OPNsense Forum

International Forums => French - Français => Topic started by: moops on February 12, 2016, 02:08:59 pm

Title: Configuration simple ?
Post by: moops on February 12, 2016, 02:08:59 pm
Bonjour à tous,

Je veux mettre un routeur/ firewall comme sous réseau d'un réseau livebox.

Voici le schéma :

[livebox]------------[wan dhcp 19.168.1.1] opnsense [lan ip fixe 192.168.2.1+dhcp]---------------[client 192.168.2.10]


Tout ce passe bien jusqu'au moment ou je veux atteindre internet.
je n'arrive pas a accède au web depuis le client alors que les port lan sont ouverts.
je "ping" la livebox, je la trouve.

j'ai fait un essai avec Monowall et en configurant sommairement, j'y suis arrivé sans aucun problème en indiquant les DNS de la Livebox. tout fonctionnait à merveille. Monowall est un peu limité, il lui manque le ssl dont je me sert en permanence.

Sur OPNsense, avec les mêmes DNS...rien à faire.

Ai-je omis quelque chose?

Merci pour vos réponses.
Title: Re: Configuration simple ?
Post by: domg on February 12, 2016, 07:09:06 pm
Bonjour et bienvenu moops :)

J'utilise souvent la configuration après installation pour mes tests et je ne rencontre pas de soucis particulier.
Quelle est le type de matériel utilisé et version OPNsense ?

Dans un premier temps, il faut vérifier qu'OPNsense accède correctement à internet via la livebox et que tout est à jour (16.1.2).

Par défaut, le serveur DHCP fourni la passerelle par défaut et DNS  avec comme IP l'adresse LAN OPNsense, vérifie côté client si les informations DHCP sont correctes.

Il nous faut donc plus d'informations :)
Title: Re: Configuration simple ?
Post by: moops on February 13, 2016, 09:59:45 am
Bonjour,

La machine de test est un vieux Pentium 2 avec deux cartes réseaux reconnue, en vue d'un futur upgrade machine si le projet est viable (stabilité etc..).La version d' opnsense est la 16.1 de l'installation.

Voici le schéma de connexion.

Web---[ Livebox 192.168.1.1/24 DHCP]--------[Wan ipfixe 192.168.1.17/24 (DNS de la livebox)] -- block default>firewall rules< Pass "any" --[ Lan 192.168.2.1/24 - Passerelle 192.168.2.1 DHCP range: 192.168.2.10>192.168.2.150]----------------- [client 192.168.2.10/24]

Pour le pc "opnsense"
- ping 192.168.2.1   (ping passerelle) OK
- ping 192.168.1.1   (ping livebox) OK
- ping orange.fr      OK
 
Tous les "pings" donnent une réponse positive. du coté wan tout semble fonctionner pour joindre internet

Pour le pc "client"
- ping 192.168.2.1   (ping passerelle) Oui
- ping 192.168.1.1   (ping livebox) Non
- ping orange.fr      Non

... Je sèche.

Voici le resultat ifconfig (machine client sous linux) : adr: 192.168.2.10 Bcast: 192.168.2.255 Masque 225.255.255.0

informations de connexion de la carte auto eth0

adresse ip                                    192.168.2.10
adresse de broadcast                192.168.2.255
masque de sous-réseau            255.255.255.0
Route par défaut                         192.168.2.1
DNS primaire                               192.168.2.1



Pour les "rules" du firewall

Firewall>rules>Lan

1. pass > *|*|*| LAN address| 80|*|*| Anti -Lockout Rule

2 pass >  ipv4|Lan net|*|*|*|*| none| Default allow Lan ipv4 to any rule

3 pass >  ipv6|Lan net|*|*|*|*| none| Default allow Lan ipv6 to any rule
Title: Re: Configuration simple ?
Post by: domg on February 13, 2016, 04:35:42 pm
Bonjour,

Tout semble correct, est-ce que l'option "block private networks" sur l'interface WAN est bien décochée ?
Title: Re: Configuration simple ?
Post by: moops on February 13, 2016, 05:45:37 pm
oui, décochée.
Title: Re: Configuration simple ?
Post by: domg on February 13, 2016, 08:17:40 pm
Et du côté du NAT, menu Firewall: NAT: Outbound par défaut c'est en mode automatique.
As-tu réalisé des analyses de trames avec tcpdump ?
Title: Re: Configuration simple ?
Post by: Kuragari on February 15, 2016, 02:12:48 pm
Bonjour,

je rattrape le train en route ;)

C'est quel modèle de livebox, je sais que certaine livebox ne sont pas capable d'ajouter quoi que ce soit dans leur table routage pour les réseaux privés, ce qui explique le routeur opnsense lui même fonctionne puisqu'il est client direct de la livebox (192.168.1.0/24) mais que des sous réseaux derrière l'opnsense ne fonctionne pas (192.168.2.0/24) a cause du fait que la livebox n'est pas capable de reconnaitre ce sour réseau derrière l'opnsense.

Je recommande également de mettre une ip fixe sur la pate WAN de l'opnsense et de coller cette adresse en temps que DMZ sur la livebox. En théorie le problème ne vient pas de cela mais ça ne fait pas de mal car à l'avenir certaines choses ne fonctionneront pas a cause de cela.

Si ip fixe ne pas oublier de rajouter la default gateway dans System --> Gateway et ensuite de l'affecter sur l'interface WAN dans le champs IPv4 Upstream Gateway.

Test tout bête à faire également une machine coté WAN avec une ip, un coté LAN et faire un test de ping. Si ça passe l'opnsense est ok.

Mais en résumé moi je penche grandement pour un problème sur la livebox qui n'a pas la route retour. Elles n'ont jamais été franchement réputé pour leur fiabilité, la couche logiciel et une vrai merde (ma grand mère coderais mieux que les mec d'orange).
Title: Re: Configuration simple ?
Post by: Kuragari on February 15, 2016, 02:29:34 pm
Une autre petite chose, dans le NAT, est ce que tu es en mode : Automatic outbound NAT rule generation ?

Cela devrais te générer automatiquement une ligne du genre (moi j'ai plusieurs sous réseau privé, 10.0.1.0/24, 172.16.99.0/24 et 192.168.99.0/26) :

WAN   127.0.0.0/8 10.0.1.0/24 172.16.99.0/24 192.168.99.0/26   *   *   *   WAN address   *   NON   Règle auto créée

Les règles du firewall m'ont l'air correct.
Title: Re: Configuration simple ?
Post by: domg on February 15, 2016, 02:31:23 pm
Une autre petite chose, dans le NAT, est ce que tu es en mode : Automatic outbound NAT rule generation ?

Cela devrais te générer automatiquement une ligne du genre (moi j'ai plusieurs sous réseau privé, 10.0.1.0/24, 172.16.99.0/24 et 192.168.99.0/26) :

WAN   127.0.0.0/8 10.0.1.0/24 172.16.99.0/24 192.168.99.0/26   *   *   *   WAN address   *   NON   Règle auto créée

Les règles du firewall m'ont l'air correct.

Pourtant m0n0wall semble fonctionner avec la livebox et OPNsense est censé faire du NAT donc la livebox ne devrait voir que l'ip WAN d'OPNsense
Title: Re: Configuration simple ?
Post by: Kuragari on February 16, 2016, 09:09:27 am
c'est possible qu'avec m0n0wall ça fonctionne grace a une autre mécaniste type upnp mais que d'un point de vue réseau pur ça soit pas bon.

Faudrait voir les logs.

Mais à mon sens déjà sur la configuration faut que l'opnsense soit en DMZ (même si cela doit fonctionner sans ça). On souhaite en fait que la livebox soit juste un modem permettant l'accès à internet ne gérant que la TV et la téléphonie et que tout le reste du flux soit géré par notre routeur opnsense. S'il n'est pas en DMZ ça marchera pour des truc simple de navigation mais dès qu'il va falloir un flux retour ça bloquera.

A titre d'exemple ma configuration pour mon réseau LAN (je ne décris pas ma DMZ mais ça marche avec autant de sous réseau interne qu'on veut).

LAN OPNSense 10.0.1.0/24 --> OPNSense --> WAN Opensense 192.168.1.2/24 --> interface LAN Livebox 192.168.1.1/24 --> Livebox --> Internet

Conf, voir captures jointes. Je fais plusieurs post car on est restraint dans le nombre de screenshoot.

La livebox je part de la conf de base et j'effectue les changements des captures. firewall faible, DMZ, couper le wifi, couper upnp.

Je suis avec une livebox Pro 3 mais c'est exactement la même chose avec une livebox Play, je l'ai fait fonctionner avec d'ailleurs car j'ai une ligne particulier derrière ma livebox donc rien de spécial à ce niveau là. Avec une Livebox 2 ça doit marcher également.
Title: Re: Configuration simple ?
Post by: Kuragari on February 16, 2016, 09:09:56 am
Suite capture
Title: Re: Configuration simple ?
Post by: Kuragari on February 16, 2016, 09:10:24 am
Suite capture
Title: Re: Configuration simple ?
Post by: Kuragari on February 16, 2016, 09:10:36 am
Suite capture