@ccnet:

@mgrisel:

Mais par exemple, effectivement je me pose encore la question de faire passer le personnel administratif par le proxy ou pas.

Au regard de la législation la question ne se pose pas.

Oui effectivement c'est vrai.

Je dois faire un schéma, mais je suis beaucoup en déplacement en ce moment. Et au vu de la remarque précédente, je vais réfléchir à une nouvelle architecture.

Merci

Merci a tous pour votre intérêt - j'avais pourtant coché 'me prévenir en cas de réponse …' mais peut être un antispam ...

OUI -> ma plage interne est ... comme elle est. J'hérite et n'ai pas choisi. J'espere pouvoir faire une manip d'envergure (vu le nombre de materiel actif que je trimbale) et passer en classe C un jour.

J'ai bien pris la mesure de vos remarque concernant le melange des genres ... PROXY+SQUIDGUARD(blacklist toulouse)+FIREWALL est pour ce type de réseau a proscrire. Je vais donc acter en votre sens et mettre deux machines.

J'ai cette solution qui fonctionne pour une centaine de users sur un vieux DELL SC600 gavé de mémoire. J'avoue que je n'ai constater suite à sa mise en place que des accélérations. PFSENSE est un EXCELLENT travail !

Ici c'est pour une centaine de users aussi.

Oui CCNET -> les DNS causent !
Avez vous une approche ou une solution pour les deux passerelles sur la même plage d'adresse ? Oui CCNET j'ai bien utiliser ce principe, mais il prend toujours la passerelle par défaut du LAN considéré, meme si je ne la met plus par defaut (SYSTEME-ROUTING ...)

Grand merci pour votre intérêt.

Sur des machines d'entreprises la solution s'appelle Netword Access Control (802.1x).
Sur des machines non maitrisée vous n'avez aucune autre solution, partielle, que de les isoler dans un réseau spécifique. Et plus qu'à segmenter votre réseau et affiner votre filtrage.

Attention avec le WPAD, firefox et Windows 7 si vous réalisez un contrôle logique en fonction de l'IP du poste client (par exemple tel subnet utilise tel proxy).
Cet imbecile de firefox remonte systématiquement l'IP v6 et non v4.

De même sir vos DNS internes sont de type Windows 2008 ou supérieur, par défaut wpad est un nom de machine interdit (query blocklist). Il faut suivre cette méthode pour corriger la situation:
http://technet.microsoft.com/en-us/library/cc441517.aspx

Merci pour vos réponses !
Je vais essayer ca !

Q/ Quelle est la différence entre la théorie et la pratique ?

R/ En théorie, il n'y a pas de différence. En pratique, si !

Bon c'est le week-end …

Je vais écrire, pour la N+1 fois, pourquoi il faut éviter de mettre le proxy sur le firewall !

les packages sont des addons qui n'ont AUCUNE garantie de bon fonctionnement : à vos risques et périls ! ce n'est pas parce qu'un package existe qu'il faut l'utiliser ! le job de 'proxy' nécessite d'autres ressources que le job de 'firewall' ! un proxy exige beaucoup de mémoire, un disque rapide et ne présente pas d'obligation de réponse immédiate ! un firewall exige un temps de réponse stricte donc une dispo processeur immédiate ! un firewall exige de la mémoire pour suivre les sessions (conntrack) ! un firewall n'a pas besoin de disque pour traiter les sessions qui le traverse ! (et ne pourrait pas stocker quoi que ce soit). les logs de firewall sont petits : refus/accord de session, … les logs de proxy sont énaauurmes rapidement un proxy (Squid) doit être complété de SquidGuard pour les blacklists (encore un besoin mémoire) un proxy doit être complété d'un outil de visu des logs (encore un besoin mémoire)

Je pense qu'utiliser pfSense uniquement pour le package proxy est un dénaturation totale !
Autant installer directement sur la machine une Debian + Squid + autres outils !

Si votre inexpérience est patente, utilisez les fichiers de conf du pfSense/package Squid pour initialiser ceux de votre proxy dédié.
(Je constate que vous avez une certaine expertise, aussi, je ne pense pas très difficile pour vous de créer votre propre proxy dédié !)

Au besoin, vous pouvez même virtualiser le proxy (ce qui est à DECONSEILLER fortement pour le firewall en dehors d'un test).

Merci beaucoup

Salut.

ccnet et jdh ont tout bon.
C'est à dire:

C'est une passerelle différente qu'il faut utiliser … ce qui amène à Un LAN par "réseau" à gérer (utilisateurs std & étudiants)... donc 2

Au total, 2 WAN et 2 LAN

Ca va simplifier la gestion: règles firewall, proxy, log ...

Bref, que du bonheur après  ;)

Ensuite, si le courage et l'envie vous dit:
1. Associer les 2 WAN pour un load balancing et redondance de connexion
2. Limiter la bande passante sur les 2 LAN pour garantir un surf correct des 2 parties
(Je dis ça mais je ne me suis pas encore attaqué à cette option ... j'ai pas 2 WAN ... zut  :'()

Voilà, bonne continuation

PS: petite précision pour le 1:1
C'est bien plus qu'un simple "port foward". En fait, c'est comme si l'ordinateur destinataire du NAT 1:1 était lui même connecté à Internet.
Autrement dit, TOUT le flux Internet lui arrive dessus (et par tous les ports). Donc, à utiliser avec des pincettes et surtout, savoir ce que l'on fait…

Il y a eu un fil récent qui cherchait à installer soit un ldap soit un mysql sur pfsense !
C'est en stage que l'on apprend à respecter les documentations, à utiliser un produit sans le "torturer" !

Quand on veut faire plusieurs choses à la fois, il faut n'en faire qu'une en même temps !

Un proxy dédié, avec identification des utilisateurs, blocage de blacklist, un bel outil de visualisation des logs, …
Voilà un bel objectif, bien borné, ...

NB : attention les packages ne sont pas tous à utiliser, et surtout pas à multiplier ...

La capture de trame s'impose. je crains que simplement le serveur radius ne réponde pas. Il reste à déterminer pourquoi ?

Idem. Dans ce qui a été modifié, on ne sait pas ce qui est décisif. Certes cela fonctionne. Personnellement cela m’ennuierait. En effet si votre structure est petite, ce qui semble être la cas, la messagerie en direct ce n'est si simple, c'est même assez lourd à mettre en place sérieusement.

Bon ca doit etre un pb de conf siot sur les pfsense soit sur tes switch ou routeurs entre lse 2…

L'interface failover du carp est-il en lien direct ou passe t il par des vlan et des switchs ???

Sinon technique simple...tu recommence a zero (pour le carp), et tu fait interface un par un...avec bascule pour chaque...c un peu bourrin, mais des fois on peut voir ou ca coince...en meme temps tu met un tcpdump et un tail -f /var/log/syslog et tu regardes ce qui se passe...

Pour le vrrp (carp sous bsd) tu doit voir des trames d'echanges entre chaque interface...vers l'interface backup de l'autre pf...Si tu as 2 master c qu'il ne se voient pas...mais que le carp fonctionne...essaie de suivre ta trame reseau pour savoir ou elle bloque...(as tu pensé a laisser passer les trames vrrp sur ton pf ???

Si jamais tu montes tous tes interfaces, et que cela fonctionne encore pas tres bien, tu peux disables tes regles de firewall et mettre des logs sur des regles que tu te crees pour regarder le vrrp (carp)...tu fait donc un filtre...Le processus est :

La trame arrive sur le pf, elle fait ce qu'elle a a faire (nat ou autre), puis passe par le firewall...si tu fait un tcpdump tu as la trame qd elle arrive, si tu fait un tail -f tu as la trame une fois ds le syslog donc passé le firewall...Si tu vois en reel ta trame s"implementé par tcpdump mais rien sur le firewall, alors elle est bloqué...

Pour moi t interfaces ne se voit pas...mais pourquoi ??? a toi de voir...

Lire un minimum la documentation ou parcourir, juste un peu l'interface, vous renseignera.

Hmmm, lorsque vous dites "INCOMPATIBLES" c'est bien d'utilisation des deux en même temps qui est de la sorte n'est-ce pas ?

Et donc ces packages permettent d'accéder à un LDAP, hors j'aurais préférence pour une base MySQL… donc étant donné que dans tout les cas je devrais installer un Serveur SQL (mon formulaire en C# renseigne d'autre info' que je devrais stocker...), est-ce que je shéma suivant est envisageable ?

Réseau LAN      -----------  pfSense (LAN)/pfSense (WAN) -------------- Réseau WAN (Accès WEB)
192.168.1.0/24  ------------- 192.168.1.2    / 192.168.7.253 --------------- 192.168.7.0/24
                                                      |
                                                      |
                                                      |
                                            Serveur "Radius"
                                                      +
                                              Serveur SQL

De la sorte je n'utiliserais donc pas les packages étant donné qu'ils permettent l'accès à un LDAP et non à une base SQL.

Mon résonne ment tient-il la route ?

Je ne savais pas qu'on pouvait relier un modem directement à un switch.

C'est à peu près aussi sûr que de placer ses serveurs sur un trottoir !! Peut être même moins.

et si

Avec de telles suppositions, non vérifiées, on est en plein délire. Votre façon de faire est complètement contraire au minimum de d'un comportement professionnel. Il serait bien en l'état et sous réserve d'une information plus fiable que vous cessiez de "chatouiller" le SI de cette entreprise à laquelle vous faites prendre des risques énormes.

C'est ce que j'ai fait ne t'en fait pas mais je n'ai pas trouvé de solution à mon problème. Ce n'est pas très grave car j'utilise LightSquid mais j'aurais voulu comprendre l'erreur et la réparer.

As-tu mis deux cartes réseaux?

On le sait déjà :

pfsense detecte les deux interface wan et lan (le0 et le1).