PFsense : Deux IPs sur une interface WAN

L’objectif de ce tutoriel est de publier un serveur web derrière une seconde IP publique portée par PFsense.

Étant actuellement hébergé chez Online.net une partie du tuto se basera dessus mais je pense que les manipulations doivent être identiques chez d’autres hébergeurs ;-)

Partie 1 : Configuration de l’ip failover sur Online.net

Une fois que vous avez commandé votre nouvelle IP Failover (IP publique) sur Online.net nous allons l’associé à une adresse MAC déjà existante. Dans notre cas l’adresse MAC de notre pfsense qui doit déjà être associée à une IP Failover.

Nous  sélectionnons notre nouvelle ip et l’associons à une adresse MAC existante en cliquant sur « UTILISER UNE ADRESSE MAC EXISTANTE »

virtual1

Nous sélectionnons l’adresse MAC de notre PFsense qui porte déjà une adresse IP :

virtual2Il ne nous reste plus qu’à valider en cliquant sur OK.
Du coté du panel d’administration d’online.net nous avons terminé nous allons maintenant passer à la configuration de PFsense pour lui permettre de prendre en charge cette nouvelle adresse :)

Partie 2 : Configuration de PFsense

Nous allons d’abord créer une nouvelle adresse virtuel sur notre pfsense qui correspond à l’ip publique fourni par Online.net
Pour se faire il faut se rendre dans Firewall > Virtual IPs > et cliquez sur ajouter

wanip1Type: IP alias
IP Address : Votre nouvelle ip publique associée à l’adresse MAC de votre pfsense.

Cliquez sur « Save » pour valider votre configuration :

wanip-2

Configurons maintenant le nat 1:1 de notre nouvelle ip publique vers notre serveur web qui disposera de l’ip privée suivante 192.168.1.80

Cela va nous permettre d’associer l’ensemble des flux entrants  vers notre ip publique à notre serveur du LAN (192.168.1.80) et inversement associer l’ensemble des flux sortants de notre serveur (192.168.1.80) à notre ip publique.

Pour se faire il faut se rendre dans Firewall > Nat > 1:1 > Cliquez sur icone pfsense

wanip-3Interface : WAN
External subnet IP : IP publique précédemment ajoutée comme virtual IP
Internal IP : 192.168.1.80

Nous allons maintenant créer les ouvertures de flux associées.

Dans mon cas je vais ouvrir le flux http et le ping vers mon serveur interne 192.168.1.80 depuis internet.

Nous allons dans Firewall > Rules > ajoutez une nouvelle règle icone pfsense

Nous créons l’ouverture de flux http

wanip-4

Cliquez sur Save

Nous créons maintenant l’ouverture de flux pour laisser transiter l’icmp (ping)

wanip-5Voici les deux nouvelles règles nouvellement créées :

wanip-6

Cliquez sur Apply Changes pour appliquer la configuration.

Il ne nous reste plus qu’à tester :

wanip-7

Dans les logs de pfsense nous voyons bien notre flux icmp correspondant au ping que j’ai effectué être redirigé vers l’ip privée de notre serveur 192.168.1.80

wanip-8

Notre serveur est donc maintenant  publié sur internet sous sa nouvelle adresse IP publique différente de l’adresse ip publique par défaut de pfsense :)

7 réflexions au sujet de « PFsense : Deux IPs sur une interface WAN »

  1. bonjour ,

    Tres bon Tuto :) mais cela veux il dire que tu as « abandonnée » le reverse Proxy Pfsense ?…

    Je me bats encore avec le Https … ;) et des « Potential DNS Rebind attack  » sur l adresse du pfsense lors de test de sous domaine …

    1. Salut !

      Merci ! :-)
      Oui j’ai effectivement abandonné le reverse proxy, il n’y avait pas assez d’option pour configurer et sécuriser l’HTTPs.
      Tu as trouvé une solution pour ton soucis ?

      Ophyde

  2. Hey,
    merci pour ton tuto qui m’as permis de monter ma deuxième adresse WAN (au debut je pensait rajouter une interface sur ma pfsense, mais apparemment, pfsense ne gère pas, ou mal, le fait d’avoir deux WAN avec la même gateway, donc avec le failover de Online, c’était la mort :p)

  3. Salut Ophyde,

    Merci pour ton tuto, cela ma permis d’avancer sur mon projet.
    Par contre j’ai un petit problème, j’arrive à rediriger le flux un une machine pour mon IP FO. Par contre je n’arrive pas à faire un redirection vers un réseau entier.
    Aurais-tu une astuce ?

      1. Salut !

        Je viens de voir ton commentaire. Tu souhaites natter en source un réseau local sur la virtual IP ? Ou tu souhaites rendre accessible depuis ta virtual IP ton réseau local ?

        Ophyde

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *