Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Multi Lan et Wan - Portail Captif - Squid

    Scheduled Pinned Locked Moved Français
    9 Posts 3 Posters 4.4k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • S
      sheldon
      last edited by

      Bonjour,

      je suis actuellement en stage dans une entreprise d'une trentaine de salarié.
      Cette entreprise a régulièrement des visiteurs qui ont besoin d'un accès internet
      Mon objectif est de déployer un portail captif pour les visiteurs et de mettre en place un
      proxy transparent pour logguer les connexions internet des visiteurs mais également des agents de la société.

      J'ai constaté que PfSense pouvait me permettre de remplir ces deux objectifs.

      J'ai fais des tests simples(un ou deux réseaux LAN et un réseau WAN) de PfSense sous vmware avec  portail captif et squid.
      J'ai également modifié et complété une petite application php qui permet de gérer facilement les comptes visiteurs depuis l'accueil.

      Je me pose maintenant une question, et après quelques recherches je n'ai pas trouvé mon bonheur (désolé si la solution avait déjà était donné)

      Je dispose de 4 VLAN. pFsense doit servir de squid pour tous et de portail captif seulement pour un seul.
      De ce point de vue pas de soucis, j'ai vu que pfsense pouvait très bien gèrer les VLANs côté LAN.
      Voilà où intervient ma question:
      Est-il possible d'avoir plusieurs sorties WAN correspondant chacune à un VLAN d'entrée? Et bien sûr de toujours avoir une seule sortie physique avec mes 4 VLANs.
      Je souhaites ceci car le parfeu pix a des règles sur les différents VLANs.
      J'aimerais continuer à ce que ce soit mon pix qui filtre le traffic selon les VLANs.

      (voir schéma pièce jointe)

      En parcourant un peu, j'ai quand même vu l'histoire du "routing policy". Est-ce la solution ?

      Pour information, je possède la version 2.0 RC3 (nécessaire pour mon application de gestion des utilisateurs)

      Merci d'avance pour votre aide.

      Cordialement,

      sheldon
      schema_solution.jpg
      schema_solution.jpg_thumb

      1 Reply Last reply Reply Quote 0
      • S
        sheldon
        last edited by

        Je me permet de relancer.
        J'ai donc réussi à voir qu'il était possible d'avoir plusieurs VLANs du côté WAN.
        Est-il possible de faire correspondre les VLANs d'entrée et de sortie afin de répondre à mes objectifs ?

        1 Reply Last reply Reply Quote 0
        • S
          sheldon
          last edited by

          Personne ne sait ???

          1 Reply Last reply Reply Quote 0
          • J
            jdh
            last edited by

            Pour quel objectif faudrait-il avoir des VLAN côté WAN : c'est au minimum inhabituel et sans doute un non-sens !

            Pensez vous vraiment que mettre 2 firewall à suivre soit une bonne idée ? (Je pense que c'est une GRAVE erreur)

            Avez vous lu ce qu'on dit généralement de virtualisation et firewall ? (Je pense que c'est une GRAVE erreur de virtualiser un firewall en production)

            Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

            1 Reply Last reply Reply Quote 0
            • S
              sheldon
              last edited by

              En fait mon objectif est de mettre en place un portail captif et un proxy et non un parefeu
              J'ai vu que PfSense permettait de faire ces deux choses facilement et simplement, même s'il agit comme parefeu. C'est pourquoi je me suis tourné vers cette solution. Ce n'était pas une bonne idée ?

              Pour les VLANs côté WAN, c'est parce que sur le PIX, les règles sont gérés par VLAN. Si je ne garde pas les VLAN en sorti, je perd mon filtrage.

              Pour la virtualisation de PfSense c'était uniquement pour faire une maquette et quelques tests. Il est prévu d'être déployé physiquement.

              Edit: Le mode bridge serait-il une solution ? (sauf pour l'interface avec portail captif)

              1 Reply Last reply Reply Quote 0
              • J
                jdh
                last edited by

                Je ne suis pas du tout sûr que pfSense soit conçu pour une config avec VLAN en LAN et en WAN.

                Si c'est un portail captif, il doit bien être possible d'en construire un directement à partir de Chilispot (puisque c'est la base utilisée).
                Cela ressemble à un bricolage d'utiliser un pfsense de façon non conventionnelle. (uniquement pour une fonction).

                Le mode bridge ? Connaissez vous cette phrase de Seneque : il n'y a pas de vents favorables pour qui ne sait où il va !
                Ce que je vois c'est que vous avez un firewall et que vous le préférez à pfSense.
                Je ne peux que vous encouragez dans le sens que vous avez choisi …

                Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

                1 Reply Last reply Reply Quote 0
                • S
                  sheldon
                  last edited by

                  Ce n'est pas dans les objectifs qu'on m'a donné de changer le firewall.

                  J'avais choisi PfSense car ces fonctions s'implémentaient facilement.
                  Mais Je pense avoir compris que je n'ai pas fait le bon choix, qu'on ne pouvait se passer de la fonction de firewall du PfSense.

                  Merci pour vos critiques.

                  Je vais aller chercher ailleurs pour mettre en place mon portail captif et mon Proxy

                  1 Reply Last reply Reply Quote 0
                  • C
                    ccnet
                    last edited by

                    @sheldon:

                    Est-il possible de faire correspondre les VLANs d'entrée et de sortie afin de répondre à mes objectifs ?

                    Il y a une forte incompréhension ici, une confusion fréquente. Si l'on réfléchi à quoi servent les vlans, et surtout à leur fonctionnement, on comprend bien qu'un équipement de niveau 3 pose problème. Au surplus par défaut Pfsense translate tout ce qui vient des différents réseaux en utilisant l'ip de wan. Cela n'arrange rien, mais comment voulez vous qu'un équipement de niveau 3 maintienne une information (le Vlan ID) qui se trouve dans la trame ethernet alors que celle ci disparait au franchissement de l'équipement, alors que la nouvelle trame qui sortira aura une entête totalement (et logiquement) différente ?
                    Un moment de réflexion sur ces points devrait vous éclairer.

                    1 Reply Last reply Reply Quote 0
                    • S
                      sheldon
                      last edited by

                      Merci ccnet pour ce complément d'information !

                      1 Reply Last reply Reply Quote 0
                      • First post
                        Last post
                      Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.