35

[fmereo]

Merci Trouspinette, j'avais essayé de cocher ces cases au début mais c'était avant que je modifie le popupmenu… On dirait que tout cumulé fonctionne… Je vais faire plus de tests ce WE et je vous dirais…

[fmereo]

Bon 3 jours de tests et tout semble rocker

Merci à tous.