1
16.7 Legacy Series / Re: How to test the development version
« on: July 04, 2016, 07:07:43 pm »
Hi, any command line to switch from 16.1 to 16.7 ?
Best regards
Best regards
Show Posts
This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.
2
16.1 Legacy Series / Unbound and CNAME
« on: June 25, 2016, 09:42:43 pm »
Hello, i use Unbound (DNS Resolver) on OPNSense and i want use google safe search on my LAN.
Google say to use a CNAME entry for www.google.com to forward to forcesafesearch.google.com. My problem is i don't have option to add CNAME in the Web GUI of DNS Resolver (only A and MX entry).
Anyway to do this.
My final goal is to have the most secure web access for my child. I think use Squid Remot ACL to disable some category (i have make some test but these Remote ACL don't block google image of porn images).
best regard
Google say to use a CNAME entry for www.google.com to forward to forcesafesearch.google.com. My problem is i don't have option to add CNAME in the Web GUI of DNS Resolver (only A and MX entry).
Anyway to do this.
My final goal is to have the most secure web access for my child. I think use Squid Remot ACL to disable some category (i have make some test but these Remote ACL don't block google image of porn images).
best regard
3
French - Français / Re: Alix 2D13
« on: June 21, 2016, 03:44:32 pm »
A mon avis 2Go de RAM ça doit passer facile.
Moi actuellement en mémoire j'ai ça : 1046/4049 MB
J'utilise Traffic Shapper, IDS/IPS, DNS, DHCP, VPN IPSec, NTP Server. J'ai a un moment utilisé également le proxy et je ne dépassais tellement les valeurs actuelles.
Donc j'en déduis que 2Go de RAM c'est large.
Moi actuellement en mémoire j'ai ça : 1046/4049 MB
J'utilise Traffic Shapper, IDS/IPS, DNS, DHCP, VPN IPSec, NTP Server. J'ai a un moment utilisé également le proxy et je ne dépassais tellement les valeurs actuelles.
Donc j'en déduis que 2Go de RAM c'est large.
4
French - Français / Re: Configuration WAN LAN
« on: June 13, 2016, 06:38:45 pm »
Pour désactiver le DHCP il faut aller dans Services --> DHCP --> Serveur --> LAN et décocher la case.
Il faut bien évidement que l'interface LAN d'OPNSense soit dans le même plan d'adresse que tes clients est serveurs puisque c'est ta passerelle par défaut. Si ce n'est pas le cas alors tes machines clientes ne communiqueront qu'entre elle puisque fautes de passerelle valide elles ne peuvent pas changer de sous réseau.
Ceci est valable pour tout environnement réseau peu importe la marque de routeurs, serveurs, etc. C'est de la configuration de base de réseau.
Avec le DHCP d'OPNSense de coupé la serveur Windows aura donc la charge de distribuer les ip ainsi que les options DHCP qui devront être correct.
Il faut bien évidement que l'interface LAN d'OPNSense soit dans le même plan d'adresse que tes clients est serveurs puisque c'est ta passerelle par défaut. Si ce n'est pas le cas alors tes machines clientes ne communiqueront qu'entre elle puisque fautes de passerelle valide elles ne peuvent pas changer de sous réseau.
Ceci est valable pour tout environnement réseau peu importe la marque de routeurs, serveurs, etc. C'est de la configuration de base de réseau.
Avec le DHCP d'OPNSense de coupé la serveur Windows aura donc la charge de distribuer les ip ainsi que les options DHCP qui devront être correct.
5
French - Français / Re: Configuration WAN LAN
« on: June 09, 2016, 10:06:04 am »
Surtout pas, il faut que chaque interfaces (quel qu'elles soient, LAN WAN, vlan, IPSec, etc) soit sur un sous réseau distinct.
C'est de cette manière que le routeur sait où aiguiller les informations.
C'est de cette manière que le routeur sait où aiguiller les informations.
6
French - Français / Re: Configuration WAN LAN
« on: June 09, 2016, 09:21:53 am »
ok, donc pour moi pas de souci majeur. Faut juste déterminer comment fonctionne ce fameux BIO pour savoir comment configurer le routeur opnsense
7
French - Français / Re: Configuration WAN LAN
« on: June 06, 2016, 01:28:15 pm »
Un petit Schéma de ce que tu devrais avoir normalement :
Serveurs, Clients --> Switch --> LAN OPNSense --> Ton routeur OPNsense --> WAN OPNSense --> Fournisseur d'accès.
Ton LAN OPNSense a un adressage IP privé.
Ton WAN OPNSense aura soit une ip publique, soit plusieurs ip public (si on te fourni un sous réseau), soit un IP privé auquel cas il y aura simplement un double NAT.
Serveurs, Clients --> Switch --> LAN OPNSense --> Ton routeur OPNsense --> WAN OPNSense --> Fournisseur d'accès.
Ton LAN OPNSense a un adressage IP privé.
Ton WAN OPNSense aura soit une ip publique, soit plusieurs ip public (si on te fourni un sous réseau), soit un IP privé auquel cas il y aura simplement un double NAT.
8
French - Français / Re: Configuration WAN LAN
« on: June 06, 2016, 01:24:44 pm »
Bonjour,
Très honnêtement j'ai rien compris a ton architecture.
La patte LAN doit être coté de ton réseau local et la patte WAN vers l'accès internet. Donc tes serveurs, clients, switch, etc devrais être coté LAN. Par défaut on considère le WAN comme non sécurisé donc aucun accès n'est autorisés en entré sur l'interface WAN.
Ensuite pour l'accès à internet sur la patte WAN, je ne sais pas ce qu'est BIO SDSL, c'est quoi l'équipement, le fournisseur d'accès. Le plus important va être de savoir si ton équipement accès BIO SDSL fait déjà du NAT ou te fourni une adresse IP publique que ton OPNSense pourra utiliser.
Une fois le point numéro 2 éclairci on pourra alors envier ce qu'on peut faire au niveau de l'adressage IP.
Cdt,
Très honnêtement j'ai rien compris a ton architecture.
La patte LAN doit être coté de ton réseau local et la patte WAN vers l'accès internet. Donc tes serveurs, clients, switch, etc devrais être coté LAN. Par défaut on considère le WAN comme non sécurisé donc aucun accès n'est autorisés en entré sur l'interface WAN.
Ensuite pour l'accès à internet sur la patte WAN, je ne sais pas ce qu'est BIO SDSL, c'est quoi l'équipement, le fournisseur d'accès. Le plus important va être de savoir si ton équipement accès BIO SDSL fait déjà du NAT ou te fourni une adresse IP publique que ton OPNSense pourra utiliser.
Une fois le point numéro 2 éclairci on pourra alors envier ce qu'on peut faire au niveau de l'adressage IP.
Cdt,
9
General Discussion / Re: Internet connection over IPSec VPN
« on: May 26, 2016, 09:02:01 am »
I have just a last problem. VPN work on LAN and not on WAN (sometime that work, sometime not)
I have the rules in firewall (ISAKMP, IPsec NAT-T, ESP and AH) so i assume that not the problem. I am directly connected on my WAN interface.
I have just a special configuration my WAN use a private ip address because i need to do double NAT.
My WAN interface don't block private ip traffic (configuration in interfaces menu)
Somebody have an idea ?
Here the last lines in log :
May 26 08:55:38 charon: 10[JOB] deleting half open IKE_SA after timeout
May 26 08:55:32 charon: 10[NET] sending packet: from 192.168.1.2[500] to 192.168.1.19[500] (412 bytes)
May 26 08:55:32 charon: 10[IKE] sending retransmit 3 of response message ID 0, seq 1
May 26 08:55:32 charon: 10[IKE] <con1|37> sending retransmit 3 of response message ID 0, seq 1
May 26 08:55:19 charon: 10[NET] sending packet: from 192.168.1.2[500] to 192.168.1.19[500] (412 bytes)
May 26 08:55:19 charon: 10[IKE] sending retransmit 2 of response message ID 0, seq 1
May 26 08:55:19 charon: 10[IKE] <con1|37> sending retransmit 2 of response message ID 0, seq 1
May 26 08:55:18 charon: 10[NET] sending packet: from 192.168.1.2[500] to 192.168.1.19[500] (412 bytes)
May 26 08:55:18 charon: 10[IKE] received retransmit of request with ID 0, retransmitting response
May 26 08:55:18 charon: 10[IKE] <con1|37> received retransmit of request with ID 0, retransmitting response
May 26 08:55:18 charon: 10[NET] received packet: from 192.168.1.19[500] to 192.168.1.2[500] (776 bytes)
I have the rules in firewall (ISAKMP, IPsec NAT-T, ESP and AH) so i assume that not the problem. I am directly connected on my WAN interface.
I have just a special configuration my WAN use a private ip address because i need to do double NAT.
My WAN interface don't block private ip traffic (configuration in interfaces menu)
Somebody have an idea ?
Here the last lines in log :
May 26 08:55:38 charon: 10[JOB] deleting half open IKE_SA after timeout
May 26 08:55:32 charon: 10[NET] sending packet: from 192.168.1.2[500] to 192.168.1.19[500] (412 bytes)
May 26 08:55:32 charon: 10[IKE] sending retransmit 3 of response message ID 0, seq 1
May 26 08:55:32 charon: 10[IKE] <con1|37> sending retransmit 3 of response message ID 0, seq 1
May 26 08:55:19 charon: 10[NET] sending packet: from 192.168.1.2[500] to 192.168.1.19[500] (412 bytes)
May 26 08:55:19 charon: 10[IKE] sending retransmit 2 of response message ID 0, seq 1
May 26 08:55:19 charon: 10[IKE] <con1|37> sending retransmit 2 of response message ID 0, seq 1
May 26 08:55:18 charon: 10[NET] sending packet: from 192.168.1.2[500] to 192.168.1.19[500] (412 bytes)
May 26 08:55:18 charon: 10[IKE] received retransmit of request with ID 0, retransmitting response
May 26 08:55:18 charon: 10[IKE] <con1|37> received retransmit of request with ID 0, retransmitting response
May 26 08:55:18 charon: 10[NET] received packet: from 192.168.1.19[500] to 192.168.1.2[500] (776 bytes)
10
General Discussion / Re: Internet connection over IPSec VPN
« on: May 26, 2016, 08:02:42 am »
Yes, problem solved for me to with the same parameters.
Anyway, no it is not possible to use local internet connection with VPN. When VPN tunnel is up any data go trough it.
Anyway, no it is not possible to use local internet connection with VPN. When VPN tunnel is up any data go trough it.
11
16.1 Legacy Series / Re: Forward public DNS resolution to internal server
« on: May 24, 2016, 08:18:26 pm »
Don't work with simple pat rule because i want forward all data, not just one port.
12
16.1 Legacy Series / Re: Forward public DNS resolution to internal server
« on: May 24, 2016, 06:41:39 pm »
Hi,
I have internal DNS just used for internal LAN resolution. I have only one routable IP.
I have a public DNS from my hoster.
Actually I use overwrite DNS resolution fonction in my internal DNS. So on LAN my DNS resolution for test.yannqueniart.com --> 172.16.99.9 (dns name and IP address are only for the sample, not the real).
What I want is test.yannqueniart.com --> public IP address and my router forward to 172.16.99.9. I want want keep the real public name resolution and use routing function to forward to the internal server.
I need that for any internal machine.
Thanks for your help
I have internal DNS just used for internal LAN resolution. I have only one routable IP.
I have a public DNS from my hoster.
Actually I use overwrite DNS resolution fonction in my internal DNS. So on LAN my DNS resolution for test.yannqueniart.com --> 172.16.99.9 (dns name and IP address are only for the sample, not the real).
What I want is test.yannqueniart.com --> public IP address and my router forward to 172.16.99.9. I want want keep the real public name resolution and use routing function to forward to the internal server.
I need that for any internal machine.
Thanks for your help
13
16.1 Legacy Series / Forward public DNS resolution to internal server
« on: May 23, 2016, 06:39:42 pm »
Hi, here want i want to do. I have a public DNS resolution to my internal server (office.yannqueniart.com). I want to make working this resolution on my LAN.
Actually I use DNS entry on my LAN to forward to the LAN private IP address but for some reason I want keep the real public DNS translation and forward datas with NAT.
Anybody have do this ? Use NAT One to One or outbound rules ?
Best regards.
Actually I use DNS entry on my LAN to forward to the LAN private IP address but for some reason I want keep the real public DNS translation and forward datas with NAT.
Anybody have do this ? Use NAT One to One or outbound rules ?
Best regards.
14
French - Français / Re: Configuration du Firewall
« on: May 18, 2016, 03:35:52 pm »
Salut, passage éclair, réponse éclair 
Par défaut aucune connexion initié depuis l'interface WAN, donc t'as rien a faire sur cette interface.
Interface LAN, par défaut accès à tout, il faut donc que tu ajoutes une règle : Deny, IPV4+IPV6, Source IP : Any, Source Protocol : Any, Destination IP : ton sous réseau Backup, Destination Protocol : Any.
La lecture des règles étant linéaire cette nouvelle règle doit se trouver au dessus de la règle par défaut qui porte l'indication : Default allow LAN to any rule. Si ce n'est pas le cas c'est cette règle par défaut Default allow LAN to any rule qui sera vérifié en premier et ta règle pour refuser l'accès à Backup ne sera pas fonctionnel.
Interface Backup : ajoute une règle : Permit, IPV4+IPV6, Source IP : Any, Source Protocol : Any, Destination IP : ton sous réseau LAN, Destination Protocol : Any
Comme ta règle est spécifique pour la destination du réseau IP LAN si les packet IP ne sont pas adressé au LAN alors la règle ne match pas, donc le firewall passe à la règle suivante qui est la règle implicite bloquant tout. Ton réseau backup n'aura donc accès qu'à ton LAN.
Et voila, sauf erreur de ma part (personne n'est parfait) ça doit marcher.
Par défaut aucune connexion initié depuis l'interface WAN, donc t'as rien a faire sur cette interface.
Interface LAN, par défaut accès à tout, il faut donc que tu ajoutes une règle : Deny, IPV4+IPV6, Source IP : Any, Source Protocol : Any, Destination IP : ton sous réseau Backup, Destination Protocol : Any.
La lecture des règles étant linéaire cette nouvelle règle doit se trouver au dessus de la règle par défaut qui porte l'indication : Default allow LAN to any rule. Si ce n'est pas le cas c'est cette règle par défaut Default allow LAN to any rule qui sera vérifié en premier et ta règle pour refuser l'accès à Backup ne sera pas fonctionnel.
Interface Backup : ajoute une règle : Permit, IPV4+IPV6, Source IP : Any, Source Protocol : Any, Destination IP : ton sous réseau LAN, Destination Protocol : Any
Comme ta règle est spécifique pour la destination du réseau IP LAN si les packet IP ne sont pas adressé au LAN alors la règle ne match pas, donc le firewall passe à la règle suivante qui est la règle implicite bloquant tout. Ton réseau backup n'aura donc accès qu'à ton LAN.
Et voila, sauf erreur de ma part (personne n'est parfait) ça doit marcher.
15
French - Français / Re: Configuration du Firewall
« on: May 17, 2016, 09:42:28 pm »
Bonsoir,, alors je vois déjà qu'il y a confusion entre NAT et firewall.
Le NAT sert a la translation d'adresses et de ports (TCP et UDP), exemple, tu n'as qu'un adresse IP public et plusieurs machines sur ton LAN avec chacune une adresse ip privé, il faut donc que tu translate ça vers l'IP public pour que les machine ai accès à Internet. Pour cela tu va donc définir des règles pour faire la translation, la parti NAT ne sert qu'à ça, elle n'a pas vocation a faire de la sécurité, elle n'a pas pour but de définir qui accède a quoi met de tracer la route pour y parvenir.
Le Firewall lui va définir sur chaque interfaces ce qu'y peut passer ou pas. C'est le firewall qui fera l'aspect sécurité (avec d'autre options avancé si on peut mais on va pas compliquer les choses).
Une chose a savoir, ton firewall dispose d'une table de routage, dès qu'une interface possède une adresse ip la table de routage s'ajuste automatiquement. Comme pour le NAT cette table table sert a définir où vont être transporter les packets IP.
Maintenant cas concret, tu as défini par exemple LAN : 192.168.7.0/24, Backup : 192.168.17.2/24 et WAN je sais pas.
Peut importe d'où vient la requête si un packet IP veut aller a destination de 192.168.17.xxx alors le routeur va faire transiter le packet jusqu'à l'interface Backup.
Maintenant les règles de firewall, par défaut il existe une règle invisible à la fin qui refuse tout, les règles sont lu de manière linéaire de haut en bas, tu comprends donc que s'il y a contradiction entre 2 règles c'est celle là plus haute qui primera.
OPNSense pas défaut règle : LAN : accède a tout, WAN : rien ne rentre, tout autre interface ajouté après : rien ne passe. Là tu me dis oui mais alors si le WAN refuse tout rien ne rentre, et là je te réponds c'est un firewall a état, il sais si la demande d'origine provient de ton interface LAN et donc la réponse qui arrivera sur l'interface WAN sera autorisé. Inversement si une requête est initié de quelques chose coté WAN alors cela ne passera pas.
Dans ton cas ton LAN accèdera bien sans souci a se qui se trouve sur l'interface Backup, si tu veux autoriser une machine du Backup a accéder au LAN il faut ajouter une règle :
IP source : la machine coté backup 192.168.17.2
Port source : Any (c'est généralement dynamique, donc on sais pas)
IP destination : 192.168.7.120
Port destination : Any (sauf si tu veux autoriser qu'un seul port, faut voir après comment ton compter ton truc)
Tu peux ensuite soit faire pareil pour la seconde machine de destination, soit créer un Alias de type host qui possède tes 2 adresses IP des machines LAN et indiquer cela dans IP destination auquel cas tu n'auras qu'une seule règle a gérer.
Voila, j'espère t'avoir un peu éclairé sur les fonctionnements de base des firewalls et routeurs. Ces explications fonctionne pour tout routeur/firewall c'est dès règles de base des réseaux IP.
Le NAT sert a la translation d'adresses et de ports (TCP et UDP), exemple, tu n'as qu'un adresse IP public et plusieurs machines sur ton LAN avec chacune une adresse ip privé, il faut donc que tu translate ça vers l'IP public pour que les machine ai accès à Internet. Pour cela tu va donc définir des règles pour faire la translation, la parti NAT ne sert qu'à ça, elle n'a pas vocation a faire de la sécurité, elle n'a pas pour but de définir qui accède a quoi met de tracer la route pour y parvenir.
Le Firewall lui va définir sur chaque interfaces ce qu'y peut passer ou pas. C'est le firewall qui fera l'aspect sécurité (avec d'autre options avancé si on peut mais on va pas compliquer les choses).
Une chose a savoir, ton firewall dispose d'une table de routage, dès qu'une interface possède une adresse ip la table de routage s'ajuste automatiquement. Comme pour le NAT cette table table sert a définir où vont être transporter les packets IP.
Maintenant cas concret, tu as défini par exemple LAN : 192.168.7.0/24, Backup : 192.168.17.2/24 et WAN je sais pas.
Peut importe d'où vient la requête si un packet IP veut aller a destination de 192.168.17.xxx alors le routeur va faire transiter le packet jusqu'à l'interface Backup.
Maintenant les règles de firewall, par défaut il existe une règle invisible à la fin qui refuse tout, les règles sont lu de manière linéaire de haut en bas, tu comprends donc que s'il y a contradiction entre 2 règles c'est celle là plus haute qui primera.
OPNSense pas défaut règle : LAN : accède a tout, WAN : rien ne rentre, tout autre interface ajouté après : rien ne passe. Là tu me dis oui mais alors si le WAN refuse tout rien ne rentre, et là je te réponds c'est un firewall a état, il sais si la demande d'origine provient de ton interface LAN et donc la réponse qui arrivera sur l'interface WAN sera autorisé. Inversement si une requête est initié de quelques chose coté WAN alors cela ne passera pas.
Dans ton cas ton LAN accèdera bien sans souci a se qui se trouve sur l'interface Backup, si tu veux autoriser une machine du Backup a accéder au LAN il faut ajouter une règle :
IP source : la machine coté backup 192.168.17.2
Port source : Any (c'est généralement dynamique, donc on sais pas)
IP destination : 192.168.7.120
Port destination : Any (sauf si tu veux autoriser qu'un seul port, faut voir après comment ton compter ton truc)
Tu peux ensuite soit faire pareil pour la seconde machine de destination, soit créer un Alias de type host qui possède tes 2 adresses IP des machines LAN et indiquer cela dans IP destination auquel cas tu n'auras qu'une seule règle a gérer.
Voila, j'espère t'avoir un peu éclairé sur les fonctionnements de base des firewalls et routeurs. Ces explications fonctionne pour tout routeur/firewall c'est dès règles de base des réseaux IP.