Dans une une situtation small office, il est courant de voir ce type de boitier sachant tout faire. Soyons honnête, dans ce genre de situation c'est la meilleurs solution en terme de prix/perf/fonctionnalités.
Mes propos sont à retenir sur des infrastructures de taille significative et sur les projets ou le budget alloué à la sécurité permet de mettre en place une solution issue d'une réflexion profonde sur les flux et leur contrôle..
Pour ma part j'intègre également des solutions Juniper…qui réalisent la fonction IDS/IPS sur la partie firewall, dans ce cas, je limite au stricte nécessaire les analyses requises.

Boujour Alexking,

Pour moi une règle de filtrage est présente stipulant que ton LAN peut faire du 80 vers l'extérieur. Vérifie si une telle règle existe, bloque les ports 80 et 443… Il faut créer une règle prioritaire permettant à ton LAN de faire du 8080 (EX de port proxy HTTP) sur l'interface de ton pfSense, soit ta LAN Address.
pfSense fera office de proxy pour ton LAN pour les requêtes Web et les restituera à tes postes clients. Si IE ou FF n'a pas de proxy renseigné et ton port 80 fermé ton LAN ne sortira pas, ce qui est bon signe et normal... Indique l'adresse de ton proxy (LAN Address pfSense) et là tu devrais avoir du Net... Le port UDP 53 (DNS) peut être utile pour tes machines du réseau interne il faut également le permettre vers l'extérieur...

Il faut simplement faire un pool failover. si la permiere ligne tombe alors utiliser la deuxieme…puis la troisieme etc.
L'option sticky fonctionne plus ou moins en fonction du protocole effectivement.

Bonjour,

Je en suis pas sûr que cela va avancer beaucoup de monde mais voici la petite histoire :

J'ai fait mes tests avec sur mon LAN une SME qui trainait là….. adresse de mon LAN : 192.168.1.0. Je me connectais en VPN via PFsense avec une adresse du type 192.168.2.0. Il faut déclarer ce second réseau sur la SME sinon le serveur ne réponds pas au client VPN. cdfd.

Pour info une SME n'est pas une maladie sexuellement transmissible mais une distrib Linux tout en un qui remplace un Windows SBS on va dire, pour faire court.

Adresse SME :

http://smeserver.fr/

Et voilà.

Nusa

Je profite de ce fil très clair :

la question est posée de façon complète (on sent que c'est bien préparé), la réponse est directe et simple.

L'alternative à un tunnel IPSEC est le tunnel OpenVPN (site-à-site). (cas de livebox non transformable en modem)

(J'exclu le tunnel PPTP largement obsolète et pas adapté à un site-à-site).

Qu'en est-il de l'affichage du statut du VPN (monté/tombé) ?
Qu'en est-il du maintien de la connexion ?
Qu'en est-il des fonctions de relance ?

Le mieux serait de décrire précisément le besoin.

Ce que je crois avoir compris : l'objectif est de donner un accès wifi de type portal à des nomades (des usagers de la mairie avec ordi portables ?).

Ce que je ne sais pas :

ont-il besoin d'accéder à des ressources internes à la mairie ? ne doivent-ils accéder QU'A ces ressources internes ?

Moi je verrais plutôt un accès distinct (avec son ADSL propre), un pfsense avec le portal activé, et une page automatique permettant d'accéder à des serveurs public en dmz.

Voire une "dmz" qui relirait au réseau physique de la mairie (avec des règles FORTES). (ATTENTION dans ce cas ne SURTOUT pas fournir le dns de la mairie !)

OK merci pour les infos.

Nusa

nb : Je me demande si tout compte fais je ne vais pas repartir sur du propre…..

Bonsoir;

Pour information : J'ai une carte alix 2D3 (500 Mhz et 256 Mo de RAM) une CF normale (ce qui n'est pas bien mais je fais juste des tests) et j'ai installé squid mais pas squidguard. Cela fonctionne parfaitement.

Petite question : où peut-on acheter des microdrives ? Je n'en trouve pas seulement des CF.

Parfait, merci beaucoup.

Nusa

Exact le 140 egalement…. je l'avais oublié celui là  :D :D :D

Pour voir ce qui ce passe, il suffit de regarder dans les logs !
Status => System logs => System.

En plus, j'utilise un logger (Kiwi) sur un des mes PC's 'LAN' pour logger en permanence les événements de pfSense. C'est quasi indispensable tout façon, mon pfSense n'a pas de clavier, ni écran depuis des années déjà - c'est un boite dans un armoire informatique)

Il faut lire cette liste de BAS (événement le plus vieux) vers le HAUT (plus récent) !
J'ai coupé dans mes logs la séquence qui montre la connexion par PPPOE (mon FAI est Orange - je n'utilise  PAS un LiveBox mais un Speedtouch 540 en mode Bridge ~ PPPOE)

…..

Tout est UP de nouveau - le tout prend env. 5 secondes.

mpd: [pppoe] IFACE: Up event
mpd: [pppoe] exec: /usr/local/sbin/ppp-linkup ng0 inet 86.201.236.45 86.201.236.1 fti/xxxxxx dns1 80.10.246.130 dns2 81.253.149.10
mpd: [pppoe] exec: /sbin/route add 0.0.0.0 86.201.236.1
mpd: [pppoe] exec: /sbin/route add 86.201.236.45 -iface lo0
mpd: [pppoe] exec: /sbin/ifconfig ng0 86.201.236.45 86.201.236.1 netmask 0xffffffff -link0
mpd: [pppoe] setting interface ng0 MTU to 1492 bytes
mpd: [pppoe] IFACE: Up event
mpd:  86.201.236.45 -> 86.201.236.1
mpd: [pppoe] IPCP: LayerUp
mpd: [pppoe] IPCP: state change Ack-Rcvd –> Opened
mpd:  IPADDR 86.201.236.1
mpd: [pppoe] IPCP: SendConfigAck #15
mpd:    86.201.236.1 is OK
mpd:  IPADDR 86.201.236.1
mpd: [pppoe] IPCP: rec'd Configure Request #15 link 0 (Ack-Rcvd)
mpd: [pppoe] IPCP: state change Req-Sent –> Ack-Rcvd
mpd:  SECDNS 81.253.149.10
mpd:  PRIDNS 80.10.246.130
mpd:  IPADDR 86.201.236.45
mpd: [pppoe] IPCP: rec'd Configure Ack #8 link 0 (Req-Sent)
mpd:  SECDNS 81.253.149.10
mpd:  PRIDNS 80.10.246.130
mpd:  IPADDR 86.201.236.45
mpd: [pppoe] IPCP: SendConfigReq #8
mpd:  SECDNS 81.253.149.10
mpd:  PRIDNS 80.10.246.130
mpd:    86.201.236.45 is OK
mpd:  IPADDR 86.201.236.45
mpd: [pppoe] IPCP: rec'd Configure Nak #7 link 0 (Req-Sent)
mpd:  SECDNS 0.0.0.0
mpd:  PRIDNS 0.0.0.0
mpd:  IPADDR 0.0.0.0
mpd: [pppoe] IPCP: SendConfigReq #7
mpd:  COMPPROTO VJCOMP, 16 comp. channels, no comp-cid
mpd: [pppoe] IPCP: rec'd Configure Reject #6 link 0 (Req-Sent)
mpd:  SECDNS 0.0.0.0
mpd:  PRIDNS 0.0.0.0
mpd:  COMPPROTO VJCOMP, 16 comp. channels, no comp-cid
mpd:  IPADDR 0.0.0.0
mpd: [pppoe] IPCP: SendConfigReq #6
mpd: [pppoe] error writing len 32 frame to bypass: Network is down
mpd:  SECDNS 0.0.0.0
mpd:  PRIDNS 0.0.0.0
mpd:  COMPPROTO VJCOMP, 16 comp. channels, no comp-cid
mpd:  IPADDR 0.0.0.0
mpd: [pppoe] IPCP: SendConfigReq #5
mpd: [pppoe] IPCP: state change Starting –> Req-Sent
mpd: [pppoe] IPCP: Up event
mpd: [pppoe] up: 1 link, total bandwidth 64000 bps
mpd: [pppoe] setting interface ng0 MTU to 1492 bytes
mpd: [pppoe] LCP: phase shift AUTHENTICATE –> NETWORK
mpd: [pppoe] LCP: authorization successful
mpd:  MESG: CHAP authentication success, unit 8963
mpd: [pppoe] CHAP: rec'd SUCCESS #1
mpd: [pppoe] CHAP: sending RESPONSE
mpd:  Using authname "fti/xxxxxx"
mpd:  Name: "BSBPN168"
mpd: [pppoe] CHAP: rec'd CHALLENGE #1
mpd: [pppoe] LCP: LayerUp
mpd: [pppoe] LCP: auth: peer wants CHAP, I want nothing
mpd: [pppoe] LCP: phase shift ESTABLISH –> AUTHENTICATE
mpd: [pppoe] LCP: state change Ack-Sent –> Opened
mpd:  MAGICNUM 714f6e00
mpd:  MRU 1492
mpd: [pppoe] LCP: rec'd Configure Ack #3 link 0 (Ack-Sent)
mpd: [pppoe] LCP: state change Req-Sent –> Ack-Sent
mpd:  MAGICNUM 16323199
mpd:  AUTHPROTO CHAP MD5
mpd:  MRU 1492
mpd: [pppoe] LCP: SendConfigAck #171
mpd:  MAGICNUM 16323199
mpd:  AUTHPROTO CHAP MD5
mpd:  MRU 1492
mpd: [pppoe] LCP: rec'd Configure Request #171 link 0 (Req-Sent)
mpd:  MAGICNUM 714f6e00
mpd:  MRU 1492
mpd: [pppoe] LCP: SendConfigReq #3
mpd: [pppoe] LCP: phase shift DEAD –> ESTABLISH
mpd: [pppoe] LCP: state change Starting –> Req-Sent
mpd: [pppoe] LCP: Up event
mpd: [pppoe] link: origination is local
mpd: [pppoe] link: UP event
mpd: [pppoe] device is now in state UP
mpd: [pppoe] device: UP event in state OPENING
mpd: [pppoe] PPPoE connection successful
mpd: [pppoe] rec'd ACNAME "BSBOR158-B2234340702746"
mpd: [pppoe] device is now in state OPENING
mpd: [pppoe] device: OPEN event in state DOWN
mpd: [pppoe] LCP: LayerStart
mpd: [pppoe] LCP: state change Initial –> Starting
mpd: [pppoe] LCP: Open event
mpd: [pppoe] link: OPEN event
mpd: [pppoe] opening link "pppoe"…
mpd: [pppoe] device is now in state DOWN
mpd: [pppoe] device: CLOSE event in state DOWN
mpd: [pppoe] LCP: LayerFinish
mpd: [pppoe] LCP: state change Starting –> Initial
mpd: [pppoe] LCP: Close event
mpd: [pppoe] link: CLOSE event
mpd: [pppoe] closing link "pppoe"…
mpd: [pppoe] device is now in state DOWN
mpd: [pppoe] pausing 6 seconds before open

Tout est down : 6 sec de pause.

mpd: [pppoe] device: OPEN event in state DOWN
mpd: [pppoe] LCP: phase shift TERMINATE –> DEAD
mpd: [pppoe] LCP: state change Stopping –> Starting
mpd: [pppoe] LCP: Down event
mpd: [pppoe] link: DOWN event
mpd: [pppoe] device is now in state DOWN
mpd: [pppoe] device: DOWN event in state UP
mpd: [pppoe] PPPoE connection closed
mpd: [pppoe] LCP: LayerDown
mpd: [pppoe] LCP: SendTerminateAck #2
mpd: [pppoe] exec: /sbin/ifconfig ng0 down delete -link0
mpd: [pppoe] exec: /sbin/route delete 86.201.109.188 -iface lo0
mpd: [pppoe] exec: /sbin/route delete 0.0.0.0 86.201.109.1
mpd: [pppoe] IFACE: Down event
mpd: [pppoe] IPCP: LayerDown
mpd: [pppoe] IPCP: state change Opened –> Starting
mpd: [pppoe] IPCP: Down event
mpd: [pppoe] up: 0 links, total bandwidth 9600 bps
mpd: [pppoe] setting interface ng0 MTU to 1500 bytes
mpd: [pppoe] LCP: phase shift NETWORK –> TERMINATE
mpd: [pppoe] LCP: state change Opened –> Stopping
mpd: [pppoe] LCP: rec'd Terminate Request #6 link 0 (Opened)

La connection existe, mon FAI m'informe qu'il va couper le PPPOE

….

C'est beau tout ça non ?

Pour tester si ton modem est bien dans le bon mode, c'est très simple !
Il suffit de tester avec un PC Windows, car Windows sais faire le PPPOE aussi tout seul !

[Mon exemple ici est valable pour un XP Pro - Home est la même manip je pense, un équivalent existe pour Vista, MAC, etc]

Branche donc le PC directement sur le modem.
Et on y go : Démarrer => Connexions => Afficher toutes les connexions
Créer une nouvelle connexion.
Établir une nouvelle connexion.
Configurer une nouvelle connexion
Se connecter en utilisent une connexion large bande qui nécessite un nom d'utilisateur et un mot de passe
Donne un nom au Hazard - ie "Mobistar" sera ok - valide
Donne nom utilisateur et mot de passe (pour toi xxxx@mobistar et xxx)
Laisse les deux options coché.
Valide.
T'est connecté !! [ SI ton modem est bien en mode PPPOE et que ton FAI supporte cette façon de ce connecter]

"tes carte" ?

Si c'est une carte réseau, et bien rien de grave, laisse le.
Carte mère : normallement, FreeBSD le reconnais tout ce que est essentielle pour le démarrage, mais je peut m'imaginer qu'il existe des chipset tellement étrange que uniquement Windows avec un gestionnaire adapté arrive à le faire fonctionner…. reste toujours loin de ce genre des PC's. C'est une perte de temps dès l'achat.
Le prix d'une carte réseau PCI "pas cher" (merdique en performances ou autre) fonctionnera.
J'ai même un pfSense depuis plus de trois ans avec uniquement 4 cartes Realtek (WAN, LAN, interface Portail et DMZ) : ça marche - et je te jure, il bosse dur.

Coté IDE (pour le DD ou CD) : 99,99 % fonctionne. Je présume que le SATA va bien aussi.
Carte écran : évite les genre GTX 295 quand même, car légèrement inutile  ;)
Carte son : si dans le chipset : désactive le, sinon, enlève le.
Ce qui est trop top avec pfSense : il va bien avec des PC's anciennes (env 3 à 5 ans)
Coté clavier : même les USB son reconnues.

Ne commence pas avec des cartes genre clé USB wifi et tout autre faux matériel - branche ton carte interface WAN à un modem/routeur - de préférence en mode PPPOE - c'est plus simple.
Coté LAN : un switch d'abord et à partir de la vers tout tes PC's interne.
Si ta une 3ieme NIC, : pareil : switch et raccorde tout sur le switch en suite.

Bonjour
Merci ca marche nickel,je continu des test en interne :)

Le fonctionnement d'un portail captif est plus proche du 802.1x que du proxy (mandataire, ce que le portail captif n'est pas).
Si cela peut vous aider à vous faire une idée :
http://cric.grenoble.cnrs.fr/authentification/#chap5_a

Non  je ne fais pas payer c'est un service

Mais d abord je test pour voir si et comment ca fonctionne apres des que je vois bien le truc je verrouille

je regarde ca plus pret
merci encore :)

Si vous ne voyez pas la différence entre un pont et un routeur, c'est ennuyeux. C'est quand même assez fondamental.

Je suis tout a fait d'accord mais c'est une demande faite par le reponsable info. A priori, c'est en cas de probleme sur pfsense, il suffit de restaurer une sauvegarde de la configuration du routeur pour que ce dernier prenne le relais et protege le LAN avec son firewall integre.

C'est une mauvaise solution à un problème réel. Dans ce cas prévoyez un cluster Pfsense pour gérer proprement la redondance.

Vérifiez bien votre connectique je ne serai pas surpris d'une boucle (pas de hub ou switch commun, pas d'installation en vm avec une seule interface physique ou je ne sais quelle bêtise de ce genre, …). J'utilise assez Pfsense pour répondre de sa fiabilité. Il y a une erreur quelque part dans votre configuration. Faites des traces route, des captures de paquets, activez les logs sur toutes vos règles, observez les logs générés.

Merci beaucoup, c'est tres clair maintenant