C'est tout bon. en effet les docs d'install explication que j'avais trouvé ne parlait pas de cela du tout.

Un gros merci !

Damien,

L'idéal aurait été d'avoir un routeur entre le switch Metro et pfsense .

Comment faut il vous le dire ? Votre switch est un switch niveau 3 ce qui signifie qu'il comporte des fonctions de routage. Il faut lire la doc. Comment imaginez vous avoir un accès à internet si l''équipement ne route pas ??

Si je vire le NAT 1:1, je n'ai plus internet …

Il faudrait quand même mettre les quelques règles nécessaires pour que cela fonctionne… Là aussi lire la doc !!

Vous pouvez regarder Vulture : http://www.vultureproject.org/
J'ignore si cela convient car je ne sais pas ce que vous entendez par : "Une sorte de reverse proxy qui ne se contenterait pas d'agir sur les requêtes HTTP et HTTPS"

@Tatave.

Oui tout à fait, j'ai donné une rapide description d'un exemple concret qui confirme votre explication : segmentation logique des rôles !

J'ai pris un Dlink DWR-921 (4g/3g).

Je vous tiendrai au courant.

Rebonjour à tous et merci de vous intéresser à mon problème.

Je progresse puisque j'ai quelque chose qui marche mais je ne sais pas bien pourquoi … C'est ça l'expérience il paraît !

Donc pppoe dans le vlan ne fonctionne pas. J'ai activé pppoe sur l'interface physique em5 (par exemple) et j'ai ensuite créé un vlan sur cette interface em5. Ensuite j'ai configuré l'IP statique sur cette interface virtuelle. J'ai mis comme route l'IP coté FAI du pppoe. Ouf !!! Et là ça fonctionne mais je ne sais pas pourquoi ni si ça va durer ???

Merci d'avance de vos opinions et bon travail à tous.

Bernard.

salut salut

Vous serait-il possible de passer lire ceci https://forum.pfsense.org/index.php?topic=79600.0 afin qui l'ensemble de la communauté puisse vous aider ou tenter de vous aider.

Cordialement.

ok, désolé :)

Contexte : milieu pro, pfsense virtualisé sur VmWare ESX, utilisé en firewall principal depuis 2012 (version 2.0)

Besoin : Solution de Routeur/firewall redondant, avec répartition du trafic entre les différents WAN, selon les protocoles utilisés.

WAN (modem/routeur/box) : 3 WAN : une connection au sein d'un MPLS, 2 WAN vers des liens DSL (Orange et OVH)

LAN : 2 LAN : Un LAN pour les postes de travails, Un LAN pour nos serveurs.

Règles NAT : manual outbound (pour rediriger le trafic vers les VIP)

Règles Firewall : allow all sur les WAN, sur le LAN des postes : règle de redirection du trafic vers un groupe de gateway pour le HTTP et HTTPS.

Packages ajoutés : Open-VMtools

Question : depuis la mise à jour vers 2.1.5 (d'abord en maj auto, puis reinstallation complète), la redirection du trafic vers le multiwan ne foncionne pas depuis les VIP. Cela fonctionne en utilisant l'adresse IP du firewall directement en tant que passerelle. Nous utilisions cette configuration depuis plus d'un an sans problème.

Peut-être que cela vient d'une gestion différente des rèles de NAT outbound ? nous devions jusque là créer des règle manuelles pour rediriger les flux sortants de chaque interface vers la VIP…

voilà, j'espère que ces précisions seront suffisantes...

Merci du retour jdh,
le serveur dhcp est retourné à son point de départ, sur serveur dedié (faute de solution). en attendant que je la mette sous proxmox.

Je ne conteste pas que c'est la meilleur solution, mais l'idée de pfsense (embarqué sur alix) avec le minimum vital pour faire fonctionner le réseau (routeur firewall / dhcp) me séduisait.  c'est facile et rapide à remettre en état(machine en spare, une CF et le fichier de backup)

le plus agaçant (mais je le prend bien  ;D) c'est que c'est juste une ligne à ajouter dans chacun des <staticmap>: <nextserver>"IP_SERVEUR"</nextserver></staticmap>

@Tatave:

Salut salut

@latitude

Pourriez vous nous faire un joli schéma de votre nouvelle infra que nous puissions nous faire une idée visuelle du rendu ?

Car j'avoue que personnellement je n'arrive pas à la matérialiser intellectuellement dans mon petit cerveau embrumé du matin. (pas encore pris ma dose de café par intraveineuse, ceci expliquant cela).

Deuxième chose comme vous le savez certain d'entre nous ne sont pas partisan de la virtualisation de la solution en mode production (maintes et maintes fois débattus sur ce forum).

Que vous réaffectiez votre boitier alix c'est bien, cependant étant donné la volumétrie que vous nous donnez il n'y a pas d'erreur vous allez devoir investir, comme proposer soit sur un deuxième alix ou une machine avec plusieurs cartes réseaux ou ayant du multi ports.

Après c'est a vous de voir quoi, comment, surtout en fonction de votre budget.

Cordialement

je vous fais un schema tout propre cette apres midi

j'ai planifié un investissement pour le changement du boitier alix, là, il s'agit principalement de test dans une optique "didacticiel" afin d'augmenter mon expérience sur ce type de système, je ne touche pas à mon réseau "production"….

edit :
voilà le plan ..(en réalité je n'ai pas encore branché ma boucle avec les borne wifi sur l'OPT1 du pfsense de la vm comme sur le plan, j'ai juste mis une borne pour les tests..)

c'est sur l’aspect authentification du portail captif que je vais devoir travailler.....
++

Salut salut

Juste comme çà à brule pour point, avez vous ou non dans la partie de l'interface avancé que votre 8.8.8.8 en relation avec votre patte wan du pfsense ?

Je suis à peu pres sûr que cela vient de là.

Cordialement.

ok.

Je vais donc m'orienter vers ce schéma pfsense + 1 proxy externe à pfsense.

Encore merci pour vos informations et votre réactivité.

Bonne journée.

antennes réseaux ruckus

Cela ou autre chose ne change rien. L'idée d'interconnecter des réseaux distants en conservant le même sous réseau est mauvaise. Rien, le plus souvent, ne justifie un tel choix.

Je dois garder la ligne ADSL du site 2 en service pour l'internet sur les postes clients du site 2 prennent celui la et non celui du site 1.

Comment imaginez vous avoir deux passerelles par défaut différentes sur un même sous réseau ?
Comme vous le voyez il n'y a que des inconvénients à s'accrocher à cette conception de l'interconnexion avec un seul sous réseau.
Ensuite il n'es pas inutile, pour comprendre, de revenir aux bases. On interconnecte des sous réseaux distincts avec des routeurs. On interconnecte des segments d'un même sous réseau avec des ponts, typiquement pour traiter un problème d'adaptation de topologie.
Planter un clou avec un tournevis n'est pas aisé.
Bref vous avez la solution, même avec Pfsense. Je ne garantie pas qu'elle fonctionne bien. Pour les gateways multiples, comme expliqué plus haut, cela ne fonctionnera pas. D'autant que vous ne donnez toujours pas les infos et on ne sait pas comment sont attribuées les adresses ip des machines des lans de part et d'autre. Au mieux on s'oriente vers un réseau ALC.

pfSense utilise le programme 'dnsmasq' (et non le couple ISC Dhcp et Bind, trop lourds !).

'dnsmasq' est un serveur DHCP et DNS.
Au niveau DHCP, classiquement, on définit une range (par interface), les temps de baux maxi et de renouvellement.
Il est possible de faire des 'réservations statiques'  : une adresse MAC va avec une adresse ip.
Au niveau DNS, 'dnsmasq' résout les noms de machines auquelles il a fourni une adresse ip ET les définitions de 'hosts' (/etc/hosts).

Il est donc assez aisé de donner 2 noms à la même machine :

noter l'adresse MAC et faire une réservation statique durant la demande d'adresse ip, le nom de la machine est résolu avec l'ip fournie (et réservée) un (deuxième) nom est associé à la même ip avec les définitions 'hosts'.

Avec un peu d'observation, il était facile de le trouver …

Bonjour,

Oui j'avais vu ce lien. Mais il est assez générique, et c'est pour cette raison que je suis partie sur ce que j'ai proposé.
Je continue quelque recherche, puis d'autres essais lors de mon prochain déplacement en chine, puis nous prendrons notre décision. Mais pas envie d'avoir un doucle CPU neuf, car le prix va grimper ne flèche, sinon à voir coté occasion.

Merci

Merci monsieur JDH pour votre réponse courtoise, j'apprécie .

très bonne fin de journée.

De cette façon, je suis d'accord.

résolu,
System: Advanced: Networking >> cocher Allow IPv6
les rules de blocage sont bien pris en compte par la suite (pas besoin de floating)

@Tatave
dans mon cas  c'est proxmox lui même pas les vm (tester avec vm éteintes)
je garde ta config sous la main, ca me servira, merci

Merci de votre réponse,

Je vais vérifier ma config squid.

Bàv

Merci de ne plus ''polluer'' ce fil et d'utiliser le votre !!

Le formulaire est à utiliser pour chaque NOUVEAU problème=nouveau fil