A chaque fois, un problème ESSENTIEL : identifier chaque port !

J'ai déjà écrit la façon de faire :

Il est notable qu'il n'est pas aisé d'identifier un port eth (sur une machine multi-ports de même type) :
j'ai l'habitude de mettre des ip fixes et de faire depuis un PC des ping et changement de port pour m'assurer de bien identifier chaque port …
Exemple :

l'install initial est LAN=192.168.1.1 : un pc en 192.168.1.2 qui ping, permet de trouver le port LAN -> etiquette. la config de WAN en fixe 192.168.2.1, un pc en 2.2 puis quelques ping, donne le port WAN -> étiquette, ...

Bonjour,
Merci pour votre aide. Je vais changer mon projet, car je n'y arrives pas ainsi.
Je vais ouvrir un nouveau thread.
A+.
Jean.

Il est très intéressant de s'interroger, puis de trouver.
Cela permet de mieux comprendre comment fonctionne un firewall, comment il est paramétré, les conséquences de ses propres choix …
Cela permet de prendre plus de recul sur des choix que l'on fait parfois trop instinctivement ...

Donner immédiatement la réponse n'a pas d'intérêt ...
Mais néanmoins, il ne faut pas exagérer la complexité de la réflexion : en 3 minutes, on trouve, à partir du moment où on se pose les bonnes questions ...

Salut salut

en traduisant du mot a mot > autorise l'utilisateur sur l'interface

mise en forme si je puis dire > l'utilisateur peut passer par cette interface "réseau" pour aller ou il veut aller.

Bonjour,

J'ai régler le problème autrement.
J'ai réinitialiser les 2 pf et remonter une configuration VPN basé sur une clé partagée.
Et cela fonctionne très bien.

Merci quand même de votre aide.

Certes le formulaire n'est pas super utile pour ce cas, néanmoins, rédiger un formulaire exige de réfléchir et de s'interroger sur l'aspect important de la recherche faite avant de créer un fil.

Ici, il est clair que vous sous-estimez nettement la complexité inhérente à la virtualisation.

Quand on pense VLAN, naturellement, on doit penser que chaque machine doit être configuré sur le sujet :
PC <-> switch <-> switch <-> PC : ici les 4 éléments doivent avoir une config VLAN

Pour la virtualisation, il est très clair que les switchs internes de l'hôte de virtualisation sont concernés par le VLAN et doivent être configurés ! Le sont-ils ?

je ne peux monter mon lien SIP avec OVH car la box bloque tout

Qu'en savez vous ?

Remplacer ledestination de la règle 3 par any suffit. Supprimer la règle 4.

Salut saut

Voila mon routage load ballancing et failover box1 > box2 / failover box2 > box1
Et les regles sur le lan pour que la bascule soit active entre les deux box.
Et le nat que j'ai mis en place, pour votre cas il y aura un ligne en plus sur le meme principe.

Comme vous le voyez je suis chez free et sous orange.

Bon courage pour la mise en oeuvre.

pfsense_lb_fo1_fo2.jpg
pfsense_lb_fo1_fo2.jpg_thumb
pfsense_rule_lb_fo1_fo2.jpg
pfsense_rule_lb_fo1_fo2.jpg_thumb
pfsense_nat_lb_fo1_fo2.jpg
pfsense_nat_lb_fo1_fo2.jpg_thumb

Salut Salut

Premièrement, il n'y a pas vraiment de distributions (linux) ou solutions (bsd) qui fassent du tout 'clé en mains) à ma connaissance.

Deuxièmement, dans le monde linux, vous avez coté pro une forte présence de centos/red hat et ensuite les dérivés de debian (ubuntu en tête) qui pourraient faire l'affaire.

Troisièmement, dans le monde BSD, vous avez les trois grandes solutions de départs qui sont netbsd / freebsd / openbsd, et des dérivés comme dragonfly ou pcbsd par exemple.

Quatrièmement, que vous choisissiez un linux ou un bsd pour mettre en place votre serveur applicatif (qu'il soit physique ou virtuel) vous devrez mettre le nez et les mains dans les lignes de commande et autres joyeusetés.

Pour un débutant comme pour un confirmé dans les mondes des linux ou bsd, je conseille de tout simplement tester les différents environnements et de faire votre choix entre l'aspect technique, la philosophie du projet de l'os et le retour de sa communauté ou son support et les coûts.

Cordialement.

Je te remercie pour ta réponse. Je n'avais pas vu ce sujet sous cet angle, mais je ne pense pas avoir été plus claire non plus. Je pense que cela va effectivement répondre à ma question. Merci bien  ::)

Merci les gars, il faut vraiment que je refasse pas mal de choses,  … :-[

Hello ,
Juste pour vous remercier de votre aide efficace, j'ai mis en oeuvre ce que vous m'avez proposé sans trop de soucis, j'ai juste un probleme avec l'acces au portail captif mais cela fera peut être l'objet d'une autre question plus tard
merci encore

Aprés avoir (un peu) galéré sur la même config, en fait c'est juste pas possible.
Le client VPN de la freebox ne sert que pour le gestionnaire de téléchargement interne (seedbox), pas pour les machines derriere
la freebox.
Je vais du coup tester le serveur VPN avec pfSense en client pour voir…

(http://blogmotion.fr/systeme/openvpn-client-11218)

Ce que tu décris ne peut pas fonctionner.
Si tu accèdes à Squid avec un compte qui n'est pas autorisé à accéder au web, il n'y a pas d'erreur d'authentification.
Comment Squid pourrait-il déterminer que le problème est l’authentification ?  ::)

Ce que tu peux par contre faire, c'est avoir une page personnalisée pour l'ACL qui interdit cet accès afin de renvoyer l’utilisateur vers une page qui va lui expliquer qu'il faut s'authentifier avec un autre compte.

Chez Free : la téléphonie VoIP est un standard SIP : il est donc possible de mettre un téléphone IP supportant SIP en lieu et place d'un téléphone analogique connecté à une Freebox.
Je ne sais pas s'il y a un équivalent chez SFR.

Avec l'usage du téléphone VoIP SFR et en l'absence d'une solution SIP, je ne vois guère d'autre solution que de laisser la Neufbox en place.
De facto un pfSense peut être installé, connecté à l'un des ports RJ pour le WAN et relié à un petit switch supplémentaire pour le LAN ainsi qu'un point d'accès Wifi (côté LAN).

En fait on voit que pour un particulier, mettre un pfSense est vraiment affaire d'envie, parce que cela complexifie sérieusement !
Cette complexité est par contre justifiée dès que les connexions se multiplient : cas d'une asso ou d'une petite PME = nombreuses machines.

@zeltragh:

Plus qu'a pondre une petite GPO pour ajouter la route  8)

Tout simplement DHCP ça le fait aussi.
Les GPO aussi, mais que pour les clients Windows  ::)

Ils sont assez fort chez Microsoft pour faire des trucs propriétaires quand même  :P

Client Export peut aussi, dans la dernière version de pfSense, ne générer que la config, ou l'archive

@chris4916:

Pour en revenir à ton problème, je ne pense pas qu'il y ait de solution basée sur pfSense, ni même de solution basée sur le portail captif.
Si le besoin est d'isoler les uns des autres les clients du LAN avant authentification et qu'ensuite chaque client se retrouve dans un VLAN dépendant de sont authentification, je pense qu'l faut déployer un composant spécifique NAC. Et même dans ce cas, je ne vois pas comment isole les clients en amont.

De plus, le portail captif de pfSense ne va pas fonctionner dan ce montage.

J'ai une solution qui isole les clients non pas par profil mais par situation géographique.

La solution est basée sur un portail unique, un SSID unique mais plusieurs subnets attachés au SSID unique et segmentés géographiquement (globalement par AP ou par couple d'APs).
UCOPIA sait le faire et il sait en sorti attribuer un VLAN.
Il ne sait juste pas envoyer un DHCPNAK à la volée et même en moins de 15 mn … qui m'aurait aidé pour le renouvellement mais en effet il faut aussi ensuite un système de DHCP authentifié ...

Le besoin est d'isoler en amont du portail captif (ou d'un équipement NAC avec portail) les clients une fois authentifié, avant authentification ils ne seront pas isolés.
Et ensuite en aval du portail (ou nac) d'ajouter un marquage 802.1Q puis les VRF feront le taf ...

Merci encore.

Risible …

Au revoir ... ou pas

Je répète : pfsense (et n'importe quel firewall) NE VOIT PAS arriver une requête 'client1.mondomaine.com', il voit juste arriver des paquets dont l'ip destination est l'ip WAN.
Si vous avez 'client1' jusqu'à 'client10', et que vous possédez 10 adresses ip (autant), une règle 'port forward' par adresse ip fait l'affaire (et c'est 'admin très débutant').
Si vous n'avez qu'une seule adresse ip, c'est juste mort (même quand le génial chris4196 a tout compris).