Freebox Server (Ultra V9/ Pop V8/ Delta V7 / Revolution V6 / Mini 4K)

  • État Nouveau
  • Pourcentage achevé
    0%
  • Type Anomalie
  • Catégorie LAN → NAT (redirections, DMZ)
  • Assignée à Personne
  • Système d'exploitation Freebox Server V8 (Pop)
  • Sévérité Haute
  • Priorité Très Basse
  • Basée sur la version 4.8.16
  • Due pour la version Non décidée
  • Échéance Non décidée
  • Votes
  • Privée
Concerne le projet: Freebox Server (Ultra V9/ Pop V8/ Delta V7 / Revolution V6 / Mini 4K)
Ouverte par yy2 - 21/11/2024
Dernière modification par yy2 - 21/11/2024

FS#39841 - Problème NAT avec installation routeur ?

Bonjour,

Je tente d’utiliser un opnsense derrière ma freebox pop et je rencontre un problème, probablement de type NAT, avec les postes clients.

Configuration Freebox :
Mode routeur
DMZ activée : 192.168.1.188

Configuration opnsense :
LAN = 192.168.1.1
WAN = 192.168.1.188

Depuis opnsense je peux pinger un NDD sans problème.

Depuis un poste client (client → opnsense → freebox → internet) je ne peux pas pinger de NDD ni d’adresse IP (100% packet loss).

Avez-vous des pistes pour régler ce problème ? Je n’ai pas essayé en mode bridge et je ne le souhaite pas, afin de conserver les fonctionnalités anti-pub et firewall de la Freebox.

Admin

bonjour,

Quelle est la configuration réseau au niveau du client ?
Comment est-il connecté à opnsense ?
Est-ce que le forwarding est activé sur opnsense ? Quelles règles de firewall ?

yy2 a commenté le 21.11.2024 18:35

Bonjour,

Le client est un poste utilisateur sous Linux.

Voici sa configuration réseau :
```
$ ip a
[…]
9: enx725db38bc3e6: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000

  link/ether 48:2a:e3:8b:c3:e6 brd ff:ff:ff:ff:ff:ff
  inet 192.168.1.128/24 brd 192.168.1.255 scope global dynamic noprefixroute enx482ae38bc3e6
     valid_lft 2582sec preferred_lft 2582sec
  inet6 fe80::50ba:cfe4:5e1b:d70d/64 scope link noprefixroute 
     valid_lft forever preferred_lft forever

```

J'ai oublié de préciser que le client était connecté à Opnsense via un switch non managé (RJ45) qui lui-même est connecté au routeur opnsense. Le comportement reste le même si je connecte directement le PC client sur le routeur opnsense.

Pas de règles de firewall spécifiques pour l'instant, ce sont celles par défaut de l'installation. Pour le LAN, j'ai " Default allow LAN to any rule ".

Pas de port-forwarding pour l'instant, hormis règle par défaut :
```
Interface Proto Address Ports Address Ports IP Ports Description
LAN TCP * * LAN address 80, 443 * * Anti-Lockout Rule
```

Admin

Quelle est la route par défaut configurée sur le client ?

Est-ce que l'ensemble des devices de votre LAN doivent passez par opnsense ?

Est-ce que vous voyez les ping envoyés par le client si vous faites un tcpdump sur opnsense ?
Si oui, est-ce que la MAC destination correspond à opnsense ou à la box ?

yy2 a commenté le 22.11.2024 11:19

Bonjour,

Pour ces tests, j'ai retiré le switch et j'ai relié directement mon client Linux au routeur OPNsense.

Quelle est la route par défaut configurée sur le client ?

$ ip r
default via 192.168.1.1 dev enx482ae38bc3e6 proto dhcp src 192.168.1.128 metric 100 
192.168.1.0/24 dev enx482ae38bc3e6 proto kernel scope link src 192.168.1.128 metric 100 

Est-ce que l'ensemble des devices de votre LAN doivent passer par opnsense ?

Oui, c'est mon objectif. Il y a un Wi-Fi invité (dans un autre LAN) dont a priori nous n'avons pas besoin de nous préoccuper ici.

Est-ce que vous voyez les ping envoyés par le client si vous faites un tcpdump sur opnsense ?
Si oui, est-ce que la MAC destination correspond à opnsense ou à la box ?

Je ne suis pas un habitué de tcpdump donc il est possible que j'interprète mal. Il me semble que non car je ne lis aucune ligne contenant "ICMP echo". Voici donc un extrait brut, sachant que
- j'ignore à quel device correspond les adresses 192.168.27.98 et 192.168.27.99
- mon client linux est 192.168.1.128.
- l'adresse MAC XX:XX:XX:XX:1e ne correspond à aucune des trois machines (opnsense, freebox, client linux) !

ARP, Request who-has 192.168.27.98 tell 192.168.27.99, length 46
IP 192.168.1.188.33899 > ns.XXXXXX.org.domain-s: FLags [S], seq 4081921596, win 64240, options […]
XX:XX:XX:XX:1e (oui Unknown) > Broadcast, ethertype Unknown (0x1337), length 64;
Admin
Est-ce que l'ensemble des devices de votre LAN doivent passer par opnsense ?

dans ce cas là, il faudrait désactiver le dhcp de la box, et en configurer un sur opnsense, en indiquant comme gateway l'adresse opnsense

Configuration opnsense :
> LAN = 192.168.1.1
> WAN = 192.168.1.188

est-ce qu'il s'agit d'une interface physique avec deux adresses IP ?

s'il y a deux interfaces physiques, il faut utiliser un subnet différent

default via 192.168.1.1 dev enx482ae38bc3e6 proto dhcp src 192.168.1.128 metric 100

est-ce que le client arrive à ping 192.168.1.1 ?
est-ce que opnsense arrive à ping 192.168.1.128 ?

ARP, Request who-has 192.168.27.98 tell 192.168.27.99, length 46

c'est un paquet émis par la freebox

Je ne suis pas un habitué de tcpdump donc il est possible que j'interprète mal.

il faut utiliser le paramètre -e pour afficher les MAC. Par exemple "tcpdump -neti em0"

yy2 a commenté le 22.11.2024 12:59

Il faudrait désactiver le dhcp de la box

Fait.

En configurer un sur opnsense, en indiquant comme gateway l'adresse opnsense

Fait aussi. Mais plus précisément : j'ai une gateway configurée sur le port WAN, pas sur le port LAN.

est-ce qu'il s'agit d'une interface physique avec deux adresses IP ?

Oui. Un cable pour WAN, un cable pour LAN.

s'il y a deux interfaces physiques, il faut utiliser un subnet différent

Pour rendre les choses plus évidentes, je viens de faire ceci :
- WAN en 192.168.1.0/24
- LAN en 192.168.2.0/24
(j'avais auparavant splitté le 192.168.1.0 en 0-127 pour opnsense et 128-254 pour Freebox mais ça augmente le risque d'erreur humaine)

Côté LAN, opnsense est sur 192.168.2.1, client linux sur 192.168.2.2 :

    inet 192.168.2.2/24 brd 192.168.2.255 scope global dynamic noprefixroute enx482ae38bc3e6
       valid_lft 6769sec preferred_lft 6769sec
    inet6 fe80::50ba:cfe4:5e1b:d70d/64 scope link noprefixroute 
       valid_lft forever preferred_lft forever

est-ce que le client arrive à ping 192.168.2.1 ?

Oui

est-ce que opnsense arrive à ping 192.168.2.2 ?

Non : j'ai 100% packet loss.
Et pourtant, j'arrive désormais à pinger des NDD sur internet ! (ce qui est une excellente nouvelle : je suis actuellement en train de naviguer en passant par mon routeur opnsense)

Il faut utiliser le paramètre -e pour afficher les MAC. Par exemple "tcpdump -neti em0"

Là, je vois mon routeur et mon client discuter avec les bonnes adresses MAC.

Admin
(j'avais auparavant splitté le 192.168.1.0 en 0-127 pour opnsense et 128-254 pour Freebox mais ça augmente le risque d'erreur humaine)

d'autant plus que le subnet sur la freebox est un /24, donc ça n'aurait sans doute pas marché

est-ce que opnsense arrive à ping 192.168.2.2 ?

c'est curieux, vu que c'est une route directe et que dans l'autre sense ça marche… Y a-t-il un firewall sur le client ?
Est-ce qu'un tcpdump sur le client lorsque vous faites le ping affiche les icmp echo-req ?

Chargement...

Activer les raccourcis clavier

Liste des tâches

Détails de la tâche

Édition de la tâche