Caps Services - Forum

Bonjour à tous,

J'envisage de modifier le routeur que j'utilise pour passer sur pfSense.
Lors de mes test, je me retrouve confronter au problème de passerelle en /32, ce qui ne fonctionne pas nativement avec pfSense.

D'après ce que j'ai pu lire, j'ai deux options :

1. Demander à KNET de passer ma configuration IP de /32 à /24, voir si c'est possible par rapport au sous réseau que j'ai
Ma passerelle est en 185.4.79.254, mon IP en 185.73.xxx.xxx
Est-ce que KNET pourrait confirmer la faisabilité technique par rapport à mon IP ? (je suis dans le 91 dans le Val d'Orge).

2. Si la première option n'est pas possible, ajouter les lignes de commande ci-dessous manuellement dans pfSense :

route add -host 185.4.79.254 -iface ilx0
"ilx0" etant le nom de la carte reseau assignée au "WAN" (visible dans la rubrique Interfaces/Assignments")

Puis une fois la première ligne de commande entrée et validée, entrez celle-ci:
route add default 185.4.79.254

Après il faut que je trouve un moyen pour que les commandes soient prises en compte après un redémarrage.
Je n'ai pas trouvé d'information pour le faire via l'interface graphique, si quelqu'un à une idée ?

Merci pour votre aide.

Salut,
Avec une petite recherche sur google

Citation de: ELRiCK le 14 Juillet 2019 à 12:57:21
Après il faut que je trouve un moyen pour que les commandes soient prises en compte après un redémarrage.

https://www.it-connect.fr/pfsense-shellcmd-pour-executer-des-commandes-au-demarrage/ (https://www.it-connect.fr/pfsense-shellcmd-pour-executer-des-commandes-au-demarrage/)

Cordialement

Merci, coool :)

Finalement, les commandes suivantes me donne accès que 10 minutes montre en main !!!!
La connexion tombe automatiquement après 10min... je redémarre et je récupère la connexion... tsssss....
Les lignes ci-dessous ne sont donc pas une solution stable :(

route add -host 185.4.79.254 -iface ixl0
route add default 185.4.79.254

Finalement, j'espère pouvoir passer en /24 pour éviter ce tweak (cf mon point 1)
Il faudrait q'une personne de K-NET me dise si c'est possible ?? !!

Il faut que le routeur fasse une demande DHCP sur le WAN et ne soit donc pas en IP fixe.

Si IP fixe, pas de demande DHCP, Fermeture du robinet...

L'interface WAN est configuré en DHCP (pas d'IP statique) mais cela ne change rien...
La connexion tombe toute les 10minutes, puis remonte 10 minutes après.

Je viens également de découvrir une option utile pour éviter les lignes de command route add et le shellcmd, mais cela ne change pas le fait que la connexion tombe ;)

https://i.ibb.co/wYjhkXn/Sans-titre.jpg

https://lafibre.info/k-net-internet/pfsense-et-k-nwet/

Il n'y a pas bcp plus d'explication, on parle de "Far Gateway" mais on ne sait pas ou cela se trouve ;(

Il faut faire du arping.
Le temps pour moi de trouver un ordi et je t'en dis un peu plus.

Re,

Il y a 2 choses à faire :

1/ Ce que tu as déjà fait : Installer le package Shellcmd et programmer les 3 commandes suivantes au démarrage (à adapter selon le nom de ton interface)

route del default
route add 185.4.79.254/32 -link -iface em1
route add default 185.4.79.254

2/ Ce que tu n'as pas encore fait : Installer les packages Cron et arping et programmer les 2 commandes suivantes (à adapter selon le nom de ton interface)
*/5 * * * * root /usr/local/sbin/arping -v -c 3 -i em1 185.4.79.254 >> /var/log/cron_arping.log 2>&1
0 0 1 * * root rm /var/log/cron_arping.log
La première émet une requête arping toutes les 5 minutes vers la passerelle (ce qui maintiendra la connexion UP). Pour des raisons qui me regardent, j'ai choisi de loguer les requêtes (je ne sais plus si c'est vraiment nécessaire ou pas) dans tous les cas, la 2ème commande supprime le fichier log le premier jour de chaque mois.

Logiquement, avec ça, la connexion de ton pfsense restera UP après les 10 minutes.

Merci, je vais tester çà, ca fait un peu usine à gaz...
J'aimerai que KNET me bascule sur un adressage classique pour le coup, genre /24 car franchement, j'ai l'impression de bricoler une connexion.

Citation de: ELRiCK le 14 Juillet 2019 à 20:33:39
Merci, je vais tester çà, ca fait un peu usine à gaz...
J'aimerai que KNET me bascule sur un adressage classique pour le coup, genre /24 car franchement, j'ai l'impression de bricoler une connexion.

Ce n'est pas la faute de K-NET que le routeur ne permet pas le /32 nativement :)

Non en effet K-net n'y peut pas grand chose et je ne sais pas si c'est possible de passer en /24.

C'est 5 lignes de code à passer et une fois que c'est en place, ça tourne bien.

D'ailleurs, si tu prends un serveur chez Online, OVH ou autre, tu seras aussi obligé de mettre ce code là.

Pour le Arping, c'est peut-être propre à K-net mais pas sorcier non plus ;)

Hello,

Pour l'étape 1, l'option "Use non local gateway", case a cocher dans les proprietes avancés du WAN est plus simple et elle evite egalement le shellcmd

Concernant l'étape 2 (Arping), il existe un package pfSense du meme nom qui pourrait tres bien faire le travail.
Il faut que je creuse ça.

L'idée est de trouver la solution la plus simple a mettre en oeuvre.

Citation de: ELRiCK le 15 Juillet 2019 à 09:18:28
Pour l'étape 1, l'option "Use non local gateway", case a cocher dans les proprietes avancés du WAN est plus simple et elle evite egalement le shellcmd

Pas trouvé sur le mien. C'est dans quel menu exactement ?

Citation de: Loïc (54) le 15 Juillet 2019 à 10:05:52

Citation de: ELRiCK le 15 Juillet 2019 à 09:18:28
Pour l'étape 1, l'option "Use non local gateway", case a cocher dans les proprietes avancés du WAN est plus simple et elle evite egalement le shellcmd

Pas trouvé sur le mien. C'est dans quel menu exactement ?

Dans les paramètres avancés (display advanced) de ta gateway tout à la fin.

Citation de: gauthi3r le 15 Juillet 2019 à 10:17:56
Dans les paramètres avancés (display advanced) de ta gateway tout à la fin.

Ah oui, vu, merci :)

Citation de: ELRiCK le 14 Juillet 2019 à 12:57:21
1. Demander à KNET de passer ma configuration IP de /32 à /24, voir si c'est possible par rapport au sous réseau que j'ai
Ma passerelle est en 185.4.79.254, mon IP en 185.73.xxx.xxx
Est-ce que KNET pourrait confirmer la faisabilité technique par rapport à mon IP ? (je suis dans le 91 dans le Val d'Orge).

C'est possible de demander directement à Knet si par miracle ton subnet peut être changé.
J'avais ouvert un ticket à l'époque et on m'a confirmé que c'était pas possible pour moi. Néanmoins, ça ne coûte rien d'essayer, certains ont déjà eu une réponse positive, il y a quelque temps maintenant.
Donc, l'ouverture d'un petit ticket et tu auras ta confirmation sous quelques heures.

J'ai envoyé un mail dans ce sens, comment est ce que l'on peut ouvrir un ticket sinon ?

Citation de: ELRiCK le 15 Juillet 2019 à 18:58:42
J'ai envoyé un mail dans ce sens, comment est ce que l'on peut ouvrir un ticket sinon ?

L'email a été transformé en ticket, et normalement le support technique a déjà répondu.

J'ai reçu une réponse mais elle consiste à faire ce que je décris plus haut.

Suite à votre demande, dans votre pfsense il faut cocher la case "Use non-local gateway" dans le menu "System -> Routing -> Gateways -> Edit".
Voici la documentation  pfsense sur le sujet :  https://docs.netgate.com/pfsense/en/latest/book/routing/gateway-settings.html#use-non-local-gateway

Malheureusement, cette action n'est pas suffisante puisque la connexion tombe quand meme et remonte toute les 10 minutes.
J'ai renvoyé un mail pour voir s'ils ne peuvent pas basculer ma configuration IP en /24, ca serait bien plus simple pour tout le monde.

Je t'ai déjà expliqué que pour que ta connexion ne tombe pas, il faut passer ces lignes de commandes :

Citation de: Loïc (54) le 14 Juillet 2019 à 20:18:16
2/ Ce que tu n'as pas encore fait : Installer les packages Cron et arping et programmer les 2 commandes suivantes (à adapter selon le nom de ton interface)

Code Sélectionner Étendre

*/5 * * * * root /usr/local/sbin/arping -v -c 3 -i em1 185.4.79.254 >> /var/log/cron_arping.log 2>&1

Code Sélectionner Étendre

0 0 1 * * root rm /var/log/cron_arping.log
La première émet une requête arping toutes les 5 minutes vers la passerelle (ce qui maintiendra la connexion UP). Pour des raisons qui me regardent, j'ai choisi de loguer les requêtes (je ne sais plus si c'est vraiment nécessaire ou pas) dans tous les cas, la 2ème commande supprime le fichier log le premier jour de chaque mois.

Et je ne suis vraiment pas persuadé que passer en /24 résoudra ce problème comme par magie.

Citation de: Loïc (54) le 16 Juillet 2019 à 11:22:55
Je t'ai déjà expliqué que pour que ta connexion ne tombe pas, il faut passer ces lignes de commandes :

Citation de: Loïc (54) le 14 Juillet 2019 à 20:18:16
2/ Ce que tu n'as pas encore fait : Installer les packages Cron et arping et programmer les 2 commandes suivantes (à adapter selon le nom de ton interface)

Code Sélectionner Étendre

*/5 * * * * root /usr/local/sbin/arping -v -c 3 -i em1 185.4.79.254 >> /var/log/cron_arping.log 2>&1

Code Sélectionner Étendre

0 0 1 * * root rm /var/log/cron_arping.log
La première émet une requête arping toutes les 5 minutes vers la passerelle (ce qui maintiendra la connexion UP). Pour des raisons qui me regardent, j'ai choisi de loguer les requêtes (je ne sais plus si c'est vraiment nécessaire ou pas) dans tous les cas, la 2ème commande supprime le fichier log le premier jour de chaque mois.

Et je ne suis vraiment pas persuadé que passer en /24 résoudra ce problème comme par magie.

J'ai bien pris note de cela, je l'appliquerai si jamais le /24 est impossible.
Le /24 m'évitera de faire des requêtes en continu pour maintenir ma connexion, c'est beaucoup plus sains.

Je me répond à moi même.

K-NET m'a passé ma configuration IP en /24...
En /24 ou 32/ c'est le même combat, déconnexion toutes les 10 minutes !
La configuration IP /32 n'est donc pas responsable de ce problème de déconnexion, c'est d'autres éléments sur le réseau K-NET qui en sont en causes.

J'ai testé la solution ARPING, elle fonctionne, mais faire des requêtes toutes les 5 minutes pour garder sa connexion en vie avec une tache planifié, c'est.... très très moche !
Une autre solution existe, elle est radicalement plus propre, elle ne semble pas répandu car je la trouve nul part, c'est un technicien de KNET qui m'a donné l'information (si si si !!)

Se positionner sur le menu System et sélectionner Advanced
(https://forum.netgate.com/assets/uploads/files/1563549161234-a2decb3c-ab70-48cb-9fd7-ddf4e89ca420-image.png)

Sélectionner System Tunables
(https://forum.netgate.com/assets/uploads/files/1563549184485-fb2bee0f-2426-4a5c-8921-da616d98b7d8-image.png)

Cliquer sur New
(https://forum.netgate.com/assets/uploads/files/1563549208365-9b6d61d2-f41f-441b-b746-15b9541e27ce-image.png)

Entrer net.link.ether.inet.max_age dans le champ Tunable
Entrer 300 comme valeur et ajouter une description
Cliquer sur le bouton Save
(https://forum.netgate.com/assets/uploads/files/1563549223036-819e8cce-875a-4ef7-aa44-6c5c86ffadcf-image.png)

And voilà... çà marche beaucoup mieux et c'est plus propre.
Faudra m'expliquer quels sont les balises pour les images car je trouve pas de bouton pour çà... tssss...

Ah, cool, merci pour le partage.
Je viens d'essayer de configurer mon pfsense comme ça. On verra ce que ça donne sur le moyen terme ;)
En tous cas, jusqu'à maintenant, la seule solution qui avait été trouvée et partagée ici, c'était le arping, je pense que tu en auras aidé bien d'autres.

Concernant la balise IMG, elle a été désactivée lorsqu'à un moment, des malins envoyaient des MP avec une balise image, dans le but de récupérer les adresses IP de clients K-net pour DDoS et fait ch*** tout le monde.

Tu m'étonnes, supprime ta ligne CRON et utilises les données que j'ai mis et normalement ça devrait rouler ;)
Par défaut le parametre est à 1200 secondes (soit 20minutes), K-NET nous demande de le mettre à 300 secondes (5min), j'aimerai bien en savoir la raison.
On a la solution technique mais pas l'explication du pourquoi du comment... si quelqu'un de K-NET pourrait nous en dire plus, on serait tous moins bête :)

De ce que j'ai compris, coté pfsense, c'est pour "optimiser la connexion" (désolé, j'ai pas trouvé mieux... ;) )
Le 5 minute est peut-être lié au bail DHCP de 5 minutes qu'il faut renouveler avant expiration?