Bonjour à tous,

Je vais m’efforcer de presenter mon probleme clairement donc je monte actuellement un VLAN (32) pour un acces Guest.

Actuellement sur le reseau GUEST VLAN 32:

• PFSENSE 172.25.1.254 (Plusieurs interface ETH0-ETH4)
• NXFILTER sous debian 172.25.1.250 (ETH0.32 uniquement)
• SERVEUR UNIFI sous Debian 172.25.1.204 (ETH0 172.20.1.204 pour le LAN et ETH0.32 172.25.1.204 pour le VLAN Guest)

Mon Pfsense monte des VPN (IPSEC) pour un usage Guest avec 8 sites distants.

Le principe serait le suivant un visiteur sur site se connecte au reseau Guest il doit saisir un voucher (portail Unifi) puis sort en direct avec filtrage via NXFilter centralisé et blocage des requetes DNS Locales autre.

Sur le papier cela fonctionne deja pour la partie

• VPN
• NXFilter

En revanche mon serveur unifi doit etre accessible depuis le reseau guest afin d’afficher la page de redirection et vouchers, ce serveur est actuellement sur le LAN pour la gestion du WIFI “interne” ne voulant utiliser qu’un seul serveur j’ai choisi d’ajouter une interface VLAN ETH0.32

J’ai fait les operations suivantes:
apt-get install vlan
vi /etc/modules avec ajout de la ligne "8021q"
vi /etc/network/interfaces

avec le parametrage suivant:

[code]auto lo
iface lo inet loopback

The primary network interface

auto eth0
iface eth0 inet static
address 172.20.1.204
netmask 255.255.255.0
network 172.20.1.0
broadcast 172.20.1.255
gateway 172.20.1.252

auto eth0.32
iface eth0.32 inet static
address 172.25.1.204
netmask 255.255.255.0
gateway 172.25.1.254
[/code]

Le truc que je ne comprends pas c’est que ma Debian avec Nxfilter ping bien par exemple:
172.25.1.254 / 172.25.1.204 et meme un routeur sur site distant via VPN Guest en 172.25.2.254 donc pleinement fonctionnelle.

En revanche depuis mon serveur Debian Unifi je ping le 172.25.1.254 / 172.25.1.250 (Guest local) mais pas le routeur distant via VPN (172.25.2.254) apres ayant deux interfaces sur ce serveur j’ai ceci comme table de routage:

Destination     Passerelle      Genmask         Indic Metric Ref    Use Iface
0.0.0.0         172.20.1.252  0.0.0.0         UG    0      0        0 eth0
172.20.1.0      0.0.0.0         255.255.255.0   U     0      0        0 eth0
172.25.1.0      0.0.0.0         255.255.255.0   U     0      0        0 eth0.32
172.25.2.0      172.25.1.254    255.255.255.0   UG    0      0        0 eth0.32

Je ne vois pas mon erreur surtout qu’entre mais deux servers unifi et nxfilter j’utilise la meme versionet les memes maj

Voici la table de routage de la Debian NXFILTER.

Destination     Passerelle      Genmask         Indic Metric Ref    Use Iface
0.0.0.0         172.25.1.254  0.0.0.0         UG    0      0        0 eth0.32
172.25.1.0      0.0.0.0         255.255.255.0   U     0      0        0 eth0.32

Je tourne en rond donc si vous aviez un debut de piste !

Merci d’avance.

Une erreur est la présence de deux options [mono]gateway[/mono] contradictoires dans le fichier interfaces. Il ne peut y avoir qu’une route par défaut. D’ailleurs la table de routage n’en affiche qu’une, sur l’interface non taggée.

Oui merci en effet je viens de supprimer la gateway sur l’interface eth0.32 mais le probleme persiste (reboot entre temps)

Normal vu la table de routage.
Que donnent [mono]traceroute[/mono] et [mono]ip route get[/mono] sur l’adresse cible ?

Tu te contredis dans ta description : l’adresse d’eth0.32 d’unifi est-elle 172.25.1.204 ou 172.25.1.201 ?

Concernant l’IP en effet j’avais monté unautre serveur pour voir si ma configuration n’avait pas un probleme mais l’IP est bien
172.25.1.204 cote VLAN
172.20.1.204 cote LAN

Pour ta remarque sur la table de routage je ne vois pas ?

Destination     Passerelle      Genmask         Indic Metric Ref    Use Iface
0.0.0.0         172.20.1.252  0.0.0.0         UG    0      0        0 eth0
172.20.1.0      0.0.0.0         255.255.255.0   U     0      0        0 eth0
172.25.1.0      0.0.0.0         255.255.255.0   U     0      0        0 eth0.32
172.25.2.0      172.25.1.254    255.255.255.0   UG    0      0        0 eth0.32

En effet mon lan est fonctionnel et depuis l’ip vlan (172.25.1.204) j’ai bien un gw de specifiée via 172.25.1.254 vers le 172.25.2.254par exemple.

Le traceroute ne passe pas le “ip route get 172.25.2.254” le resultat est:
172.25.2.254 via 172.25.2.254 dev eth0.32 src 172.25.1.204

Bon je continu mes recherches et merci pour ton aide !!!

Le probleme ne vient pas du firewall (pfsense) en effet la debian NXfilter accede bien au VPN guest via test simple ping 172.25.2.254 et cela en passant par la meme gw 172.25.1.254

Il doit y avoir un coquille liée aux deux interfaces ETH0 et ETH0.32 je n’ai pas non plus l’option IP_Forward

Bon et bien j’ai honte… filtrage portail captif sur IP via Pfsense qui était encore actif sauf sur IP 172.25.1.250… Bref mille excuses…