Bonjour,

C'est ce que j'ai fait justement - Tout le traffic à destination de 172.30.0.0/16 passe par 192.168.7.198 (boitier RPVA). Cela fonctionne en mode filaire (Interface LAN, 192.168.7.0/24) mais pas en wifi (Interface OPT1, 192.168.9.0/24).

Faut-il que je force la passerelle du réseau 192.168.9.0/24 vers 192.168.7.1 (IP PFsense pour l'interface LAN) au lieu de 192.168.9.1 (IP PFSense pour l'interface OPT1) ?

Si la route statique doit s'appliquer pour toutes les interfaces, je ne comprends pas pourquoi ça coince sur OPT1 et pas sur LAN ?

Ci-joint la table de routage si cela peut clarifier. Les IP publiques sont masquées.

Merci,

Routing.jpg
Routing.jpg_thumb

Ok merci je vais tenir compte de vos remarques.

Cordialement.

Un boitier type Alix, Soekris, Wrap ou autre n'est pas prévu pour utiliser Squid !
Cela a déjà été abondamment décrit ici !

Rappelons que Squid fait des requêtes, stocke les objets sur disque, les restitue s'ils ne sont pas périmés.
C'est un usage contradictoire avec l'usage firewall.
De plus, cela IMPOSE un disque dur et non un carte compact-flash qui sera VITE défectueuse devant les entrées/sorties inhérentes.

Ensuite, Squid ne génère que des logs, difficilement interprétables directement mais aisé au travers de l'excellent LightSquid.

Le matériel n'est tout simplement pas adapté. Point.
(Il faut firewall assez bien, c'est déjà ça !).

Sans appel et sans solution. On ferme !

No problem, je vais mettre un WireShark pour voir si je trouve quelque chose.
Ça m'aidera peut être…

Merci de ton aide!

edit : Si t'as juste le temps de me répondre sur cette question :
Pour rediriger le flux d'un host vers une adresse IP Virtuelle, je dois faire comment? Créer une Gateway? Faire du NAT OutBound? Et aussi quel type d'IP Virtuelle je dois utiliser (CARP, Proxy ARP, IP Alias?).

Merci

Cette façon de procéder est à proscrire totalement. La mise en place d'un vpn ssl est un minimum pour conserver un niveau de sécurité correct lors d'un acces à l'interface d'administration.

Sinon la doc est là :
http://doc.pfsense.org/index.php/How_can_I_access_the_webGUI_from_the_WAN%3F

Par ailleurs il est possible découvrir pfsense sans l'installer grace au live CD.

Je ne pense pas qu'il suffit de dire "ça ne fonctionne pas" pour décrire un problème !

Il faut à minima :

décrire le schéma, les adressages, … donnez les règles en place, décrire les réglages choisis, décrire les tests réalisés, les messages, les logs ....

savez-vous si cela est réalisable ?

màj : bon en fait on a réussi dans les paramètres du portail captif dans "Alloweb IP adresses" (option qui permet d'ajouter des adresses IP sur lesquels on peut se connecter sans forcément s'authentifier avant). Dans le certificat SSL, il faut regarder l'adresse web OCSP (ex : https://blablabla.verisgn…), ensuite tu fais un nslookup de cette adresse pour récupéré son adresse IP et tu as plus qu'à la mettre dans "IP Adress".

J'espère que ça pourra servir à d'autres !

A+ !

En fait, on a trouvé une solution, il suffit de créer autant d'interfaces que de SSID, ensuite tout ce joue au niveau RADIUS et LDAP, on fait une recherche sur le LDAP avec plusieurs filtres et c'est bon.

Did you try with these check-item attributes:

Expiration := Login-Time :=

Login-Time:

Every time string contains a day (Mo,Tu,We,Th,Fr,Sa,Su) or all weekdays which is from monday till friday (Wk). All weekdays plus weekend which means all days from monday till sunday is (Al). Wk0855-2305,Sa,Su2230-0230 This means weekdays after 8:55 AM and before 11:05 PM | any time on saturday | sunday after 10:30 PM and before 02:30 AM.

Expiration:

Format is: Mmm dd yyyy (e.g. Jan 01 2012)

Il serait bien de vérifier les logs.

Comme dit plus tôt celles dont j'avais besoin pour filtrer le trafic fonctionnent (n'étant plus sur le site je n'ai pas le détail mais 80, 21, 22, etc…) et pour celle qui me posait problème je l'ai résolue un peu plus tôt donc merci encore pour ta proposition d'aide.

Ok merci, une fois de plus pour ton aide ccnet  ;)

Le problème change de niveau.

Une anecdote. Dans une entreprise où il y avait un fort passage, un bureau se trouvait à proximité de la porte d'entrée. on occupant se plaignit au chef d'entreprise de la gène que lui causait la porte qui claque ou qui reste ouverte, etc … Le patron sans tarder fit venir un serrurier pour poser un groom. Celui ci, mal réglé, laissait la porte ouverte et c'était maintenant les courants d'air qui importunait le malheureux salarié. La patron, bricoleur, modifia lui même le réglage. Mais il n'était pas serrurier. La porte se fermait mais était difficile à ouvrir de l'intérieur, comme de l'extérieur. Au lieu de faire venir la serrurier la patron imprima sur deux feuilles : "Pousser fort" et "Tirer fort". Il colla la première à l'extérieur et la seconde à l'intérieur.
Voilà en gros la situation dans laquelle vous êtes aujourd'hui.

Après ce constat dont je vous laisse tirer les leçons, il faudrait voir quels sont vos besoins de sécurité. cela relève d'une analyse de la sensibilité de vos données et systèmes, puis d'une réflexion sur les risques (analyse de risque). Pour réaliser cela a minima vous n'avez pas besoin d'une armée de consultants à 1500€/jour. Vous avez juste à vous poser quelques questions tranquillement, de préférence pas seul. selon la taille de votre organisation cette démarche que j'indique ici  en creux sera plus ou moins formalisée. Je fréquente les deux extrêmes, depuis la PME de 10 personnes jusqu'à l'entreprise à 60M€ de CA. Le formalisme n'est pas le même mais sur la finalité c'est très proche.

Néanmoins on peut déjà procéder à quelques anticipations techniques d'après votre message précédent.

des prestataires doivent venir dans mes locaux pour accéder en wifi au net et pouvoir travailler sur mes serveurs…

C'est déjà prendre beaucoup de risques et mettre la barre très bas en matière de sécurité.

Si rajouter une autre interface et configurer d'une façon plus poussée est la solution je suis à votre écoute sur la façon de procéder, je suis tout ouïe.

C'est clairement un des éléments la solution qu'il va falloir envisager. De même la cohabitation wifi - filaire est un sérieux problème sans contres mesures spécifiques. Je met la charrue avant les bœufs. On peut dire sans prendre de risque, et pour rester à un niveau général, que le cloisonnement des flux est une composante indispensable de la sécurité réseau. Ensuite le comment est une autre histoire. La réponse viendra des analyses évoquées plus haut.

Voilà selon moi la démarche générale qui convient. Une fois les besoins et les problèmes bien posés, il sera possible d'envisager les modalités techniques d'une solution.

J'en déduit que vous utilisez une authentification locale sur pfsense ?

comme je le disais mon fai n'est pas free et je suis configuré en ip fixe car il n'y a pas de dhcp du coté de ma "box"
Cela étant je ne pense pas qu'il y ait un lien entre ce paramètre et la perte de connectivité du lien, la passerelle est effectivement affichée comme down dans l'interface pfsense au moment où ça plante et pour cause, le ping de l'adresse de la "box"(qui est également en ip fixe) ne réponds pas tant que je n'ai pas désactivée puis réactivée l'interface. Je pense qu'il s'agit plus d'un problème lié à la carte réseau elle-même ou à son pilote

merci

Par exemple, en ligne de commande sur le pfSense,

ping (adr ip PC) arp -a

Si l'entrée arp n'existe pas, c'est difficile de ne pas incriminer câble ou câblage (branchement).

@jdh:

Quelle patience Psylo !

Je passe moins souvent que vous… Et donc, il m'en reste un stock... ;)