[Technique] Problèmes avec le deuxième réseau

  • Hé ho

    Cela fait un moment que je ne vous ai pas contacté, j’ai créé un petit laboratoire à domicile il y a environ six mois, il est structuré comme suit :

    Malheureusement, je n’ai plus accès quotidiennement à tous les services http/https du sous-réseau opnsense, l’opnsense apparaît comme en ligne dans le routeur, mais l’accès à mon homelab n’est plus possible, l’accès IP direct fonctionne généralement complètement, uniquement http/https ça ne marche pas du tout.

    Un redémarrage du routeur Swisscom fait disparaître tous les problèmes. (Le routeur fonctionne par ailleurs sans problème pour le sous-réseau Swisscom)

    Je ne suis pas vraiment sûr des détails à ajouter ici pour le moment, je vais donc le laisser tranquille.

    Merci pour toute aide pour résoudre ce problème !

    Afficher la langue d’origine (Allemand)

    @Neliommiosch84

    Selon deux autres fils de discussion, vous avez travaillé de manière expérimentale sur plusieurs solutions spéciales dans votre zone réseau au cours des derniers mois.

    Si quelqu’un souhaite participer à la discussion sur les nouvelles questions, je pense qu’il est pertinent de lire les discussions précédentes au préalable, je vais donc les relier ici :

    [https://community.swisscom.ch/t5/sicherheit-im-Internet/DMZ-Firewall-und-WLAN/td-p/791751](https://community.swisscom.ch/t5/sicherheit-im- Internet/DMZ-Pare-feu-et-WLAN/td-p/791751)

    et aussi :

    [https://community.swisscom.ch/t5/Internet-general/DNS-Server-aus-anderem-Subnetz/m-p/815635#M71908](https://community.swisscom.ch/t5/Internet-general/ serveur DNS-d’un-autre-sous-réseau/m-p/815635#M71908)

    Je ne me sens pas capable de le faire moi-même pour le moment, car je ne sais pas si vous travaillez avec des réseaux strictement séparés ou avec un réseau hybride comprenant une route statique, quel type de construction DNS est actuellement actif et dans quel réseau Il y a effectivement les clients qui posent problème actuellement 🙂

    Afficher la langue d’origine (Allemand)

    Hobby-Nerd ohne wirtschaftliche Abhängigkeiten zur Swisscom

    Bonjour @Werner

    Merci pour le lien, ça aurait été une bonne idée !

    J’ai opté pour les 2 réseaux séparés, accessibles via un itinéraire statique, je soupçonne donc la variante hybride.

    Le DNS est tous deux séparés.
    Un serveur DNS pour les clients Swisscom, deux DNS (pihole/adghome) via OPNsense pour les serveurs du “réseau de serveurs”.

    J’ai le sentiment que le DNS ne sera guère un problème ici, car il est géré par un appareil séparé au sein du sous-réseau Swisscom Ibox et mon PC peut donc résoudre le DNS à tout moment pendant que l’OPNsense Net est “en panne”.

    J’ai également moins de problèmes avec le proxy inverse, car au final un redémarrage du routeur Swisscom était toujours nécessaire pour résoudre le problème.

    En fait, c’est l’ensemble du réseau Opnsense qui pose problème, mais j’ai de plus en plus le sentiment que ce n’est pas OPNSense, comme on l’a toujours soupçonné, mais la Swisscom IBox qui pose problème, car elle est responsable du chemin statique.

    Ce que je me demande aussi, c’est que, théoriquement, il existe actuellement plusieurs 10.X qui provoquent un débordement de quelque chose ?

    J’ai entendu parler d’une sorte de débordement de Nat Table ou quelque chose comme ça.

    Afficher la langue d’origine (Allemand)

    @Neliommiosch84

    Comme déjà mentionné précédemment, ma propre approche consisterait à éviter le « méli-mélo » dans les réseaux et la complexité inutilement croissante qui en résulte le plus tôt possible dès la conception.

    Ma solution serait donc toujours :

    - tous les clients (sauf peut-être les cases blue TV) directement dans le réseau derrière le pfSense

    - Supprimez la route statique entre IB et le réseau en cascade pour une séparation claire du réseau et une sécurité accrue

    Cela signifie que vous n’auriez plus aucun effet secondaire possible du fonctionnement combiné, car DHCP et DNS seraient alors centralisés pour tout sur le pfSense.

    À propos, je suis heureux de laisser @r00t juger vos problèmes actuels avec l’approche hybride, car contrairement à moi, il dispose actuellement d’un réseau pfSense en activité.

    Afficher la langue d’origine (Allemand)

    Hobby-Nerd ohne wirtschaftliche Abhängigkeiten zur Swisscom


    @Neliommiosch84 a écrit :

    […] Malheureusement, je n’ai plus accès quotidiennement à tous les services http/https du sous-réseau opnsense, l’opnsense apparaît comme en ligne dans le routeur, mais l’accès à mon homelab n’est plus possible, accès IP direct fonctionne généralement complètement, seul http/https ne fonctionne pas du tout.

    Qu’entendez-vous exactement par « l’accès IP direct fonctionne la plupart du temps » ? Ping ? Et d’où http et https ne fonctionnent-ils pas ? depuis l’extérieur (Internet) ou depuis le réseau domestique ?

    Autre question sur votre réseau de serveurs : quelle est sa taille ? /24 ou /16 ou quelque chose entre les deux ?

    J’ai brièvement lu les deux (longs) autres fils de discussion et résumé les choses les plus importantes de mon point de vue (corrigez-moi si j’ai mal compris quelque chose) :

    - Sur l’opnsense (ou est-ce un pfsense d’après certains de vos posts ?!?) le NAT est désactivé

    - L’opnsense est configuré en hôte DMZ sur la box Internet

    - Une route statique pour le réseau serveur via opnsense est mise en place sur la box Internet

    - Le serveur DHCP du réseau domestique est l’IB, grâce auquel vous laissez les clients utiliser leur propre résolveur DNS dans le réseau de serveurs (ou s’exécute-t-il sur le réseau client ?) en utilisant l’option 6.

    - Le serveur DNS est situé dans votre réseau de serveurs, avec opnsense (pfsense ?) configuré comme proxy DNS

    - Les clients (LAN/WLAN) s’exécutent tous directement sur l’IB et non sur le réseau du serveur, il n’y a donc plus de proxy IGMP sur l’opnsense

    Il est permis de remarquer que vous avez déjà mis en place une construction assez complexe de sources d’erreur potentielles…

    Afficher la langue d’origine (Allemand)

    Have you tried turning it off and on again?

    Salut @PowerMac

    Merci pour la réponse!

    - Actuellement, je parle toujours de l’accès depuis le réseau domestique, le réseau directement derrière la Swisscom IBox où vivent tous les clients.
    L’accès http/https fait également référence à cela, à titre d’exemple, j’ai jellyfin sur ip xyz:8096 et via proxy inverse sur jellyfin.mydomain.com je peux alors accéder aux services directement via IP, mais pas avec le domaine.
    - C’est un opnsense, autrefois un pfsense, mais je n’étais plus aussi à l’aise avec la situation actuelle du netgate.
    - J’ai actuellement désactivé DMZ car le homelab n’est actuellement accessible que de l’extérieur via VPN.
    - La box Internet a deux routes statiques, l’une est le réseau du serveur -> un sous-réseau pour tous les hôtes physiques, et l’autre vers le réseau VM/conteneur, un sous-réseau pour tous les services, conteneurs, VM et LXC.
    - DHCP est l’Ibox et dans le réseau de serveurs l’OPNsense.
    - Théoriquement, je pourrais retirer le câble LAN du réseau de serveurs et disposer de mon réseau domestique Swisscom existant, tout à fait “normal”.
    - Exactement, les clients de mon réseau domestique Swisscom sont référés à un RaspberryPi avec Pihole via Option6.
    - Les serveurs ont tous enregistré OPNsense en tant que serveurs DNS, qui transmet les requêtes à un Pihole/AdguardHome qui s’exécute sur les serveurs.
    - Tout à fait exact, le proxy IGMP n’est pas sur OPNsense, car OPNSense n’a en réalité que des serveurs derrière lui.

    Merci beaucoup pour votre aide !

    Et désolé pour les quelques détails du début !

    Afficher la langue d’origine (Allemand)

    @“x”#234740J’adorerais mettre en œuvre votre démarche, que je comprends tout à fait, mais malheureusement ce n’est pas du tout possible car les serveurs sont à environ 50m de l’IBox et la connexion principale est relativement difficile à déplacer, je l’ai déjà fait cela essayait souvent de suffire.

    L’IBOX se trouve actuellement sur la connexion principale de Swisscom, mais comme l’espace disponible ici est limité, il n’est pas vraiment possible d’y connecter l’opnsense.

    Afficher la langue d’origine (Allemand)

    @Neliommiosch84

    Pourquoi faudrait-il placer l’appliance OpenSense directement à côté de la box Internet pour un réseau véritablement séparé ?

    Là où il se trouve actuellement, il est probablement connecté à un câble LAN et celui-ci peut mesurer jusqu’à 100 mètres de long.

    Avez-vous également un problème supplémentaire de câblage physique du réseau local ?

    Afficher la langue d’origine (Allemand)

    Hobby-Nerd ohne wirtschaftliche Abhängigkeiten zur Swisscom

    @“x”#234740Non, comme j’ai actuellement mes serveurs dont Opnsense au sous-sol et que je ne peux y faire passer qu’un seul câble LAN (faute de place dans les tuyaux dans le mur), je n’ai pas pu connecter les clients de la maison réseau derrière l’OPNsense, mes clients doivent donc rester derrière l’IBox dans le réseau domestique, et un switch en haut n’est pas possible car il nécessite 2 câbles (un vers le bas, un vers le haut).

    Désolé, mais j’ai déjà trop souvent abordé ce sujet, ici sur Reddit, les forums Opnsense, etc.
    CE N’EST PAS POSSIBLE AUTREMENT !

    Je voudrais donc essayer de résoudre les autres problèmes de la situation actuelle.

    Merci quand même pour la solution pour changer la structure du réseau.

    Afficher la langue d’origine (Allemand)

    @Neliommiosch84

    Et en complément général sur le thème du nombre de clients possibles directement dans le réseau d’une box Internet :

    Dans le passé, des utilisateurs ont signalé à plusieurs reprises des problèmes avec les box Internet lorsqu’ils traitaient avec un très grand nombre de clients sur le réseau domestique.

    On ne sait pas exactement où se situent les limites de taille spécifiques, mais sur la base de diverses expériences pratiques, il est devenu clair que tout ce qui compte plus de 60 à 80 clients peut poser problème à plusieurs reprises.

    D’ailleurs, les limites maximales dans la zone WLAN sont plus claires, car selon les pilotes WLAN utilisés, il s’agit de 32 ou 64 clients WLAN par bande WLAN, selon le modèle spécifique.

    Pour faire court, les box Internet sont des appareils purement SOHO destinés aux utilisateurs ordinaires, et une utilisation qui s’écarte fortement du profil utilisateur habituel mène toujours à des territoires inexplorés, car ils se situent en dehors des scénarios de test couramment utilisés.

    Afficher la langue d’origine (Allemand)

    Hobby-Nerd ohne wirtschaftliche Abhängigkeiten zur Swisscom


    @Neliommiosch84 a écrit :

    […] Je voudrais donc essayer de résoudre les autres problèmes de la situation actuelle.


    La seule chose que je comprends de votre message initial est la suivante

    • Des problèmes sporadiques surviennent avec l’accès aux services http et https sur votre réseau de serveurs qui est déconnecté via opnsense.
    • La condition d’erreur disparaît pendant environ un jour après le redémarrage de la box Internet.

    Afin de résoudre un problème, il est toujours utile de le comprendre d’abord le plus précisément possible 😀

    Et pour y parvenir exactement, vous devez laisser l’état d’erreur tel qu’il est la prochaine fois, puis tester ce qui fonctionne encore et ce qui ne fonctionne pas. Ainsi par exemple :

    • Le ping passe-t-il du réseau de l’utilisateur à Internet ?
    • Le ping passe-t-il du réseau utilisateur au réseau du serveur interne ?
    • Le ping passe-t-il du réseau du serveur interne au réseau de l’utilisateur ?
    • Le ping passe-t-il du réseau du serveur interne vers Internet ?
    • Le DNS est-il possible dans le réseau utilisateur (si nécessaire, n’utilisez pas votre propre serveur DNS, mais plutôt celui de l’IB) ?
    • Le DNS fonctionne-t-il sur le réseau de serveurs interne ?
    • L’accès http/https provient-il d’Internet ?
    • L’accès http/https provient-il du réseau utilisateur ?
    • L’accès http/https provient-il d’un client au sein du réseau de serveurs interne ?
    • Cela n’affecte-t-il vraiment que les services http/https, ou d’autres également ?
    • etc. etc.

    Alors la prochaine fois, ne redémarrez pas l’IB tout de suite, mais testez plutôt systématiquement une chose à la fois et réduisez l’erreur. Diviser et conquérir.

    Afficher la langue d’origine (Allemand)

    Have you tried turning it off and on again?

    14 jours plus tard

    Petite mise à jour pour ce fil :

    Après de longs allers-retours, il s’est avéré qu’il y avait une erreur dans le pilote des modules réseau Intel i225 + i226. Celle-ci avait déjà été corrigée en amont et a été complètement résolue avec une mise à jour du BIOS en juillet.

    https://forum.opnsense.org/index.php?topic=42368.msg210625#msg210625 -> https://forum.opnsense.org/index.php?topic=42240.0 -> https://bugs.freebsd.org/bugzilla/show_bug.cgi?id=279245

    Un grand merci à la communauté OPNsense et bien sûr à tous pour votre contribution !

    Afficher la langue d’origine (Allemand)