Problème de routage NAT et pare-feu avec pfSense sur serveur Proxmox (sans MAC virtuelle)
----------
Bonjour à toutes et à tous,
J'utilise l'offre ADVANCE-1 et je rencontre une problématique de routage NAT et de pare-feu avec pfSense virtualisé sur un serveur Proxmox. Mon serveur n'est pas éligible à l'utilisation des adresses MAC virtuelle, solution que j'utilisait auparavant pour utiliser une IP additionnelle en WAN pour le traffic sortant de PFSense. J'ai suivi ce tutoriel OVH qui me permet de retrouver une situation similaire sans l'usage d'adresses MAC Virtuelle. En suivant ce tuto, j'ai une adresse en 192.168 configurée sur l'interface WAN de PFSense, et la sortie vers internet depuis ce dernier est fonctionnel. Le problème intervient sur le réseau LAN (porté par PFSense, un 10.0.0.0/24) depuis lequel il est impossible de sortir vers internet.
Voici la configuration actuelle :
Configuration :
Hôte : Proxmox VE 8
Adresse publique IPv4 de l'hôte : 79.137 […]
Adresse publique IPv4 (Additionnal IP) pour la WAN du PFSense: 178.33 […]
Gateway : 100.64.0.1
Mon pfSense est virtualisé dans Proxmox et voici le contenu du fichier /etc/network/interfaces de l'hôte:
```
auto lo
iface lo inet loopback
auto enp1s0f0np0
iface enp1s0f0np0 inet static
address 79.137.XXX/32
gateway 100.64.0.1
post-up echo 1 > /proc/sys/net/ipv4/ip_forward
post-up echo 1 > /proc/sys/net/ipv4/conf/enp1s0f0np0/proxy_arp
iface enp1s0f1np1 inet manual
auto vmbr0
iface vmbr0 inet static
address 192.168.0.1/24
bridge-ports none
bridge-stp off
bridge-fd 0
up ip route add 178.33[…]/32 dev vmbr0
auto vmbr1
iface vmbr1 inet static
address 10.0.0.1/24
bridge-ports none
bridge-stp off
bridge-fd 0
```
Mon pare-feu est temporairement en Allow ANY (sur les deux interfaces WAN et LAN) pour se soustraire de ce genre de problèmes.
Au niveau de mes règles NAT, dans Firewall > NAT > Outbound
J'ai bien 1 règle NAT sur l'interface WAN pour traduire le traffic venant de 10.0.0.0/24 vers l'IP de l'interface WAN (178.33[…])
Je vous remercie par avance pour tout aide ou éclaircissement.
Bonjour,
J'ai reformaté la configuration (mise entre ```).
Pouvez-vous nous montrer la table de routage côté VM pfSense ? Un `tcpdump` filtré sur une IP d'Internet que vous pingez depuis le pfSense vous permettrait aussi de voir des choses, que ce soit côté pfSense ou côté Proxmox.
Bonjour,
Est-ce une volonté de ne pas utiliser le VRACK pour vos IP Publiques ?
Qu'elle est l'IP de votre interface LAN coté Pfsense.
Bien à vous.
Bonjour et merci pour votre message.
Voici ma table routage dans PFSense :
La sortie vers internet depuis la VM PFSense est fonctionnelle. C'est depuis les VMS connectées sur la patte LAN que le problème survient.
tcpdump -i enp1s0f0np0 -n host 8.8.8.8 sur l'hôte:
```
06:55:31.398414 IP 178.33.XX.XX > 8.8.8.8: ICMP echo request, id 35593, seq 0, length 64
06:55:31.402162 IP 8.8.8.8 > 178.33.XX.XX: ICMP echo reply, id 35593, seq 0, length 64
06:55:32.398828 IP 178.33.XX.XX > 8.8.8.8: ICMP echo request, id 35593, seq 1, length 64
06:55:32.402558 IP 8.8.8.8 > 178.33.XX.XX: ICMP echo reply, id 35593, seq 1, length 64
06:55:33.437892 IP 178.33.XX.XX > 8.8.8.8: ICMP echo request, id 35593, seq 2, length 64
06:55:33.441629 IP 8.8.8.8 > 178.33.XX.XX: ICMP echo reply, id 35593, seq 2, length 64
```
Merci d'avance pour votre aide.
Bonjour,
Je n'ai pas besoin d'1 adresse IP publique par VM, seulement une pour PFSense.
L'ip de l'interface LAN sur PFSense est 10.0.0.1. (Mon réseau LAN est 10.0.0.0/24)
Bonne journée, merci par avance pour votre aide.
Bonjour,
Sauf erreur de ma part, l'IP est à la fois utilisé sur ton bridge et sur ton PFSENSE.
En effet, j'ai corrigé cela en attribuant 10.0.0.2 à l'interface vmbr1 sur l'hôte. PFSense en LAN reste sur 10.0.0.1. C'est fonctionnel mais malheureusement ne change rien à mon problème de sortie internet depuis ce réseau.
Depuis une vm cliente le traceroute vers internet passe bien sur l'IP du Pfsense ?
En principe le bridge n'a pas besoin d'avoir d'IP mais bon ça ne change pas grand chose.
