Multi LAN <=> Multi Wan [RESOLU]

[tsystem]

Bonjour,

Je suis en train d'essayer de mettre en place une nouvelle config qui me permettrait de gérer 4 réseaux internes avec un seul système. C'est à dire une seule entité d'OPNsense avec 8 ports ethernet (4 WANs avec 4 connections distinctes et 4 LANs totalement dissociés) qui verrouillerait les bon lan avec les bon wan sans permettre le passage d'un LAN à l'autre mais que je puisse tout configurer à partir d'une seul interface
Mon problème est que sur chaque interface LAN, je ne peut pas définir explicitement la passerelle à utiliser, ou alors je m'y prend mal...
Si quelqu'un pouvait m'orienter vers une piste, ce serait sympa.

Par avance merci de votre aide

Bonne soirée

[ProServ]

Si, il faut que tu fasses des passerelles.
Tu peux aussi t'amuser à faire des groupes de passerelle avec du failover/loadbalancing. Même si c'est pas top en soit, il manque pour moi une condition essentielle.

Ensuite dans tes règles de parefeu, tu peux définir la passerelle que la règle doit utiliser.

[tsystem]

Bonsoir,

Merci de ton retour !
Pour les groupes, je ne veut pas trop, car l'objectif est de vraiment isoler les different LAN <=>WAN les un des autres.
Pour le firewall, je comprends bien l'idée d'y indiquer la passerelle, mais comme on peut l'indiquer partout, je suis un peu perdu ;p
l'idée, c'est de le mettre dans toutes mes règles concernant l'interface ou alors de créer une regles specifique pour cela ? et si oui laquelle et ou ?

Merci

[ProServ]

1. Tu crées une passerelle par interface wan. P_WAN1, P_WAN2, P_WAN3...
2. Tu crées une route pour chaque passerelle : 0.0.0.0/0
3. Tu vas dans Pare-feu -> Paramètres -> Avancé : et tu coches "Outrepasser les règles" et "Utiliser les connexions collantes"
4. Tu crées une règle de pare-feu sur chaque interface LAN avec les paramètres suivants :

• Interface : LAN1
• Protocole : ANY
• Source : LAN1 Net
• Destination :  ANY
• Passerelle : P_WAN1

La valeur sur Interface, Source, et Passerelle doit être adaptée sur chacune des règles.

Ne pas oublié de faire des NAT sortante sur chaque interface WAN.

[tsystem]

Bonjour,

Merci pour tes retours et ton aide, c'est vraiment sympa !
J'en étais arrivé à peut prêt là, c'est pas trop mal, mais j'ai qd même traîné jusqu'a 4h du mat ...

Je ne comprend pas l'utilité des routes, je dois en faire quelque chose ?

Le problème que je rencontre, c'est que dans mes gateway, une seule est active bien que les autre soit en ligne et du coup je n'arrive pas à accéder à internet derrière ce lan.

Pour les NAT sortant, c'est bien mode hybride et ajouter une règle :
Interface: LAN1
Protocole : ANY
source: LAN1 net
adresse de destination : WAN1 NET

Merci ;)

[ProServ]

Là où certain routeurs propriétaires te mâchent le boulot, sur OPNSense il faut faire quelques réglages supplémentaires pour que tout roule.

Oui il faut créer une route par passerelle.
Route : 0.0.0.0/0 sur P_WAN1.
Etc...

Pour le NAT, il faut procéder ainsi.
Pare-feu->NAT->Sortant
Sélectionner "Génération manuelle de règles NAT sortantes" (c'est préférable dans ton cas) :
Puis créer une NAT par interface WAN avec son LAN attitré

• Interface : WAN1
• Source : LAN1 Net
• Destination : ANY
• Translation NAT : WAN1 Address

Ensuite, si tu as coché les options décrites avant et mis ta passerelle sur tes règles LAN, ca devrait fonctionner sans problème.

Si tu utilises le DHCP et DNS OPNSense, il faut aussi bien les configurer.

Par contre, c'est dommage de ne pas faire le failover/loadbalancing sur tous ces liens WAN. Si un tombe, ton LAN attitré n'aura plus aucune connexion internet alors que tu en as 3 autres qui fonctionnent.
Sans oublié que si par exemple le premier lien WAN est engorgé, les 3 autres peuvent désengorger le premier.

Cependant c'est ton choix, tu dois avoir tes raisons.

[tsystem]

Je misère ....

J'ai tout refait et mon WAN1 <=> LAN1 crée par defaut marche, par contre mon WAN2<=>LAN2 ne marche pas ...pas d'accès à internet.
J'ai pourtant bien mis les règles pour chacun....
J'ai des règles flottante et automatique qui traînent sur la LAN 1, cela pourrait être la source du problème ?
Pour les routes, c'est bien 0.0.0.0/0 ou je doit remplacer par des ip spécifique ?
Je vient de faire des ping vers l'extérieure à partir de mes différents WAN, c'est nickel par contre à partir des LAN, seul le 1 ping
Je ne sais plus trop ou chercher .... Quel diagnostic pourrais-je faire pour dégager une piste ?

Par avance merci
Bonne fin de journée

[ProServ]

Fait un screenshot des passerelles, routes, règles et NAT.

[tsystem]

Bonsoir,

Encore merci !

Voici un petit pack de captures : https://we.tl/t-AzS8bE90MC
Pour infos par rapport à notre discution
LAN200/WAN200 correspondent au interface crées par default à l'install et marche nickel
LAN210/WAN210 : rien testé pour le moment
LAN220/WAN220 et LAN230/WAN230 correspondent au 2 interfaces testées par rapport à nos échanges sachant qu'a l'origine sur la 220 j'avais préparé un portail captif qui marchait très bien (mais sans connexion web).

Je croise les doigts !

[ProServ]

Sur tes interfaces WAN... tu as bien comme passerelle WANx_DHCP ?
Sur le LAN220, la règle qui bloque les autres réseaux n'est pas très propre... mais cela ne devrai pas poser de problème.
Enlève la règle LAN220_Net vers LAN220_address et sélectionne plutôt tes interfaces d'écoute pour l'administration... Dans Système -> Paramètres -> Administration

Sinon, le LAN220 et LAN230 devraient fonctionner... normalement.
Active le log sur toutes tes règles LAN220/LAN230 (en cliquant sur l'icone "i") et regarde dans la "vue en directe" ce qu'il se passe lorsque tu essaies d'accéder à internet depuis l'un de ces 2 LAN.

[tsystem]

Bonsoir ;)

Sur tes interfaces WAN... tu as bien comme passerelle WANx_DHCP ?

Tu parles des interface WAN ou LAN, car sur les interface WAN, je n'ai aucun accès a des paramètres de passerelle.Du côté interface LAN, j'ai bien un paramètre de passerelle, mais je suis bloqué sur le choix "auto-detect" sans autre possibilité de changer...

Enlève la règle LAN220_Net vers LAN220_address et sélectionne

De laquelle parles tu, celle-du portail captif ?

Merci de tes retours

[tsystem]

oups, tout planté, factory reset  je recommence...

[tsystem]

On avance ...

J'ai apparemment un problem de dns, car si je met les dns en dure sur une machine d'un autre lan, j'ai bien internet ... on dirait que c'est le transfer de dns via le dhcp qui ne marche pas bien ou que je l'ai bloqué d'une façon ou d'une autre.

Dodo pour ce soir, je re-test proprement demain car la j'ai été un peu violant.

Encore merci, je te tiens au courant de la suite, bonne nuit

[ProServ]

C'est vrai que ta config est "un peu particulière".
Il va être difficile de dire que le serveur DNS pour le LAN210 passe par la passerelle WAN210_DHCP. (j'ai pas dis impossible)
Sinon tant pis, les requêtes DNS se feront que une une seule et même passerelle... Quelque soit le LAN qui initie la demande.

[tsystem]

Bonsoir ;)

Et bien la galère continue ... je n'arrive pas à passer ...
j'arrive a router mon LAN230 sur mon WAN200 et cela marche bien mais je n'arrive pas à passer par le WAN230 ....
utilsation WAN200
outbound :
    Interface : WAN200
    Source : LAN230 Net
    Destination : ANY
    Translation NAT : WAN200
firewall :
    retiré la passerelle dede la régle de sortie du firewall

Comment puis-je être certain que ma WAN230 fonctionne, on ne sais jamais .... ?