OPNsense Forum
International Forums => French - Français => Topic started by: Baliste on September 26, 2018, 02:50:03 pm
-
Bonjour,
Chez un client pour une nouvelle configuration réseau je vais monter un OPNsense avec plusieurs pattes (cartes réseaux) qui géreront différents LANs.
Le but est que ces différentes interfaces accédent au WAN mais ne communiquent pas entre elles.
Par exemple l'une des interfaces gère des bornes Wi-Fi et l'on ne veut pas qu'elles accédent au LAN principal.
La règle de base créée par OPNSense est :
IPv4 * LAN * * * * Default allow LAN to any rule
Les postes sur cette interface communiquent bien avec le WAN. C'est OK.
J'ai voulu restreindre la règle en lui disant que le LAN ne peut communiquer qu'avec le WAN, mais ça ne marche pas ou pas bien, je perds la connection avec le WAN.
IPv4 * LAN * WAN * * Allow LAN to WAN only
Mon OPNsense est également serveur DHCP et passerelle, est-ce que cela joue ?
Qu'ai-je oublié ?
Et sinon, ais-je besoin de vouloir restreindre la communication entre les interfaces ou est-ce là règle de base ?
Merci de votre aide ...
Frédéric
-
segment 1
carte 1
- sources carte 1, > wan
- ! sources carte 2 > carte 1
- ! sources carte 3 > carte 1
- ! sources carte 4 > carte 1
- ! sources carte ... > carte 1...
carte 2
- sources carte 2, > wan
- ! sources carte 1 > carte 2
- ! sources carte 3 > carte 2
- ! sources carte 4 > carte 2
- ! sources carte ... > carte 2...
...
normalement aucune carte autre que le segment que vous avez ne pourra pas aller ailleur que sur le wan
dans les grandes lignes c'est ca.
-
Bonjour,
Justement cette configuration ne fonctionne pas.
La règle :
IPv4 * LAN2 * WAN * * Allow LAN2 to WAN only
bloque la communication avec le WAN. Je ne sais pas pourquoi, un pb de passerelle ? Ce n'est pas un pb de DNS car je fait mes tests avec des IPs (1.1.1.1 ou 8.8.8.8)
La règle :
IPv4 * LAN2 * * * * Allow LAN2 to ALL
Permet la communication avec le WAN mais avec les autres interfaces également.
Le truc bizarre est que si je mets la règle
IPv4 * LAN2 * * * * Allow LAN2 to ALL
et fait un ping vers 1.1.1.1 la connectivité est OK
Mais si je remets la règle
IPv4 * LAN2 * WAN * * Allow LAN2 to WAN only
Le ping déjà en cours continue de fonctionner mais un ping vers une autre adresse lui ne passe pas.
Ensuite, si je stoppe le ping qui est fonctionel que j'attends plus de 10 secondes (environ) et que je le relance, alors là il ne passe plus ...
Un problème de persistance des connexions ?
J'aimerais bien comprendre ...
Merci,
Frédéric
-
Il faut avoir une vision inverse
La première règle sur le LAN2 doit etre
Block .....IPv4+6......source *......port *.......destination lan_net1......port *......passerelle *.....
Block .....IPv4+6......source *......port *.......destination lan_net3......port *......passerelle *.....
Block .....IPv4+6......source *......port *.......destination lan_net4......port *......passerelle *.....
La première règle sur le LAN3 doit etre
Block .....IPv4+6......source *......port *.......destination lan_net1......port *......passerelle *.....
Block .....IPv4+6......source *......port *.......destination lan_net2......port *......passerelle *.....
Block .....IPv4+6......source *......port *.......destination lan_net4......port *......passerelle *.....
Et tu fais ca sur chaque port LAN
-
Donc,
Pour chacune de mes interfaces (sauf le WAN), je met :
1) Les règles d'autorisation spécifiques
2) Les règles d'interdiction aux autres LAN
3) La règle d'accès au WAN
Donc par exemple, si je veux laisser l'accès au "Serveur1" sur le LAN1 depuis les autres LAN :
LAN1
Autoriser : IPv4+6......source *......port *.......destination Serveur1......port *......passerelle *.....
Bloquer : IPv4+6......source *......port *.......destination lan_net2......port *......passerelle *.....
Bloquer : IPv4+6......source *......port *.......destination lan_net3......port *......passerelle *.....
Autoriser : IPv4+6......source *......port *.......destination *................port *......passerelle *.....
LAN2
Autoriser : IPv4+6......source *......port *.......destination Serveur1......port *......passerelle *.....
Bloquer : IPv4+6......source *......port *.......destination lan_net1......port *......passerelle *.....
Bloquer : IPv4+6......source *......port *.......destination lan_net3......port *......passerelle *.....
Autoriser : IPv4+6......source *......port *.......destination *................port *......passerelle *.....
LAN3
Autoriser : IPv4+6......source *......port *.......destination Serveur1......port *......passerelle *.....
Bloquer : IPv4+6......source *......port *.......destination lan_net1......port *......passerelle *.....
Bloquer : IPv4+6......source *......port *.......destination lan_net2......port *......passerelle *.....
Autoriser : IPv4+6......source *......port *.......destination *................port *......passerelle *.....
Ça fait sens ...
Par contre, ce que je ne comprend toujours pas c'est pourquoi ma règle d'accès au WAN doit être (pour LAN1) :
Autoriser : IPv4+6......source *......port *.......destination *................port *......passerelle *.....
Au lieu de :
Autoriser : IPv4+6......source LAN1......port *.......destination WAN ................port *......passerelle *.....
Merci de m'aider à comprendre cette étape !
Frédéric
-
Salut, je ne comprend pas pourquoi tu met le WAN dans ton tableau puisque tu veux juste interdire du lan1 to lan2 par exemple.
Dans ta règle de Firewall LAN1 tu met :
Source LAN1 net, Destination LAN2 net, Action block et voilà le LAN1 n'accèdera pas au LAN2 mais naviguera sur internet.
Attention également à ta remarque "Ensuite, si je stoppe le ping qui est fonctionel que j'attends plus de 10 secondes (environ) et que je le relance, alors là il ne passe plus ...
Un problème de persistance des connexions ?"
Il faut faire un States Reset sinon effectivement tu risque d'avoir des problèmes ;)
-
Je me réponds à moi-même : -)
En fait, de base, la communication entre les différentes interfaces est bloquée et doit être ouverte par une règle si besoin.
Mon erreur était que pour autoriser l'accès Internet depuis les différentes interfaces, j'autorisais tout Y COMPRIS la communication inter-interfaces.
Pour autoriser l'accès Internet il faut voir ce post https://forum.opnsense.org/index.php?topic=12456.0 ...