Comme déjà dit pptp est à proscrire. Il utilise un algo "cassé" (RC4) et de plus, pour la version Microsoft, il est mal implémenté. Un article assez célèbre de Bruce Schneier expliquait cela il y a une quinzaine d'années.

Quels tutos avez vous suivi ? (question très habituelle !)

Si on suit la doc pfsense (google + "pfsense openvpn site 2 site" + choix "shared key"), il n'y a guère de raison d'échouer …
Même si certaines questions élémentaires sont vite citées !

Le plan c'est :

réglage d'un serveur réglage d'un client (en accord) firewall > Rules > Lan : accept sur le port/proto choisi pour WAN address firewall > Rules > OpenVPN : règle minimale : accept source=any dest=LAN subnet

Ce qui est super c'est Statut > OpenVpn qui indique, sur l'un et l'autre le statut des lien (date début, volume entrant/sortant).

Je viens de le faire hier pour un nouveau site : cela ne prend pas beaucoup de temps ...

@titofe:

Si ton problème est seulement lié à la carte réseau intégrer, rien ne t'empêche de désactiver et d'en rajouter une autre en supplément, hormis le manque de place bien sûr.

C'est exactement ce que j'ai fait, et ça a fonctionné du premier coup. L'ennui est que cette machine ne dispose que de deux ports pci, et qu'en désactivant la carte intégrée, je me trouve dans l'incapacité de gérer 1 WAN + 2 LAN comme conseillait jdh (donc manque de place, comme tu le dis)

@jdh:

Internet <-> Neufbox <-> (Wan) pfSense (Lan) <-> réseau privé : switch + ap wifi                                       (Guest) <-> ap wifi

Dommage, ce petit Dell optiplex 740 passif était bien compact et silencieux… Il va falloir que je trouve ou une carte mère plus généreuse, ou carrément un autre pc d'occasion, car je doute qu'ajouter une clé usb wifi en tant que point d'accès soit vraiment efficace. Ou je me trompe ?

C'était bien un problème avec la même adresse ip pour les deux vpn. Ce n'était ni un bug, ni un problème de compréhension mais un problème d’inattention :(

Merci pour l'aide.

Tous ceux qui ont déja fait un ''restore'' font des saves :)
Cet outils est d'une valeur inestimable !!

Mon hardware perso à claquer 2* le mois dernier !(vieux desktop de récup) Que d'heures économiser grace à cet outil !

Je confirme les propos de JDH (choix 4 sur menu console)

Vu votre petit boitier (j'en ai plein en prod) a vous le cable serie F/F et putty :)

salut tous
Je vois des lectures et je ne vois aucune réponse!!!!!
Merci de penser avec moi :-\

Problème résolu. Le problème venait de l'adaptateur DB9.

Soit on veut être connecté via Wifi et être "dans le même réseau" que le LAN,
soit on veut sécuriser le Wifi par rapport au LAN.

Dans le cas 1, la solution simple est celle exposée par ccnet : le point d'accès est connecté au LAN.
Dans le cas 2, le point d'accès est connecté à une carte réseau supplémentaire du pfSense, interface nommée WIFI, et un numéro de réseau différent est alors très logique.

Où est la difficulté ou le problème ?

AMHA ce n'est ni plus simple ni plus naturel d'avoir le même réseau sur 2 interfaces distinctes.

Try it/keep it

Ccnet oublie (ne cite pas) que, pour pfSense, il y a 2 contraintes supplémentaires : pas de serveur PPTP et de client derrière le même firewall (même ip), pas 2 clients vers des serveurs différents via le même firewall (même ip). Ca commence à faire comme défauts …

Concernant OpenVPN, l'option "Redirect Gateway" n'est pas cochée par défaut.
Je pense que c'est préférable (de lapin).
Parce que, passer par le site distant, dans une liaison cryptée, ralenti nettement la navigation, qui n'est pas toujours super "professionnelle" en plus.
Mais c'est vous qui voyez ...
En fait, le seul intérêt est de continuer à filtrer la navigation AMHA.

(Avec Redirect Gateway, pas de NAT à faire : pfSense reçoit du trafic de la range distante VPN et NAT vers le Wan comme le Lan, de la même façon !)

@astonvilla:

apparait un petit disclaimer et un bouton accepter et ensuite c'est parti pour surfer. Est-ce jouable de mettre cela en place avec PFsense ?

C'est possible regarde du côté de "vouchers" dans la partie "captive portal" ;)

@astonvilla:

2 eme question : etant donne qu'il s'agit d'un ligne ADSL, j'aimerai que chaque client qui se connecter n'ait a sa disposition que 128/kos . Meme chose j'imagine que c'est possible mais comment ?

Idem tu peux le fixer, pour ma part ayant une une FO, j'ai limité à 2Mb/s symétrique.
Accessoirement pense à bloquer les ports en entrée pour ne laisser passer que le trafic que tu souhaite :p

Oui une petite confusion de ma part sur ce point :)

sinon pour la règles DNS, il me le fesait pas vraiment seul
j´ai du valider la commande
Do not use the DNS Forwarder as a DNS server for the firewall
et j´ai rentre les dns 8.8.8.8 et 8.8.4.4

Suite a cela la navigation web fonctionne

Bonjour,

C'est parfait avec xca ça a marché.

Merci.

@baalserv:

sur le principe, il serai préférable que pfsense soit le routeur principal et qu'il gère les 2 lan + le ou les Wan (camping/admin et public/wifi)

Ce serait tellement plus simple, plus clair, plus sûr !

Une façon assez élémentaire (et basée sur la réflexion) :

Quand on sait où Squid stocke les url, on regarde le fichier "en temps réel" (=par un "tail -f")

Sous Debian, Squid stocke dans /var/log/squid/access.log.
Sous pfSense, cela est configuré dans l'interface web du package !

@ccnet:

Mais j'aimerais savoir quels sites mes utilisateurs visites.

Je comprend bien la nature de votre préoccupation. Vous devez savoir que ceci est totalement en infraction avec la législation française relative à la protection des données à caractère personnel. Si l'entreprise est tenue de stocker les logs en question (accès des utilisateurs authentifiés), elle est aussi tenue d'en assurer la sécurité, c'est à dire l'intégrité et la non divulgation sauf dans des cas bien précis comme la demande de l'utilisateur concerné, exclusivement pour ses accès, ou encore la requête d'une autorité judiciaire. La seule chose que vous puissiez consulter sont des statistiques en volume.
Par ailleurs la collecte de ces données implique que préalablement vous ayez formellement porter à la connaissance des utilisateurs l'existence de ce dispositif. Je vous encourage à vous enseigner plus avant pour éviter de sevère déconvenues avec un utilisateur qui se montrerait chatouilleux sur ses droits.

Merci , mais j'ai bien pris conscience de cela , avant de commencer le projet.

Dans LightSquid, existe t'il un moyen de connaitre le nom des utilisateurs, et non qu'uniquement leurs adresses IP ?

Presque tout est dit par baalserv …

Périmètre : un siège et 20 écoles (=sites distants)
Sujet : filtrer la navigation sur chaque école (avec blacklists)
(Supposition : chaque école est équipé d'une ligne ADSL)

2 possibilités :

chaque école est équipée d'un proxy (et d'un firewall) chaque école est équipée d'un firewall qui fait vpn avec le site central sur lequel il y a un proxy (et le flux navigation passe toujours par le proxy central)

Le boitier indiqué est parfait comme firewall/vpn pour chaque école (cas 2) mais ne convient pas du tout pour le cas 1 (n'a pas la mémoire et le disque nécessaire à un proxy).
Le cas 2 sera forcément limitant en performance sauf à disposer d'une (très) grosse ligne en central (une SDSL 4M au minimum par exemple).
Le cas 1 nécessite autant de PC puissants que d'écoles ! Mais le trafic sera écoulé localement (sans trop d'impact sur le vpn siège <-> écoles).

Le meilleur équipement, pour le cas 1, est un PC assez puissant (cpu > 2,4 Ghz et mémoire 2 Go) qui utilise pfSense (comme firewall) et les packages Squid+SquidGuard+LightSquid (comme proxy).

La mise au point de ce système nécessite quelques jours de boulot : install et config de 21 machines, ça n'est pas rien ...

NB : normalement on n'installe pas un proxy sur un firewall à partir d'une certaine dimension : là, on peut considérer que l'usage n'est pas intensif ...

Ce qui entre dans la balance :

un siège et 20 écoles (=sites distants)

Bonjour,

Je suis tout à fait d'accord avec toi, concernant la durée de vie avec squid. Nous utilisons Pfsense dans le but de fournir uniquement pour un portail captif client. Squid nous permet justement d'avoir les informations concernant l'IP et les sites visité par cette IP.

Concernant les partitions :

Filesystem              Type      Size    Used  Avail Capacity  Mounted on
/dev/ufs/pfsense1    ufs      443M    238M    169M    58%    /
devfs                    devfs    1.0K    1.0K      0B  100%    /dev
/dev/md0              ufs      38M    72K    35M    0%    /tmp
/dev/md1              ufs      58M    15M    38M    29%    /var
/dev/ufs/cf            ufs      49M    362K    45M    1%    /cf
devfs                  devfs    1.0K    1.0K      0B  100%    /var/dhcpd/dev

Cordialement

Bonjour tout le monde,

J'ai oublié de vous remercier, c'est fait ;)

Je vais regarder cela de plus près dans les jours à venir.

Bonne soirée.

1 heure de recherche dans ce forum (en français ou en anglais) ne serait pas du tout perdue, bien au contraire !

Il n'y a même pas besoin d'aller trouver un blog qui en parle …

Maintenant, il faut se prendre par la main ...