Sur les forums, il est généralement d'usage d'ouvrir un nouveau fil lorsqu'il y a une nouvelle question. Ce n'est pas très grave mais juste pour ton information. le fonctionnement de pfSense, ce ce point de vue, est très simple. La règle s'applique, comme pour beaucoup de firewall, sur l'interface entrante. Par exemple, pour autoriser les utilisateurs sur le LAN à effectuer des requêtes DNS sur un serveur DNS sur internet, il faut, sur l'interface LAN de pfSense, autoriser pour les adresse sources de type "LAN address" (si tu veux autoriser tout le LAN), pour n'importe quel port source, en destination adresse "any" (sauf si tu veux limiter précisément le serveur DNS cible), en TCP & UDP et un port destination "53". Les règles sur l'interface WAN vont permettre de contrôler les flux "entrants" depuis internet vers des réseaux protégés par le FW (comme le LAN par exemple)

@chris4916: Il y a un point que je voudrais attirer à ton attention: ton proxy est un package pfSense. Il écoute donc normalement sur les interfaces LAN et WLAN => pourquoi y accéder depuis WLAN en passant par LAN alors que tu peux y accéder sur le réseau 10.0.12.0 (je ne sais pas quel port du coup puisque ça chaque en changeant de langue  :P) De plus ça supposerait que tu peux accéder au LAN depuis WLAN. Est-ce bien le cas ? Ce qui va d'ailleurs m'amener à la question en fin de post… Effectivement je peux utiliser le proxy en 10.0.12.254:3128, juste quand j'ai fais mes tests manuellement sur Firefox j'ai entrer 10.0.11.254:3128 par habitude et cela fonctionnait. Je peux accéder au LAN depuis mon WAN car j'accède àmon interface pfsense en 10.0.11.254 comme en 10.0.12.254. J'ai mis une règle NAT pour faire communiquer les 2 réseaux. Quand tu dis " isInNet(myIpAddress) renvoie ton IP… V6, donc ça ne marche pas " (déja merci car je ne savais pas !) mais du coup quelle est l'équivalent en IPV4 ? ou alors j'autorise l'PV6 car je l'ai blocker sur mon PfSense. _ Mon serveur Web est en localhost _Je récupère bien le proxy.pac pas de sucis de ce coter là, il me propose bien de le télécharger quand je rentre son emplacement dans l'URL Firefox, ma détection n'est pas entièrement automatic tant que je fais des tests j'indique a Firefox l'URL de mon proxy.pac. Merci beaucoup pour vos réponse déjà ! Je vais faire quelques tests avec vos infos :D

@chris4916: mais qu'est-ce qui t'empêche juste de le tester ??? @Frantz: connecter l'interface LAN du nouveau modem au "switch LAN" du modem ADSL déjà en place et ajouter une IP virtuelle (alias/CARP/proxy ARP/"autre") dans le sous-réseau du 3ème modem (192.168.x.0) :  **depuis le pfsense je peux pinguer la nouvelle IP comme le modem, depuis le LAN je peux pinguer la nouvelle IP mais pas le modem, et si j'ajoute une passerelle avec l'IP du modem (comme pour les autres connexions), elle est signalée "down" par pfsense. configurer sur cette IP virtuelle un NAT outbound en copiant les règles automatiques : suivant si les nouvelles règles NAT sont en 1er ou dernier, le LAN pingue le nouveau modem ou l'ancien, et je n'ai pas vu de possibilité d'aiguiller le trafic par règle firewall vers l'un ou l'autre.** Testé sur le réseau "prod" comme sur config de test, résultats identiques. @chris4916: Le design de test qui me semble le plus simple: tu configures les 2 box pour avoir une IP interne (coté LAN) dans 2 subnets différents. tu connectes ces box à un switch commun auquel tu connectes également pfSense sur lequel tu as configuré 2 IP (une dans chaque subnet des box) sur la même interface physique. tu t'assures que tu arrives, depuis pfSense, à parler à chaque box… ensuite, il risque de se passer des trucs pas très bien au niveau des routes par défaut ;-) mais déjà le test ci-dessu devrait te donner une idée de la faisabilité. Si ça ne marche pas, il faut faire des VLAN. Depuis pfsense, tout va bien (enfin tout, les pings, hein), depuis le LAN non, on est donc une 2ème fois parfaitement d'accord "il risque de se passer des trucs pas très bien au niveau des routes par défaut ;-)"  :) @chris4916: Est-ce que ça vaut bien le coup avec une ligne à 1Mb/s ?  ::) En download on arriverait à 4 + 1 + 4, en upload 0,5 + 1 + 0,5… pour 20 à 40 utilisateurs simultannés... en répartissant bien, ça peut devenir le grand luxe ::) Bon, si je résume : connecter un 2ème modem sur une même interface physique d'un pfsense à l'aide d'une IP virtuelle (IP alias), en théorie ça pourrait marcher d'après les (nombreuses) docs trouvées et l'avis de Chris, mais en pratique je n'ai trouvé personne qui ait testé, et mes (longs) tests sont négatifs, donc j'oublie. la solution conseillée est bien d'intercaler un switch entre le pfsense et les modems et de faire du vlan, merci pour la confirmation. Merci à jdh et chris4916 pour leurs avis. Pour Tatave, je ne peux que lui conseiller de consulter les "Règles de la section française", qu'il trouvera là : https://forum.pfsense.org/index.php?topic=9708.0 et où il lira "Veuillez veillez [sic] à rester polis et courtois.", l'agression gratuite ne me semble pas conforme à cette règle  ;D Bon week-end à tous (sans exception) !

Merci pour cette réponse constructive. Non effectivement je ne savais pas. On met en place un firewall quand on a un objectif de sécurité. Alors quelle sécurité, si on le fait sans AUCUNE recherche active sur la mise en place, le fonctionnement, en commençant par ne pas lire (basiquement) la doc ? Votre fil, c'est juste 'je m'amuse, je bricole avec mon pc', mais ce n'est pas de la sécurité … Au lieu de récriminer après les autres, regardez juste la réalité (et vos 2 fils) ...

Bonsoir Comme je reconnais dans ce thread https://forum.pfsense.org/index.php?topic=107309.0mon besoin Je vais utiliser  le "Enable Pass-through MAC automatic addition with username"" en plus du reste

Petit retour, j'ai consulté pas mal de docs néanmoins je reste bloqué sur un point avec ma carte wifi, Lorsque je souhaite la passer en AP sur pfsense, j'ai un retour : urtw0 : expect 0xe6!! (0x66) urtw0 : HOSTAP mode not supported urtw0: <vendor 0="" 2="" 0x0bda="" product="" 0x8187,="" class="" 0,="" rev="" 2.00="" 1.00,="" addr="">on usbus1 urtw0: unknown RTL8187L type: 0x8000000 urtw0: rtl8187l rf rtl8225u hwrev none [1:33]  urtw0: HOSTAP mode not supported</vendor> Ma clef wifi est plug en USB dans une workstation vmwares, 802.11b/g Model : awus036h Si vous avez une suggestionn je suis preneur Bon week end cdlt EDIT: Citation d'un forum Freebsd en 2013 Note that the urtw(4)() driver it based on Realtek's Linux driver and at that moment it didn't support adhoc and hostap modes[1]. It's possible that some developer is interested in patch this requested feature in -HEAD directly.

Il s'agissait en fait d'un problème avec IKEv2, qui ne permet pas de faire fonctionner en même temps plusieurs tunnels P2. Passer en IKEv1 a résolu ce problème !

@phoenix916: j'ai résolu le problème en passant par un apu2 avec ssd 16go Je suis assez intéressé par ton feedback. Pas sur la partie package additionnel mais sur la partie "fonctionnement de l'apu2". Quel modèle/version ? GX-412TC ? (apu2c ou apu2d ?) BTW, où en as-tu trouvé ? Je me dis depuis quelques temps que cette plate-forme pourrait remplacer avantageusement mon N2730. C'est juste dommage qu'il n'y ait pas une ou deux interfaces réseau supplémentaires  ;D (ce type de design existe chez des fabricants asiatiques mais le tarif + l'import fait perdre tout son intérêt)

Toute mes excuses si je suis "saut'' Monsieur l’intelligent qui viens donner des leçons sans lui même comprendre ces leçons. Si tu pense que les question poser sur le forum son sans intérêt pour toi tu passe ton chemin. Pense tu avoir appris de toi même sans avoir reçu de quelqu’un? Pense ce que tu veux mais qu'une chose est sur avec ou sans toi le monde comptera toujours des gens indulgent avec des ''saut'' comme moi.  8 Cordialement.

Hello, Le problème venait en effet du fait que je ne rebootais pas le modem…  ::) :-[ Merci de votre aide, je vais continuer à m'amuser.

Salut salut On vous demande  https://forum.pfsense.org/index.php?topic=79600.0 !!!!!!!! A suivre dans votre cas !!!!! L'avez vous lu au moins ? preuve que non. L'appliquez vous  ? encore preuve que non. Manifestement vous partez sur de la virtualisation de pare-feu sans comprendre ni encore moins apprendre. Quel sont vos recherches ? Non cordialement.

:o Je ne comprends pas. Dans ta description, tu dis que tu fais passer tout le flux via le tunnel VPN. Que peut-il alors passer par ta connexion "internet" ? Lorsque le tunnel est établi, quelles sont les routes, sur le client ? TCP:FA, c'est de la fragmentation, potentiellement liée à un routage asymétrique non ?

Je ne sais pas quelle différence vous faites les un et les autres entre matériel grand public et le reste mais, dans ce qui se trouve facilement en magasin "grand public", il y a des équipements qui se configurent très simplement pour fonctionner soit en mode "routeur wifi", avec du LAN, "WAN" et Wifi, soit uniquement en WAP (wifi access point), certains supportant même le multi SID. C'est le cas chez Asus, Linksys et autre et beaucoup supportent des firmware alternatifs (pour les plus aventureux) qui vont offrir ces fonctionnalités. C'est pour cela que, sauf si il y a vraiment un problème avec le modèle dont nous discutons, je ne pense pas que le changement de hardware soit un point de passage obligatoire, ni que ça apporte un plus en terme de sécurité. Par contre, je suis d'accord que si l'objectif était de déployer, en entreprise, plusieurs points d'accès wifi, l'intérêt de choisir un matériel hybride n'existe pas et il est préférable de se simplifier la vie pour avoir une solution stable est maîtrisée. Et la simplicité est ici un atout en terme de sécurité, je suis d'accord  ;)  mais je ne pense pas que la question initiale soit dans ce cadre.

Merci de réagir. Avant tout je suis débutant dans l'utilisation de pfsense, donc pour ne pas dire de conneries s'il vous plaît expliquez moi ce que vous voulez dire quand vous dites @jdh: Etes vous sûr que FreeRadius fonctionne ? Non !

L'erreur est 'Patch Fetch Failed' : ce n'est donc pas le patch qui pose problème ! Vous avez une solution simple : Firefox fonctionne bien pour manager pfSense (=sans patch). (Je me refuse à utiliser Chrome depuis que je sais que Chrome transmet les mots de passe enregistrés à Google !) (C'est bien la peine d'utiliser un navigateur moderne pour que cela nécessite un patch !)

comme je le disais au dessus, avec AD, c'est a la fois beaucoup plus simple et beaucoup moins souple (raison pour laquelle c'est plus simple  ;D)  Tu n'as pas beaucoup de choix de ce que tu vas faire du point de vue LDAP. C'est en grande partie contraint pas la nature du domaine Windows. Donc tu utilises AD… comme il est  8) Si c'est juste pour de l'authentification, AD en mode LDAP est assez simple.

Ok merci chris4916. Tout est bien clair pour moi maintenant. Merci beaucoup d'avoir pris le temps et d'avoir eu la patience de me répondre.

Ok merci. Oui j'ai un seul lien isp avec un seul lien physique. J'ai aussi ouvert un ticket au support pour connaitre la marche à suivre dans mon cas. Je posterais le retour ici. J'avais cru comprendre sur un post que je ne retrouve pas qu'il fallait créer des IP alias dans le sous-réseau sur chaque pfsense : pfsense01 : IP ALIAS pour range 1 : X.X.56.97 IP ALIAS pour range 2 : X.X.57.97 Interface WAN : X.X.57.91 pfsense02 : IP ALIAS pour range 2 : X.X.56.97 IP ALIAS pour range 2: X.X.57.98 Interface WAN : X.X.57.92 VIP : CARP : X.X.56.98 (RANGE 1) CARP : X.X.57.99 (RANGE 2) CARP : X.X.57.90 (RANGE 3) IP ALIAS : X.X.56.99 (basé sur l'interface CARP X.X.56.98) IP ALIAS : X.X.57.100 (basé sur l'interface CARP X.X.57.99) IP ALIAS : X.X.57.89 (basé sur l'interface CARP X.X.57.90) …. .... etc pour toutes les autres vip ip alias.

'désactiver packet filter' : signifie qu'il n'y a plus AUCUN filtrage : c'est comme si aucune règles n'est active et tout est autorisé Bref c'est une solution totalement temporaire ! Visiblement, vous avez des lacunes le portail captif n'a rien à voir avec un proxy ! à partir d'une certaine taille, il est normal d'avoir un proxy dédié hors de pfSense (pour moi, pfSense avec Squid = PME <10 users !)

Oui on peut changer le port et on peut aussi l'astreindre à une mac adresse ou deux. Ou utiliser ssh pour le configurer. C'est l'inconvénient des systèmes de configuration par http. Habitué à configurer par console, j'ai été assez déstabilisé au début. Mais on y prends gout.