Config Wifi avec plusieurs routeurs WIFI
-
Bonjour à tous
Je viens poster ici une question concernant une configuration que je dois effectuer pour l'école qui m'emploie et pour laquelle je n'ai pas d'idée quand à l'architecture que je dois mettre en place
Voici tout d'abord quelques éléments de la configuration en place ici
Contexte : Lycee avec une pfsense fonctionnelle depuis plusieurs années.
WAN : Multi WAN avec 3 FAI différents SFR,Orange (192.168.4.254) et OVH (192.168.1.1) , failover configuré dans cet ordre. Une seule ip publique (SFR)
Interfaces : En dehors des 3 interfaces dediées à mes FAI , j'ai les 3 autres interfaces suivantes : PEDAGOGIE, ADMINISTRATION, MIXTE correspondant à 3 VLAN differents afin d'isoler les flux des eleves (PEDAGOGIE) des flux de l'administration du lycee (ADMINISTRATION) , l'interface MIXTE et son VLAN est utilisé pour les ressources partagées entre PEDAGOGIEet ADMINISTRATION à savoir des imprimantes réseau.
LAN et VLAN: PEDAGOGIE VLAN 11, ADMINISTRATION VLAN 16, MIXTE VLAN 13
Regles : Quelques regles d'ouverture/blocage de port , aucun DHCP configuré sur la pfsense,
La question : je voudrais que vous m'expliquiez comment mettre en place une solution WIFI destinée aux élèves en sachant que je veux :
-
Separer les flux wifi de tout le reste
-
Utiliser la connexion OVH pour faire transiter les flux WIFI
-
La pfsense devra faire du DHCP avec des adresses IP en 192.168.1.X (environ 100ip)
-
Utiliser 5 routeurs CISCO AE4500 pour tous les espaces communs éloignés (cantine, salle des eleves, foyer, internet filles, internat garcons) : un VLAN séparé ?
- Puis 2 routeurs DAP 2695 TPLINK pour un batiment d'internat eloigné , un autre VLAN ?
-
Utiliser le portail captif pfsense avec une identification radius (qui existe et est utilisé par ailleurs pour d'autres applis) des eleves et un squid.
-
-
-
Sauf si il y a un truc que j'ai loupé dans ton explication, ç à l'air assez simple:
configure sur tes routeurs un port avec le VLAN 14 ou 15 (je ne sais pas pourquoi tu fais 2 VLAN différents pour ton réseau. 2 SSID ?
Tu fais monter ces VLAN jusqu'à pfSense via ton trunk (si tu es en trunk) ou sur une interface dédiée puis pour cette interface, tu crées des règles de FW en activant l'option policy routing dans la quelle tu stipule la gateway que tu veux utiliser.Par contre le DHCP avec des IP en 192.168.1.0/24, ce n'est pas compatible avec l'IP de ton WAN OVH ;)
Attention à un petit poin de détail qui n'en est finalement peut-être pas un: si les postes en wifi utilisent également le proxy HTTP, ce que je t'ai décrit ne fonctionne pas car la source, coté FW, c'est Squid.
Dans ce cas, il faut réfléchir un peu plus :P
-
Par contre le DHCP avec des IP en 192.168.1.0/24, ce n'est pas compatible avec l'IP de ton WAN OVH ;)
On rappellera que Pfsense nécessite que chaque interface réseau, physique ou logique, soit connectée à un sous réseau unique par rapport à l'ensemble des sous réseaux (ou réseaux) existant sur l'infrastructure.
Au passage, si vous en avez encore la possibilité, évitez les réseaux 192.168.0.0/24 et 192.168.1.0/24 qui sont utilisés très largement par tout le monde. Dès que vous allez devoir traiter un besoin d'interconnexion (ou un simple client vpn) vous allez tomber sur ces numéros de réseaux et rencontrer des problèmes de routage. Pour éviter cela choisissez des réseaux moins usités (192.168.x.0/24, x > 1) C'est juste une précaution de confort pour l'avenir. L’adoption de cette méthode depuis plus de 10 ans m'a simplifié la vie plus d'une fois. Après on peut ne pas avoir de chance et trouver par exemple (vécu) un 192.168.19.0/24 de chaque côté. -
OK ca commence à s'éclaircir, je commence à voir en effet le lien avec VLAN/interfaces , etc …
En effet je ne garderai qu'un seul VLAN, j'avais pensé à 2 SSID différents mais au final ,je n'en ai pas besoin.
Chris, pourquoi (en dehors de la réponse de ccnet) ecris tu
Par contre le DHCP avec des IP en 192.168.1.0/24, ce n'est pas compatible avec l'IP de ton WAN OVH ;)
Je ne comprend pas l'incompatibilité, mon OVH etant en 192.168.1.1
Et merci ccnet pour le conseil pour cette précaution de ss réseaux vraiment différenciés
-
simplement parce que tu ne peux pas avoir 192.168.1.x en interne et 192.168.1.1 en externe, sur 2 interface de pfSense, qui plus est, une WAN, une LAN
-
Si wan est connecté en utilisant le réseau 192.1681.0/24 ( routeur ovh 192.168.1.1 donc réseau 192.1681.0/24 utilisé sur Wan) alors il ne peut y avoir un autre réseau avec ce numéro.
pfsense devra faire du DHCP avec des adresses IP en 192.168.1.X (environ 100ip)
c'est bien pour les utilisateurs d'un des lan (administration, pédagogique ou mixte) ?
Donc pas de DHCP possible fournissant des ip sur 192.168.1.0/24, ce DHCP étant Pfsense ou autre chose sur un des lan. -
Si wan est connecté en utilisant le réseau 192.1681.0/24 ( routeur ovh 192.168.1.1 donc réseau 192.1681.0/24 utilisé sur Wan) alors il ne peut y avoir un autre réseau avec ce numéro.
pfsense devra faire du DHCP avec des adresses IP en 192.168.1.X (environ 100ip)
c'est bien pour les utilisateurs d'un des lan (administration, pédagogique ou mixte) ?
Donc pas de DHCP possible fournissant des ip sur 192.168.1.0/24, ce DHCP étant Pfsense ou autre chose sur un des lan.Oui, oui bien sur
Merci de vos réponses ,je vais m'attaquer à tout cela des demain
-
Hello ,
Juste pour vous remercier de votre aide efficace, j'ai mis en oeuvre ce que vous m'avez proposé sans trop de soucis, j'ai juste un probleme avec l'acces au portail captif mais cela fera peut être l'objet d'une autre question plus tard
merci encore