[RESOLU]
Bonjour, je me permets de voir si on peut m'aider parce que je coince avec la nécessité d'ouvrir des ports pour un prestataire pour qu'il puisse accéder à un matériel en interne avec des ports spécifiques.
Mon OPNSense est derrière une boxe internet Orange en mode bridge.
J'ai créé les règles sur l'interface WAN, les alias, le NAT mais ça ne fonctionne pas pour le prestataire externe, ni depuis une vérif yougetsignal ni en regardant depuis le diagnostique du Pare-Feu.
Bonjour,
tu devrais avoir juste une règle NAT source sur ton interface LAN avec un port externe (en source) identifié qui renvoie en interne (en destinataire) sur le port attendu de ton équipement. Tu peux indiquer quelle est l'adresse IP qui peut entrer (en source) s'il n'y en a qu'une sinon il te faut créer un alias en effet et avoir ton IP d'équipement en destinatation.
Attention au protocole pour ne pas contraindre trop, laisse peut-être any au départ et ressert ensuite à celui attendu.
Tu peux aussi ouvrir à toutes les IP externes si tu peux avoir ton prestataire au téléphone au moment où tu paramères pour faire les tests et restreindre ensuite.
Bonjour,
Il faut également une règle de firewall pour autoriser le trafic entrant sur l'interface WAN : un Destination NAT seul ne suffit pas, il faut aussi une règle de firewall ;-)
Le NAT et les règles de filtrage (Firewall) sont deux choses distinctes : Si vous créez une règle de Destination NAT (Port Forward) sans règle de pare-feu correspondante, le paquet sera correctement traduit vers l'IP de votre serveur local, mais le pare-feu le bloquera immédiatement après.
Ci dessous, exemple de trafic bloqué AVANT application d'une règle firewall à destination du port TCP:5000 sur l'interface WAN et AUTORISÉ après la mise en œuvre de la règle de firewall.
FW RULES.jpg
Bonjour,
Merci pour vos pistes de réflexions !
Le problème venait dû fait qu'il n'y avait pas d'association de règle de filtrages avec les redirections de ports...
Problème réglé.
Quote from: Steven_RHD on June 09, 2026, 09:27:40 AMBonjour,
Merci pour vos pistes de réflexions !
Le problème venait dû fait qu'il n'y avait pas d'association de règle de filtrages avec les redirections de ports...
Problème réglé.
Cool ;-)
Je me suis fait avoir également (de mémoire lors du passage en V24 ou V25 je pense), la création d'un DNAT ne fabrique pas automatiquement la règle firewall associé, il faut le préciser (exemple en V26 ci dessous plus bas). Pour ma part, je laisse le réglage en manuel & je fais la règle à la main => Je préfère contrôler la création des règles par moi même ;-)
DNAT FW.jpg