trouvé!

en fait le problème venait de squid, sous lequel j'avais paramétré dans les "allowed subnet" mon autre réseau. Du coup il laissait passer sans regarder mes règles de firewall…

Voila le portail captif marche avec l'authentification sur le pc portable, seul souci c'est qu'il faut lui dire de rediriger vers la page d'authentification (nous n'arrivons pas à y accéder par la redirection). Apparemment il faudrait créer une règle dans le firewall ?

Pour le moment pfsense ne prend pas en charge le failover de liens pour tunnels IPSEC, il faut se contenter d'une bascule manuelle (on créer les deux tunnels mais on en désactive un).

Effectivement, essayez avec des machines physiques, ce sera plus simple pour vous.
J'anime de temps à autres des cours systèmes & réseau pour des étudiants Bac+3/4/5, et je ne peux que rejoindre l'avis de CCNET ou JDH. La plupart du temps je travail avec ESXi par manque de matériel en nombre et je dois avouer que les étudiants se perdent complétement par manque de connaissance de la couche VMWare.

@Nachtfalke:

If you find a way to "edit" the db then please tell me.

No problem ;)

–

Bon ajouter du temps directement, çà ne marche pas, j'aurai du m'en douter, trop simple  :P

Je souligne que, seul, un proxy (comme Squid) sait analyser l'intérieur du flux http pour en extraire dans un log date, heure, adresse ip, url, (+ identifiant).

Un portail captif n'est là que pour "ouvrir" la traversée d'un firewall selon une authentification (la plus souvent avec Radius).

Sans proxy, il n'y a pas de fichier d'url.
Sans authentification dans le proxy, il faut "synchroniser à la main" le log radius et le log du proxy.

(Je n'ai jamais testé un portail captif ni radius, je ne donne qu'une réflexion générale …)

All configuration files of freeradius2 are located in:

Après réglage du BIOS (comme je l'ai mentionné ici et sur un autre fil), on arrive à lancer normalement pfSense.
Il est indispensable ensuite de l'installer sur disque (de mémoire il faut taper I à un certain moment).
Ensuite, on peut se lancer dans la configuration …

Le mode "Live-CD" n'est pas satisfaisant, bien sûr.

Enfin, c'est comme ça que j'y suis arrivé et que j'en rends compte ... puisque c'est le principe d'un forum !

C'est de très loin le débit disponible sur votre lien qui est le facteur déterminant. Ensuite selon le type de trafic le temps de latence peut avoir, on non, une importance. Ensuite il n'est pas possible, dans ce cas précis, de maitriser le débit sur la totalité de la liaison. Des mauvaises surprises sont possibles côté utilisateur VPN.
Il est certain que ni le changement de la longueur de clé DH, ni d'un autre paramètre cryptographique par exemple ne seront une aide pour améliorer le débit "ressenti".

Bon OK, je vais me fouetter, je n'avais pas vérifier moi même le problème, le ping ne répondant pas, mon collègue n'a pas été plus loin. Il y avait une rules qui n'autorisait que le TCP sur le lien IPsec.

Allez je vais m'en vais avec mon fouet voir mon collègue  ;)

Merci à toi ccnet.

Nusa

Explication du problème:
@djsmoye:

J'ai remis en route un ancien pc avec la dernière version de pfsense et je lui ai installé Freeradius2 et une base mysql distante pour la gestion des accès. Le problème est que j'ai à plusieurs reprises le message "pfsense Invalid credentials specified" alors que mon identifiant est correct et que mon serveur mysql est joignable.

Résolution du problème:
Ajout d'une seconde base mysql sur un autre serveur et configuration de freeradius en conséquence.

Supposition:
Le serveur mysql ne répondait peut-être pas assez rapidement pour freeradius et l'ajout d'un second aurait pallié au problème.

Divers:
Est-ce moi ou votre admin aurait des réponses plutôt formatées (cf. http://forum.pfsense.org/index.php/topic,45927.0.html)?

Oui très rare et très mauvaise idée.

bon, j'ai reçu mon boitier, j'ai commencé à config tout ça,..et comment dire….très vite les choses se sont compliqués vu que les tuto que j'ai sont tous un peu différents...

je préfère prévenir, c'est ma première fois...(heuuu), et meme si je postasse, il y a pas mal de choses qui restent obscure pour moi
donc je commence pas à pas pour expliquer ce que je fais et poser les question pour comprendre ce que que fais.

1 - j'ai commencé à config ma livebox,

sur le tuto que j'ai, la config était la suivante.

et comme je suis chanceux, visiblement je n'ai pas la même version de livebox
voici moi ce que j'ai :

donc, je n'ai plus le champs "adresse broadcast" (je ne sais pas quoi ça servais de toute les façons)
et dans les plages d'ip, je ne peut pas mettre 192.168.2.254 deux fois, il me le refuse, je suis obligé de rentrer les adresse comme j'ai fait (192.168..2.253 et 254).

donc, avant de passer à l'étape suivante, je veux comprendre si ça change quelque chose… ?
autre question, est il utile que je configure une DMZ pour un usage qui sera limité à l’installation d'un portail captif ? (ca reste assez flou pour moi çà..)
si ce n'est pas le cas, ..et bien, je passerai à la config pfsense

merci

Il est probable que ce type de machine n'est pas la mieux adaptée à être firewall en dépit de sa solidité.

Néanmoins, j'ai des R210 avec disque sata sans raid qui fonctionnent (au prix d'une config en désactivant toute virtualisation).

Je peux :

faire un ping (ou tracert) depuis le réseau 1 vers le 2 et inversement

Je pense que c'est un problème de routage mais pourquoi que le port 80 ?

D'après vos indications ce ne peut être une problème de routage. le routage ignore absolument tout des services acheminés.
La seule hypothèse serait que la machine que vous ne pouvez atteindre (sur le port 80, mais sur un autre port ce serait pareil) possède une passerelle par défaut incorrecte.
Je vous conseille d'activer les logs de façon judicieuse afin de vérifier le bon acheminement du trafic. Après avoir vérifier la configuration de la machine inaccessible.

Justement dans les logs il n'y a rien de particulier.

je ne suis pas surpris.
Quelle est la connectivité Wan, routeur, modem adsl, ppoe, adressage staique, dhcp… ?

Est ce que vous pourriez m'éclairer sur cette règle, ça serait vraiment sympa ? Je n'ai pas du tout compris l'explication.

Merci de votre aide

Maintenant, si je comprend ce que vous m'indiquez, cela viendrait peut-être du fait que certains paquets passent via une passerelle, et d'autres via la seconde passerelle ?

Plus précisément le problème viendrait du fait que le Syn passe sur une des passerelles et le Syn-Ack sur l'autre. Et on se retrouve avec  paquet marué Syn-Ack pour lequel le syn correspondant ne peut être trouvé.