@chris4916:

mais qu'est-ce qui t'empêche juste de le tester ???

@Frantz:

connecter l'interface LAN du nouveau modem au "switch LAN" du modem ADSL déjà en place et ajouter une IP virtuelle (alias/CARP/proxy ARP/"autre") dans le sous-réseau du 3ème modem (192.168.x.0) :  **depuis le pfsense je peux pinguer la nouvelle IP comme le modem, depuis le LAN je peux pinguer la nouvelle IP mais pas le modem, et si j'ajoute une passerelle avec l'IP du modem (comme pour les autres connexions), elle est signalée "down" par pfsense. configurer sur cette IP virtuelle un NAT outbound en copiant les règles automatiques : suivant si les nouvelles règles NAT sont en 1er ou dernier, le LAN pingue le nouveau modem ou l'ancien, et je n'ai pas vu de possibilité d'aiguiller le trafic par règle firewall vers l'un ou l'autre.**

Testé sur le réseau "prod" comme sur config de test, résultats identiques.

@chris4916:

Le design de test qui me semble le plus simple:

tu configures les 2 box pour avoir une IP interne (coté LAN) dans 2 subnets différents. tu connectes ces box à un switch commun auquel tu connectes également pfSense sur lequel tu as configuré 2 IP (une dans chaque subnet des box) sur la même interface physique. tu t'assures que tu arrives, depuis pfSense, à parler à chaque box…

ensuite, il risque de se passer des trucs pas très bien au niveau des routes par défaut ;-) mais déjà le test ci-dessu devrait te donner une idée de la faisabilité. Si ça ne marche pas, il faut faire des VLAN.

Depuis pfsense, tout va bien (enfin tout, les pings, hein), depuis le LAN non, on est donc une 2ème fois parfaitement d'accord "il risque de se passer des trucs pas très bien au niveau des routes par défaut ;-)"  :)

@chris4916:

Est-ce que ça vaut bien le coup avec une ligne à 1Mb/s ?  ::)

En download on arriverait à 4 + 1 + 4, en upload 0,5 + 1 + 0,5… pour 20 à 40 utilisateurs simultannés... en répartissant bien, ça peut devenir le grand luxe ::)

Bon, si je résume :

connecter un 2ème modem sur une même interface physique d'un pfsense à l'aide d'une IP virtuelle (IP alias), en théorie ça pourrait marcher d'après les (nombreuses) docs trouvées et l'avis de Chris, mais en pratique je n'ai trouvé personne qui ait testé, et mes (longs) tests sont négatifs, donc j'oublie. la solution conseillée est bien d'intercaler un switch entre le pfsense et les modems et de faire du vlan, merci pour la confirmation.

Merci à jdh et chris4916 pour leurs avis.
Pour Tatave, je ne peux que lui conseiller de consulter les "Règles de la section française", qu'il trouvera là : https://forum.pfsense.org/index.php?topic=9708.0 et où il lira "Veuillez veillez [sic] à rester polis et courtois.", l'agression gratuite ne me semble pas conforme à cette règle  ;D

Bon week-end à tous (sans exception) !

Merci pour cette réponse constructive. Non effectivement je ne savais pas.

On met en place un firewall quand on a un objectif de sécurité.

Alors quelle sécurité, si on le fait sans AUCUNE recherche active sur la mise en place, le fonctionnement, en commençant par ne pas lire (basiquement) la doc ?

Votre fil, c'est juste 'je m'amuse, je bricole avec mon pc', mais ce n'est pas de la sécurité …

Au lieu de récriminer après les autres, regardez juste la réalité (et vos 2 fils) ...

Bonsoir

Comme je reconnais dans ce thread https://forum.pfsense.org/index.php?topic=107309.0mon besoin

Je vais utiliser  le "Enable Pass-through MAC automatic addition with username"" en plus du reste

Petit retour, j'ai consulté pas mal de docs néanmoins je reste bloqué sur un point avec ma carte wifi,

Lorsque je souhaite la passer en AP sur pfsense, j'ai un retour :

urtw0 : expect 0xe6!! (0x66)
urtw0 : HOSTAP mode not supported

urtw0: <vendor 0="" 2="" 0x0bda="" product="" 0x8187,="" class="" 0,="" rev="" 2.00="" 1.00,="" addr="">on usbus1
urtw0: unknown RTL8187L type: 0x8000000
urtw0: rtl8187l rf rtl8225u hwrev none

[1:33] 
urtw0: HOSTAP mode not supported</vendor>

Ma clef wifi est plug en USB dans une workstation vmwares, 802.11b/g Model : awus036h

Si vous avez une suggestionn je suis preneur

Bon week end

cdlt

EDIT:
Citation d'un forum Freebsd en 2013

Note that the urtw(4)() driver it based on Realtek's Linux driver and at that moment it didn't support adhoc and hostap modes[1]. It's possible that some developer is interested in patch this requested feature in -HEAD directly.

Il s'agissait en fait d'un problème avec IKEv2, qui ne permet pas de faire fonctionner en même temps plusieurs tunnels P2.
Passer en IKEv1 a résolu ce problème !

@phoenix916:

j'ai résolu le problème en passant par un apu2 avec ssd 16go

Je suis assez intéressé par ton feedback. Pas sur la partie package additionnel mais sur la partie "fonctionnement de l'apu2".
Quel modèle/version ? GX-412TC ? (apu2c ou apu2d ?)

BTW, où en as-tu trouvé ?

Je me dis depuis quelques temps que cette plate-forme pourrait remplacer avantageusement mon N2730. C'est juste dommage qu'il n'y ait pas une ou deux interfaces réseau supplémentaires  ;D (ce type de design existe chez des fabricants asiatiques mais le tarif + l'import fait perdre tout son intérêt)

Toute mes excuses si je suis "saut'' Monsieur l’intelligent qui viens donner des leçons sans lui même comprendre ces leçons. Si tu pense que les question poser sur le forum son sans intérêt pour toi tu passe ton chemin. Pense tu avoir appris de toi même sans avoir reçu de quelqu’un? Pense ce que tu veux mais qu'une chose est sur avec ou sans toi le monde comptera toujours des gens indulgent avec des ''saut'' comme moi.  8
Cordialement.

Hello,

Le problème venait en effet du fait que je ne rebootais pas le modem…  ::) :-[
Merci de votre aide, je vais continuer à m'amuser.

Salut salut

On vous demande  https://forum.pfsense.org/index.php?topic=79600.0 !!!!!!!! A suivre dans votre cas !!!!!

L'avez vous lu au moins ? preuve que non.

L'appliquez vous  ? encore preuve que non.

Manifestement vous partez sur de la virtualisation de pare-feu sans comprendre ni encore moins apprendre.

Quel sont vos recherches ?

Non cordialement.

:o
Je ne comprends pas. Dans ta description, tu dis que tu fais passer tout le flux via le tunnel VPN.
Que peut-il alors passer par ta connexion "internet" ?
Lorsque le tunnel est établi, quelles sont les routes, sur le client ?

TCP:FA, c'est de la fragmentation, potentiellement liée à un routage asymétrique non ?

Je ne sais pas quelle différence vous faites les un et les autres entre matériel grand public et le reste mais, dans ce qui se trouve facilement en magasin "grand public", il y a des équipements qui se configurent très simplement pour fonctionner soit en mode "routeur wifi", avec du LAN, "WAN" et Wifi, soit uniquement en WAP (wifi access point), certains supportant même le multi SID.
C'est le cas chez Asus, Linksys et autre et beaucoup supportent des firmware alternatifs (pour les plus aventureux) qui vont offrir ces fonctionnalités.

C'est pour cela que, sauf si il y a vraiment un problème avec le modèle dont nous discutons, je ne pense pas que le changement de hardware soit un point de passage obligatoire, ni que ça apporte un plus en terme de sécurité.

Par contre, je suis d'accord que si l'objectif était de déployer, en entreprise, plusieurs points d'accès wifi, l'intérêt de choisir un matériel hybride n'existe pas et il est préférable de se simplifier la vie pour avoir une solution stable est maîtrisée. Et la simplicité est ici un atout en terme de sécurité, je suis d'accord  ;)  mais je ne pense pas que la question initiale soit dans ce cadre.

Merci de réagir.

Avant tout je suis débutant dans l'utilisation de pfsense, donc pour ne pas dire de conneries s'il vous plaît expliquez moi ce que vous voulez dire quand vous dites
@jdh:

Etes vous sûr que FreeRadius fonctionne ? Non !

L'erreur est 'Patch Fetch Failed' : ce n'est donc pas le patch qui pose problème !

Vous avez une solution simple : Firefox fonctionne bien pour manager pfSense (=sans patch).
(Je me refuse à utiliser Chrome depuis que je sais que Chrome transmet les mots de passe enregistrés à Google !)

(C'est bien la peine d'utiliser un navigateur moderne pour que cela nécessite un patch !)

comme je le disais au dessus, avec AD, c'est a la fois beaucoup plus simple et beaucoup moins souple (raison pour laquelle c'est plus simple  ;D)  Tu n'as pas beaucoup de choix de ce que tu vas faire du point de vue LDAP. C'est en grande partie contraint pas la nature du domaine Windows.
Donc tu utilises AD… comme il est  8)

Si c'est juste pour de l'authentification, AD en mode LDAP est assez simple.

Ok merci chris4916.

Tout est bien clair pour moi maintenant.

Merci beaucoup d'avoir pris le temps et d'avoir eu la patience de me répondre.

Ok merci.

Oui j'ai un seul lien isp avec un seul lien physique.
J'ai aussi ouvert un ticket au support pour connaitre la marche à suivre dans mon cas. Je posterais le retour ici.

J'avais cru comprendre sur un post que je ne retrouve pas qu'il fallait créer des IP alias dans le sous-réseau sur chaque pfsense :

pfsense01 :

IP ALIAS pour range 1 : X.X.56.97
IP ALIAS pour range 2 : X.X.57.97
Interface WAN : X.X.57.91

pfsense02 :

IP ALIAS pour range 2 : X.X.56.97
IP ALIAS pour range 2: X.X.57.98
Interface WAN : X.X.57.92

VIP :

CARP : X.X.56.98 (RANGE 1)
CARP : X.X.57.99 (RANGE 2)
CARP : X.X.57.90 (RANGE 3)

IP ALIAS : X.X.56.99 (basé sur l'interface CARP X.X.56.98)
IP ALIAS : X.X.57.100 (basé sur l'interface CARP X.X.57.99)
IP ALIAS : X.X.57.89 (basé sur l'interface CARP X.X.57.90)
….
....
etc pour toutes les autres vip ip alias.

'désactiver packet filter' : signifie qu'il n'y a plus AUCUN filtrage : c'est comme si aucune règles n'est active et tout est autorisé

Bref c'est une solution totalement temporaire !

Visiblement, vous avez des lacunes

le portail captif n'a rien à voir avec un proxy ! à partir d'une certaine taille, il est normal d'avoir un proxy dédié hors de pfSense (pour moi, pfSense avec Squid = PME <10 users !)

Oui on peut changer le port et on peut aussi l'astreindre à une mac adresse ou deux.
Ou utiliser ssh pour le configurer.
C'est l'inconvénient des systèmes de configuration par http.
Habitué à configurer par console, j'ai été assez déstabilisé au début. Mais on y prends gout.

j'avais bien compris que cela ne concernait plus pfsense et j'ai déjà entrepris mes recherches ;)
Je ne demandais pas votre aide pour ce point.

Merci pour l'aide apporté précédemment
Yoan

Ce fil là peut t'intéresser  ;)
https://forum.pfsense.org/index.php?topic=106444.30