[CONTOURNé] OPNsense / NUC - probleme dongle usb/rj45

d33p · 27-04-2019 10:21:34

Hello,

Voici mes connections:

PCs -> Cisco port LAN -> Cisco port WAN -> OPNsense port LAN -> OPNsense port WAN -> freebox

************

routeur/firewall cisco

côté LAN

IP address 192.168.2.1
SUbnet mask 255.255.255.0

DHCP ok
192.168.2.1 to 192.168.2.50

DNS
9.9.9.9

DNS proxy enable

côté WAN

static IP

IP address 192.168.3.2
SUbnet mask 255.255.255.0

default gateway 192.168.3.1

DNS
9.9.9.9

OPNsense firewall

côté LAN

IP address 192.168.3.1 /24 (soit 255.255.255.0)

côté WAN

IP address 192.168.1.253 /24 (soit 255.255.255.0)

default gateway 192.168.1.254 /24 (soit 255.255.255.0) la freebox

************

Via RJ45, j'arrive à me connecter au cisco, j'arrive à me connecter au OPNsense, mais par contre, je n'arrive pas à joindre la freebox et donc pas d'internet.
Si je passe en wifi sur la freebox pour voir un peu...
Dans l'interface de la freebox je vois bien le device OPNsense avec cette ip 192.168.1.253 /24
En wifi, je peux pinguer la freebox, forcement, par contre je ne ping pas OPNsense les paquets sont perdus.

Quelqu'un a une idée?
S'il faut plus d'infos n'hésitez pas.

Merci, à bientôt.

JC

Dernière modification par d33p (28-04-2019 20:20:26)

raleur · 27-04-2019 12:26:59

Deux firewalls en cascade, la confiance règne...
Est-ce que l'OPNsense arrive à joindre la box ?
OPNsense autorise-t-il les flux de son LAN vers son WAN ?
Fait-il du masquerading sur son interface WAN ?
Sinon, la box a-t-elle une route vers 192.168.2.0/24 via 192.168.1.253 ?

Bref, vérifier les tables de routage, les règles de NAT et les règles de filtrage.

PS : quel rapport avec Debian ?

Dernière modification par raleur (27-04-2019 12:31:39)

d33p · 27-04-2019 12:48:38

Hello raleur

Deux firewalls en cascade, la confiance règne...

le cisco se fait vieux et j'avais une machine dispo pour y mettre un OS firewall disons un peu plus complet

Est-ce que l'OPNsense arrive à joindre la box ?

je vois que la box le voit mais dans l'autre sens, j'ai essayé de pinguer la box depuis le firewall, il perd les paquets.

OPNsense autorise-t-il les flux de son LAN vers son WAN ?

Je suppose.
J'ai créé cette règle:
"Default allow LAN to any rule" sur l'interface LAN
et pareil sur WAN
"Default allow WAN to any rule" sur l'interface WAN
Il y a une interface "floating" là pareil, j'ai mis "pass out any" donc je suppose tout ouvrir.

J'ai essayé de tout ouvrir lorsque je n'avais pas de connection, mais cela ne change rien.

Fait-il du masquerading sur son interface WAN ?

Aucune idée, cette notion est vague pour moi, tu peux m'expliquer les grandes lignes?

Sinon, la box a-t-elle une route vers 192.168.2.0/24 via 192.168.1.253 ?

Pourquoi cette question, tu peux developper s'il te plait? Je ne vois pas trop où configurer cela.

Merci,

JC

Dernière modification par d33p (27-04-2019 18:21:00)

raleur · 27-04-2019 20:06:47

Le masquerading est une forme de NAT (translation d'adresse) consistant à remplacer l'adresse IP source des paquets par l'adresse de l'interface de sortie. C'est ce que font toutes les box et routeurs internet lorsque leur réseau local utilise des adresses IP privées (10.*, 172.16-31.*, 192.168.*) non routées sur l'internet public.
L'autre forme la plus connue de NAT est la redirection de port, qui consiste à remplacer l'adresse IP de destination des paquets destinés à un certain port par l'adresse du serveur qui doit recevoir ces paquets.

Pour qu'une machine A communique avec une machine distante B (exemple : ping), il faut que les paquets que A envoie à destination de B soient routés jusqu'à B, mais aussi que les paquets que B renvoie en réponse soient routés jusqu'à A. Le routage de chaque paquet se fait de proche en proche, chaque machine impliquée sur le chemin applique sa propre table de routage pour le saut suivant.

Normalement, à l'aller :
La table de routage du PC dit que les paquets à destination de l'adresse de la box doivent être envoyés au Cisco (route par défaut).
La table de routage du Cisco dit que les paquets à destination de l'adresse de la box doivent être envoyés à l'OPNsense (route par défaut).
La table de routage de l'OPNsense dit que les paquets à destination de l'adresse de la box doivent être envoyés à la box qui est directement connectée à son interface WAN. Fin du chemin.

Et maintenant, au retour :
La table de routage de la box doit dire que les paquets à destination de l'adresse du PC doivent être envoyés à l'OPNSense. Mais par défaut, elle ne dit pas ça : la box n'a qu'une route pour son LAN 192.168.1.0/24 et une route par défaut vers l'extérieur pour tout le reste. Il faut donc, au choix :
- ajouter à la table de routage de la box une route pour lui dire d'envoyer à l'OPNsense les paquets destinés au réseau des PC 192.168.2.0/24. Si cette fonctionnalité est disponible, elle se trouve dans l'interface de gestion de la box ;
- ou faire du masquerading sur l'interface WAN de l'OPNsense afin que les paquets reçus par la box aient l'adresse source de l'OPNsense qui est dans le LAN de la box, pour laquelle elle a une route lui permettant de répondre. L'OPNsense remettra l'adresse originelle du paquet initial avant de renvoyer le paquet vers le Cisco.

A noter que le même problème se pose pour l'OPNsense. Puisque celui-ci est joignable depuis un PC, cela signifie que soit l'OPNsense a une route pour le LAN des PC, soit le Cisco fait du masquerading.

d33p · 28-04-2019 03:39:00

hello,

Lorsqu'il n'y avait que le cisco (192.168.2.xxx) et la box (192.168.1.xxx) je n'ai pas eu besoin de configurer quoi que ce soit côté box.
J'avais juste défini sur le cisco côté LAN (192.168.2.xxx) & côté WAN (192.168.1.xxx) (donc côté box) et roulezzz.
C'est pour ça que là, la bouche en coeur j'avais fait :
PCs (192.168.2.xxx) -> Cisco port LAN (192.168.2.xxx) -> Cisco port WAN (192.168.3.xxx) -> OPNsense port LAN (192.168.3.xxx) -> OPNsense port WAN (192.168.1.xxx) -> freebox (192.168.1.xxx)
Je voyais cette suite assez logique pour communiquer, mais il semble y avoir des différences, peut-être cette histoire de masquerading qui m'avait rendu la chose transparente auparavant entre le cisco et la box.
Ici ils parlent du masquerading avec OPNsense
https://forum.opnsense.org/index.php?topic=3050.0

Je vais continuer de bricoler avec tes quelques pistes.
merci.
JC

Dernière modification par d33p (28-04-2019 03:41:03)

d33p · 28-04-2019 07:32:28

Hello,

J'ai fait un autre test car après avoir retourné pas mal de paramètres, ouvert tout en long en large et en travers, je ne trouvais pas de logique.

Le device en question sur lequel j'ai mis l'OPNsense, c'est un NUC avec une carte réseau native et un dongle USB vers RJ45.

1ere config test:
Le LAN sur la carte rj45 interne et le WAN sur le dongle USB -> pas de comm possible niveau WAN pourtant la freebox le voyait bien comme actif.
Avec cette config si je suis via le cisco en RJ45 j'arrivais à entrer sur OPNsense avec l'ip 192.168.3.xxx
Pour jongler et contacter la freebox 192.168.1.xxx, je peux passer par le wifi ainsi je peux aller voir si elle voit l'OPNsense. Par contre je ne pouvais pas me connecter à l'OPNsense via 192.168.1.xxx
C'était louche car je peux contacter la box mais pas l'opn.

2e config test:
Alors, j'ai inversé les interfaces, c'est à dire, j'ai passé le lan sur le dongle USB / RJ45 et le WAN sur le port RJ 45 interne du nuc.
Et là, le problème semble suivre le dongle usb / rj45
C'est à dire, je ne peux plus le contacter via rj45 et le cisco 192.168.3.xxx
Par contre, via le wifi, je peux le contacter 192.168.1.xxx

Avec ce test, je pense que le dongle USB / RJ45 pose problème, je ne suis pas sûr à 100% mais ça y ressemble.
Par contre, je suis comme un "con" pour le moment car je n'ai pas d'autre dongle de ce genre pour tester.
Et ce serait même pire si aucun dongle usb / rj45 ne fonctionnait, alors là, je serais bon pour oublier mon firewall en cascade

Bref, entre temps, je vais peut-être essayer pfsense dans l'optique que le dongle "fonctionne" si le problème vient de là.
ça pourrait faire un test en plus.
Après c'est louche car opnsense semblait bien reconnaitre le dongle comme carte rj45, la preuve il me le lisatait dans les interfaces...

à bientôt.

JC

Dernière modification par d33p (28-04-2019 07:35:37)

d33p · 28-04-2019 09:35:31

hello,

j'ai trouvé cela sur le net :

I don't recommend the USB 3.0 to Ethernet adapter for FreeBSD 11.0 or OPNsense 17 (currently a port from FreeBSD 11.0). This item uses the AX88179 chipset, which does have a driver, the axge(4) package, but all it does is create the interface for FreeBSD and autonegotiate the ethernet link. It does not pass any traffic and all inbound interface stats remain at 0. I actually purchased this for my OPNsense platform, then spent several days troubleshooting, but it appears to be an issue with the open-source driver. I would suggest sticking to a Realtek-based adapter for FreeBSD for the time being.
Bastian
· November 17, 2017

bon c'était en 2017, mais ça à l'air d'être le même problème.

je continue de creuser.

JC

d33p · 28-04-2019 09:41:41

Et ici un poste presque interessant:
https://forum.opnsense.org/index.php?topic=9363.0
je suis un peu sur ma faim car le mec est prêt à faire un test croisé, on aurait eu une piste pour le dongle USB/RJ45 équipé du chip AX88179 et au cours du poste il part sur un plan B.
Mais il semble aussi avoir un souci tout de même avec le dongle USB/RJ45 équipé du chip AX88179...

ici problème de performance:
https://bugs.freebsd.org/bugzilla/show_ … ?id=225179

JC

Dernière modification par d33p (28-04-2019 09:44:03)

d33p · 28-04-2019 18:54:16

Re-hello,

Donc ce poste, https://forum.opnsense.org/index.php?topic=9363.0
m'a donné l'idée de tester avec un petit switch & les VLANs.

En effet, je n'avais pas d'autre moyen sous la main, pas d'autre dongle USB/RJ45...

Par contre, j'avais un petit routeur NETGEAR qui permet de faire du VLAN il était utilisé à l'etage, mais pour le moment, pour les tests, pas le choix, je l'ai accaparé

Donc j'ai branché le NETGEAR sur mon pc équipé de OPNsense, j'ai enlevé le dongle suspect

Sur le NETGEAR:
Port 1 -> "T" tagged VLAN 1, le pc OPNsense /// Port 2-3-4 "U" untagged VLAN 2, le LAN /// Port 5 "U" untagged VLAN3, le WAN
+ J'ai configuré les VLANs correspondants sur OPNsense, au début sans toucher le reste de la config que j'avais faite auparavant et boum, cela à fonctionné direct.

Donc le problème était bien lié au dongle USB/RJ45 qui ne devait pas être bien geré... c'était dur à trouver au début car ces connections étaient active / vertes etc... bref...

Merci raleur pour tes pistes également.

à bientôt.

JC

Dernière modification par d33p (28-04-2019 18:55:32)

raleur · 28-04-2019 18:56:49

Je n'ai pas regardé tous tes liens, et de toute façon je ne connais rien aux *BSD.
Je n'avais pas envisagé un problème de connectivité ethernet, je pensais que tu avais déjà vérifié cela. Cela n'engage que moi, mais j'aurais une forte réticence à utiliser une interface réseau USB pour un routeur/firewall ou un serveur (ou je sais, l'interface ethernet des Raspberry PI est en USB). Je ne connais pas ce NUC, il n'y a pas un emplacement pour une carte PCI ?

d33p a écrit :

2e config test:
Alors, j'ai inversé les interfaces, c'est à dire, j'ai passé le lan sur le dongle USB / RJ45 et le WAN sur le port RJ 45 interne du nuc.
Et là, le problème semble suivre le dongle usb / rj45
C'est à dire, je ne peux plus le contacter via rj45 et le cisco 192.168.3.xxx
Par contre, via le wifi, je peux le contacter 192.168.1.xxx

Tu as bien interverti toute la configuration et pas seulement les branchements (adresse IP, rôle LAN/WAN) ?

Est-ce que la résolution ARP fonctionne sur l'interface USB-ethernet ? Si oui, alors ce n'est probablement pas un problème matériel mais un problème de configuration du firewall.

d33p · 28-04-2019 20:19:03

Hello,

Je n'avais pas envisagé un problème de connectivité ethernet, je pensais que tu avais déjà vérifié cela. Cela n'engage que moi, mais j'aurais une forte réticence à utiliser une interface réseau USB pour un routeur/firewall ou un serveur (ou je sais, l'interface ethernet des Raspberry PI est en USB). Je ne connais pas ce NUC, il n'y a pas un emplacement pour une carte PCI ?

Je t'avoue qu'avec les leds vertes et le status actif, le fait de le voir en vert aussi bien de la freebox que dans OPNsense lui-même, je ne pensais pas qu'il y avait un souci.
Pour passer le réseau par un dongle USB/RJ45, tu as raison, pour dépanner c'est bien, mais pour ce genre d'utilisation, c'est plus que discutable, après quelques lectures je m'en suis rendu compte.
Pas possible d'inserer une carte pci dans un nuc, ça reste un micro PC, ça tient dans la main.

Tu as bien interverti toute la configuration et pas seulement les branchements (adresse IP, rôle LAN/WAN) ?

Oui, j'ai dû configurer le NETGEAR et j'ai changé les paramètres WAN / LAN de OPNsense.

Est-ce que la résolution ARP fonctionne sur l'interface USB-ethernet ? Si oui, alors ce n'est probablement pas un problème matériel mais un problème de configuration du firewall.

Lorsque j'étais avec le dongle, j'ai essayé de lancer des requêtes ARP et en effet côté dongle on n'avait aucun retour.

En conclusion mefions-nous des dongles usb/rj45

merci raleur.

à bientôt.

JC

raleur · 28-04-2019 21:42:57

Nos messages précédents se sont croisés, je n'avais pas vu le tien où tu parlais du routeur Netgear lorsque j'ai rédigé le mien.
A propos du Netgear, tu es bien conscient que la sécurité de ton réseau dépend de l'étanchéité de ses VLAN (pas de séparation physique entre LAN et WAN) ?

d33p · 29-04-2019 04:34:08

Hello,

A propos du Netgear, tu es bien conscient que la sécurité de ton réseau dépend de l'étanchéité de ses VLAN (pas de séparation physique entre LAN et WAN) ?

Non, je t'avoue que je n'avais pas cette notion à l'esprit.
Je vais creuser un peu pour voir si il tient la route.

merci raleur pour l'info.

à bientôt.

JC

Debian-facile

#1 27-04-2019 10:21:34

[CONTOURNé] OPNsense / NUC - probleme dongle usb/rj45

#2 27-04-2019 12:26:59

Re : [CONTOURNé] OPNsense / NUC - probleme dongle usb/rj45

#3 27-04-2019 12:48:38

Re : [CONTOURNé] OPNsense / NUC - probleme dongle usb/rj45

#4 27-04-2019 20:06:47

Re : [CONTOURNé] OPNsense / NUC - probleme dongle usb/rj45

#5 28-04-2019 03:39:00

Re : [CONTOURNé] OPNsense / NUC - probleme dongle usb/rj45

#6 28-04-2019 07:32:28

Re : [CONTOURNé] OPNsense / NUC - probleme dongle usb/rj45

#7 28-04-2019 09:35:31

Re : [CONTOURNé] OPNsense / NUC - probleme dongle usb/rj45

#8 28-04-2019 09:41:41

Re : [CONTOURNé] OPNsense / NUC - probleme dongle usb/rj45

#9 28-04-2019 18:54:16

Re : [CONTOURNé] OPNsense / NUC - probleme dongle usb/rj45

#10 28-04-2019 18:56:49

Re : [CONTOURNé] OPNsense / NUC - probleme dongle usb/rj45

#11 28-04-2019 20:19:03

Re : [CONTOURNé] OPNsense / NUC - probleme dongle usb/rj45

#12 28-04-2019 21:42:57

Re : [CONTOURNé] OPNsense / NUC - probleme dongle usb/rj45

#13 29-04-2019 04:34:08

Re : [CONTOURNé] OPNsense / NUC - probleme dongle usb/rj45

Pied de page des forums