Bonsoir à tous !

Après avoir suivis vos conseil ca marche et pfsense le gère très bien c'est top !

Merci les gars !

Workman

Dans mon activité pro j'échange régulièrement avec ce genre d'autorité de tutelle (dont l'ANSSI qui est en plein développement et qui commence à sortir de très bons guides)

La mise en place d'un bastion en back-to-back est utile du moment ou l'on gère correctement le sectionnement des domaines de routage. Dans une infra de ce type, dans les règles de l'art, les réseaux de confiance (interne) ne dispose pas de route par défaut vers l’extérieur, seul le firewall frontal est capable de joindre les réseaux publiques. Malheureusement, bien souvent ces architectures étaient perverties et  leur objectif initial de cloisonnement du routage disparaissait.

Dans les règles de base que je vous conseille:

les serveurs de production ne doivent jamais pouvoir sortir librement sur Internet ceci afin de limiter la casse en cas de compromission. En effet, en analyse killchain, dans 9 Cas sur 10 l'assaillant va compromettre le service cible en lui faisant télécharger un code malveillant (payload) puis en l'exécutant. Si votre serveur compromis ne peut télécharger le payload cela vous donne plus de chance de détecter l'attaque (ex : analyse des logs, détection de tentative de sortie etc.). Si les serveur consomment des ressources externes (API etc.), il faut ouvrir spécifiquement ces flux ne pas avoir de règles de NAT outbound pour les réseaux les plus sensibles, cela rajoute une sécurité additionnelle en cas de filtrage laxiste avoir un partenaire de protection contre les dénis de service par flood, ce problème se gère en amont par défaut tout fermer et ouvrir seulement ce qui est nécessaire centraliser les logs sur une plateforme d'analyse pour détecter, analyser et comprendre la situation (perso j'utilise Splunk, c'est payant certes mais c'est efficace, voir pj ) comprendre ce que l'on fait.

ovpn.png
ovpn.png_thumb
heatmap.png
heatmap.png_thumb
siem.png
siem.png_thumb

@chris4916:

Tout ce qui est en mode authentifié nécessite d'être executé sur le port 636 en LDAPS car la commande ldapbind envoie le mot de passe en base64, c'est à dire en clair !

Je dirais même port 3269 (global catalog, en mode ssl) du moment que l'active directory possède plus d'un site (ce qui bien souvent le cas).

Comme il n'y a pas de gestion de route comme le ferait par exemple IGRP , il faut décrire les sources et destinations.

Donc oui il faut dire au premier tunnel qu'il doit prendre le flux à destination de C.
Et côté C, il ne connait pas la route vers À ni ne s'attend à la faire passer par B si tu ne crée pas une phase 2.

Attention, il y a 2 tunnels différents. Donc côté B (au milieu donc) il faut que les phases 2 correspondent

Au niveau des règles sur le PfSense :
Sur l'interface LAN, j'ai la règle allow all par defaut.
Sur l'interface wifi j'ai deux règles :

Protocole    Source            Port    Destination    Port    GW                  Queue
Ipv4*          WifiInterne    *        Lan net          *        *                      None
Ipv4*          WifiInterne    *        *                    *        LB_Internet    None

Bonjour,

Merci pour votre retour, je reprend un peu la main sur le routeur, désolé

Voici les informations phase 1 et phase 2 côté watchguard et pfsense en pièce jointe en esperant que cela soit un tout petit peu plus clair :)

Cordialement

siteA-1-WATCHGUARD-M300.jpg
siteA-1-WATCHGUARD-M300.jpg_thumb
siteA-2-WATCHGUARD-M300-PHASE1.JPG
siteA-2-WATCHGUARD-M300-PHASE1.JPG_thumb
SITEA-WATCHGUARD-M300-PHASE2-1.JPG
SITEA-WATCHGUARD-M300-PHASE2-1.JPG_thumb
SITEA-WATCHGUARD-M300-PHASE2-2.JPG
SITEA-WATCHGUARD-M300-PHASE2-2.JPG_thumb
PFSENSE-phase2-reseauvlan8-wifi.png
PFSENSE-phase2-reseauvlan8-wifi.png_thumb
PFSENSE-phase2-réseaudeprod.png
PFSENSE-phase2-réseaudeprod.png_thumb

Bonsoir,
merci de vos réponses..

Je n'ai pas absolument pas envie de tester des nouveautés sur des produits en production, je suis bien d'accord ! Merci aux moralistes: je ne suis pas suicidaire !

Toutefois, sur 2 Pfsense, les packages se sont mis à jour 'tous seuls', c'est quand même curieux.  Par  exemple, j'ai une mise à jour Freeradius3 (v0.15.5) qui est apparue aujourd'hui mais qui ne s'est pas mis à jour toute seule, elle !  Je ne comprends pas ?

Je vais donc attendre quelques maturations de l'OpenVPN

Bonne soirée

après de nombreux essais et recherche sur le net :

Mettre dans Général Configuration puis Filter : (&(uid=%{%{Stripped-User-Name}:-%{User-Name}}) (|(ENTPersonProfils=enseignant)(Divcod=am1)(Divcod=am2)(Divcod=cg1)(Divcod=cg2)))

Si cela peut servir à d'autres !!

Cordialement

@abrougui:

la seule chose commune ce qu'il sont connecté au même switch

Voici votre problème.
Deux serveurs DHCP sur le même switch est à proscrire car vous ne pouvez pas choisir quel serveur répondra au DHCP DISCOVER.
Comme votre pfsense répond en premier et qu'il est configuré afin de délivrer des adresses à des @MAC précise vos clients Wi-Fi sont logiquement refusés.

@jdh:

Je répète que les réseaux soient DISTINCTS physiquement (switchs différents et non connectés) ou logiquement (VLAN) !

Je rejoins JDH, les réseaux doivent être sur deux switchs différents ou créer des VLANs

@ccnet:

Je voulais savoir comment faire un LAN géré par PF

Pfsense ne gère pas de réseau. C'est un firewall qui filtre le trafic.
Je ne sais pas si vous avez saisi la porté de la mise en garde de Cris :

Attention cependant: si cette approche va fonctionner, même si elle a peu de sens, pour les adresses "privées" (correspondant donc à ce que décrit la RFC1918), si ton netmask contient des adresses publiques, tu vas perturber le fonctionnement de ton accès internet puisque celles-ci seront considérées comme locales et donc plus routées.

Je pense que oui en disant ça :

Les machines ZZ ne sortent pas de la DMZ, et s'adresse uniquement à la machine A.
La machine A est uniquement adressée, elle ne fait aucun accès vers qui que se soit.
De mon PC, je dois pouvoir accéder à A et au machines ZZ.

J'ai raté quelque chose ?  :(

Cela étant c'est un besoin (encore que vous raisonnez d'emblée en solution technique) pour le moins curieux dont la logique profonde m'échappe.

Par rapport à ça :

il s'agit d'une plateforme de test.
Cette plateforme de test peut recevoir un nombre fini de machines (ZZ), et c'est ces machines qui ont des adresses IP fixes qu'on ne doit pas changer pour les tests.

Je précise que cette plateforme de test reçoit des machines ZZ pour les tester, qui sont remplacer par d'autres machines ZZ, etc…
Oui j'ai donné une solution technique à ce problème dans le but de voir si ça pouvait fonctionner. Mais si il y a d'autres solutions qui répondent à mes contraintes, je veux bien les connaitre pour comparer !

Bonjour,

Merci chris4916 ! C'est beaucoup plus clair maintenant. Et merci aussi pour le conseil sur le DNS. J'avais mis pfsense comme forwarder mais je pensais qu'il fallait au moins autoriser les machines à faire des requêtes sur le port du pfsense.
Encore merci.

@ccnet : Oui et j'avais bien lu la doc et fais des recherches sur le net, mais j'avais rien trouvé de clair. On explique beaucoup de chose quand on a 1 LAN 1 WAN et éventuellement une DMZ, mais rien quand on a plusieurs LANs.

Bonne journée.

Thomas

Regardez sur le forum US, je sujet de l'install de Pfsense sur différents Watchguard est traité.

Le raisonnement de Gertjan est limpide et tellement logique.

Car vouloir modifier les fichiers modèles proposés en standard suppose une certaine hauteur (et une certaine expertise) :

compréhension des mécanismes et successions d'étapes capacité à modifier les fichiers impliqués, avec leur langage (html, les formulaires sous html) capacité inscrire en log les informations reçues (php, syslog ?).

Ce n'est pas très complexe mais assez technique …

A minima la doc pfSense et la recherche dans le forum (toutes langues) sera nécessaire ...

Les débutants devraient lire A LIRE EN PREMIER …

WDS = Windows Deployement Services
En général, quand on veut faire du déploiement (ou masterisation), on dédie un réseau à cela, avec les serveurs PXE, DHCP, TFTP qui vont bien ...

Petit extrait de WDS par wikipedia :

Principe et fonctionnement :

Les services de déploiement Windows fonctionnent au moyen de la technologie PXE (Preboot Execution Environment) afin de lancer une version très minimaliste de Windows appelée Windows PE.

Ce système d'exploitation, une fois lancé, permet d'effectuer [] l'installation :

Installation

Une fois la version d'installation de Windows PE lancée sur un ordinateur, il est possible d'installer un système d'exploitation sur celui-ci à l'aide des images disponibles sur le serveur de déploiement.

Un nombre variable d'étapes est nécessaire lors de l'installation du système d'exploitation en fonction des configurations faites par l'administrateur du serveur de déploiement.

Petit extrait de PXE par wikipedia :

Pour activer le PXE, il faut auparavant le configurer dans le BIOS. L’option se trouve fréquemment dans un menu concernant la carte réseau.

L'amorce par PXE s'effectue en plusieurs étapes :

recherche d'une adresse IP sur un serveur DHCP/BOOTP ainsi que du fichier à amorcer ;
    téléchargement du fichier à amorcer depuis un serveur Trivial FTP ;
    exécution du fichier à amorcer.

La taille du fichier à amorcer ne permet pas de « booter » directement un noyau Linux, par exemple, mais il faut que le logiciel à amorcer le télécharge et l'exécute lui-même.

Ce minimum compris, on voit que le DHCP doit répondre de façon spéciale (et inhabituelle).
La question est donc : est ce que le DHCP fourni par pfSense est adapté ?
La réponse est : probablement pas !

(Si j'avais à faire cela, je me ferais un 'lab' et ce n'est surement pas pfSense qui fournirait un dhcp …)

J'ai eu le problème aussi il y a quelques semaines, du coup, j'ai laissé pfSense en anglais et ça me va bien …

Je ne suis pas certain de vous comprendre. ET cela n'a guère de rapport avec Pfsense. Une solution possible est d'ajouter sur le load balancer (il n'y en a qu'un seul ?) une interface supplémentaire qui traite les demande provenant du Lan. Votre LB pet gérer des interfaces multiples si c'est un produit un peu sérieux, qu'il soir virtualisé ou matériel. Avec un seul LB vous déplacez le problème de la haute disponibilité mais vous ne le traitez pas. Si le LB tombe même avec 12 serveurs derrière vous n'êtes pas plus avancé ! Un cluster pour le LB ?

Un truc que je trouve étrange :
Le certificat que tu utilise, "pro4545", est probablement ok, ça change de "blablabla.tld" d'habitude.
Sachant que le page d’authentification est passé par le https, ce certificat est valide pour les navigateurs (visiteurs) de ton portail ? Autrement dit, c'est un certificat vérifié et fabrique par un vrai autorité ?
C'est partie est ok :

This name will be used in the form action for the HTTPS POST and should match the Common Name (CN) in the certificate (otherwise, the client browser will most likely display a security warning). Make sure captive portal clients can resolve this name in DNS and verify on the client that the IP resolves to the correct interface IP on pfSense.

?

T'es au courant qu'un vrai certificat via Letenscrypt est possible avec le package "acme" ?

Un autre détail : Le LAN est normalement que pour les appareils de confiance, le portail captive se monte sur un interface dédié.

Effectivement si tu laisses "any to any", le FW ne sert pas à grand chose.
Mais d'un autre coté, tu n'es pas obligé de définir ET source ET destination pour chaque protocole.

Oui il va falloir identifier les ports utilisés par les différentes applications.
Mais ensuite, tu peux peut-être te contenter de d'autoriser, par exemple, un range source (celui que tu utilises pour DHCP) à accéder, pour un ensemble de ports correspondant à l'application, à l'IP du serveur qui la supporte.

Pense ici à utiliser la notion d'alias qui va te faciliter la vie dans la gestion des règles.

Pas simple à résoudre. Nous sommes dans le bricolage (que j'ai moi même pratiqué avec des Watchguard). Je dois dire que j'ai laissé tombé le problème de l’afficheur LCD. Je fonctionne très bien sans pour les Watchguard que j'ai en prod dans cette configuration.
Vous avez regardé le forum US ? En vous inspirant de ce qui est fait avec les Watchguard justement ? Résultat non garanti !

Pas de quoi c'est pour ça que j'étais revenu mettre la solution ici.