Bridge LAN/Wifi

Arnaud

Salut à tous, je souhaiterais ajouter la fonction point d'accès wifi à mon routeur pfsense (actuellement je passe par un vieux WRT54-GL sous DD-WRT branché derrière le routeur), j'ai suivi plusieurs tutos sans succès :

http://www.osnet.eu/fr/content/pfsense-v20-dhcp-et-bridge
https://www.artooro.com/2015/02/20/how-to-configure-wi-fi-in-pfsense/
http://www.interspective.net/2012/07/one-pfsense-wireless-config-to-rule.html
https://forum.pfsense.org/index.php/topic,20917.0.html

Pour infos :
2.2.2-RELEASE (amd64)
built on Mon Apr 13 20:10:22 CDT 2015
FreeBSD 10.1-RELEASE-p9
You are on the latest version.

Apparemment il suffit de créer un bridge entre le LAN et le wifi , d'après les tutos il faut créer une interface temporaire, la mettre en bridge avec l'interface wifi (que j'ai bien activée) , puis une fois que c'est fait, permuter l'interface temporaire et LAN. Quand je fais ça, je perds la connexion avec le routeur et dois réattribuer les interface via la console ..

Dans mon cas j'ai ça :

J'active donc le port restant pour créer une interface temporaire :

Puis je créé le bridge :

Et enfin je permute les interfaces :

Quand j'appuie sur appliquer , je perds instantanément la connexion avec le routeur .. j'ai essayé de en modifiant comme indiqué dans certains tutos :

Et ça ne change rien, il faut que je remette la conf des interfaces à zéro via la console à chaque fois..
Quelqu'un pourrait me donner un petit coup de main ?

Merci d'avance,

Arnaud.

PS : je découvre les joies de pfsense/FreeBSD depuis à peine une semaine (à la base je suis un linuxien  :P) , je m'excuse par avance pour mon incompétence/noobitude  ;D

ccnet

Je comprend que vous souhaitiez disposer un point d'accès Wifi. Par contre je ne comprend pas votre choix d'architecture. La prudence est , compte tenu de la fragilité, sur le plan sécurité des réseaux wifi, de séparer le wifi du réseau filaire. Surtout quand l'interface d'administration du firewall (pfsense est un firewall qui fait nécessairement du routage) se trouve sur le réseau filaire. Cette séparation salutaire sur le plan sécurité s'obtient avec un réseau ip différent pour le wifi et pour le réseau flaire.

Arnaud

Merci pour la réponse !  :)  Ce petit réseau a uniquement vocation à être privé, seul mes équipements s'y connectent (que ce soit le wifi ou le filaire) . Il n'y a aucun risque niveau sécurité.  Je préfère d'ailleurs que les machines soient sur le même réseau, je fais souvent des connexions ssh inter-machines par exemple.

Je souhaite juste avoir un pare-feux qui me protège par rapport au wan, et avoir un seul et unique réseau derrière (wifi + filaire) . en fait, grosso modo ce que je faisait avec mon routeur sous dd-wrt .. il fait d’ailleurs très bien le boulot, mais ne suis pas la charge (vieux WRT-54GL) , et ayant une vielle machine à recyclée, je me suis dis que je pouvais monter mon routeur moi même et que ça serait l’occasion de découvrir une distribution sympa, j'avais lu beaucoup de bien sur Pfsense.

Actuellement tout fonctionne parfaitement, sauf le wifi que je n'arrive pas à bridger (je dois m'y prendre comme une andouille..) du coups pour le moment  le vieux routeur sert de pont d'accès wifi derrière la machine sous Pfsense, mais j'aimerais pouvoir m'en passer totalement :)

chris4916

Je suis, en terme de besoin, dans la même configuration que toi, à savoir un réseau filaire et wifi dans le même plan d'adressage sans réel risque de voir le réseau wifi attaqué (bien que ce ne soit jamais exclu à 100%  8)) mais j'ai choisi de conserver un point d'accès externe.
Concentrer sur le FW la fonction de point d'accès ne me paraissait pas une bonne idée et bien que je n'ai pas fait d'essai dans cette direction, je me suis dit, au feeling je l'avoue, que DD-WRT est plus efficace et souple que ce que pourrait faire pfSense en ce qui concerne le wifi.

Par ailleurs, au delà du strict aspect débit lié au fait que le WRT45 est ancien, je suis surpris que, si celui-ci ne fait que AP, il soit saturé. j'en ai plusieurs (dont je ne me sers d'ailleurs plus  :-[ ) que j'ai utilisé dans cette config sans jamais de problème de charge. J'ai finalement changé pour des aspects bande passante.

ça ne résout pas du tout ton problème (je n'ai pas joué avec les aspects bridge de pfSense), c'est juste un partage d'expérience  ;)

Arnaud

Salut chris4916, effectivement lorsque le WRT-54 fais uniquement office de point wifi, il tien la route, mais j'avoue que ça me saoule un peut de devoir faire des routages de ports vers mes périphérique wifi afin d'y accéder depuis mon réseau filaire (à moins que je fasse du bridge via le DD-WRT ? je ne m'y connais pas encore assez). Pour faire simple je bosse dans un labo et j'ai mis mes serveurs de calculs dans la pièce réfrigérée qui est à coté, connecté en wifi à mon LAN perso.
Vu que le service informatique nous attribue une conf réseau (via DHCP/Adresse MAC), pour pas perdre mon temps et me simplifier la vie je spoof l'adresse mac que j'avais déclarée à l'époque avec le routeur et j'ai créé mon propre sous réseau. Ca me simplifirait bien la vie d'avoir tout sur une seule machine, et ça serait plus discret..  ;D

Mais c'est vrai qu'un DD-WRT est bien plus poussé niveau configuration wifi, mais j'en ai pas l’intérêt, je veux juste un simple point d'accès, et d’après les tutos ça avait l'air simple comme bonjour avec le bridge  :-\ Peut être que les tutos ont été fait avec une autre version de Pfsense  :o

Gertjan

Bonjour,

Pourquoi créer un interface dans pfSEnse ?
J'ai depuis des années un WRT54GS  (avec DD-WRT) dans mon LAN (192.168.1.0/24)
Pense à

1. arrêter le serveur DHCP dans le WRT54GS
2. déclarer le serveur local DNS et passerelle l'IP de pfSense (192.168.1.1)
3. mieux faut déclarer un mot de passe 'fort' pour la connexion "Wifi".
4. ne pas utiliser la porte WAN de WRT54GS , mais un des ces portes LAN.
5. Connection Type : disabled.
   et ça roule.

Du coup, mes appareils branché en Wifi peuvent 'voir' les appareils branché par le RJ45 (filaire) et vise versa. Le réseau "Crosoft" est parfaitement opérationnelle.

Arnaud

Ahhhh pas bête Gertjan !!! Merci du conseil  :D
Oui dans ce cas le WRT-54 ne sert plus que de "switch" wifi  , effectivement dans ce cas, ça serait parfait , je vais essayer ça !
Encore merci  :)

EDIT :

Bon super ça marche avec la solution de Gertjan , en plus du coups je me sert du WRT-54GL comme switch du coups :)
Je ne marque pas encore résolu, je reste curieux de savoir comment on peut faire ça directement avec Pfsense ..

chris4916

@Arnaud:

Ahhhh pas bête Gertjan !!! Merci du conseil  :D
Oui dans ce cas le WRT-54 ne sert plus que de "switch" wifi  , effectivement dans ce cas, ça serait parfait , je vais essayer ça !
Encore merci  :)

J'avoue ne pas comprendre comment tu avais configuré ton point d'accès wifi avant car la description de Gertjan est le fonctionnement "naturel" en mode gateway non ?

Arnaud

Je l'avais branché en mode routeur,  sortie lan du Pfsense > wan WRT-54  , du coups ça me faisait un sous sous réseau dans mon sous réseau ..  ::) ;D

chris4916

@Arnaud:

Je l'avais branché en mode routeur,  sortie lan du Pfsense > wan WRT-54  , du coups ça me faisait un sous sous réseau dans mon sous réseau ..  ::) ;D

Si je peux me permettre, juste pour être très précis, l'utilisation du port "WAN' n'y est pour rien.
Comme je te le disais, mon utilisation est très similaire à la tienne et mon point d'accès wifi (ici un Asus) est connecté au LAN (filaire) via l'interface identifiée comme WAN sans que cela génère un sous-réseau.

Ce qui est important, c'est le mode d'utilisation de cet équipement:

• en mode routeur, il va faire du routage, donc gérer son propre sous-réseau
• en mode répéteur ou "point d'accès", il n'y a pas de routage et tu peux utiliser le port "WAN" comme un port standard, ce qui peut être utile si tu as besoin (c'est mon cas) de la fonction switch de ton équipement

Je n'ai pas de WRT45 branché sous la main mais de mémoire la terminologie est similaire avec DD-WRT.