@egeo:

Merci de votre réponse seulement je n'est pas besoin de plusieur borne. Avez vous une autre solution matériel?

Non. Du moins rien que je puisse conseiller spécifiquement. Il est rare que je mette en place du wifi avec une borne unique. Il y a sans doute des solutions plus légères chez Cisco, Hp, 3Com.

Moi aussi je suis pour le recyclage … J'ai un P3 1000 MHz avec 512 MB de mémoire et une Compact Flash avec un adaptateur IDE à CF. J'ai modifié le ventilateur du processeur pour mettre un 80 mm et le faire tourner à 5V pour éliminer le bruit et le power supply ne faisait pas beaucoup de bruit à l'origine. J'ai dedans, 3 cartes réseau 3Com et nouvellement une carte WiFi Atheros.

Depuis que les Alix sont sorties je prendrais cela si j'avais le budget ou su c'était pour installer chez un client, car les WRAP n'était pas assez puissant pour supporter des VPN et faire de la QoS.

MageMinds

Si vous ne donnez pas les réponses aux questions posées en vérifiant les logs comme demandé, je ne vais pas pouvoir vous aider beaucoup plus à résoudre ce problème DHCP.

L'existence de votre interrogation montre que vous êtes peu familier des questions de sécurité. C'est, comme vous le savez, un sujet sensible et complexe. Partant de ces évidences un firewall est une machine, que ce soit un pc exécutant un firewall logiciel (cas de Pfsense, ou d'ipcop par exemple) ou un firewall matériel, c'est un dire un hardware strictement dédié (un PIX Cisco par exemple) sur laquelle on limite le plus strictement possible les applications exécutées pour plusieurs raisons.

Les performances (la virtualisation consomme beaucoup de ressource). La fiabilité et la stabilité (la virtualisation est complexe) . Enfin moins il y d'applications sur une machine plus faible est le risque de faille.

Sans parler de la maitrise des interactions entre votre firewall et la plateforme de virtualisation comme le montre votre question à propos des interfaces. Je n'ai jamais compris pourquoi de nombreux débutants avaient souvent l'idée de se compliquer la vie en accumulant les problèmes potentiels sur des sujets qui ne sont déjà pas simples.
Vous ne verrez jamais en entreprise un firewall installé sur une vm. En tout cas pas chez des gens qui savent ce qu'ils font.
Il est déjà très difficile de construire une application robuste, fiable et très sécurisée si en plus on y ajoute une plateforme de virtualisation. A cela s'ajoute les éventuelles complications du NAT employé sur ces plateformes et que ne sont pas neutre pour tous les protocoles.
Je ne sais pas quels objectifs vous poursuivez. Il est donc difficile de vous donner des pistes utiles.

Pour votre problème dhcp si vous voulez bien regarder les logs dans Status: System logs: System et rechercher une ligne DHCPACK, nous arriverons à poser le problème puis à le régler.

Non c'est bien ca. Au debut j'etais parti comme ca : adresse WAN = 192.168.168.90 (static lease que l'on ma assigné) ; adresse LAN 192.168.1.1(ou autre pour le dernier octect).

mais le probleme suivant se pose :
Mon client est une station sans disque relier au reseau par un cable. Il boot sur le reseau pour charger son O.S et n'a qu'une seule carte reseau (donc une sortie pour un cable).
Mon PFsense est aussi une station sans disque (avec 2cartes reseau) sur laquelle je fait tourner un live-cd. Il est lui aussi relier au reseau par un cable.

Donc si je debranche le cable du client pour le relier a mon PFsense pour etre sur le LAN, mon pc se bloque(j'ai la souris mais ne peut plus ouvrir de fenetre firefox par exemple).
C'est pour cela que la solution(provisoire) que j'ai trouver pour acceder au webgui est d'attribué l'adresse 192.168.168.90 au LAN.

http://www.pfsense.org/index.php?option=com_content&task=view&id=52&Itemid=49
Plus que le nombre d'utilisateurs, les services utilisés bien sur et aussi le trafic (volume, connexions ouvertes, débit) qui doit traverser Pfsense.

@akoirium:

tu n'as peut etre pas bien lut le contrat de ton fai alors….
pour tout les fai c'est pareil et il existe une clause definissant l'abonnement comme propriétaire pour 1 poste et 1 personne physique.

Vous avez vu beaucoup de contrats Oleane, Colt, etc dans le domaine professionnel qui définissent l'abonnement comme propriétaire pour 1 poste et 1 personne ? Cela ferait bien rire (jaune) les entreprises qui ont 50, 200, 1000 utilisateurs derrière leurs liaisons FT, Colt, Oleane ou autre …
Même dans le domaine "grand public" votre affirmation selon laquelle, chez tous les fai, le contrat est limité à un seul poste et une personne physique est erronée. Ce qui est prohibé c'est l'utilisation à des fins commerciales, payantes ou non. La mojorité des fai on abandonné ces clauses. Comment alors commercialiser ces boitiers qui combine modem, routeur, hub, wifi ? De plus lorsque l'on utilise Pfsense dans un hôtel on n'est plus dans le secteur "grand public" mais bien dans le professionnel.

@saidmsl:

bonjour,

je viens d'installer pf sur une alix et ca marche.
maintenant, je voudrais bloquer l'access par des regles et ai suivi a la lettre la doc
http://doc/pfsense.org/index.php/Example_basic_configuration

a ce moment, je n'ai plus aucun access

je dois reactiver la regle par defaut pour avoir un access internet

une idee?

Oui une idée, une idée simple. Commencez par réfléchir précisément à ce dont vous avez besoin. Faites un état des flux à laisser passer suivant le sens, mettez tout cela noir sur blanc.
La règle de base à mettre sur chaque interface c'est BLOCK  any any et ensuite on ouvre sélectivement ce qui doit l'être. Au début, surtout qu'apparement vous n'êtes pas très à l'aise, il est utile d'activer les logs sur toutes les règles. Vous pourrez vérifier dans les logs que la règle se comporte bien comme vous l'attendez.
Si vous êtes perdu, il est presque souhaitable de réinstaller et de comprendre ensuite pas à pas ce que vous faites, le but étant d'obtenir la maitrise de Pfsense sans travailler au hasard. Cette méthode sera plus profitable que d'appliquer des règles toutes faites dont vous ne comprenez pas le contenu et dont vous ne pouvez pas juger si elles conviennent ou pas à votre situation. Il n'y a pas de recettes toutes faites en sécurité.

@Orishas:

Je pensais (bêtement) que si un employé se connectait de chez lui via Internet avec son ordi et via son routeur ADSL ou Câble , il pouvait avoir accès au VPN et entrer dans le LAN de l'entreprise.
De là à mettre des PfSense chez chaque Users, ya une marge non?

À ce moment là ce n'est pas un tunnel point-à-point que tu veux, mais un lien client-à-site (clients mobiles).
Effectivement c'est possible simplement en installant un client VPN sur tes machines client, sauf que:
1. La configuration de pfSense n'est pas la même, tu as probablement suivi un tutoriel point-à-point.
2. IPSEC sur pfSense ne supporte pas NAT-T (NAT Traversal) dans 1.2. Ceci sera corrigé dans 1.3, mais en attendant ça veut dire que si tes clients sont derrière un routeur un n'importe quelle forme de NAT chez eux, il leur sera impossible de se connecter à pfSense.

En attendant NAT-T, je te conseille d'utiliser PPTP pour des clients mobiles. Tu peux faire un mix-and-match entre IPSEC et PPTP (ex: j'utilise IPSEC pour entretenir des tunnels permanents entre mes succursales, mais j'ai aussi des clients mobiles qui se connecte par PPTP). PPTP fonctionne à travers un NAT.

cool ca marche ;)

bhen merci bien pour le tuyau c'est bien pratique…
en plus on peut aller jusqu'a 5 dns gratos ;)

Pour illustrer voici la conf, route et Nat :

Et mon fichier client.ovpn

port 80 dev tun proto tcp-client remote xx.xxx.xxx.xxx 80 ping 60 persist-tun persist-key tls-client ca ca.crt cert client1.crt key client1.key ns-cert-type server comp-lz cipher aes-256-cbc pull route-method exe route-delay 2

C'est certain que de permettre l'administration à distance sans VPN c'est un problème de sécurité pour ton réseau, surtout si tu as 200 machines de l'autre côté de ton pfSense.
Si tu veux vraiment le faire, comme Nico a dit tu vas dans Firewall -> NAT et tu crées un forward de WAN:80 vers 192.168.1.1:80 (ou ton adresse LAN si elle est différente). Ceci fera en sorte qu'une requête externe sur le port 80 sera redirigée sur l'interface interne, ou le webGUI est accessible.

Idéalement, tu configures IPSEC, OpenVPN ou PPTP et tu te connectes en VPN de chez toi. Ça aura le même effet que si tu étais à l'interne sur le réseau local donc le webGUI sera accessible, et au niveau sécurité c'est bien mieux.

Le DNS?

@torn33260:

Bonjour a tous,

voila je désir installer pfsense. Donc j'ai lu le "tutorial en francais!" et la doc officiel mais malheuresement j'ai pas tout compris.

Je dispose d'un Pc avec un DD vierge de 250GO, de deux cartes réseaux, d'un routeur drayteck 2910vg, et d'une connexion adsl.

Si quelqu'un pouvez m'aider à me faire comprendre étape par étape l'installation cela serait top. Au niveau matériel qu'ai je besoin de plus?

merci de votre aide. ==> torn33260 (@) hotm ail (.) fr

Si tu as au moins 128Mb de mémoire vive dans cette machine, tu sembles bon côté matériel.
C'est assez simple pour les étapes, télécharges et brûle le ISO sur CD, démarres ton PC du CD, suit les étapes d'installation pour créer la partition et installer pfSense, ensuite il te demandera d'assigner tes interfaces (ex: laquelle = WAN, laquelle = LAN). Assures toi de bien savoir laquelle tu choisis - c'est plus facile en utilisant l'auto-détection (ex: tu branches un fil réseau alimenté dans une des deux interfaces et pfSense va détecter laquelle c'est). Prends note quelle interface devient WAN et LAN (étiquettes les s'il le faut).
Une fois que c'est fait tu peux te connecter au port LAN avec un autre PC et aller à 192.168.1.1 pour éxécuter le Wizard de configuration.

Le failover ping tes passerelles en continu… si elles sont accessibles --> Online , sinon --> offline (logique ^^) :)

donc tes passerelles n'était surement pas accessibles.

oui j'ai regardé
  File not found /usr/local/etc/oinkmaster.conf  :'(

Oui ;)
J'ai déja tester pour essayer les tunnels VPN et compagnie ;)
Idem avec monowall.

Petite question, Comment le pfsense sait qu'il doit utiliser le vlan pour l'échange de données, le cryptage s'effectue t'il a partir de l'ap ? Pour le client, la configuration est-elle compliquée? Je précise bien que je ne doit utiliser qu'une interface sur le pfsense, l'autre étant utilisée du coté wan.