Messages

Je pense que tu dois créer une route

En gros, si j'ai bien compris ton besoin, tu veux que host 2 puisse pinguer host 1 ?

Si c'est bien ca, c'est au niveau de host2 que ca se passe, pas d'opnsense.
Ton host2 au niveau de son paramétrage IP, c'est là que ca devrait, selon moi, se passer, ou du moins à l'équipement réseau sur lequel il est relié (son routeur / modem)
Tu dois rajouter une route qui lui indique que lorsqu'il souhaite joindre la plage IP d'host1, alors il doit passer par la passerelle wan2

Bon, faute d'aide ici, je bidouille...
J'ai tenté le tout pour le tout :
Supprimer toutes les NAT, et toutes les règles, sauf celle de base : ACCEPT ALL, sur mon vlan principal.

J'ai créé première règle pour permettre à OPNsense de répondre aux pings lorsqu'on interroge l'IP publique attribuée par l'opérateur, cela fonctionne ! CF mes règles WAN en screenshot.

Du coup j'ai créé des NAT :
80 et 443 qui redirigent vers une mon reverse proxy nginx
21 et 55536 - 56559 qui redirigent vers mon NAS
Cf les NAT en screenshot

Cela a créé automatiquement les règles dans le vlan WAN.
J'en ai profité pour créer une règle dans ce même vlan pour bloquer tout le reste, par principe.

Il me reste à comprendre comment créer une règle pour que mon nginx, via des protocoles http ou https, sur divers ports TCP, 80, 81, 443, 8080, 8091, 8123, 8443, 8765, 9000 et 55001, puisse joindre telle ou telle machine sur mes différents vlans.
Actuellement il fait bien son taf pour les cibles situées en DMZ comme lui, mais les autres cibles des autres vlans sont encore bloquées.

Sauf si quelqu'un me propose une solution avant, je finirais bien par trouver...auquel cas je donnerai l'explication ici, car j'imagine que si je galère, d'autres galèreront ou sont déjà en train de lutter...

Ah oui et quand je ping l'IP de la carte WAN du OPNsense, cela ping bien, mais quand je ping l'IP publique attribuée par mon opérateur, cela ne ping pas.
Je redis au cas où, la redirection au sein de la Freebox est bonne.

Tout le souci vient d'OPNsense dans mon cas.

A force de bidouiller, créer des règles, les modifier, supprimer, etc... Je pense que je vais finir par faire n'importe quoi à tel point que plus rien ne fonctionnera.

Quelqu'un pourrait-il m'aider svp ?

Je continue mon diag...
Je me suis concentré sur la redirection de port 21 qui pointe en DMZ vers mon NAS.
depuis un client FTP, lorsque je saisis l'IP WAN du pfsense, il redirige bien vers mon NAS.
Si je saisis en revanche l'IP WAN attribuée par mon FAI, ca tombe dans les choux.
Je confirme que dans la freebox l'ip WAN d'OPNsense est bien paramétrée en DMZ.
en PJ le screenshot de mes règles NAT, du coup mes Alias sont OK.
j'avais ce doute aussi mais ca fonctionne comme ca, il ne reste plus qu'à dire à opnsense d'accepter ces mêmes flux depuis internet...

Bonjour,
Décidément je n'y arrive pas !
Voilà ma situation en détails pour vous aider à comprendre :
Une Freebox en mode routeur, le WAN de mon OPNsense configuré en DMZ sur la BOX. (Je la laisse en routeur pour conserver le Freebox player, ce qui m'interdit de passer la Freebox en bridge)
Jusque-là pas de soucis.
Concernant OPNsense, c'est un mini PC HP t610 plus doté de 5 ports ETH.
Un pour le WAN, raccordé à la Freebox, les 4 autres sont tagués chacun sur un VLAN : DMZ, INFRA, SERVITUDE et etc...
Au sein des règles, j'interdis à la DMZ toute communication vers les autres vlan.
Le vlan INFRA a accès à tous les vlan, SERVITUDE et DATASTORE n'ont accès qu'à la DMZ
Et enfin les 4 vlan ont accès au WAN, donc à internet.
Ca, je crois que j'ai réussi à le mettre en place, des pings entre différentes vm semblent me le confirmer.

En revanche, j'ai 2 redirections de ports, sur les ports 80 et 443 TCP, donc provenant du WAN jusqu'à une vm (un hôte simple) en DMZ. Il s'agit d'un reverse proxy http
Et cet hôte doit, par le biais de certains ports, accéder à d'autres vm dans d'autres vlan.

Je n'y parviens pas.
Et le pire du coup c'est que je ne sais pas si cela vient des redirections de ports, ou des règles d'ouverture inter-vlan entre cet hôte et les autres hôtes ciblés.

Je joins des screenshots de mes règles NAT et des règles WAN DMZ et INFRA.

J'ai regardé un autre post concernant les NAT, mais j'avoue que la philosophie de cette manière de gérer les règles dans OPNsense autant que dans PFsense m'échappe.

Un peu d'aide serait vraiment bienvenue, je vous en remercie d'avance :)

J'ai fini par trouver, celà venait bien entendu de moi...
Une fois la configuration effectuée comme indiqué au dessus, lorsque je branche en tant que client DHCP mon pc sur le port physique em0, il se voit affecter l'ip sur a plage 192.168.1.x

Mais j'ai pensé au TAG sur l'ID 1 du VLAN.
en forcant ce TAG à 1 au lieu de 0 dans les paramètres avancés du driver de la carte réseau ethernet, il se voit obtenir une IP 10.0.0.51.

et l'accès au web UI est fonctionnel.

comme quoi un simple oubli...

Je viens de faire un reset to factory via la console, et j'ai recommencé....une énième fois.

donc en gros, le port LAN paramétré sur em0 affecte via dhcp une ip à l'ordi connecté en direct dessus sur la plage ip du port em0. (192.168.1.xx)
quand je change l'ip de em0 pour la passer en 10.0.0.2 (puisque 10.0.0.1 est utilisé par le vlan1), le PC une fois sa nouvelle ip affectée par le dhcp a bien acces au web gui sur 10.0.0.2

si je tagge le vlan 1 sur la carte eth de mon ordi, en espérant que ca prenne alors en compte le vlan paramétré sur le vlan taggé sur le port em0.... ben non, plus rien ne fonctionne.

en gros je veux que le web gui soit accessible depuis les 4 vlans, donc aussi bien sur 10.0.0.1 que 10.0.20.1 que 10.0.30.1.... ca c'est l'idéal.
mais bon, au moins accessible sur le vlan1 : 10.0.0.1
celui là est obligatoire.
mais pas sur le port em0, sur le vlan1
et j'ai beau chercher je ne vois pas comment faire.

j'ai même tenté de supprimer les 4 ports em0 1 2 et 3 pour ne conserver que le wan bge0 et les 4 vlans. mais là, plus acces au web gui , car en fait plus rien ne fonctionnait, et la console ne m'indiquait plus un acces actif sur le web gui.
en fait j'ai l'impression que les vlans sont créés, leurs ip et dhcp également, mais que rien ne fonctionne ou n'est actif.

J'ai vraiment besoin d'aide là svp

Bonjour,
Je me casse les dents sur la configuration initiale d'OPNsense sur un mini pc HP doté de 1 port eth interne et d'une carte additionnelle disposant de 4 ports eth.

Carte interne: bge0
Les 4 ports supplémentaires : em0 em1 em2 et em3

Ce que je cherche à faire :

WAN    -> bge0, en DHCP
LAN :
vlan1   -> em0 - 10.0.0.1/24 avec serveur dhcp actif de 10.0.0.51 à 10.0.0.254
vlan20 -> em1 - 10.0.20.1/24 avec serveur dhcp actif de 10.0.20.51 à 10.0.20.254
vlan30 -> em2 - 10.0.30.1/24 avec serveur dhcp actif de 10.0.30.51 à 10.0.30.254
vlan40 -> em3 - 10.0.40.1/24 avec serveur dhcp actif de 10.0.40.51 à 10.0.40.254

Sur le principe, j'y parviens. Mais la carte em0 dispose toujours de l'ip par défaut en 192.168.1.1/24 et lorsque je connecte un ordi en DHCP il se voit affecter une ip en 192.168.1.100 donc sur la mauvaise plage d'ip, je voudrais qu'il se retrouve sur le vlan1.

J'ajoute qu'une fois finalisé, il y aura un switch L2 derriere le routeur et que les 4 premiers ports sont taggés respectivement sur les vlans 1 20 30 et 40.
Je remplace mon routeur actuel par un opnsense, donc je ne veux que faire un copier/coller de la conf ip/vlans dans un premier temps, afin que tout soit fonctionnel, je verrouillerai via des règles de parefeu juste après, mais une question/pb à la fois.

help me please :)