C'est un peu ce que j'ai écris, non ?
(sans le lien vers la doc, mais plus tâche par tâche).

Je suis d'accord : on a eu la période avec toute une palanquée de 1850, 2950, ... équipés de 2, 3 disques et 4 à 6 G de mémoire, alors il faut pas 'gâcher' ! Mais alors qu'ils fonctionnaient avec Windows et les outils Dell, on leur installe un BSD sur lequel il n'y a pas les outils Dell ! C'était aussi une époque où on avait un disque HS tous les 3 ans sur chaque serveur ... ce qui n'est plus vrai (sur une baie SAN ou sur un simple micro) !

En fait j'aimerai avoir juste des réf de 'petits matos' à moins de 500€ qui pourrait faire l'affaire (rackable ou à poser, et avec 4 interfaces ethernet). Parce que pour avoir eu des WatchGuard, Fortinet, c'était pas des foudres de guerre mais ça suffit pour une fibre 100Mb et 150 users.

Ce que je regrette, c'est la faiblesse de pfSense (et ma faible connaissance de FreeBSD) pour choisir l'install physique hardware.

Mais tu peux aussi, avec du stock, faire un cluster de 2 firewalls. Là tu n'as pas de pb en cas de panne disque, ça bascule direct et tu as le temps de remonter un firewall. Il suffit juste d'une interface de plus pour CARP (et les switchs pour WAN). Ca c'est le top.

Bonsoir,

Merci beaucoup pour vos réponses et la remise au frais de la confusion LAN vs VLAN.

Je voulais tenter de forcer cette configuration réseau avec le matériel en ma procession, j'y suis arrivé, ce n'est certainement pas la version pérenne de mon installation.

Je viens d'acheter un switch manageable, je vais donc pouvoir clairement supprimer les autres switch et mieux structurer l'ensemble.

Je vous remercie pour votre temps et je pense trouver les réponses à mes questions futures dans le forum déjà bien fourni.

Ok merci

Personne n'a d'idée ?

Il ne suffit pas de trouver, faut-il lire, relire, tester, retester, corriger, ...

Même le fil le plus complet, n'est pas forcément parfaitement exact.

A la manière de 'j'ai suivi le tuto', ce qui est aberrant, car il ne faut pas suivre mais adapter à sa config, ses besoins.

En tout état de cause, bravo pour le retour avec la (petite) correction qui rendra service à celui qui veut mettre en oeuvre.

Justement une option dans FreeRadius permet la double authentification via le mobile. Cela fonctionne si je fais la création d'utilisateurs local dans Pfsense. Mais j'ai besoin que Pfsense me remonte mes utilisateurs (ceux AD). je n'ai pas envie d'avoir a gérer des utilisateurs sur Pfsense + des utilisateurs AD

Pour ceux ayant le problème, dans la liste il ne faut mettre aucun accent

I want to block access personal emails from google app. how to configure it on squid.

I am using centos5.6

La page est https://www.netgate.com/products/appliances/ (bouton 'Compare Technical Specs').

Il est difficile de demander l'impossible avec un SG-1100 à 179€ : dual core Cortex A53 / 1 G de ram / 8G de eMMC ... 179€ c'est le prix d'un switch 16 ports de marque !

En dessous d'Atom, j'ai du mal à imaginer la perf (et déjà avec un Atom ...) Alors un SG-5100 c'est bien pour une petite PME (50-100 pers.) pour 699$. En dessous, pour moi, ça peut convenir à une petite agence de 8 pers.

S'il y a un site distant, il faut aussi décrire les adressages et le VPN inter-sites (sait-il faire communiquer tous les réseaux ?).

Pour un site seul,
normalement les réseaux internes (Lan, Wifi, Serveurs) ont un adressage privé et le firewall comme gateway,
normalement un pc en vpn (accès distant) a une adresse privée et le firewall comme gateway,
il n'y a donc pas lieu de faire un quelconque NAT pour atteindre toutes machines ... si il y a les règles correspondantes deans Firewall > Rules > onglet (Interface)

'nmap -o' détecte beaucoup de type d'OS (plutôt de stack IP de système). De mémoire on peut identifier des switchs, des routeurs, ...

Qaund on applique des quotas, on limite l'effacité d'un routeur (mais on ne résoud pas les entrées qui manquent).

Pour DHCP, le petit malin qui configure en statique avec des valeurs dans la range risque bien d'obtenir un accès gratuit ... C'est pour àa qu'un portail captif est plus 'contrôleur' qu'un DHCP statique ...

En effet des clés USB wifi pour linux ou Raspberry, il y en plein et les exemples de compil ne manquent pas..

Je parlais de clés usb wifi reconnues sur FreeBsd et donc pfSense. C'est à dire ta derniere phrase.

Merci beaucoup à vous deux pour votre retour.

Je pense que je vais me pencher effectivement sur la solution du package SNMP.

J'avais bien 'senti' la situation.

Je vous ai indiqué un découpage simple en 3 étapes.
Les 2 premières reposent sur pfSense, et il y a de la doc, en particulier pour la première. Pour la deuxième, il faut savoir comment un système 'logue' ses évenements et si on peut exporter (encore une aide).

Seneque (vers 65 après JC) : Il n'y a pas de vents favorables pour celui qui ne sait où il va

La doc et la réflexion sont des boussoles indispensables ...

@jdh merci, je vais demander un guide chez le fournisseur cloud. Sinon je compte déployé une solution Community.

Vous ne manquez pas d'air !

Dénigrement de pfSense :
Vous n'avez cessé de dire qu'avec WatchGuard ou Cisco ça fonctionne.
Rien que le titre de fil 'installation pourtant normalement simple' résume tout.
Alors affirmer que vous n'avez pas dénigré pfSense ...

Maitrise de pfSense :
Ne pas comprendre comment fonctionne les boutons 'Save' et 'Apply changes' n'est pas une excuse (d'autant que c'est assez intuitif : aucun pseudo n'a ici parlé d'incompréhension).
Si votre pfSense doit redémarrer pour que le filtrage d'applique, ce n'est surement pas un bug mais un problème dans votre config.
D'ailleurs vous ne vous posez pas de questions (sur vous) 'est ce un bug pfSense ?' La réponse est NON : chacun peut constater sur son pfSense que 'Apply changes' ou 'Filter Reload' fonctionne dans la seconde et sans reboot bien évidemment !
(Personne ne pourrait accepter qu'un firewall doive redémarrer suite à l'ajout ou modif d'une règle : totalement stupide !)

Compréhension de fonctionnement d'un firewall :
Ne pas comprendre que, pour TOUTE machine IP, avoir 2 passerelles identiques via 2 interfaces pose un problème, relève du débutant en formation (et ne pas comprendre que CHAQUE firewall a nécessairement une solution : WatchGuard et Cisco saurait faire mais pas pfSense : on rêve !).
(Parce que, en tant que tech firewall, ne pas savoir choisir l'interface qui sera utilisé par le flux sortant, est juste inconséquent.)

Quand à avoir 2 PPPoE sur la même ligne, je n'ai jamais vu, je ne vois aucun intérêt aucun (pas de sécurité ajoutée puisque même ligne ! complexité inutile ...), je ne connais personne qui imaginerait cela comme solution, je ne connais aucun fournisseur acceptant de fournir 2 identifiants (les fai proposent une ligne et un identifiant, exemple ADSL, et avec 2 lignes, pas question d'utiliser l'autre identifiant sur une ligne). Bref cela n'a pas de sens (si une âme autre veut m'expliquer ...)

Donc question mauvaise foi, vous vous posez là.

C'est vous même qui induisez que le problème est ... entre la chaise et le clavier. Désolé d'être franc !

Sur ce, pas au revoir (il y a des pseudos auquel je ne réponds plus, ras le bol !).

Merci pour vos explication .
J'ai changé l'ordre en suivant vos conseils .
Cela marche nickel .