Oui absolument. Il peut être utile d'ajouter la règle de blocage pour tout ou partie des paquets rejetés afin d'activer les logs. Selon besoin bien sûr.

Merci beaucoup pour ces éclaircissement. je vois que j'ai beaucoup de choses a apprendre encore.
Je vais réorienter mes recherches vers les protocoles pour en apprendre d'avantage.
Cordialement

M'ouai je vais en virtualiser un je pense ;) après on a pas beaucoup de poste donc pas besoin d'ocs ou de supervision :)

@jeremyb:

Je suis vraiment désolé mais je ne vois pas comment faire une description du besoin fonctionnel…

Je veux bien essayer de reexpliquer, si cela ne marche pas faites le moi savoir !

L'authentification à mes points d'accès sont gérés par un portail captif puis un radius qui discute avec un LDAP.
J'ai donc deux portails captifs car j'ai deux types d'utilisateurs :

- le portail "privé" pour les utilisateurs qui appartiennent au groupe LDAP "PRIVE"

-Le portail "public" où tous les utilisateurs présent dans le LDAP peuvent s'y connecter.

J'ai donc besoin du portail captif car quand celui-ci émet une requête au Radius il possède et NAS et le traitement des groupes en fonction du portail captif est réalisé grâce à celui ci.
Autrement dit, les utilisateurs qui se connecteront à la WIFI privé mais qui ne sont pas dans le groupes LDAP PRIVE ne pourront pas se connecter.

Tout cela décrit des solutions techniques.

C'est donc cette option qui m'ai très interressante grâce au portail captif. Je peux donc gérer l'accès à un point d'accès wifi en fonction du groupe LDAP des utilisateurs. Bien sur , il n'y a pas la même bande passante pour les utilisateurs du WIFI privé et les utilisateurs du WIFI public. Il y aura également des restrictions horaires pour le Wifi public.

Là c'est un mélange.

Maintenant , sur mes deux points d'accès WIFI , un Squid ( le package de pfSense) est en écoute afin d'assurer la reuperation des logs. Il fonctionne en mode transparent car je ne voudrai pas obliger mes utilisateurs à s'authentifier plusieurs fois etc… Associé à Squid , j'ai également SquidGuard qui permet la restriction à des sites grâce à une blacklist.

Mon soucis apparaît maintenant :

Vu que mon Squid écoute sur mes deux points d'accès wifi , le port 3128 ( port par défaut ) est donc ouvert. N'importe quel utilisateur peut donc configurer son navigateur de façon à utiliser un proxy sur l'adresse de passerelle et sur le port 3128. À partir de là , le portail captif n'apparaitra donc plus car les requêtes seraient directement redirigees au Proxy et n'importe quel utilisateur pourrait donc accéder à Internet par la WIFI privé car il n'y aurait pas d'authentification... N'importe quel utilisateur pourrait donc bénéficier des privilèges de la Wifi prive ( Meme un utilisateur externe ( non renseigné dans le Ldap) vu qu'il n'y a pas d'authentification ).

Pour pallier à cette problématique , je pensait pouvoir autoriser l'accès au Squid seulement pour les utilisateurs connectés au portail captif. Je pensait donc que l'authentification au Squid par portail captif serait ma solution mais apparement pas.

Mon but est donc de bloquer l'accès au Squid aux utilisateurs qui ne sont pas connectés au portail captif ( tout en gardant le proxy en mode transparent si cela est possible... ).

Désolé, mais c'est encore de la description de solution technique.

J'espere que je me suis exprimé de manière un peu plus convenable et que j'ai su exprimer mon besoin.

Merci encore et merci beaucoup pour vos réponses , j'espere pouvoir avancer … !

Le problème n'est pas que ce soit convenable ou pas. Il faut poser le problème correctement.  Un exemple de ce qui pourrait être une début de description fonctionnelle. Sans préjugé de votre situation réelle que je ne connais pas.
L'entreprise est confrontée à deux populations différentes d’utilisateurs pour lesquels elle souhaite mettre à disposition certaines ressources et en protéger d'autres dans des conditions conforme à la PSSI.  Elle possède possède un réseau wifi assurant le transport des données.

C'est un exemple de début de descriptif qui n'induit aucune solution technique et qui prend acte d' une situation (Wifi). Je ne sais pas si cela correspond à votre situation. Probablement pas puisque vous avez du mal a expliciter les choses.
Je rédige cette réponse dans l'espoir que quelques uns comprennent de quoi il s'agit lorsque l'on parle d'approche fonctionnelle pour en déduire des solutions techniques adaptées à des contraintes et à un existant. Pour le moment vous êtes "tourné à l'envers", vous ne parlez que de solutions techniques.
Comme dit le faux proverbe chinois : Si tu ne sais pas où tu vas, tu pourrais bien te retrouver ailleurs.

@Chris4916 :

En dehors d'écrire des choses inutiles, vous avez déjà écrit (à très juste titre, et c'était clair et suffisant)

ce n'est pas très utile pour qu'on puisse t'aider plus.
As-tu un comportement à décrire, un message d'erreur, du log LDAP. Bref, autre chose que "ça ne marche pas"

Inutile de réécrire la même chose (sous une autre forme) : il y a des pistes, qui sont claires et simples, qui sont basées sur les mêmes mécanismes bien connu de PAM (certes pointilleux mais l'art …), il y a un membre qui l'a fait, bref il est largement possible de le faire ... Au lieu de ça ...
(Je ne comprends pas pourquoi cela n'a pas été jugé 'agressif' !)

Je suis en passe de devenir chef d'équipe, et j'ai largement des idées (des solutions) pour aller bien plus loin : permettre à un identifiant de se connecter n'est pas suffisant, encore faut-il savoir ce qu'il a fait ! (parce que c'est bien beau de permettre ...)
Mais je vais me taire puisqu'on m'attribue d'être une truffe ...

personne ne semble être suffisamment compétent

Ah non, alors là, pas d'accord !! Vous êtes très loin d'avoir le niveau pour porter ce type de jugement !

Personne, ici et probablement sur le forum anglais aussi, ne juge cela utile, ce n'est absolument pas pareil !

Terminé pour moi !

On ne voit pas d'où cela pourrait venir pour une première raison : on ne sait rien de votre configuration.
Avez vous regarde le forum anglais ? Il semble qu'il existe pas mal de problèmes avec cette nouvelle version. J'en profite pour rappeler les bonnes pratiques au moins pour le monde professionnel.
1. On ne se jette pas sur une mise à jour sans avoir validé qu'elle est nécessaire surtout si l'on a une configuration stable par ailleurs.
2. Si l'on doit faire la mise à jour (ce qui suppose que l'on a identifié une bonne raison) on commence par un environnement de test identique si possible à celui de production.
3. Si ce test se passe bien on s'assure de la viabilité des procédures de retour arrière. Sinon on attend par exemple la version suivant qui corrige les problème sidentifiés. Puis on reprend au début.
4. Alors seulement on migre l'environnement de production.

En ce qui me concerne et pour les différents clients chez qui la version de production est 2.2.6 il n'est pas question de migrer pour le moment. Le mco est prioritaire même si les mises à niveau en font partie.

Quel que soit le forum, il y a un minimum de règles sur chacun.

Ici un certain nombre d'habitués ont souhaité qu'il y ait utilisation d'un formulaire simple d'emploi qui soit systématiquement utilisé.
L'intérêt évident est que le demandeur mette dès le départ des infos et le lecteur les trouve.
Ce formulaire peut prendre 10' et fait gagner un temps précieux à tous les lecteurs en évitant le fil qui multiplie les demandes de précision.
Cela s'appelle simplement le bon sens.

J'ai toujours noté, que ceux qui ne veulent pas se soumettre à cette simple formalité étaient toujours des emmerdeurs finis, sans compter qu'ils venaient et disparaissaient aussi vite, et qu'aucun n'a jamais partagé avec la communauté la moindre connaissance ! Ce sont juste des petits profiteurs qui ne font que passer …

Beau vocabulaire : flic, facho (et non fascho) : même certains finissant par embrasser un flic ... vous semblez très éloigné de la poésie ...

Oui j'avais désinstallé le paquet du squid, fait la mise à jour puis réinstallé le paquet !!!!

Mais j'ai trouvé le problème !!!

Quand on va dans Services>Squid proxy server puis dans l'onglet Local Cache il y a un bouton Clear disk Cache Now j'ai cliqué dessus puis redémarrer le service !!!

Depuis plus de message d'erreur et ça fonctionne !!!!

Problème résolu

Laurent

Voici un petit lien sympathique (comme ma réponse)

https://forum.pfsense.org/index.php?topic=102470.0

Cdt

En fait, j'ai trouver à la racine 2 sauvegardes complètes faites au moment des mises à jour
J'ai supprimé les 2. j'ai récupéré 7-8 Go je pense

ok, ca m'intéresse de savoir.
J'ai jamais dépassé 40 interfaces logiques sur un cluster en production.

Généralement pour du simple routage (comprendre sans filtrage) je déporte cela sur des équipements réseau (bien souvent un cluster HPN IRF) qui sont plus performant en commutation/routage avec une disponibilité maximale.

Corrigé en version 2.3.1 (à ne pas confondre avec 2.3_1 qui est la version précédant la 2.3.1) :
https://doc.pfsense.org/index.php?title=2.3.1_New_Features_and_Changes#OS_.2F_Backend

Solution pour 2.3 et 2.3_1 : ici https://forum.pfsense.org/index.php?topic=109943.msg612141

Re à tous, pourquoi chercher compliquer quand c'est simple !?  ::)

ajouter la ligne dans la conf client : tls-auth ta.key 1

cocher Enable authentication of TLS packets dans la conf serveur openVPN, on copie/colle dans un block note que l'on renomme en ta.key et c'est tout bon

la version 2.2.6 est vraiment bien pour les néophyte de FreeBSD et puis c'est plus pratique que putty

C'est exact que, si l'interface n'est pas up, on ne pourra faire des ping !
C'est aussi clair qu'il est inutile de faire d'autres essais tant que cela n'est pas levé !

Bonjour!!
Je reviens encore avec mon post!!! je n'ai toujours pas trouver la solution à mon problème après de longue heure de recherche.
j'ai réussi a configurer correctement  mon portail captif mais y a un soucis. lorsque je me connecte au wifi je ne suis pas automatiquement redirigé vers ma page d’accueil.il faut que que j'utilise d'abord l'adresse ip:8000 de mon serveur avant de pouvoir être redirigé sur l'adresse definit après authentification.
Besoin d'aide svp!!!
Cordialement

Une des fonctions du portail captif est d'ouvrir des règles de FW une fois que l'utilisateur est passé par le portail et a exécuté une action (validation ou authentification par exemple).

Comme il s'agit de règle de FW, il s'agit d'adresse IP  ;)

Si l'utilisateur passe d'abord par un proxy (fusse t-il transparent) l'IP source qui va accéder au portail captif sera celle du proxy.
Si en plus le proxy est sur la même machine que le portail captif (ici pfSense) l'IP qui va être autorisée par le portail captif si celui-ci change des règles du FW va probablement être 127.0.0.1

C'est pour cela qu'il faut que ton portail intervienne avant le proxy (*).

La difficulté avec le portail captif et le proxy sur pfSense, c'est que :

en mode proxy explicite, celui-ci est configuré au niveau du browser et donc le browser accède le proxy sur un port spécifique qui n'est normalement pas celui que le portail captif intercepte. Il faut dans tous les cas gérer une exception et forcer l'accès à une page intercepté par le portail. en mode proxy transparent, il faut regarder dans quel ordre interviennent les règles d'interception. Portail captif et proxy transparent sont basés sur un mécanisme analogue (et donc potentiellement conflictuel) d'interception et de redirection. Dans l'absolu, il est possible que ça fonctionne si la première interception est celle du portail…

Une solution plus "simple" :
un portail captif suivi d'un proxy.

proxy en mode transparent si cela correspond à ton besoin, et donc si tu notes bien que celui-ci :

n'intercepte que HTTP, pas HTTPS (sauf si SSL-Bump = MITM) ne connaît que l'IP source, pas l'utilisateur

proxy en mode explicite (configuré à la main ou via WPAD) :

il faut gérer une option "no proxy for..." (ou un DIRECT dans le proxy.pac) pour que l'accès au portail captif se fasse directement en non pas en tentant d'y accéder au travers du proxy.

Je ne suis pas certain que pfSense soit la meilleure solution  si utilisé uniquement pour cet usage  ;)
As-tu regardé des produits dédié au portal captif comme Chilispot, wifidog etc ?

(*)  Squid (je ne sais pas ce qu'il en est du package Squid de pfSense) permet de faire des choses un peu plus fines que ce que je décris au dessus qui correspond au fonctionnement "basique". pas exemple avec des redirecteurs et/ou des splash pages.

bref, ducoup j'essaie de faire exécuter les script sur mon serveur seulement je ne parviens à diriger dans un premier temps l'authentification sur ma page de bienvenue situé sur mon serveur par le bias du preauth-url. j'ai essayer en inscrivant dans le champ approprié du portail captif http://x.x.x.x/path/to/landing/page.html seulement cela ne fonctionne pas.
j'ai vu que cela était possible en rajoutant ce code ( source du post https://forum.pfsense.org/index.php?topic=34148.0 )

require("globals.inc"); $request_uri = urldecode(str_replace("/index.php?redirurl=", "",  $_SERVER["REQUEST_URI"])); $portal_redirurl = urldecode("$PORTAL_REDIRURL$"); if(!stristr(urldecode("$PORTAL_REDIRURL$"), $request_uri)) { Header("Location: $PORTAL_REDIRURL$"); exit; } ?>

j'ai donc tester de rajouter ce code au début de l'exemple du formulaire que pfsense fournit. comme stipulé dans le post j'ai  autoriser l'@ip du serveur et fais le test. sans succès. Quelqu'un aurait-il une indication ?

??!!

Depuis des années et des années, Squid utilise un format de log toujours le même avec en $1 une date 'epoch'.
Les logiciels classiques de visualisation de log sont prévus pour ce format.

Si ce format ne vous plait pas

soit vous mettez en oeuvre cette astuce (connue depuis au moins 10 ans), soit vous changez le format de log, et c'est vraiment pas trop compliqué à trouver comment.

Bref rien à voir du tout avec Squid

En fait les mauvais choix entrainent les mauvaise questions …
Parce que si, on créé un proxy dédié, on se pose un certain nombre de bonnes questions et on les résout une après l'autre ...

Merci pour votre documentation.

Je vais lire tout cela avec beaucoup d'attention.