OPNsense Forum
International Forums => French - Français => Topic started by: virtual_francky on July 14, 2019, 02:24:20 pm
-
Bonjour j'ai 4 interfaces sur mon OPNsense
- WAN
- LAN
- DMZ (Livebox)
- Backup
et je n'arrive pas à accéder à un NAS sur l'interface Backup avec les règles suivantes :
(https://nsa40.casimages.com/img/2019/07/14/190714022623356788.jpg) (https://www.casimages.com/i/190714022623356788.jpg.html)
(https://nsa40.casimages.com/img/2019/07/14/190714022623471352.jpg) (https://www.casimages.com/i/190714022623471352.jpg.html)
(https://nsa40.casimages.com/img/2019/07/14/190714022623726813.jpg) (https://www.casimages.com/i/190714022623726813.jpg.html)
De plus j'ai ce blocage dans les log que je ne comprend pas :
(https://nsa40.casimages.com/img/2019/07/14/190714022816667580.jpg) (https://www.casimages.com/i/190714022816667580.jpg.html)
(https://nsa40.casimages.com/img/2019/07/14/190714023123829606.jpg) (https://www.casimages.com/i/190714023123829606.jpg.html)
-
Quelles sont les adresses réseaux de tes interfaces ?
Il n'y a besoin que de l'interface backup et LAN.
Les autres n'ont aucune importance.
-
LAN : 192.168.100.254
BACKUP : 192.168.3.254
Mon PC est sur 192.168.100.20 et mon NAS 192.168.3.20, seul le PC doit avoir accès au NAS, et le NAS n'a pas accès au WAN, d'ou les autres règles.
-
Tes 2 règles sur ton interface backup ne servent à rien.
Il faut faire une règle dans l'interface Backup en mettant un Refuser sur
Source : Backup net
Destination : WAN net
Attention ta règle dans WAN autorise le réseau WAN à entrer dans tous tes réseaux interne (pas terrible)
La normalement ton PC du réseau lan doit avoir accès au NAS qui se trouve dans le réseau backup.
En fait c'est le PC qui accède au NAS et non l'inverse. Du coup ta règle d'autorisation dans l'interface backup ne sert à rien.
-
Tes 2 règles sur ton interface backup ne servent à rien.
Il faut faire une règle dans l'interface Backup en mettant un Refuser sur
Source : Backup net
Destination : WAN net
Attention ta règle dans WAN autorise le réseau WAN à entrer dans tous tes réseaux interne (pas terrible)
La normalement ton PC du réseau lan doit avoir accès au NAS qui se trouve dans le réseau backup.
En fait c'est le PC qui accède au NAS et non l'inverse. Du coup ta règle d'autorisation dans l'interface backup ne sert à rien.
Ok merci, bah j'ai tout faux, je vais corriger cela.
Pour la règle dans le WAN tu conseilles donc d'autoriser que les interfaces concernées, plutot que de tout accepter et rejeter sur Backup, car à la base, c'est ce que je voulais faire WAN -> All et Backup x WAN
Je pige pas pour le PC, si je fais cela c'est donc que par défaut il n'y a pas de communication entre LAN et Backup, or je pensais que par défaut sur OPNSense toutes les interfaces communiquent entre-elles, et que donc il faut mettre une règle pour bloquer.
Je pense que j'ai une mauvaise compréhension du fonctionnement d'un firewall, en relisant ton message, si j'ai bien compris la modification que tu me demandes sur Backup, empêche backup d'avoir accès au WAN, n'est ce pas, et donc si j'ai bien compris la réciproque est aussi vrai selon OPNSense, n'est-ce pas ?
Je voulais moi bloquer dans l'autre sens à savoir que ce qui vient de WAN ne rentre pas dans Backup, qu'elle est la différence dans ce cas ?
Merci pour ton aide.
-
Tu t'embarques dans tous les sens...
Je pensais que tu voulais pas que le sous réseau Backup ait accès au sous réseau WAN ?
Je pense en effet que c'est inverse non ? (parce que dans ce cas, comment ton NAS peut faire ses mise à jour ainsi que d'installer des plugins)
En effet, il te faut un peu de révision sur le fonctionnement d'un réseau.
Un réseau c'est complexe, mais les bases sont plutôt simple.
En fait, il faut regarder ca comme des iles reliées entre elles par des ponts.
Les ponts (pour y accéder) ont des flèches... Comme des voies réservées aux véhicules.
Et les voies ont plusieurs sous voies... Ce sont les ports... Sur ces ports, tu peux envoyer/recevoir des protocoles
Seul particularité, c'est que si ton pont à une seul voix (pour autoriser l'ile A à accéder à l'ile B par exemple, mais pas l'inverse), bien quand l'ile B recevra quelque chose, il peut répondre... mais de lui même ne peut accéder à l'ile A (sans avoir une demande).
Exemple : Quand tu accèdes au site TF1.fr, tu demandes donc une information à TF1.fr (sur une demande bien précise = protocole HTTP sur le port 80 ou 443)... donc TF1.fr te renvoie (répond, donc rentre entre guillemet sur ton PC) les informations de sa page à afficher sur ton écran... Mais toujours que sur le protocole et port que tu as initialisé... HTTP sur 80/443)
Par contre, si tu ne demandes rien, TF1.fr n'a pas les autorisations d'accéder à ton PC.
De base, normalement, OPNSense bloque les liaisons.
A vrai dire, je ne suis même pas sûr... Je fais toutes les règles (accept / block des entrées sorties) sur toutes les interfaces (sous réseau) par précaution.
Pour en revenir à ton besoin...
Si tu autorises tout le WAN à entrer, bah ta livebox ainsi que ses équipements relié dessus à accès à ton LAN et réseau Backup.
Je ne vois pas l'intérêt. C'est même dangereux.
Faut faire attention au sens des entrées/sorties.
Le mieux étant de faire l'inverse...
LAN --> WAN = Accept
Backup --> WAN = Accept
WAN --> LAN = Block
WAN --> Backup = Block
Donc dans tes différents interfaces, il faut spécifier les règles.
Simple non ? :)
-
Merci pour tes explications, j'ai appris un truc, je ne savais pas qu'une machine pouvait répondre si on l'interrogeais, alors que l'on a interdit la communication de ce sous réseau vers celui hote.
Pour clarifier la situation, dans mon réseau, La Livebox est en DMZ, elle fait donc ce qu'elle veut de son coté vis a vis du WAN, mais ne doit pas communiquer avec le LAN et le sous réseau Backup.
Backup lui doit être coupé du WAN, en effet c'est un simple WDCloud 3 To pour sauvegarder mon PC, mon NAS Multimédia est lui est bien sur le LAN.
Seul mon PC doit pouvoir accéder au sous réseau Backup.
Voila donc en gros la politique de sécurité de mon réseau.
-
Mouais...
Pas forcement besoin de créer un sous réseau pour la sauvegarde de ton PC...
En fait, je pars du principe que les données sur ton NAS Backup sont aussi sur ton PC (qui lui est dans le LAN).
Donc isolé la sauvegarde alors que les données sources sont sur le LAN... Pas trop d’intérêt. Autant faire une sauvegarde sur un moyen sécurisé et fermer tout les ports d'écoute de ton NAS backup qui ne servent pas (tous les autres sauf le protocole que tu utilises pour faire ta sauvegarde ainsi que l'accès à l'interface d'administration ainsi qu'au SSH si disponible --> d'ailleurs si SSH y est, le mieux étant de changer son port d'écoute)
Mais c'est un choix qui t'appartient.
Donc pour faire ce que tu veux, il faut mettre les règles suivantes :
Interface LAN
Etat : Accepter
Source : 192.168.100.20/32
Destination : 192.168.100.20/32
Passerelle : défaut
Interface LAN
Etat : Refuser
Source : LAN net
Destination : Backup net
Passerelle : défaut
Interface LAN
Etat : Accepter
Source : LAN net
Destination : WAN net
Passerelle : défaut
Interface LAN
Etat : Accepter
Source : LAN net
Destination : any
Passerelle : <ta passerelle = livebox>
Interface WAN
Etat : Refuser
Source : WAN net
Destination : Backup net
Passerelle : défaut
Interface WAN
Etat : Refuser
Source : WAN net
Destination : LAN net
Passerelle : défaut
Interface WAN
Etat : Accepter
Source : WAN net
Destination : any
Passerelle : <ta passerelle = livebox>
Interface Backup
Etat : Refuser
Source : Backup net
Destination : LAN net
Passerelle : défaut
Interface Backup
Etat : Refuser
Source : Backup net
Destination : WAN net
Passerelle : défaut
Interface Backup
Etat : Refuser
Source : Backup net
Destination : any
Passerelle : <ta passerelle = livebox>
Il faut aussi que tu rajoutes une route
Destination : 0.0.0.0/0
Passerelle : <ta passerelle = livebox>
Je pars du principe que tu as mis l'IP de ta Livebox en passerelle (ca coule de source)
Voilà, comme ca quelque soit le comportement par défaut de OPNSense, toutes tes règles sont écrites.
-
Merci pour toutes ces règles, j'ai pas vraiment eu le temps de creuser hier, mais lorsque j'ai testé en désactivant les miennes, je n'avais plus accès à Internet. Je reprendrai les tests surement ce soir.
-
J'ai pas eu le temps de regarder encore, mais un truc me chiffonne, pourquoi la passerelle serait-elle celle de la Livebox ?
Car dans mon cas la Livebox est complètement indépendante du système, elle est dans une DMZ et sert uniquement pour la téléphonie.
-
Pardon je n'avais pas vu que la Livebox était dans un sous réseau autre que le WAN.
As-tu une autre box d'accès internet dans le WAN ?
Dans ce cas, pourquoi ne pas faire un groupe de passerelle histoire d'avoir du failover sur tes liaisons internet ?
Parce que même si elle ne sert que pour de la téléphonie, c'est aussi un accès à internet (liaison DSL)... Donc autant en profiter.
-
Pas de soucis ;)
Non pas d'autre box internet, J'ai remplacé la Livebox fibre par PNSense en routeur/firewall, et j'ai mis la Livebox dans une DMZ juste pour la téléphonie.
La je suis coincé par un problème d'IPV6 que je n'arrive pas a obtenir, pourtant toute la config est bonne.
-
Tu te sers de ton OPNsense (celui-ci) pour remplacer ton routeur Fibre ?
Du coup tu fais de la connexion PPP ? (je sais même pas comment se connecte la fibre, c'est pas trop mon domaine, j'ai toujours été sur des liens DSL)
Quoi qu'il en soit, même si ça rajoute de la NAT je préfère garder un modem/routeur entre mon firewall OPNsense (ou autre) et la connexion Internet. Histoire que le firewall ne se tape pas toutes les tentatives de connexions indésirables.
Comme ça firewall ne se fait pas ralentir quand il a besoin de faire du routage interne.