Comme beaucoup, j'ai aussi essayé moi-même de faire.
Maintenant, je commence par regarder comme cela fonctionne, puis je cherche, SI j'ai VRAIMENT besoin de plus, à ajouter ce qu'il manque.

Alors je repose mes questions très basiques :

avez vous exploré toutes les possibilités (features) du portail captif proposé par pfSense ? si oui, en quoi, cela n'est pas suffisant ?

NB : concernant la personnalisation graphique ou textuelle, il y a des fils qui en parlent …

Surtout, il faudrait indiquer le schéma de câblage !

Par exemple si WAN est derrière un firewall et qu'on doit passer par un proxy, il n'est pas possible que cela fonctionne !
Pour pfSense, il est important de considérer que WAN a accès total à Internet (derrière un routeur, une box ou mieux un modem (ethernet).

Hier soir j'avais vu le message et comme il étais marqué résolu je n'avais pas plus prêtais attention que ça.

Donc Neo_t3 à raison, ton problème n'ai que provisoirement résolu car ton Wan et ton Lan on le même adressage réseau et il claire que tu doit encore rencontrer des problèmes car toute les demandes effectué du Wan vers le Lan ne passera pas et vise versa.

Change l'adressage de l'un des deux.

Cdt.

Bonjour et merci pour ton info.
Je n'ai pas trop le temps de tester en ce moment et ferai un retour au plus vite.
De tête j'ai essayé dans les 2 sens et pas mieux, à confirmer.

voici le code:

<title>Portail captif</title>

voici un bout du code.

Merci de m'aider car je suis vraiment bloquer.

|


|

Bon j'ai peut etre une reponse :

la gateway des clients du cas n°1 n'est pas l'adresse carp du vlan correspondant, mais l'adresse d'un des 2 routeurs (routeur1), donc une fois que le lien coupe, l'autre routeur ne prend pas le relais…et n'informe donc pas de la modification de topologie...

je sais que pf gere le rip, je vais voir ce que ca donne, car je veux eviter de changer la gateway des clients...donc trouver un routage sur les routeurs...

vaut-il mieux prendre un proto de routage de niveau 2 genre stp (ou autre), ou alors un proto de routage de niveau 3...

Mais je n'ai que quelques serveurs derriere les pfs, et j'ai du nat 1:1 donc si je fait du rip je doi donner les adresses du reseau inaccessible par les routeurs...

qui sait s'il y a un routage dynamique pouvant router des adresses uniques (pour ne pas casser mon nat 1:1) qui permet en cas de lien "down" entre le pfsense1 et le routeur1 de prendre le relais par le routeur 2 qui atteindre le pfsense2

A savoir j'ai du STP sur les routeurs...mon root bridge etant le routeur1, et aussi du VRRP...

bon desolé de troller...et merci a vous...

Problème de résolu !

J'aurais du y penser bien avant au lieu de chercher une erreur sur pfSense !!!

J'ai interverti mes deux postes WAN et LAN. Initialement, mon poste LAN était sous Windows VISTA, je l'ai donc passé en poste sous Windows XP, et grâce à la puissance de la technologie de Microsoft . . . le problème c'est résolu tout seul !

J'ai enfin pu pinguer mon LAN vers ma DMZ mais également ma DMZ vers mon LAN !

en tout cas merci, pour les réponses qui m'ont été apportée. Si j'ai encore besoin, je reviendrai poster sur le forum !

merci pour votre solution, mais ajouter une machine dans mes firwalle c'est un peu …...????
comme meme je vais essayer avec un proxy et squidgaurd...
merci à tous

@jdh:

Votre fichier de conf semble corrompu …

Peut-être qu'à la console, il est possible de réinitialiser tout, puis après affectation de la bonne ip LAN, l'interface reviendra puis une restauration de la config sauvegardée (ah bon vous n'aviez pas fait de sauvegarde ?).

Je vais suivre votre conseil et je vous tiendrai au courant…..

Oui…
J'ai trouvé depuis un moment, et j'avais oublié ce fil.
Merci pour ta réponse, c'est exactement ce que j'ai fait :

Donc, pour "ceuces" que ça intéresse… Le script fonctionne !  :)

A l'heure actuelle les cluster ne sont pas actif/actif, le premier noeuf travaille et le deuxième prend la main automatiquement et sans rupture de service lorsque le premier tombe.
Ce n'est pas avec deux ADSL que vous aller surcharger vos pfsense (à moins que ce soit du très très très vieux matériel).

Re,

Alors voila ma dernière config:

Pour la DMZ
Proto  Source          Port  Destination  Port            Gateway    Schedule    Description
–-------------------------------------------------------------------------------------------- 
UDP      DMZ net        *        DNS_IP      53 (DNS)      *              *          Autoriser UDP 53 (DNS)
TCP      192.168.2.2  *          *          80 (HTTP)      *              *          Autoriser TCP 80 (HTTP)
TCP      192.168.2.2  *          *          443 (HTTPS)  *              *          Autoriser TCP 443 (HTTPS)

(ccnet avait raison la regle suivante était inutile :
TCP      192.168.2.2  3128  LAN net      *              *              *          Autoriser DMZ To LAN via 3128 )

pour le LAN:
Proto    Source      Port            Destination          Port        Gateway    Schedule    Description
–-------------------------------------------------------------------------------------------- 
UDP      DMZ net        *        DNS_IP      53 (DNS)      *              *          Autoriser UDP 53 (DNS)
PASS    LAN net        *              192.168.2.2          3128            *              *              *
        (10.0.0.0/24)              (IP Proxy dans la DMZ)

Pour WAN:
Rien changer

Pour NAT:
port forward :
If  Proto   Ext. port range  NAT IP  Int. port range  Description 
–--------------------------------------------------------------------------------------------
LAN TCP     80 (HTTP)     192.168.2.2 3128          NAT LAN (80) To Proxy (3128) 
                                              (ext.: any)

1.1 :
rien changer

outbound :
Automatic outbound NAT rule generation (IPsec passthrough)

Voila avec cette config j'arrive bien à accéder au net via mon proxy transparent, si ca peut aider d'autres personnes ^^
Bon pour l'instant je ne peux pas accéder a des pages https, mais je travail pour résoudre ce problème, d'ailleurs si vous avez une idée ca m'intéresse ?

Si jamais vous avez le temps ccnet et les autres est ce que vous pourriez me dire si vous voyez des failles de sécurités ou si vous auriez fait autrement ? au niveau de certaines regles ?

Merci en tout cas pour le coup de main…

--
N3j1

Bonjour,

faire l'acquisition d'un client SSO et de paramétrer une "application" (au sens client SSO) avec les identifiants ?

Bon ben voila…cela fonctionne...

J'ai essayer d'enlever le routage intervlan...alors en fait c'etait pire...avec l'intervlan j'arrivai a aller sur mes serveurs et sur google...sans l'intervlan, impossible (bon je sais l'archi est tres bizarre...mais ma logique n'est malheureusement propre qu'a moi...enfin bref...)...J'ai rajouter des routes en static sur les routeurs, mis des gateway sur les pfsenses pour les interfaces qui m'interessait...pour finalement en arriver a une conclusion des plus bete...enfin surtout une question...

Pourquoi ai je besoin du loadbalancing...puisque j'ai le carp avec failover...ce n'est pas pareil, certes mais l'important n'est il pas pour mes clients de ne jamais avoir de coupures...et le load balancing fait de la repartition de charges...en aije vraiment besoin avec des lien gigabits...???

La reponse fut non, j'ai donc enlever le load balancing, et miracle de l'informatique, cela fonctionne super mega bien...j'ai bien mon failover, mes clients pointe sur la passerelle du carp, comme ca il y a quand meme l'un des 2 qui travaille...je vais voir a la longue si un est vraiment plus surchargé que l'autre, mais d'apres ce que j'avais vu, il semblait tous les 2 tourner a 2% de charges !!! (oui bon mon patron aime bien ecraser une mouche avec un marteau...autrement dit, il m'a acheté 2 machines surdimenssionner pour ce qu'il y avait a faire...)...

Bref...en resumé :

Sur mes 2 pfsenses, j'ai mes vlans sur un interfaces, et LE vlan par default sur un autre...comme ca je peux filtrer tous mes vlan avant qu'il ne repartent sur le reseau...j'ai mon failover...j'ai mon carp qui regroupe bien mes 2 adresses...j'ai mes virtuals ip qui pointes vers mes serveurs dans mon lan,mon dhcp pour le reseau client exterieur qui delivre bien des ip sur le bon vlan...enfin bref...la vie est belle...

Merci a vous juve et ccnet  pour vos conseils qui a chaque fois me donne la solution...

des que je pourrai je mettrai des copie ecran de mon taf, afin d'aider peut etre qqun...enfin des que je peux...

Merci bcp pour ces explications, le réseau 172.16.254.1 est en /16 soit 172.16.0.0 ^^
j'ai mis des règle hyper souple devant le problème que je rencontrai, je vais les changer une fois celui-ci résolu ;)

sinon, j'ai enfin trouver la solution ^^ Honte a moi de ne pas l'avoir vu ^^
Dans mon serveur DNS J'avais bien changer un pointeur vers mon serveur de messagerie, mais pas tous ^^ ouh la honte
Une fois corriger, tous c'est mis a fonctionner

c'etait bien un problème de routage asymétrique ou problème de DNS ^^

Mon conseil sera exactement le même.

Dans la version 1.2.3, il y a une option sur le portail captif vous permettant de limiter la bande passante en Kb/s pour chaque personne authentifiée.
Cette option nécessite que le Traffic Shaper soit actif.

Peut être celà répondra à votre besoin.