Activer le NAT reflection sous pfSense 2.6 pour accéder à son adresse IP WAN depuis le réseau local

4. Rediriger le port 80 (HTTP) dans votre Box

Si pfSense possède une adresse IP privée (locale) pour son interface WAN, c'est que pfSense agit en tant que routeur entre votre Box (fournie par votre FAI) et votre ordinateur.
Dans ce cas, vous devrez d'abord rediriger le port 80 (HTTP) utilisé pour l'accès depuis l'extérieur vers le port 80 (HTTP) de pfSense.

Pour cela, dans le cas de la bbox de Proximus, accédez à l'adresse "http://192.168.1.1/" et connectez-vous avec le mot de passe utilisateur inscrit physiquement sur votre bbox.
Ensuite, allez dans "Access Control -> Port Mapping" et cliquez sur "Create New Portmap" pour créer une nouvelle règle de redirection de ports.

Rediriger le port 80 TCP externe (= celui externe de bbox) vers le port 80 interne (= celui de votre machine pfSense) pour l'adresse IP interne (dans notre cas : 192.168.1.10) correspondant à l'adresse IP WAN de votre machine pfSense.
Une fois cette règle configurée, appuyez sur Enter, puis cliquez sur OK.

5. Rediriger le port 80 (HTTP) sous pfSense

Pour que les paquets arrivent de l'extérieur (depuis le port 80 TCP = HTTP) jusqu'à votre serveur web interne (dans notre cas : le serveur web IIS), il est nécessaire de créer également une redirection de port sous pfSense.
Pour cela, allez dans : Firewall -> NAT.

Sur la page "Firewall / NAT / Port Forward" qui apparait, cliquez sur le bouton "Add".

Configurez cette règle de redirection de ports comme ceci :

• Interface : WAN.
• Address Family : IPv4.
• Protocol : TCP. Le protocole HTTP est de type TCP (mode connecté).
• Destination : WAN address. Les connexions depuis l'extérieur arrivent sur l'interface WAN de pfSense.
• Destination port range : Other 80. Port utilisé par défaut lors de l'accès à un site web en HTTP.
• Redirect target IP : l'adresse IP locale de votre serveur web.
  Dans notre cas, notre serveur web IIS possède l'adresse IP "10.0.0.10".
• Redirect target port : le port sur lequel écoute votre serveur web.
  Généralement, il s'agit du port 80. Néanmoins, pour ce tutoriel, nous avions changé le port utilisé par notre serveur web IIS en 8080 au lieu de 80 pour le protocole HTTP.
• Description : une description purement indicative.
  Dans notre cas : IIS web server (with NAT reflection support).
• NAT reflection : Enable (NAT + Proxy). Cette option est la plus importante dans ce cas-ci et permet d'accéder à votre serveur web local (dans ce cas-ci) en utilisant l'adresse IP WAN de pfSense, ainsi que cette redirection de ports depuis votre propre réseau local.
  Sans l'activation de cette option "NAT reflection", l'accès à l'adresse IP WAN de pfSense depuis votre réseau local ne fonctionnerait pas. La connexion échouerait purement et simplement.

Une fois cette règle de redirection de port configurée, cliquez sur Save.

Note : pour en savoir plus sur la redirection de ports sous pfSense, référez-vous à notre tutoriel : pfSense 2.6 - NAT (redirection de ports).

Cliquez sur le bouton "Apply Changes".

La règle de redirection pour le port 80 TCP externe (= celui de pfSense) vers le port interne 8080 (= celui de votre serveur web) pour l'adresse IP correspondant à votre serveur web IIS est configurée.

6. NAT reflection non fonctionnel (si pfSense est un routeur intermédiaire)

Si pfSense est un routeur se trouve entre votre Box et votre ordinateur et que l'interface WAN de pfSense possède donc une adresse IP privée (locale), vous verrez que l'accès à votre domaine depuis l'extérieur (ou via une connexion 3G ou un VPN) fonctionnera.

Par contre, depuis votre réseau local, la connexion échouera et votre navigateur web vous affichera une erreur.
Dans le cas de Mozilla Firefox, vous verrez le message "Le délai d'attente est dépassé" apparaitre après un certain temps (30 secondes, voire 1 minute).
Note : c'est ce qui se produit lorsque le loopback est interdit dans un routeur. Ce qui est le cas la plupart du temps.

Comme dit précédemment, cela est dû au fait que l'interface WAN de pfSense possède une adresse IP privée au lieu de l'adresse IP publique distribuée par votre FAI.

En effet, le NAT reflection ne fonctionne que si vous tentez d'accéder à l'adresse IP WAN utilisée par pfSense.
Or ce n'est pas le cas, puisque :

• pfSense possède une adresse IP privée (locale) pour son interface WAN.
  Dans notre cas : 192.168.1.10.
• votre domaine pointe sur votre adresse IP publique distribuée par votre FAI.

Le NAT reflection fonctionnerait donc directement si vous aviez la possibilité de connecter directement l'interface WAN de pfSense via le signal DSL en utilisant le protocole PPPoe (par exemple).
Dans le cas contraire, cela ne fonctionne pas (à moins d'utiliser l'astuce que vous verrez dans la suite de ce tutoriel).

Pour prouver que le NAT reflection fonctionne quand même, tapez l'adresse IP WAN de pfSense dans la barre d'adresse de votre navigateur web depuis un ordinateur présent sur votre réseau local.
Comme vous pouvez le voir, vous avez accès à votre serveur web local (écoutant sur le port 8080) en accédant à l'adresse IP WAN de pfSense sur le port 80.
La redirection du port 80 externe (= celui de pfSense) vers le port 8080 interne (= celui de votre serveur web IIS) et le NAT reflection fonctionnent donc correctement.

7. Split DNS via l'option : remplacements DNS

Pour régler ce problème de façon transparent pour les périphériques réseau de votre réseau local, il vous suffit d'utiliser l'option "Remplacements DNS" du résolveur DNS de pfSense.
Pour cela, allez dans : Services -> DNS Resolver.

Les paramètres du résolveur DNS apparaissent.
Notez que celui-ci est utilisé par défaut par tous les périphériques réseau connecté au réseau LAN de pfSense.

En bas de page, vous trouverez une section "Host Overrides" permettant de réécrire des réponses DNS pour des domaines et/ou sous-domaines spécifiques.
Ainsi, lorsque les clients de votre réseau LAN demanderont l'adresse IP associée à tel ou tel domaine ou sous-domaine, ils recevront l'adresse IP configurée ici au lieu de celle définie sur le vrai domaine (enregistrée sur les serveurs DNS publics).

Cliquez sur "Add".

Configurez le formulaire "Host Override Options" comme ceci :

• Host : (laissez vide pour que cela concerne le domaine racine indiqué dans le champ suivant (Domain).)
• Domain : indiquez votre domaine racine qui pointe actuellement sur votre adresse IP publique.
• IP Address : indiquez l'adresse IP de l'interface WAN de pfSense.
• Description : indiquez ce que vous voulez.
  Par exemple : IIS web server access from LAN via NAT reflection.
• Additional Names for this Host :
  • Host name : www.
    Ce qui signifie que ce sous-domaine pointera sur la même adresse IP que celle spécifiée ci-dessus (IP Address).
  • Domain : à nouveau, indiquez votre domaine racine.
  • Description : indiquez à nouveau ce que vous voulez.
    Dans notre cas, nous avons écrit la même description que ci-dessus.

Une fois ce formulaire rempli, cliquez sur "Save".

Important : si vous rajoutez plus tard des sous-domaines à votre domaine et que ceux-ci pointent à nouveau sur votre adresse IP publique, vous devrez également les ajouter dans la section "Additional Names for this Host" pour régler à nouveau le problème pour ces nouveaux sous-domaines.

Cliquez sur le bouton "Apply Changes" qui a apparu en haut de page.

La configuration DNS a été mise à jour sur votre machine pfSense.

En bas de la page, dans la section "Host Overrides", vous verrez que le résolveur DNS de pfSense reverra l'adresse IP WAN de pfSense pour votre domaine racine, ainsi que son sous-domaine "www".

Sur votre ordinateur client, videz le cache DNS en tapant cette commande :

Batch

ipconfig /flushdns

Plain Text

Cache de résolution DNS vidé.

Puis, vérifiez que le résolveur DNS de pfSense retourne l'adresse IP WAN de pfSense au lieu de votre adresse IP publique que vous aviez indiqué dans la configuration de votre domaine chez votre hébergeur en utilisant la commande "nslookup".

Batch

nslookup informatiweb-tuto.net

Plain Text

Serveur : pfSense.home.arpa
Address: 10.0.0.1

Nom : informatiweb-tuto.net
Address: 192.168.1.10

Batch

nslookup www.informatiweb-tuto.net

Plain Text

Serveur : pfSense.home.arpa
Address: 10.0.0.1

Nom : www.informatiweb-tuto.net
Address: 192.168.1.10

Relancez votre navigateur web et tentez à nouveau d'accéder à votre domaine et à votre sous-domaine "www" depuis votre réseau local.
Dans les 2 cas, vous devriez voir la page de votre serveur web IIS apparaitre.