(Pas mieux que ccnet, forcément.)

La question est : un firewall doit être sûr et fiable, de plus il doit répondre vite à son rôle essentiel (=primaire) : le filtrage de paquets, et là on est en dessous de la milliseconde.

Les conséquences évidentes sont :

pas de virtualisation : 'vol de cycle' pas de tâches qui 'occupent' (proc, mémoire, temps) : proxy, base de données, IDS, antivirus, relais mail, …
Mais doivent rester : vpn (et cryptage) parce que lié au routage et au filtrage, portail captif (authentification extérieure) parce que position naturelle.

Autres exemples :

le dns local sera assuré par de DC Windows mais le firewall fournira le 'fowarder' dns, le dhcp local (LAN) sera assuré par le DC mais le dhcp de WIFI GUEST peut être fourni par le firewall ainsi que le dns (puisqu'il y aura un mur avec le LAN).

Mais bon, pour vous, c'est pour du perso ...
En particulier vos explications n'ont rien à voir avec le problème, pour lequel je ne vois aucune démarche par étape ...

@jdh:

Il est totalement inutile de créer ce vpn sur le pfSense AMPSHA.

NB : le vpn a créer devrait être OpenVPN et non PPTP obsolete, non secure et difficile à faire traverser un firewall !

Avis que je partage. Pourquoi déporter le vpn d'un client unique sur Pfsense alors que le dit client est capable de faire cela lui même. A part pour se compliquer la vie …
Je confirme que ce bazar de nat est inutile. Pfsense gérant tout ce qui est nécessaire pour le trafic sortant.

OK j'ai solve mon problème :-)

c'était tellement bête que je suis passé à côté des dixaines de fois. J'avais paramétré une limitation de la BP sur les ports du switch WAN1 et WAN2 pour simuler des liens ADSL à 16Mb/1Mb.

Le débit des interfaces VLAN est immédiatement remonté à 935M après désactivation.

Merci.

@radavy:

Problème:
Pfsense does not keep Mac address

Try to formulate the question with more then 6 words.
And while you're at it : this is the french section of the forum - Franglais doesn't work very well here.

Quelle ip dois-je préciser en source ? l'ip publique ? l'ip du routeur ADSL ?

Rien à mettre dans source a priori. En dessous dans destination:
"Single host or alias" et l'ip wan de Pfsense dans la champ à droite. Sous réserve.
Tans que votre routeur ADSL ne redirigera pas le flux vers l'interface wan de Pfsense, il n'y a aucune chance pour que cela fonctionne.

Le fonctionnement d'un cluster repose sur l'égalité du maitre et de l'esclave : les matériels doivent être identiques.
D'ailleurs, l'écrasement des règles traduit bien que les config doivent être identiques.
(Le pire : l'esclave à une interface en moins : après bascule maitre -> esclave puis esclave -> maitre, les règles de l'interface en moins auront disparues !)

Voyez, il y a 2 façons de dire la même chose :

@ccnet:

En résumé vous faites du NAT pas de la sécurité.

@jdh:

Ce n'est pas pfSense qui apporte de la sécurité, c'est la façon de l'employer

pfSense est un firewall, qui sait faire du forward (NAT > Port Forward), mais qui ne fait pas l'analyse à l'intérieur du protocole !

Un, il faut savoir quel port.
Deux, il faut savoir comment insérer un proxy qui va réaliser le travail nécessaire de contrôle du protocole, et, ainsi, apporter de la sécurité.
(De la sécurité … là où il n'y en a pas ou peu ...).

Je confirme que sans rien connaitre de votre configuration, nous ne savons que dire …

Ok donc là c'est normal.
Une modification chez Orange en été, vous allez attendre un peu.

bonjour,

Si vous parlez de shallalist pour Squidguard, vous devez vous rendre dans Services > squidguard proxy filter > onglet Blacklist

il y a un update log qui vous confirme que la mise à jour a été effectuée.

Ensuite vous redemarrez le service squidguard : Status > services

Cordialement,

Mathieu

Merci . Je vais voir cette config et je reviens vers vous.

Bonne journée

Si nous résumons alors tout ce qui a été cité précédemment, ce qu'il faut mettre en place c'est :

Un portail captif affichant une charte de confidentialité lors de la connexion d'un utilisateur, Une connexion grâce à l'adresse mail de l'utilisateur qui lui enverras un code d'authentification, Les logs des URL visités par les utilisateurs,

Imaginons maintenant que l'utilisateur exemple@gmail.com se connecte à mon réseau wifi et utilise ma connexion à des fin frauduleuses, il sera nécessaire de pouvoir "l'identifier"

Les logs obtenus auront très certainement cette forme : Adresse IP local - date/heure de la requête - URL visité
–> Il faudra donc avoir la possibilité de savoir que l'utilisateur possédant l'adresse mail exemple@gmail.com c'est vu attribué l'adresse 192.168.x.x à moment précis ? comment procédé ?

De plus, si pour ses actions malveillantes l'utilisateur c'est connecté à un site utilisant le protocole HTTPS, comment avoir l'URL de ce site dans nos logs sans utilisation de SSL filtering ?

Nul besoin d'intercepter le flux https pour collecter ces données. Sur une demande de connexion faite directement en htts le hello de la négociation SSL permet de connaitre le nom du site demandé.

Comment mettre ça en place ?

Merci de vos réponses.

C'est awebster dans son post  https://forum.pfsense.org/index.php?topic=133431.msg733320#msg733320 qui imagine que les profils sont partagés, et d'autres aussi ont compris la même chose.

Si vous avez bien compris la nécessité de disposer d'un profil personnel par intervenant, l'idée d'avoir un certificat personnel pour le vpn et de fixer l'ip à partir de la connexion vpn est 'normale' et logique.

Comme on peut lire que l'idée de fixer les ip ne vous parait pas évidente, …

Merci de ce retour précieux.

(Evidemment du personnel compétent mais j'espère être celui là).

On doit écrire aussi MPLS=$$ et Ligne Internet = plus facile/rapide à disposer.
J'ajouterai : attention à bien gérer les fw pour limiter les entrées (NAT forward) sur tous les sites : que du strict nécessaire !

J'ai résolu mon deuxième problème.

Il fallait juste brancher un équipement.

Merci

Les bonnes réflexions :

un firewall traite de paquets ip : il ne travaille pas sur la couche protocole (L7), ceci est le rôle d'un proxy applicatif. un portail captif est un système qui permet ou non de traverser un firewall : une sorte d'interrupteur contrôlé. le portail captif de pfSense fonctionne avec la redirection initiale forcée (premier paquet HTTP) : le portail captif répond directement à la machine par les pages prévues et configurées.

A poursuivre …

(Bravo pour l'utilisation du formulaire.)

Un firewall stable, c'est un firewall qui fait son boulot et rien que son boulot !
Donc on n'y installe rien d'autre que le strict nécessaire.

Pas de samba ni de ftp ou tftp sur un firewall … Ils seront bien (mieux) placés sur un serveur interne.
Pour ftp, je vous suggère de plutôt considérer sftp :

pfsense ne facilite pas l'utilisation de ftp (ni en client ni en hébergement) sftp est entièrement crypté et sûr le logiciel proftpd permet, assez aisément, de créer un serveur sfrp avec users virtuels (mysql)