@lunmorg:

Bonjour,

Voici ma conf:

2 serveurs Pfsense: 1 qui me fait du load balancing et un qui va m'optimiser mes réseaux.
Mon premier pc est connecté avec deux cartes réseaux (WAN et optWAN2) puis sur le LAN
c'est mon second Pfsense qui y est connecté.

Un schéma serait bienvenu. Je ne comprend pas.

Je ne sais pas si de base l'interface WAN ( du second serveur) laisse tout passer, le LAN bloque tout.

Sans configuration lan comme wan n'autorise aucun trafic. C'est indiqué lors que vous accédez aux règles d'une interface si, justement aucune règle n'a été insérée.
Pour Wan, si vous n'avez pas de serveur interne devant être accessible depuis internet il n'est pas nécessaire d'ajouter de règle.
Dans le cas contraire il faut une règle et un transfert de port.

RE RE BONJOUR, ;D

Voila mon nouveau problème :

Tout fonctionne parfaitement avec firefox que ce soit au niveau de l'exception https  (ajouter l'exception qu'une seul fois dans le navigateur)et de WPAD (détection automatique du proxy ok dés le démarrage du navigateur).
Mais sa se corse avec IE, j'ai le même fichier wpad.dat mais je n'arrive pas a accéder a la page d'authentification et si je fais une exception sur le proxy pour le nom d'hôte pfsense (page d'auth =https://pfsense:8001) cela fonctionne mais pas pour firefox.
L'autre problème est qu'on est obliger d'ajouter l'exception de sécurité sur IE a chaque connexion (sa devient lourd et oui j'ai accès a la page d'auth si je met pas de proxy dans le navigateur).
Je pense à un problème de certificat ?
Je penserai a copier le fichier .pem et le .key en dure sur pfsense et non par l'interface graphique mais je ne retreouve pas le dossier contenant les certificats (commande find ne fonctionne pas ?)

Je doit finir le portail captif  pour demain sinon on repasse a l'ancienne configuration (Ipcop plus COPSPOT) solution nickel hormis le fait que l'on n'arrive pas a filtrer que ce soit au niveau du proxy et au niveau de parefeu.

RE RE MERCI DE VOTRE AIDE  ::)

512 Mo me semble très court pour le proxy et 1Ghz court pour le vpn.
Je ne vois pas ce matériel assurer du 24/7/365. C'est peut être un peu de la déformation ISO and Co.

Merci pour la confirmation, c'est ce que j'avais mis en place.

Merci encore.

pour que la machine qui doit sortir via OPT1 utilise le bon gateway (IP du router de mon provider).

Je ne suis pas certain de comprendre ce que vous avez fait. Pouvez vous poster un schéma avec des ip (même fausses) incluant le router de votre fournisseur d'accès ainsi que la copie d'écran de votre règle.

Je me permet de faire un petit up  ;)

Bonjour,
trop c…

la passerelle!!!  :(
donc resolu

merci
a+

Salut,

pour ta 1ère question, je ne sais pas ; par contre tu dois pouvoir utiliser un "Pont" wifi, un matériel qui va transformer un signal wifi en filaire. (grosso merdo)

Pour la seconde question  : le failover est basé sur un principe actif/passif, alors que le load balancing est un principe actif/actif. En clair, le 1er fait en sorte que ta connexion bascule du WAN 1 au WAN 2 et inversement lorsque le lien principal est down (ou qu'il est de nouveau UP) : un seul des deux lien est utilisé ;  alors que le loadbalancing (littéralement "répartition de charge") fait fonctionner les deux liens en parallèle, et selon tes réglages envoie le trafic sur le WAN1 ou le WAN2.

A noter que si ton LB est mal réglé, tu peux avoir des soucis d'accès à certains sites ou applications.

A+

Comme tu a ouvert une parenthèse sur la sécurité du Serveur Mail jdh, j'en profite pour avoir ton ou vos ;) avis sur une securité accrus sur les ouvertures extérieure, je pensais ne pas ouvrir SMTP et utiliser ceux de SFR (Ces pour des téléphones portables), pour IMAP utiliser ssl.

Il y aurai autre chose?

Quand on install un cluster avec CARP il faut impérativement rebooter les noeuds successivement pour être sûre que tout est OK.
Certains drivers ne digèrent pas le carp init ailleurs qu'au boot.

ouf, j'avais mal compris  ;D

oui chez "moi"  c'est du dhcp et détection auto de proxy, j'utilise du wpad derrière et pour les mêmes raisons que toi,
au moins, mes utilisateurs ne m'appellent pas quand ils sont à l'extérieur !

bon, tampi pour mes visiteurs  !!
et aussi pour moi,  je suis curieux et j'aurais bien aimé comprendre comment ils avaient fait pour passer outre l'ip fixe qui n'est pas sur le même plan d'adressage que le dhcp.

enfin, pas grave,

au fait, tu me donnera le nom du stagiaire,  au caz ou il postule chez moi  :)

Je ne vois pas en quoi cela gène de répondre strictement à la question.
J'indique le moyen de comprendre pourquoi OpenVPN fourni des adresses de cette façon,
et j'indique une limite qui peut être rencontré.
Dans tous les cas, ma remarque est utile.

Votre ton est désagréable. Merci d'éviter ce genre de remarque déplacée.

Beh euh, si la source est "LAN Net" c'est que c'est une rules de … LAN !

(Ne pas oublier que l'onglet de rules désigne la carte par laquelle arrive le flux quel qu'il soit et quelque soit la destination : dans l'onglet LAN, on a les flux qui viennent de LAN à destination de WAN, DMZ, VPN ...)

Il est probable qu'une session d'un client OpenVPN du type ssh par exemple (sur base tcp ou udp) doit pouvoir fonctionner.
Mais un ping ne doit pas fonctionner parce que le paquet icmp retour (de LAN vers OpenVPN) n'est sans doute pas susceptible d'être "suivi" (équivalent de conntrack).
D'où ma règle.

Comme le mentionne Titofe, il n'est pas possible avec les versions actuelles de pfSense, il n'y a pas d'onglet de rules pour OpenVPN permettant de limiter l'accès de clients OpenVPN.

Salut j'ai été confronté à un problème similaire
Pour palier a ce problème j'ai utiliser 2 machines sous pfsense

La première (coté wan) qui a en charge la gestion du load balancing et du failover
La seconde (coté lan) qui gère le portail captif avec squid

la pate LAN de la première machine relié via un cable croisé rj45 sur la pate WAN de la seconde machine.

Merci à tous

Je vais commander tout ça le mois prochain, il faut encore que je fasse quelque recherche pour le boitier ainsi que pour le systeme de refroidissement (fanless cela risque d'etre trop chaud ). En tout cas je vous remercie pour votre réactivité. Je ferais un petit feedback dès que j'aurai tout reçu.

(Cherchez vous VRAIMENT à résoudre le problème ?)

L'adressage LAN n'est pas RFC1918 compliant … ce qu'il faut éviter.

Une adresse ip sans masque réseau ne sert à rien !

Les bases du réseau sont très clairement et pédagogiquement expliquées chez Christian CALECA (merci à lui).

Si vous ne savez pas résoudre un ping qui ne fonctionne pas entre 2 PC reliés par un câble, le reste va être difficile ...

Avec la masse d'informations que vous donnez, on va surement trouver une explication !

Cela devrait en effet fonctionner.  ;D

Le moteur de NAT intervient avant le filtrage donc les actions s'effectuent dans cet ordre :
  - configuration du NAT (1:1 dans votre cas)
  - création d'une règle de filtrage pour autoriser le traffic (selon vos besoins), sur la carte ou se présente le paquet (donc WAN pour vous) en direction de la machine cible (le NAT étant déjà effectué, la destination est donc une IP privée).