L'autre façon de raisonner est d'utiliser 1 proxy (ou 2).

Schéma : Lan -> Fw -> Wan = Adsl1;  + zone Dmz : Proxy -> Adsl2.

Les VIP ont un poste avec une config qui leur indique de passer par le proxy situé en DMZ.
Celui-ci dispose de 2 cartes : l'une en DMZ et l'autre relié à une box. (Il faudra une route pour accéder au Lan via l'ip DMZ de pfSense).
Le proxy est un simple serveur Debian avec Squid + SquidGuard + blacklist.
On y ajoute, via SquidGuard, un contrôle d'ip par exemple. (facile à contourner mais c'est déjà ça …)

C'est de toute façon rationnel de mettre en place un proxy dès qu'il y a plus de 10 clients !
Et cela permet de filtrer au moins des blacklist, voire les virus, et c'est valable pour les VIP comme pour les autres.
(Car on découvre toujours que les VIP sont souvent les premiers sur des sites inutiles et non professionnels !)

Je ne peux que plussoyer ccnet dans sa démarche à encourager/aiguillonner/titiller votre réflexion :
bien souvent, on cherche une solution technique (ici 2 ADSL) à un faux problème (ici les VIP ont BESOIN de vitesse).
en faisant cela, on imagine des trucs compliqués et donc difficiles à mettre au point et partant inefficaces !
Il est très étonnant que Squid (proxy) ne soit pas déjà LA BASE, car il y a le reporting : regardez donc les 100 premiers sites visités !
Il est notable que 60% du trafic est personnel dans les entreprises ...

Il est possible de créer, de la même façon qu'une blacklist, une whitelist.

Le fichier correspondant a le même format : un fichier texte avec un domaine par ligne.

C'est vrai le portail captif le fait, je suppose qu'il est possible de le faire comme iptable mais bon…

@clarknova:

Je ne croix pas qu'il existe la possibilite de creer un "blacklist" pour les MACs, sauf par captive portal ou wifi.

Salut,

Pourquoi faire un portail captif quand tu utilises de l'eap TLS ?

Si tu veut faire du radius avec un pfSense, tu devrais plutôt utilisé une méthode CHAP pour l'authentification

J'ai un tutoriel si ça t'intéresse pour configurer un freeradius sous ubuntu

@+

Il (me) parait logique qu'un point d'entrée Ipsec (ou autre VPN) soit situé au niveau du firewall c'est à dire à l'intersection LAN et WAN.

D'autant plus pour Ipsec qui, comme on le sait, supporte mal le NAT sauf avec l'option (pas toujours présente) NAT-traversal …

Si des fois ça t'intéresse de faire un serveur DNS avec BIND en interne moi j'ai fait de cette façon :

http://www.pcc-services.com/sles/dyndns2.html

Mais c'est vrai que pfSense ne doit pas avoir, selon moi, ce rôle.
Bien séparer DNS pour l'interne et DNS pour le nom de domaine.

Voilà.

Merci pour ta réponse,

hier soir, j'ai changer ma config :
Je travail avec deux ALIX 3 ethernet.

Pour essayer, j'ai brancher un carte Ether/USB, détecter sans aucun problème, j'ai assigner une ip sur le VOIP et j'ai crée un CARP IP pour la VOIP.  J'ai reboot et bigo tout fonctionne !

Je fais juste attention que les règles liée à ma connexion qui n'apparait pas sur mon "SLAVE" ne soit pas synchroniser !

Certain ce demanderons pourquoi j'ai placer les VPN P2P sur la connexion DSL et non sur le CARP SDSL ?
évidement c'est le but mais aujourd'hui, cette connexion SDSL à trop de perturbation (j'ai des micro coupure).
Après avoir passer du temps avec un support qui m'explique qu'il y a rien d'anormale ! 
J'ai préférer ne plus l'utilise en état pour mes VPNs !

Comment manipules-tu pf depuis ton script ? SSH(pfctl ?), XML-RPC ou par HTTP ?
C'est toujours intéressant de savoir les différentes tactiques utilisées  ;D

Merci beaucoup pour ta réponse.

Je vais essayer tous sa.

Merci,

Juste pour info, j'utilise cette carte avec succes : lan1641, PCI Quad Ethernet board
dispo sur https://kd85.com/soekris.html.

Bonne journée

Autant pour moi :)

je voulais dire 1)  Assign Interfaces

Bonne journée

Je rejoins CCNet!

Attribue tu une IP à chaque entité ?
Contrôle tu la bande passante ou facture tu la bande passante excédé ?
Y-a-t'il des services commun ? Voip, mails, dns … ou chaqu'un est indépendant avec sont IP ?

Il faut connaitre les besoins sans quoi il est difficile de répondre à la meuilleur architecture ...

Pour mon expérience avec le contrôle de bande passante. Je distribue des IP pour mes clients (ip public). je monitor leur usage et je facture si il excède mais je ne fait pas de contrôle de trafic car ça prend beaucoup de ressources .... Peux de chose quand on dispos de gros débit ! Ntop peut te donnée des bonnes infos sur l'usage des bande passantes (95ème percentile)

Juste prévoir que tu offre X méga garantie et X méga "burstable" .. cela signifie si tu as 100Mb/s tu peux offrir 2Mb/s mais tu ne va pas le limité à 2Mb/s
Il pourrait monté à 100Mb/s mais par contre si il est toujours à 3Mb/s (usage constant) tu le constat sur les stats et tu le facture 1Mb/s de plus !

Bonne journée,
Sdnatcher

J'ai un problème similaire…
C'est liée au routage ...

http://forum.pfsense.org/index.php/topic,26019.0.html

Salut,

Effectivement le nat 1:1 est utilise conjointement avec le Proxy ARP (ip virtuel) et donc pour plusieurs IP public.
Aussi faire un NAT 1:1 ne veut pas dire laisser tout passer puisque ça passe quand même par les filtres.

Conseil simple :
-d'abord crée un alias par serveurs type iplansrvad
-ensuite crée un alias par services liée au serveur portssrvad
-ensuite crée une NAT forward (firewall > NAT > Add) et ajout ton alias server et ton alias ports et bingo.
D'ailleurs, c'est bien pratique de faire tes alias car tu te retrouve avec très peux de règles et une gestion plus facile, plus claire.

Je te conseille en attendant de taper Ntop ou logé tes NATS (au moins sur la voip) !

Dernier conseil avec du Windows, crée une règle qui empêche tes pc d'envoyer du mail en direct mais uniquement ton serveur mail !
C'est la règle bateau au tu peux te faire black listé ton ip on moins de 2h pour un bête spamware.

En espérant avoir répondu à ta question :)
Sdnatcher

cela signifie que lors de la tentative d'authentification sur un annuaire LDAP, la recherche du mot de passe utilise comme nom d'attribut "userPassword" et que le filtre de recherche de l'utilisateur (pour ensuite vérifier son mot de passe avec l'attribut précédent) est fondé sur l'atribut "uid" qui doit contenir le nom d'utilisateur (login) entré par l'utilisateur.

sur le blog (blog.pfsense.org) l'équipe de développement annonce qu'elle a des 2.0 en production.
Vérifier les bugs en cours…

Faire un clear state à l'application des règles est tout simplement "idiot" car cela reset toutes les connexions traversant le firewall !
Le problème provient de la façon dont vous voulez montrer que la règle est appliquée je pense. Si vous avez une connexion ouverte et que vous appliquez une règle pour bloquer cette connexion alors celle-ci ne sera pas coupée immédiatement en raison de la politique de mise à jour des états du filtre de paquets. Dans tous les autres cas l'application doit être instantanée.
Vous pouvez jouer sur la gestion des états en la passant en mode "agressive".

Idem (3 semaines) avec un doublé de R210 avec les ports Broadcom internes et une carte Quad ports Intel.
Pas de difficultés sous pfSense 2.0 beta.

merci ccnet pour la réponse
est ce qu'on a la possibilité de paramétrer tous ceci dans radius c'est a dire spécifier a radius que le login
correspond a cn dans le ldap et le mot de passe a l'attribut cn de ldap