[pfSense 2.3] LAN, NAT et drivers Virtio : connexion impossible

pfSense est un superbe routeur – toutefois, si vous l’installez dans une VM avec des périphériques émulés via Virtio, vous risquez de ne pas avoir d’internet dans le LAN, même en faisant du NAT. Explications.


Contexte

Mésaventure du jour : Installation de pfSense dans un KVM, sur Proxmox, avec des connexions Virtio pour le stockage et l’ethernet. J’ai créé les règles de NAT correspondantes, mis en place le serveur DHCP etc… Mais aucun accès internet dans la VM côté LAN.

Le pfSense a bien internet, il ping correctement aussi bien en IP qu’en DNS mais la VM qui a pour routeur le pfSense – aucun ping possible, pas d’accès internet, rien.


Solution

La faute est bien à pfSense, notamment à ses systèmes de protection et de vérification des paquets. En fouinant sur le web, j’ai trouvé ce site qui m’a vraiment bien aidé à comprendre le pourquoi du comment.

Concrètement (version courte), il faut cocher une case spécifique dans la partie « System« , « Advanced« , puis sur « Networking » :

« Disable hardware checksum offload« 

Après avoir coché la case concernée, n’oubliez pas d’enregistrer les paramètres tout en bas en cliquant sur le bouton « Save ». Par la suite, il faut absolument redémarrer votre routeur pfSense. Si vous ne redémarrez pas le routeur, les modifications ne seront pas prise en compte et vous ne pourrez pas accéder à l’internet dans votre VM.

Pour être sûr que l’option est bien activée, vous devriez avoir internet une fois pfSense démarré et prêt à l’emploi. Le test est simple : pinger une adresse IP ou un site web, naviguez sur une page web – si vous le pouvez, c’est OK !


Problèmes récurrents

Si vous n’avez toujours pas internet dans votre LAN et donc dans la VM concernée, voici plusieurs éléments à prendre en considération :

  • Être sûr que la règle de NAT est bien en « any any », pour test.
  • Bien avoir fait redémarré pfSense et être sûr qu’il soit opérationnel
  • S’assurer que la passerelle par défaut dans pfSense côté WAN est joignable et « en ligne »
  • S’assurer dans le service DHCP que vous distribuez bien une adresse de passerelle -gateway- et des serveurs DNS
  • Vérifiez que pfSense a  bien accès à internet – si ce n’est pas le cas, vérifiez ses routes.

Julien H

Passionné depuis toujours par l'informatique, je transforme ma passion en expertise. J'utilise quotidiennement les outils et systèmes Microsoft. Je ne délaisse pas mon côté ouvert, notamment via l'utilisation des OS Debian et Archlinux. L'infosec m'ouvre les yeux sur les enjeux actuels et futurs de l'IT.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. Apprenez comment vos données de commentaires sont traitées.

Close
Close