Neutriton - Pfsense NAT, 25 avril 2021

2021-04-25 (neutriton : pfsense NAT)

Présences :

  • HgO
  • tierce
  • Tharyrok
  • Célo
  • niko

Jitsi : https://jitsi.belnet.be/neutriton
Caldarium : fr:contact [Caldarium]

Météo

Moment informel durant lequel on exprime en peu de mots comment on se sent et si on a une attente forte pour la réunion.
Ce n’est pas un moment de discussion mais d’expression individuelle et ce n’est pas obligatoire :slight_smile:

Attente(s) forte(s)

Si l’une ou l’autre personne exprime une attente forte, merci de vous en occuper en priorité ou de la noter dans le hub ou dans un point approprié.

Ordre du jour

Prochaine réunion

Prochain Neutriton : 23/05 de 10h à 17h
Sujet : Installation des VMs (via Ansible)
Lieu : Caldarium

Météo de fin

Moment informel durant lequel on exprime en peu de mots comment, à titre personnel, la réunion a été vécue que ce soit positif ou négatif.
Si une ou plusieurs tension est née durant la réunion, il est peut-être nécessaire d’envisager l’une ou l’autre réunion pour y remédier.

Comment est configuré pfSense aujourd’hui

On a 4 interfaces:

  • Routing (vlan 20)
  • Management (vlan 100)
  • Neutrinet (vlan 10)
  • Patata (vlan 11)

Schéma du réseau

Pour Neutrinet, on a mis le MTU à 1500 au lieu de 9000 (Jumbo Frame). On peut se permettre de monter le MTU puisque la qualité des interfaces (hardware) est bien meilleure aujourd’hui, surtout « en interne ».

Pour pfSense on filtre toujours les paquets sur l’interface par laquelle ils rentrent.

Pour Patata, on n’a rien configuré pour le moment, c’est normal puisque c’est le but de ce Neutriton :stuck_out_tongue_winking_eye:

Le NAT kézako ? Convertir une IP privée en une IP publique.
Au niveau des machines on n’a que des IP privées mais on veut pouvoir sortir sur internet. Un paquet a son IP privée, il arrive au Pfsense. Pfsense prend son calpin et attribue un port. Il envoie ensuite le paquet avec son IP. Quand le paquet revient par ce port, il sait qu’il doit l’envoyer à la machine.

En ipv6, il n’y a pas de NAT, parce que toutes les IPv6 sont routable sur les Zinternet et on joue sur des règles de forward.

Configuration des DNS

Les machines prennent le nom au format machine.cluster.dc.neutri.net (ex test.patata.louise.neutri.net)

C’est une convention qu’on s’est donnée. neutri.net est un domaine qui ne sert que pour les machines.

On ajoute d’abord la machine en ipv4 puis en ipv6.

  • enregistrer l’adresse de la machine de test dans: Services > DNS resolver > General Setting > Add host
  • idem en ipv6

On configure la machine de test en lui fixant une IPv4 (pour commencer)

On configure les 2 pfSense pour leur donner une IP flottante (Virtual IP). Pour cela on utilise le protocole CARP. On l’avait déjà fait lors du premier Neutriton sur pfSense, mais cela avait été désactivé lors d’une opération de maintenance.

Configuration du firewall

On permet au réseau PATATA de faire des requêtes DNS et répondre aux pings.

Puis, on autorise PATATA a accéder à Internet™

NAT

Forwarding : bête redirection de port vers une autre machine. Par exemple, si on avait un serveur mail dans notre réseau, on voudrait rediriger le port 25 du pfsense vers le port 25 du serveur mail (donc c’est depuis internet vers réseau interne)
1:1 : Attribue une IP publique à une IP interne. C’est à la machine qui obtient cette IP de gérer son pare-feu
Outbound NAT : Attribue une IP publique en sortie à une machine dans le réseau interne.

Nous on va faire du Outbound NAT. Attention, on veut pas passer par l’interface Routing, mais bien l’interface Neutrinet !

On peut tester nos changements avec Diagnostics > Ping :wink:
On cible une IP externe, et on fait le ping depuis localhost.