l y a une mauvaise compréhension du fonctionnement du protocole DHCP. La façon dont vous envisagez la solution n'est pas possible puisque c'est le client qui est à l'origine de la requête dhcp initiale. Le serveur ne fait que répondre à ces demandes.
La solution réside dans l'utilisation de la fonctionnalité DHCP Relay. Fonctionnalité prévue par le protocole et implémentée dans Pfsense V 1.2.3 dans : Services: DHCP Relay. Probablement la même chose en version 2.x, je n'en ai pas sous la main pour le vérifier.

Bonjour,
Je rejoins plus haut concernant le mode transparent de Squid et le fait que l'authentification ne fonctionne pas (logique). Je ne suis pas un expert, mais dans mon cas j'avais lié mon PfSense et mon serveur AD avec un serveur FreeRadius. L'accès a Internet sera restreint par le portail captif (authentification LDAP obligatoire), mais le filtrage Squid ne pourra pas se faire par user, ce sera un filtrage global.

Je n'ai malheureusement plus mes notes pour la mise en place du serveur radius, mais vous trouverez sans problème de la documentation dessus sur Internet (peut être ici http://wiki.freeradius.org/guide/FreeRADIUS-Active-Directory-Integration-HOWTO)

Besoin classique. Mais son traitement relève de technologies assez différentes de ce que vous envisagez. Je ne crois pas que l'on puisse faire cela avec le portail captif de pfsense, du moins à première vue. Peut être en version 2.1 qui devrait rendre possible l'exécution d'instance multiple du portail captif et d'autre part le support de sources d'authentification multiples.
Habituellement ce type de fonctionnalité est fourni par du NAC, Network Acess Control, ce qui suppose des switchs adaptés capables de gérer le protocole 802.1x. On utilise le protocole EAP et une authentification, Radius le plus souvent. On utilise aussi très souvent des certificats dans ce type d'architecture pour l'authentification des machines notamment.
Ensuite on peut voir votre problème (surtout sa solution) autrement. Vous supposez un portail captif parce qu'il y a du Wifi. Vous posez comme principe que des vlans différents vont servir à segmenter l'accès ou non à internet. Cela se discute. Un proxy avec une authentification utilisateur, tout simplement, réglerait le problème. Pas d'authentification valide : pas d'internet. Il y a peut être une raison qui justifie l'emploi de vlan, mais elle ne nous est pas connue. On ne sait si c'est une solution technique que vous avez imaginé a priori ou si c'est la conséquence d'une exigence de sécurité précise. Les besoins sous l'angle fonctionnel mériterait d'être mieux défini. Nous avons ici un mélange besoins et solutions qui n'est pas clairement défini.

La logique du "failover", c'est d'utiliser l'ip carp en sortie et en entrée, et de ne surtout pas utiliser l'ip WAN de chaque membre du cluster CARP. Où alors je ne comprends rien !

De facto, les règles NAT portword et WAN doivent utiliser un alias correspondant à l'@ip carp et non la "wan address".
Et on veillera à changer le NAT Outbound avec la même @ip carp !

J'ai plusieurs serveurs PFSense et sur les 1.2.3 aucun soucis, par contre à partir de la version 2.0.1 si je ne valide pas ou ne redémarre pas mon syslog après le reboot du serveur, je vois les lignes s'afficher en direct mais seul les logs du portail captif sont envoyés vers le serveur distant. Ceux du firewall non.

problème résolu. le problème était qu'eth1 avait 2 passerelles sur le même sur le même réseau (je pense). Mais finalement mon prof à choisi d'utiliser le protocole HSRP sur les routeurs du LAN donc je me retrouve avec 2 routeurs et 1 seule passerelle LAN virtuelle. Par contre j'ai vu que ce protocole avait une faille sur le port 1985 dans le passé, à surveiller donc. Désolé pour le shéma mais nous avons effectué des modifs de routage toute la semaine donc le shéma n’arrêtait pas de se modifier.

Bonjour,

Merci pour ta réponse. En faite, il fallait simmplement cocher la case :

Bind to LAN interface only
This option can be useful when trying to access the SNMP agent by the LAN interface's IP address through a VPN tunnel terminated on the WAN interface.

Dans la page de conf du service SNMP.

Merci.

Nusa qui supervise ses Pfsense ;-)

Re, j'ai avancé :

C'est beau!!!

D'un point de vu technique :

J'ai utilisé PRTG, import de la MIB "BEGEMOT-PF-MIB.txt" :

Déclaration d'une sonde SNMP personnalisé et ça roule.

Nusa

Effectivement, c'est plus judicieux, je vais donc créer mon utilisateur, c'est juste pour lancer un script pour récupérer des valeurs.

On clos, merci.

Nusa

Je ne sais pas pourquoi je vous répond, vous n'avez pas essayé de m'aider juste de m'imposer votre avis de manière condescendante …
J'ai déjà eu le bug où l'interface web ne répond plus (error 503 si je me souviens bien) j'étais bien content de trouver ma session ssh.
J'accède à une poignée de desktop dans des petites structures à de rares occasions durant lesquelles j'ouvre les ports NAT le temps de l'intervention depuis des endroits et des pc potentiellement différents, le VPN me semble bien overkill pour cette configuration.
Sur une structure plus grande j'ai déjà utilisé des configurations de 4 wan le tout en CARP si c'est un concours de bite.
Si j'ai mal compris vos intentions veuillez m'excuser.

OK merci beaucoup pour vos aides

oui pardon j'ai oublié le poste seven (c'est un poste client d'un des services : compta)

je suis obligé de rester sous vbox, c'est pour une soutenance de projet  :)

Alors il existe une solution, mais c'est sale, très. Moi je l'utilise pour des situations temporaire de migration.

Configurer le mode "transport" IPSEC entre chacun des WAN des pfsense et un pfsense central.
Monter un tunnel GRE sur le transport IPSEC.

Bravo, vous avez un réseau de niveau2 étendu geographiquement via internet.
Bravo, vous avez ruiné votre bande passante et votre sécurité car vous ne maitrisez plus rien.
Bravo, vous avez des conflits IP de partout

;D

OK merci pour ta réponse. Je vais tester.

Je rajoute juste un paramètre, je ne me sert pas Shinken pour afficher les graphs mais je passe par GLPI.

Nusa

Merci ;D

Une chose à vérifier : l'ordre de vos règles est critiques. Cette règle est elle bien avant une autre qui autoriserait ce trafic mais vers le groupe de gateway ? Pfsense, comme tous les firewalls pratiquement, évalue les règles de haut en bas. La première qui est validée est utilisée et l’évaluation s'arrête.

Effectivement, je n'avais pas lu, même si je n'ai pas un bon anglais, c'est assez clair.

Merci pour la réponse, il n'y avait rien d'autre à dire.
Bonne journée.

bonjour ,
à oui je ne sais plus lire ….
bon j'ai bossé dessus deux heures hier soir, je ne comprends pas, j'ai ouvert autant que possible, j'ai désactivé le filtrage... ca ne passe pas .... j'ai vérifié pour la 1918,c'est bon aussi.
J'ai copié mes capture, je les regardes ce matin pour voire ...
Je me prépare une deuxième machine sous monowall, juste pour tester, je suis attaché à pfsense.
Nicolas.

Il y a +- 50 usagers qui travaille a distance.

La connection est OK, c'est juste la connection a certains ip qui ne passe pas. J'ai vu beaucoup de commentaires sur les forums de pfsense que 2.0.3 resoud ce probleme ou de simplement downgrader a 2.0.1 en attendant.

salut
merci de ta réponse c'est ce que je me suis résolu à faire
je me demande alors a quoi sert le backup and restore sur pf  ;D
bonne journée