Hello,

Je pense que le carp ne fonctionne pas correctement sur le wifi dans ce cas: le problème c'est que tu as 2 bssid avec 1 carp de chaque côté, donc aucune assurance que les utilisateurs soient sur le bon réseau.

Il vaut mieux mettre des ap séparées a mon avis, dans ce cas.

Salut,

Je cherchais à mettre résolu dans titre du post.

Je vais activer l'option Sticky session =)

Effectivement beaucoup de site sont en SSL (https) dois-je faire une règle pour que tout le flux https passe sur une seule box?

merci j'ai régler mon probleme

Ok merci.

Ce n'est pas un projet de grande envergure, il n'y a que 6 logements dans un petit immeuble, dont le propriétaire est un parent (j'interviens donc bénévolement). La question du hotspot wifi lui est posée très souvent car il s'agit de locations de courte durée.

En pratique j'ai d'abord acheté un routeur Open-Mesh qui me paraissait intéressant, mais le système d'accès par tickets n'est pas vraiment adapté à la situation. Je l'ai ensuite flashé avec un firmware dd-wrt pour essayer le portail captif WifiDog ; ça fonctionne mais il faudrait de toutes façons laisser tourner une machine pour l'identification et les logs.

Finalement j'ai trouvé PfSense, c'est un produit plus abouti avec toutes les fonctions nécessaires, mais je ne vais pas intervenir à chaque fois qu'il faut ouvrir un compte pour un locataire ou blacklister un site web, c'est ce qui a amené ma question. J'aurais pu créer une interface simplifiée en français avec les scripts PHP adéquats pour que le propriétaire soit autonome sans toucher à l'interface d'admin d'origine, mais cela semble compliqué. Je pensais ensuite installer ça sur une config basse consommation, en choisissant une carte mère avec un processeur Atom et deux ports réseau intégrés, si c'est reconnu par PfSense.

1°) me confirmez-vous que la plage IP doit être différente entre le wan et le lan ?

Oui

2°) comment utiliser le filtrage MAC sans activer le DHCP ?

Les deux choses n'ont aucun rapport, c'est d'ailleurs pour cette raison que le protocole arp existe.. Que l'ip soit définie statiquement ou assignée via dhcp, l'adresse mac reste identique.

Passons au plat de résistance :

le réseau VPN sur lequel je suis raccordé ne me permet pas de filtrer les adresses MAC sur les sites distants et je voudrais donc utiliser des pfsense sur des mini routeurs sans DD en contrôle d'accès par l'adresse MAC comme je le fais actuellement sur mon site central

Dans un réseau routé, avez vous conscience que l'adresse mac contenue dans l'entête ethernet d'une trame est celle de l'interface de sortie du dernier routeur traversé ? Je vous invite à méditer ce point pour juger de la pertinence de votre projet.
La seule méthode qui vaille pour un contrôle d'accès dans une solution vpn consiste à utiliser des certificats. Le changement d'adresse mac est un jeu d'enfant.

Alors en cherchant vite fais j'ai trouvé ça :

http://doc.pfsense.org/index.php/Use_an_existing_wireless_router_with_pfSense

Et p'etre ça aussi :

http://cyberchemille.org/IMG/pdf/pfsense_tuto-3.pdf

Voilà.

Merci pour ta réponse il faudra que je me penche sur tous cela !!!

En faite ma partie portail captif fonctionne très biens avec gestion de 3 langue de connexion. J'ai vu avec un imprimeur pour imprimer mes codes vouchers directement sur des cartes (comme ça aucune compétences en informatique sont requise au utilisateur de l'office)
Il me manque simplement la partie "stat" savoir si je peux les extraire et les envoyer par mail à une fréquence déterminée

Non, la vm ne dispose pas de ce package, je vais regarder de ce coté, cela devrait il résoudre le souci ?

Entre temps j'ai programmé un redémarrage de cette vm lors du week end.

Merci pour la piste :)

Salut ! Excusez-moi gregober, pourrai-je avoir de plus amples informations pour participer à la traduction ?

OK, merci pour cette piste sur OpenVPN.

La règle HTTP est bien en keep state, j'ai modifié les ports source et l'ai mise seulement en TCP mais ça ne résout pas le problème.

Il n'y a pas trop souvent de changement d'état des passerelles, le load balancing et le fail over ont l'air de fonctionner correctement par contre j'ai remarqué que la liaison wimax affiche souvent une perte de paquets de 2 à 8 %, je vais essayer de régler la sensibilité pour cette passerelle et mettre les groupes de passerelles sur "packet loss or high latency" au lieu de "member down".

J'ai laissé tous les paramètres par défaut dans la configuration avancée.

Je vais faire quelques tests ce soir quand le réseau ne sera pas utilisé et je vous tiens au courant.

salut salut

cc === ccnet

perso il y a des add on qui permettent d'installer les sondes de supervision il est plus simple des les utiliser comme cela, imaginez si sur votre voiture vous rajoutiez une machine à faire des glaces sur votre moteur ? pas tres logique en cela je rejoins l'avis de notre vénérable ccnet .

je ne serais que vous conseiller de dédier une machine à la supervision de vous éléments matériels et systèmes/applicatifs et qu'elle ne fasse que cela, pas exemple avec un portable en fin de vie pour le nomadisme peut très bien faire l'affaire et si sa batterie tient suffisement le temps en cas de coupure courant.

ps: les vieux pc des fois peuvent avoir une nouvelle vie.

Pour avoir du Wifi, il y a 2 méthodes :

mettre une carte wifi dans le firewall et … espérer qu'il existe un driver fonctionnel mettre une carte ethernet, un câble (croisé), un routeur wifi configuré en point d'accès.

Ce qui est amusant, c'est que la deuxième méthode parait bien plus complexe alors qu'elle fonctionne "à tous les coups" et en moins de 10' !

Il est probable que le driver BSD ne soit pas opérationnel ...

Merci.

Bonjour,

Merci pour cette information.

Je suis toujours interessé si vous avez une idée alternative pour procéder a l'etablissement du lien.

En attendant,

Bonne Continuation.