- État Nouveau
- Pourcentage achevé
- Type Anomalie
- Catégorie LAN → NAT (redirections, DMZ)
- Assignée à Personne
- Système d'exploitation Freebox Server V8 (Pop)
- Sévérité Haute
- Priorité Très Basse
- Basée sur la version 4.8.16
- Due pour la version Non décidée
-
Échéance
Non décidée
- Votes
- Privée
Concerne le projet: Freebox Server (Ultra V9/ Pop V8/ Delta V7 / Revolution V6 / Mini 4K)
Ouverte par yy2 - 21/11/2024
Dernière modification par yy2 - 21/11/2024
Ouverte par yy2 - 21/11/2024
Dernière modification par yy2 - 21/11/2024
FS#39841 - Problème NAT avec installation routeur ?
Bonjour,
Je tente d’utiliser un opnsense derrière ma freebox pop et je rencontre un problème, probablement de type NAT, avec les postes clients.
Configuration Freebox :
Mode routeur
DMZ activée : 192.168.1.188
Configuration opnsense :
LAN = 192.168.1.1
WAN = 192.168.1.188
Depuis opnsense je peux pinger un NDD sans problème.
Depuis un poste client (client → opnsense → freebox → internet) je ne peux pas pinger de NDD ni d’adresse IP (100% packet loss).
Avez-vous des pistes pour régler ce problème ? Je n’ai pas essayé en mode bridge et je ne le souhaite pas, afin de conserver les fonctionnalités anti-pub et firewall de la Freebox.
Chargement...
Activer les raccourcis clavier
- Alt + ⇧ Shift + l Se connecter/Se déconnecter
- Alt + ⇧ Shift + a Ouvrir une tâche
- Alt + ⇧ Shift + m Mes recherches
- Alt + ⇧ Shift + t Rechercher par ID de tâche
Liste des tâches
- o Ouvrir la tâche sélectionnée
- j Déplacer le curseur vers le bas
- k Déplacer le curseur vers le haut
Détails de la tâche
- n Tâche suivante
- p Tâche précédente
- Alt + ⇧ Shift + e ↵ Enter Modifier cette tâche
- Alt + ⇧ Shift + w Surveiller
- Alt + ⇧ Shift + y Fermer cette tâche
Édition de la tâche
- Alt + ⇧ Shift + s Enregistrer la tâche
bonjour,
Quelle est la configuration réseau au niveau du client ?
Comment est-il connecté à opnsense ?
Est-ce que le forwarding est activé sur opnsense ? Quelles règles de firewall ?
Bonjour,
Le client est un poste utilisateur sous Linux.
Voici sa configuration réseau :
```
$ ip a
[…]
9: enx725db38bc3e6: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
```
J'ai oublié de préciser que le client était connecté à Opnsense via un switch non managé (RJ45) qui lui-même est connecté au routeur opnsense. Le comportement reste le même si je connecte directement le PC client sur le routeur opnsense.
Pas de règles de firewall spécifiques pour l'instant, ce sont celles par défaut de l'installation. Pour le LAN, j'ai " Default allow LAN to any rule ".
Pas de port-forwarding pour l'instant, hormis règle par défaut :
```
Interface Proto Address Ports Address Ports IP Ports Description
LAN TCP * * LAN address 80, 443 * * Anti-Lockout Rule
```
Quelle est la route par défaut configurée sur le client ?
Est-ce que l'ensemble des devices de votre LAN doivent passez par opnsense ?
Est-ce que vous voyez les ping envoyés par le client si vous faites un tcpdump sur opnsense ?
Si oui, est-ce que la MAC destination correspond à opnsense ou à la box ?
Bonjour,
Pour ces tests, j'ai retiré le switch et j'ai relié directement mon client Linux au routeur OPNsense.
Quelle est la route par défaut configurée sur le client ?
Est-ce que l'ensemble des devices de votre LAN doivent passer par opnsense ?
Oui, c'est mon objectif. Il y a un Wi-Fi invité (dans un autre LAN) dont a priori nous n'avons pas besoin de nous préoccuper ici.
Est-ce que vous voyez les ping envoyés par le client si vous faites un tcpdump sur opnsense ?
Si oui, est-ce que la MAC destination correspond à opnsense ou à la box ?
Je ne suis pas un habitué de tcpdump donc il est possible que j'interprète mal. Il me semble que non car je ne lis aucune ligne contenant "ICMP echo". Voici donc un extrait brut, sachant que
- j'ignore à quel device correspond les adresses 192.168.27.98 et 192.168.27.99
- mon client linux est 192.168.1.128.
- l'adresse MAC XX:XX:XX:XX:1e ne correspond à aucune des trois machines (opnsense, freebox, client linux) !
dans ce cas là, il faudrait désactiver le dhcp de la box, et en configurer un sur opnsense, en indiquant comme gateway l'adresse opnsense
est-ce qu'il s'agit d'une interface physique avec deux adresses IP ?
s'il y a deux interfaces physiques, il faut utiliser un subnet différent
est-ce que le client arrive à ping 192.168.1.1 ?
est-ce que opnsense arrive à ping 192.168.1.128 ?
c'est un paquet émis par la freebox
il faut utiliser le paramètre -e pour afficher les MAC. Par exemple "tcpdump -neti em0"
Il faudrait désactiver le dhcp de la box
Fait.
En configurer un sur opnsense, en indiquant comme gateway l'adresse opnsense
Fait aussi. Mais plus précisément : j'ai une gateway configurée sur le port WAN, pas sur le port LAN.
est-ce qu'il s'agit d'une interface physique avec deux adresses IP ?
Oui. Un cable pour WAN, un cable pour LAN.
s'il y a deux interfaces physiques, il faut utiliser un subnet différent
Pour rendre les choses plus évidentes, je viens de faire ceci :
- WAN en 192.168.1.0/24
- LAN en 192.168.2.0/24
(j'avais auparavant splitté le 192.168.1.0 en 0-127 pour opnsense et 128-254 pour Freebox mais ça augmente le risque d'erreur humaine)
Côté LAN, opnsense est sur 192.168.2.1, client linux sur 192.168.2.2 :
est-ce que le client arrive à ping 192.168.2.1 ?
Oui
est-ce que opnsense arrive à ping 192.168.2.2 ?
Non : j'ai 100% packet loss.
Et pourtant, j'arrive désormais à pinger des NDD sur internet ! (ce qui est une excellente nouvelle : je suis actuellement en train de naviguer en passant par mon routeur opnsense)
Il faut utiliser le paramètre -e pour afficher les MAC. Par exemple "tcpdump -neti em0"
Là, je vois mon routeur et mon client discuter avec les bonnes adresses MAC.
d'autant plus que le subnet sur la freebox est un /24, donc ça n'aurait sans doute pas marché
c'est curieux, vu que c'est une route directe et que dans l'autre sense ça marche… Y a-t-il un firewall sur le client ?
Est-ce qu'un tcpdump sur le client lorsque vous faites le ping affiche les icmp echo-req ?