Bonjour à tous,

Je vais devenir fou … J'ai recommencé le manip : remove, install, update etc et je n'ai pas mes onglets !!!

Merci d'avance de votre aide et bon travail à tous.

@Pro21:

Bonjour,

ton architecture peut fonctionner mais tu vas être obligé de faire 2 NAT … sans compter comme le dis psylo du NAT 1:1 dans tous les sens.

Il n'est pas obligé de faire 2 NAT. S'il ne fait pas de NAT dans le pfSense, il doit:

ajouter une route dans l'autre firewall pour indiquer où se trouve le réseau protégé configurer le NAT du réseau protégé par le pfSense dans l'autre firewall (j'avais oublié dans mon premier post je pense).

Problème résolu, la config dhcp indiquait un mauvais DNS a mon interface Wan.

Deux choses,

Dans un cluster il faut égalementune interface de synchronisation des tables d'états entre les deux firewall (pfsync) Une zone logique (ou interface) dans le firewall ne veut pas forcement dire une carte physique. En utilisant des VLAN taggés  (et donc un switch supportant les VLAN), avec deux cables et deux cartes Gigabit Ethernet vous pouvez avec un firewall avec 10 interfaces logiques sans aucun problème. Après, tout dépendra du débit de vos WAN…

Ne pas oublier de configurer la vue des logs en mode "le plus récent en premier'

"Show log entries in reverse order (newest entries on top"

Bonjour,

bienvenu sur le forum.

Il faut déjà connaitre le mode de communication de chaque machine.  Comment sont disposés les ordinateurs (1 ordinateur par foyer - tous dans une salle informatique ) ? Y-a-t il des bornes sans fils dans le village ?

Tu peux solutionner ton problème en configurant le portail captif sur la ou les interfaces qui seront dédiées aux ordinateurs.

J'aime le froid et la neige ^^

Merci Beaucoup pour votre aide cela fonctionne

@screech:

Dommage, ce n'est pas mon option préférée ;) (ajout d'une carte réseau et création d'un "NAT", je suppose entre mon LAN et la patte Wifi)

Mais si c'est ce qui est le mieux, je vais diriger mes recherches la dessus ;)

(Question bête, est ce possible de mettre ma patte WIFI dans le même adressage que mon LAN pour simplifier/faciliter les choses ou est ce impossible/fortement déconseillé ?)

Mettre le WiFi dans la même patte que votre LAN est en effet moins sécurisé et donc déconseillé - je ne dirais pas interdit. En effet, vous pouvez configurer votre WiFi avec du WPA2/802.1x avec authentification RADIUS (installation de freeradius sur le pfSense ou sur une autre machine). Peut-être que le Linksys supporte ce type de sécurité avec le firmware d'origine. Si ce n'est pas le cas, vous pouvez utiliser dd-wrt. Ce n'est pas "incrackable" mais ça devient très difficile…

Mettre le WiFi sur une autre patte apporte plus de sécurité mais est plus contraignant (au niveau configuration & utilisation). Je suppose que vous donnerez accès au LAN à partir de votre WiFi. Si c'est le cas et que le WiFi est compromis un jour, une personne pourra donc aussi accéder à votre LAN... Donc...

A vous de voir quel niveau de sécurité est nécessaire pour les données présentes sur votre réseau...

Hope this helps.

Pour répondre à la question de départ (puis-je accéder à mon serveur WEB en passant au travers de mon pfSense puis de mon PIX): vous pouvez le faire…

Vous devez:

configurer une règle de NAT 1:1 de l'IP publique utilisée pour votre serveur WEB vers un IP virtuelle du réseau entre le PIX et le pfSense. configurer une règle de NAT 1:1 de l'ip virtuelle vers l'IP LAN de votre serveur WEB. Autoriser le trafic sur les ports 80 & 443 dans les 2 firewalls.

Par contre, même s'il est plus sécuritaire (et non pas inutile ni dangereux) d'avoir 2 firewalls de marques différentes en série, je vous conseille pour vous simplifier la vie de:

supprimer le PIX: ce produit étant abandonné, comme vous l'avez dit, il n'y a plus de mises à jour. ajouter une interface réseau sur votre pfSense pour créer une DMZ et connecter votre serveur WEB dedans.

Hope this helps.

Postez vos règles … on vous mettra sur la voie.

Bonjour,

Freeradius ne fonctionne pas tout seul. Il lui faut une base de données ou un annuaire avec. pFsense sera le client RADIUS (nas). Son seul rôle est de renvoyer les requêtes de connexion vers le serveur RADIUS (freeradius +mysql par exemple).
Pour la configuration de freeradius avec mysql tu peux chercher sur google et si tu as un problème avec pFsense tu peux venir poster ici.

Merci pour ta réponse,

présentement mon pfsense n'est pas en mode BRIDGE, car on me dit que le squid transparent ne marche pas en mode bridge sur pfsense.

Je sais pour la configuration a 2 firewall mais malheuresement je n'es vraiment pas le choix je dois garder le nokia en place et mettre un trnasparent squid et squidguard derrière.

Donc la solution idéale pour moi serais de faire faire une règle sur le checkpoint nokia (car ces pas moi qui le gère) qui redirige le traffic du port 80 vers le ip et port de mon squid ?

1- j'ai effectué le nat de @ privé lan de mon serveur vers @ public XXX.XXX.XXX.11

C'est le contraire qu'il faut faire. C'est l'ip publique qui est translatée vers l'ip privée dans la règle.

2- dans le firewall sur l'interface wan j'ai mis cette règle pour autoriser l’accès externe vers le serveur web
Proto    Source        Port                Destination                    Port              Gateway
TCP          *              *                  XXX.XXX.XXX.11                80 (HTTP)        *

Il faut lire attentivement les documentations et prendre le temps de les comprendre. Les règles de nat sont appliquées avant les règles de filtrage. Cela à pour conséquence que la destination autorisée est l'adresse interne et non publique.
Il est donc normal que votre configuration ne fonctionne pas.

hello

c 'est noté , Merci pour ton aide .

Bonsoir,

Ok et merci pour tout ces conseils

elle fonctionne cette option

j ai pu trouver la solution merci à vous!!!!

je souhaite configuerer freeradius avec le portail captive peut- tu me donner un coup de main!!

qu'un firewall, sera actif et gérera les deux connexion en load balancing, et le deuxième prendra le même rôle en cas de panne sur le 1er firewall…

;D