Connecté sans firewall ce serait à peu près pareil. Une vraie passoire, aucun cloisonnement entre les réseaux. L'interface Wan de pfsense ne gère, comme il se doit, qu'une seule gateway, il est donc quasi certain qu'une des liaisons ne sert strictement à rien. Il n'y a aucun load balancing dans votre installation telle que vous la décrivez.

Comment le dire, bon, voilà, j'ai confondu parefeu et service squid.

Sur cette machine, il n'y a que le parefeu. Le proxy (squid) est  installé sur une autre machine.

J'ai fait d'autres tests.
J'ai placé un PC avant le pare-feu. Tout fonctionne.
J'ai remis ce PC derrière le pare-feu avec un accés complet au WAN. Il y a l'erreur Facebook.

Merci pour votre aide.

Bonsoir, on est bien d'accord… Je vous remercie pour votre réponse. Bonne soirée.

Donc en coupure. Une interface connectée sur pfsense (vlan 102) et l'autre sur le switch vu vlan 102 qui à cet emplacement du reseau ne sert plus à rien.

Bonjour,
Merci pour votre intervention.
Je suis au fait de la législation et je regarde actuellement comment mettre en place cette partie (proxy et gestion des logs).

Projet avec demande spécifique = réalisation avec outils/solutions spécifiques.
En effet pfSense serait approprié pour la gestion même du portail captif, pour la partie accounting, il faudra passer par un serveur/application tiers réalisant les contrôles spécifiques mentionés dans votre post.
Techniquement, côté pfsense, on est sur une techno php, donc pas vraiment de limitations (si ce n'est les modules présents).
Il faut simplement poser l'architecture logicielle, les flux et les spécifications techniques détaillées. En résumé, faisable, mais nécéssitera pas mal de temps pour obtenir quelque chose de stable, fiable et sécurisé.

Salut à vous je reviens sur mon sujet et j' irai jusqu' au bout!! ::)

J' ai enlevé le pfsense de mon reseau et j' ai constaté que le routeur fait la mise à jour de l' adresse ip publique.ok

ensuite j' ai appelé mon FAI et ils m ont dit que aucun port n' est fermé à leur niveau.
Comme aide ils m on dit de faire l 'ouverture du port dans le routeur!!!! SVP quelqu' un a une idée?
Routeur dlink Dsl-2730U ???

Bonjour,

En environnement de test/maquette la virtualisation ne pose pas d'autre problème qu'une mise en place rigoureuse et bien appréhender.
Selon moi, vous semblez confronter à 2 pb distinct.

1/ (éventuel) : perception/configuration des outils de virtualisation

2/ (avérer celui la) : pas de lecture de la documentation de pfsense (cf voir : utilisation des ''Rules'', règles de firewall)

cdt

Hello,

Je pense que le carp ne fonctionne pas correctement sur le wifi dans ce cas: le problème c'est que tu as 2 bssid avec 1 carp de chaque côté, donc aucune assurance que les utilisateurs soient sur le bon réseau.

Il vaut mieux mettre des ap séparées a mon avis, dans ce cas.

Salut,

Je cherchais à mettre résolu dans titre du post.

Je vais activer l'option Sticky session =)

Effectivement beaucoup de site sont en SSL (https) dois-je faire une règle pour que tout le flux https passe sur une seule box?

merci j'ai régler mon probleme

Ok merci.

Ce n'est pas un projet de grande envergure, il n'y a que 6 logements dans un petit immeuble, dont le propriétaire est un parent (j'interviens donc bénévolement). La question du hotspot wifi lui est posée très souvent car il s'agit de locations de courte durée.

En pratique j'ai d'abord acheté un routeur Open-Mesh qui me paraissait intéressant, mais le système d'accès par tickets n'est pas vraiment adapté à la situation. Je l'ai ensuite flashé avec un firmware dd-wrt pour essayer le portail captif WifiDog ; ça fonctionne mais il faudrait de toutes façons laisser tourner une machine pour l'identification et les logs.

Finalement j'ai trouvé PfSense, c'est un produit plus abouti avec toutes les fonctions nécessaires, mais je ne vais pas intervenir à chaque fois qu'il faut ouvrir un compte pour un locataire ou blacklister un site web, c'est ce qui a amené ma question. J'aurais pu créer une interface simplifiée en français avec les scripts PHP adéquats pour que le propriétaire soit autonome sans toucher à l'interface d'admin d'origine, mais cela semble compliqué. Je pensais ensuite installer ça sur une config basse consommation, en choisissant une carte mère avec un processeur Atom et deux ports réseau intégrés, si c'est reconnu par PfSense.

1°) me confirmez-vous que la plage IP doit être différente entre le wan et le lan ?

Oui

2°) comment utiliser le filtrage MAC sans activer le DHCP ?

Les deux choses n'ont aucun rapport, c'est d'ailleurs pour cette raison que le protocole arp existe.. Que l'ip soit définie statiquement ou assignée via dhcp, l'adresse mac reste identique.

Passons au plat de résistance :

le réseau VPN sur lequel je suis raccordé ne me permet pas de filtrer les adresses MAC sur les sites distants et je voudrais donc utiliser des pfsense sur des mini routeurs sans DD en contrôle d'accès par l'adresse MAC comme je le fais actuellement sur mon site central

Dans un réseau routé, avez vous conscience que l'adresse mac contenue dans l'entête ethernet d'une trame est celle de l'interface de sortie du dernier routeur traversé ? Je vous invite à méditer ce point pour juger de la pertinence de votre projet.
La seule méthode qui vaille pour un contrôle d'accès dans une solution vpn consiste à utiliser des certificats. Le changement d'adresse mac est un jeu d'enfant.

Alors en cherchant vite fais j'ai trouvé ça :

http://doc.pfsense.org/index.php/Use_an_existing_wireless_router_with_pfSense

Et p'etre ça aussi :

http://cyberchemille.org/IMG/pdf/pfsense_tuto-3.pdf

Voilà.

Merci pour ta réponse il faudra que je me penche sur tous cela !!!

En faite ma partie portail captif fonctionne très biens avec gestion de 3 langue de connexion. J'ai vu avec un imprimeur pour imprimer mes codes vouchers directement sur des cartes (comme ça aucune compétences en informatique sont requise au utilisateur de l'office)
Il me manque simplement la partie "stat" savoir si je peux les extraire et les envoyer par mail à une fréquence déterminée