Multi LAN <=> Multi Wan [RESOLU]

[ProServ]

Tu te connectes en SSH sur le firewall et tu ping une IP du sous réseau du WAN230 (autre que l'IP de l'interface), par exemple l'IP de la passerelle.

Refais des screenshot pour voir, la dernière règle que tu me donnes n'est pas bonne déjà.

[tsystem]

Dernier test du jour
Trace route vers google à partir
WAN200 nickel
LAN200 nickel
WAN230 nickel
LAN 230 rien  :o ???

Dc c'est bien un problème de firewall/NAT :o(

Si on resume from scratch ce que je doit avoir :
ajout interface lan et wan 230
         LAN230_/activer/ipv4 statique/ipv6 non/ add :   192.168.230.166/24
         WAN230_/activer/block private/block bogon/ipv4 dhcp/ipv6 non
-System / settings / General :
         ajouter dns server pour chaque gateway (dont LAN230)
-services / DHCPv4 :
         LAN230_   192.168.230.20 à 192.168.230.150 dns:192.168.230.166 gw:192.168.230.166
-firewall / settings / advanced
         - cocher "bypass firewall rule for traffic on same interface" et "use sticky connection"
-firewall / NAT / Sortant :
         - sélectionner génération manuelle des règles NAT
         - ajouter :
         interface:WAN230_
         protocole:any            
         source:LAN230_ net      
         port src:any
         destination:any   
         translation/Target:WAN230_ adresse   
-system/routes/configuration: ajouter :
         network : 0.0.0.0/0
         gateway : WAN230__DHCP....
-firewall / rules/ LAN230_:
         action:pass
         apply immediatly
         interface:LAN230_
         Dir:IN
         Ipv4
         Protocole any
         source : LAN230_net
         dest:any
         advance gateway : WAN230__DHCP...

J'oublie quoi ? tout est la il ne manque pourtant rien ??

Par avance un grand merci

Bonne nuit à tous

[ProServ]

Essaie en décochant bloquer les réseaux privés et bogon sur ton interface WAN230
Puis faut voir la conf du service Unbound (DNS)
J'ai pas compris la conf du Système / Paramètre / Général pour les DNS, t'as un screenshot ?
Le reste est bon amha.

[tsystem]

Bonsoir bonsoir,

Grab DNS ci-joint
le Unbound semble bon ( LAN230 autorisé)
test de décochage bogon and private network  change rien
...
Je désespère

Pour le moment, je bosse cela sur une VM pour caller mon système cela peut-il venir de la ? ( bien que mon lan/wan200 fonctionne nickel...)

[ProServ]

Normalement pas de problème sur les VM.
Sauf si tu as des merdes avec tes interfaces virtuelles.
Je suppose que tu tournes sous Vmware. Perso je tourne sous Proxmox 6, aucun problème sur mes VMs de test OPNsense.

Tu as essayé de faire un Ping sur une IP au lieux de faire un trace route sur une nom DNS ?

[tsystem]

Hello,

oui VMware et apparemment pas de problem d'interfaces :
les WAN se connecte à mon DHCP local comme si c'était un FAI et les LAN fonctionnent bien car entre elles et mes autres VM elles joue bien leur role de DHCP lorsque je m'y connecte. le seul problème c'est la passage à travers le WAN230.

pour les pings, je viens de pinger un ampli qui est derrière les WANs et sans firewall ou sécu pour éviter tout problème 192.168.1.75 et j'obtiens :
WAN200 -> 192.168.1.75 : nickel
LAN200 -> 192.168.1.75 : nickel
WAN230 -> 192.168.1.75 : nickel
LAN230 -> 192.168.1.75 : 100% de perte
(sur la VM qui est sur le LAN230, je change de carte reseau pour me mettre sur le LAN220 et tout marche à merveille....) :'(

Par contre mes WAN se retrouve avec la même GW : 192.168.1.1 (mon DHCP en amaont des VM)

[tsystem]

Rebondissement  :o

En regardant les Gateway, je me rend compte que le Wan230 est passée en par defaut... et que tout ping par cette dernière ... dc je n'ai rien qui passe de LAN230 à WAN230, mais LAN200 sort par WAN230 ... on marche sur la tête ...

[ProServ]

Tu veux dire que tous tes WAN sont sur le sous réseau 192.168.1.x/24
Si c'est bien ca, ce ne peut fonctionner de cette manière.

-----------

EDIT :

En effet, je viens de voir ca... Je n'avais pas fait attention la première fois.
Tes 4 passerelles utilisent la même IP pour sortir. Aucun intérêt, mise à part te compliquer la config et provoquer des conflits de nattage !

[tsystem]

Oui pour le moment pour le paramétrage sur la VM, par la suite cela doit être des connexions internet différentes ... je ne vois pas comment le faire autrement pour le moment

Whaouu je vient de passez la config de l'interface WMvare en NAT avec une ip differente et apparement je ping du wan230 vers internet !!!!  ::)  ::)  ::)
Je fais un backup et refait une config de zero en ce sens et je reviens te dire quoi !

Merci  ;)

[tsystem]

Bonjour  ( et bon dimanche ! ),

Désolé pour le délais, mais comme VMWare est limité à un seul NAT, je voulais passer sur VirtualBox pour reprendre mes test, mais impossible de créer les interfaces .... apparemment c'est un bug récurrent ds tt les versions ... cela ne laissant que présager une faible confiance ds le système, je suis revenu sur VMware ...

Enfin bon, revenons en a nos moutons  : Ca marche ! le Traffic passe bien par la gateway indiquée et n'empreinte pas d'autre chemin ! MERCI !!!!!!!  ;)  (ci-dessous un petit graph avec simulation de coupure sur les gateway pour voir le comportement du traffic rapidement)

Maintenant je vais avoir Quelques questions sur ce que nous avons fait ensemble car mon plus gros problème est de toujours vouloir comprendre ce que je fais  ::)

Questions à suivre, encore un grand merci

[tsystem]

La Foire au question !  :P

- system/routes/configuration:  network : 0.0.0.0/0     gateway : WAN230__DHCP
Qu'est-ce que cela indique réellement au Firewall et qu'elles en sont les conséquences, car cela n'indique rien par rapport à mon lan230 associé .

-

Sur le LAN220, la règle qui bloque les autres réseaux n'est pas très propre.

: Peux tu m'en dire plus sur ce que je ne fais pas bien ?

- Pour que cela marche, je suis obliger dans le DHCPv4 de chaque LAN d'indiquer les dns en dure et non celui de la passerelle ... pas bien grave, mais aurais tu une idée de la cause ?

- avant en config auto, j'avais des règles qui ont disparu ( ref capture jointe) est-ce grave et à remplacer ?

Par avance merci
Bonne après-midi

[ProServ]

Arf, dsl je n'avais pas eu de notification et j'ai été pris par d'autres projets

network : 0.0.0.0/0     gateway : WAN230__DHCP

Cela signifie que pour aller sur un autre sous réseau, il passe par cette passerelle, et tu l'autorises... Sauf les réseaux interne bien entendu, là il sait sur quelle interface il doit aller.

Peux tu m'en dire plus sur ce que je ne fais pas bien ?

Me souvient plus... Tu me refais un screenshot ?

indiquer les dns en dure

Tu veux dire que tu dois mettre les DNS de ton FAI ou ceux de google directement ?
Un p'tit screenshot ?

Si c'est ca, il faut voir pour modifier la règle DNS qui est créée sur chaque LAN et lui attribuer la passerelle qu'il faut. (enfin je parle de recréer la règle parce qu'elle est créée automatiquement à l'activation du service)

j'avais des règles qui ont disparu

Pas grave, puisque tu les as recréée. Sinon ta sortie sur internet ne fonctionnerait pas.

Par contre, je confirme à dire que je ne comprends pas l'utilité de séparer les 4 WAN plutôt que de faire du loadbalancing. Et pourtant je m'en suis fait des configs sur différents types de réseaux/mode fonctionnement  ;D
Mais tu dois avoir tes raisons  ;)

[tsystem]

Bonsoir,
La même , pas reçu de notif et en plus un peu de bouleversement de prod mon obliger à occuper mon temps sans R&D  ::)
En même tps ce n'est pas bien grave, car le projet évolue et la config va changer, dc je vais devoir m'y reprendre de zéro pour organiser tout cela ... Enfin, cela m'aura qd même permis d'apprendre ! Et je t'en remercie fortement ! Je te refais un réponse au message pour comprendre les questions précédemment posée d'ici quelques minutes ;).
Sinon, je vais repartir sur 2 connections suite au changement de topologie avec du loadbalancing , failover et du vlans...   Connaitrais tu d'ailleurs une solution pour tester des config vlans en virtuels ?

En tt cas, encore un grand merci !

[tsystem]

Peux tu m'en dire plus sur ce que je ne fais pas bien ?

Me souvient plus... Tu me refais un screenshot ?

voir les fichiers joint "09_Regles_LAN220" et "05_groupes"

indiquer les dns en dure

Tu veux dire que tu dois mettre les DNS de ton FAI ou ceux de google directement ?
Un p'tit screenshot ?

En faites avant, il me suffisait d'indiquer les dns dans la config générale (img pbDNS1) et dans le dhcp, d'utiliser la passerelle en server DNS (img pbDNS2), mais avec notre config, il ne tient pas compte de la config générale, et je suis obligé de mettre les dns en fixe ds le dhcp (img pbDNS3)


Par avance merci, Bonne soirée ;)

[ProServ]

Peux tu m'en dire plus sur ce que je ne fais pas bien ?
voir les fichiers joint "09_Regles_LAN220" et "05_groupes"

Ah bah non, tout va bien, je ne sais plus pourquoi je disais ca...

il me suffisait d'indiquer les dns dans la config générale (img pbDNS1) et dans le dhcp, d'utiliser la passerelle en server DNS (img pbDNS2), mais avec notre config, il ne tient pas compte de la config générale, et je suis obligé de mettre les dns en fixe ds le dhcp (img pbDNS3)

Normal, comme tu faisait ce n'était pas bon.
Il faut utiliser le service UnboundDNS pour que ton routeur soit serveur DNS.
Tu n'es pas obligé d'en faire un serveur DNS et utiliser directement des serveurs DNS tiers sur les postes clients.
Cependant, il est préférable que ce soit le routeur qui gère ce service, pour plusieurs raisons qui serait long à expliquer... Même si il est vrai que cela augmente la charge du routeur.