J'ai exposé les vouchers qui sont une technique simple, facile et aisé à mettre en place (après la phase essentielle de compréhension).
Cela fonctionne très bien dans des campings et hôtels : il suffit juste d'imprimer des pages de vouchers puis les distribuer ensuite.

Je reviens sur ce que j'ai écrit

2- Notion de Users : "If authentication is used, this can be performed using pfSense's built-in user management, or an external authentication server such as a RADIUS server."
3- Nécessairement il faut ajouter des users : ce n'est pas automatique ! ce n'est pas simple !

La phase est particulièrement claire : quand on veut authentifier

soit on utilise la base utilisateur pfSense soit on utilise une 'authentification externe' telle un serveur Radius.

Il est clair que l'on utilise pas (jamais ?) les utilisateurs pfSense !
Donc il faut comprendre que le portail captif pfSense sait s'interfacer, nativement, avec un 'service Radius' (soit le package soit un Radius externe).

Donc il faut s'intéresser à Radius.
En premier on lit Wikipedia (forcément) https://fr.wikipedia.org/wiki/Remote_Authentication_Dial-In_User_Service
Et on comprend que Radius est un intermédiaire

qui normalise le transport de données d'authentification, et qui accède (si nécessaire) à une base externe.

Le problème devient alors

mise à jour d'une base externe, par personne autorisée (nettement préférable).

Et là on a le choix des solutions …

Salut salut

Au vu du peu d'information je vous redirige sur ce poste https://forum.pfsense.org/index.php?topic=79600.0 qui permettra de vous structurer
A première vu aussi cela vient de votre méconnaissance de votre virtualiseur et de son fonctionnement, réglez ce point là avant toutes choses.

Un exposé claire avec des informations claires donne une réponse rapide.

Cordialement.

Merci Juve de ce lien que je connaissais pas.

Microsoft fournit une somme de lien sur WPAD (et c'est bien puisque c'est un standard).
Exemple : https://technet.microsoft.com/library/Dd361950
Toutefois, par défaut, un serveur DNS Microsoft (>=2008) ne répond pas à wpad.xxx : il faut regarder la 'globalquerylist' …

WPAD souffre de défauts inhérents :

risque de création de faux 'serveurs' WPAD : d'où réglage prudent des DNS Windows génération de requêtes DNS multiples et préalables lors de l'accès http à un site : petite latence (très faible).

Il est donc prudent de bien veiller à

mettre en place WPAD sur chacun de vos sites en relation avec les DNS et DHCP locaux utiliser un DNS avec cache pour limiter la latence apportée par WPAD.

Autoprox.exe peut être vu comme

outil automatique de récupération de script WPAD (option -s) outil d'exécution de script WPAD (standard ou détaillé avec option -h)
Cette option -h est intéressante : on voit l'exécution 'en mode debug' du script WPAD, ce qui permet de vérifier si notre script fonctionne correctement ou non.
Je plussoie.

Il sera probablement plus efficace …

Enfin !!

Oui, avant de penser à une solution (quota), il est nécessaire d'analyser la situation !

Comme je l'ai écrit, il faut D'ABORD :

analyser l'utilisation de la bande passante : ntop est LE package à ajouter sur pfSense, et après quelques jours, devrait se dessiner l'utilisation de la bande passante si HTTP/HTTPS (la navigation) est majoritaire, il faut analyser ce flux : savoir qui fait quoi; d'où mise en place d'un proxy et analyse des logs

Ensuite, et seulement ensuite, il conviendra de choisir une méthode

blacklist de sites : radio, … méthode QOS (basé sur Squid et les Pool) méthode Quota

Ne négligez pas la force de l'autorité : 'tu arrêtes d'aller sur tel et tel site au boulot' avec l'index levé et l'oeil noir, n'est pas si mal ...

Pas la peine de penser avant quelques jours (1 ou 2 semaine) : vous ne savez pas quelle est la situation !

@onegame:

-Finalement que me conseillez vous au niveau du proxy? que je décoche le faite qu'il soit transparent ou je le laisse transparent?

Je te conseille surtout d'éviter de poser la même question dans 2 fils différents car c'est très difficile à suivre  ;D
et donc je t'ai répondu dans l'autre fil.

-Mon poste relatif au quota, je demandais car pas mal d'ami m'ont demander si PFSENSE pouvais définir les quota par utilisateur dans le réseau.
Certaines solutions hotspot tel que TrueCafé(si je ne me trompe) permettent de definir un quota par utilisateur.
C'etait pour verifier la faisabilité avec PfSENSE

Il suffit alors de poser la question de cette manière là, n'est-ce pas  ;)

Si tu fais des recherches dans ce sens, tu trouveras soit des considérations sur le fait que ces fonctionnalités seraient à intégrer au portail captif ChiliSpot (via un serveur Radius), soit, sur des réponses récentes… que c'est un aspect Radius.
Même si ça ne plaît pas à jdh et que ça fait ds dégâts, il n'y a pas beaucoup de choix, c'est le troisième "A" (du AAA) de Radius qui aujourd'hui supporte cette fonctionnalité.

Finalement, tu peux lire cette page.

Pardon, excusez moi, l'habitude de devoir s'exprimer en anglais… alors que je suis plus à l'aise en français.

Merci pour ce lien

@jdh:

'si le demandeur rempli le formulaire de manière intelligente, je ne lui en fait certainement pas le reproche'
C'est pervers, parce que on se demande pourquoi blâmer, mais c'est un raisonnement très pervers que de dire, je suis opposé, alors j'engueule, et moi je n'engueule pas !

::)
Ce n'est pas mon propos.
Si le formulaire est présent et contient des infos utiles, je ne vais pas faire de commentaire particulier. Et il n'y a rien de pervers, de mon point de vue.
Bien sûr, je n'écris jamais "ah ! bravo, vous avez rempli le formulaire …"
Mais je n'écris non plus jamais "je ne vous réponds pas parce qu'il n'y a pas de formulaire"

Je m'en moque complètement, ce qui m'importe, c'est que les info nécessaires soient présentes.

Si dès fois tu arrives à saisir la nuance  :-X

Votre attitude permanente de refus de l'idée (plus profond que le formulaire !), et de sa critique délibérée et permanente (encore ici), est un problème sérieux du forum, ne vous en déplaise.
Ce qui peut passer pour une gaminerie, n'est plus acceptable, passé 1250 posts …

Ce n'est pas moi qui ramène à chaque fois la discussion sur ce sujet qui te tient tant à cœur, si tu prends la peine de reprendre ce fil et les nombreux précédent.
Je n'en parle jamais sauf pour répondre aux points que tu soulèves.

Je regrette, d'ailleurs, que les modérateurs ne prennent pas conscience de la répétition totalement inutile, que je suis obligé de faire à chaque fois !

En attendant que tu sois promu modérateur, il y a un bouton sur la droite qui te permet de signaler au modérateur tout comportement, sur ce forum, que tu trouves anormal (ce qui est ta prérogative).
N'hésite pas à l'utiliser, à chacun de mes messages si tu le souhaites.

Bonjour a tous,

J'ai exactement les mêmes problèmes, tout fonctionne sauf le Webgui et openVPN,

J'ai remarqué que si je lance les commande 11 puis 16 via la console tout repart … mais j'ai en gros un plantage tous les 6-7 jours ...

11 - Restat webConfigurator
16 -  Restart PHP-FPM

je l'avais tester sur une autre machine mais sans être en prod réellement, car les clients VPN ne se connectaient pas.

Ma seconde machine est passer en 2.3.1_5 je n'ai pas de plantage depuis 10 jours, je vais la passer en prod.

wait & see

Aki

Bonjour,

Comment tu teste le LB pour dire que cela fonctionne ? Perso je vais sur un site genre monip.com et j'actualise pleins de fois la pages, si l'ip retournée par le site change régulièrement lors des actualisations on peut dire que cela fonctionne :)

Pour un site ou j'ai un ''gros'' pf physique qui fait tourner squid/squidguard pour 200 users, j'ai mis devant le ''gros'' pf qui n'a qu'un wan, un ''petit'' pf sur boitier type appliance qui gère seulement les box fai et le LB & FO

Cdt

Bonjour,

load ballancing pour Http & Ftp = OK
load ballancing pour Https = NON (même avec sticky), pour https il faut le mettre sur un pool de gw en FO et pas en LB

Si tu a bcp de postes clients tu peut ''couper'' la plage d'ip locale en 2 et faire 2 règles differentes en jouant sur la sources et en ayant 2 pool FO (1 avec gw1 en tiers1 et gw2 en tiers2 et l'autre avec gw2 en tiers1 et gw1 en tiers2)

Cdt

Des plateformes comme le APU2C4 devrait répondre également à ton besoin. fanless, quelques watts…
Le seul point, mais qui mérite très probablement réflexion quand à son coté indispensable, c'est de disposer d'un vrai gigabit (effectif) en DMZ  ;D

j'ai une page d'erreur par défaut, maintenant je veut apporter une codification sur ma page ici


Le lien que je cite, avec la section précise, correspond exactement à la situation.

Le point clé est que le serveur OpenVpn n'est pas le routeur du réseau local.
D'où l'astuce de la règle iptables de masquerade : le flux venant des clients vpn est vu, pour les machines du lan; comme venant du serveur Openvpn.

Je ne pense pas simple de faire la règle équivalente sur pfSense.

Concernant la gestion de certificats, Openvpn fournit des scripts 'EasyRSA' pour la création : de nombreux tutos existent.

Moralité : pour tester pfSense, il faut le tester dans une config normale et non biaisée !
Ici c'est une mauvaise situation de test, comme ceux qui veulent le tester comme simple proxy …

NB : dans mon cas, j'ai repris la gestion d'un site qui a un firewall (fortinet) avec plusieurs clients vpn.
Je gère plusieurs sites avec pfSense, et il est aisé de créer un certificat serveur par serveur pfSense pour que les certificats users soit valables pour chacun des sites (et non un certificat user par site !).
Du fait, la VM ajouté sur le site, utilise un certificat serveur, d'où pas de besoin de certificats locaux.

Cacher les adresses 10.A.B.1 est inutile c'est du réseau privé vous pouvez écrire en clair. Il semble que vos ip publiques soient sur le routeur de FAI et non sur l'interface wan de Pfsense. Comme vous le voyez ce n'est pas le plus simple.
Les pc du lan seront sur le réseau 192.168.1.0/24 et tout le flux sortant sera translaté en 10.A.B.1 puisque c'est l'ip wan de Pfsense. C'est du moins ce que je comprend de vos explications.

Le seul matériel installé par le FAI est le transceiver, mon lien vers leur réseau.

en principe le FAI fourni un routeur ou un modem ADSL ou SDSL …. Je ne comprend pas tout.

ok, merci.

je vais tenter chez les angliches alors  ;D

Bonjour,

Je tiens a vous presenter toutes mes excuses pour ces manquements.

Aussi,je vous remercie de m avoir eclairer sur l aspect juridique.

J'en informerai mon client.

merci a Toutes et a Tous.

@nikobou

Bonjour,

Merci de créer votre propre fil de discution svp.
Et pour bien débuter  ;) https://forum.pfsense.org/index.php?topic=79600.0

Cdt

Le problème était dû a la nappe  du  disque dur que j'ai changé et gravé la derniere version de PFsense.
Tout a marché super bien.
Merci pour votre aide

Bonsoir

Bien pensser à désactivé les "hardware … offloading" dans System | Advanced | Networking

Vous pouvez aussi utilisé les drivers réseau virtio (dans les configs réseau de la VM) , ils fonctionnent nativement avec pf  ;)

trop d'infos tue l'info

C'est un problème de logique :
pas d'infos = pas de compréhension = pas d'aide possible !
pas assez d'infos = compréhension incomplète = nécessité de demander à compléter.

Il vaut, donc, bien mieux trop d'infos que pas d'infos !
Le seul défaut d'avoir trop d'infos est que le lecteur soit obligé de faire le tri.
C'est vraiment gênant quand il y a des logs de 100 lignes (dont seules 3 lignes ont de l'intérêt).

Mais, on le voit très régulièrement, trop nombreux sont les débutants qui, soit ne fournissent pas d'infos, soit n'en fournissent pas assez.
Je passe sur ceux qui ne fournissent pas d'infos : on se demande s'ils veuillent être aider parce que c'est assez stupide de croire que la seule question pourrait avoir une réponse !
Ceux qui n'en fournissent pas assez font 'leur' tri : ils mettent ce qui, à leur yeux, a de l'intérêt, mais comme ils sont débutants, ils passent à côté d'informations qui sont utiles !

Donc il vaut bien de lire trop d'infos.