Nouvelle installation PF Sense

dg85

Il me semble que les point d'acces netgear ont 2 fréquences différente, (2.4 Ghz et 5 ghz), Lorsque je les connectes il y a 2 réseau visible.
Mais de toute façon, je ne compte pas utiliser le même routeur WIFI pour le réseau entreprise et le réseau public j'ai bien l'intention de séparer physiquement les points d'accès.

J'ai bien lu le "A lire en premier" mais je n'ai pas compris toutes les questions je vais essayer de vous donner une idée de mon niveaux.
J'ai parcouru aussi le "pour les débutant" et ça fait bien 2 semaines que je passe du temps sur ce site http://irp.nain-t.net/doku.php qui est très intéressant mais qui demande quand même un peu de connaissances de base.
J'ai une formation en électronique (BTS en 1987) mais je n'ai jamais travaillé dans ce domaine.

Contexte : Entreprise sur 2 sites 10 à 12 poste par site y compris les imprimantes et traceur
niveau expertise de l'administrateur : notion très légère
age de la solution firewall  ????
Pour une nouvelle installation

Besoin : Un accès Internet par le modem partageable sur 2 sous réseaux.
Un sous réseau ouvert en accès uniquement wifi et uniquement accès à internet
Un sous réseau fermé (mot de passe wifi) ayant accès au NAS et au wifi et internet
Une liaison VPN entre les 2 sites

Schéma : je vais essayer de faire un beau dessin

Question : Problème précis rencontré et questions posées, …
Pas de problèmes réel, je souhaite juste utiliser ce qui est à ma disposition

Pistes imaginées
néant

Logs et tests : complément de "Recherches" : quels sont les résultats des tests effectués (section qui ne peut être vide !)
Pour l'instant j'ai juste chercher à avoir accès aux pages web des différents élément et cela à marché

Je joint une photo des pare feux à ma disposition.

Didier

chris4916

;D ;D ;D
C'est bien sympa d'avoir reformulé ton premier post une deuxième fois en y mettant les formes.
Mais bon, le premier était déjà très clair  ;)

Un petit point à noter en ce qui concerne ton matériel: le Celeron J1900 de tes boitiers sur lesquels est installé pfSense convient parfaitement, en terme de puissance, pour supporter les services dont tu pourrais avoir besoin avec un accès ADSL.
Avec un accès fibre à 100 Mb/s ça va le faire également mais pas beaucoup plus.

Le vrai problème potentiel est que:

• le débit du tunnel IPSec que tu vas monter entre les 2 sites va être limité par le CPU qui ne supporte pas AES-NI (donc même en fibre des 2 cotés, tu ne va pas saturer la bande passante du lien
• plus important: ce manque de support de AES-NI fait que tu ne pourras pas passer en pfSense 2.5

https://www.netgate.com/blog/pfsense-2-5-and-aes-ni.html

Ce n'est pas nécessairement un problème bloquant et tu peux déjà démarrer comme ça dans tous les cas.

Pour ce qui est du wifi:
Exposer du Wifi à 2,4 et 5 GHz implique bien d'avoir 2 "réseaux wifi" différents mais un point d'accès qui permet plusieurs SSID te permet d'avoir plusieurs réseaux Wifi, par exemple en 2,4 Ghz, à partir du même point d'accès. Tu ne gagnes rien, en terme de sécurité, à séparer physiquement ces points d'accès.

Pour me wifi "intranet", je t'invite fortement à regarder WPA2, qui est un peu plus sécurisé que WPA (avec un mot de passe) mais qui va nécessiter d'avoir un serveur Radius.

Avec le matériel à ta disposition, tu peux déjà, sans perturber l'accès internet existant, configurer un tunnel IPSec entre les 2 sites en connectant tes boitiers pfSense aux LiveBox. Attention cependant au plan d'adressage IP local de part et d'uatre qui doit être, pour faire simple, différent.

De même, tu peux mettre en place un wifi "intranet" sans impacter le wifi "internet" qui peut rester provisoirement sur la LiveBox.

La difficulté, pour conclure provisoirement sur ce point est que si tes postes de travail disposent d'un accès internet direct sans contrôle et peuvent ensuite se connecter sur le réseau local, il devient très difficile de s'assurer que lors de leur session de surf "libre", ils n'ont pas télécharger du code qui va se déployer ensuite sur le LAN.
Mais c'est plus un problème de gestion des devices et des outils associés qu'un problème directement lié à pfSense.

dg85

Je joint un organigramme de ce que je souhaite.
Je résume de ce que j'ai compris de mes différente lectures :

-Les réseaux du site 1 et 2 ne doivent pas avoir les même masque
-Le lien vpn doit avoir lui aussi un masque différent
-Mon boitier PFsense doir avoir 4 cartes réseaux différentes:
  -1x WAN1 vers modem internet
  -1x WAN2 vers lien VPN
  -1x LAN1 pour 1 sous réseau interne
  -1x LAN2 pour un autre sous reseau interne

La configuration du pfsense va me permettre
-d'attribuer à chaque sortie (lan1 à 4 sur le boitier) une fonction bien spécifique.
-creer un bridge pour le partage de l'acces internet

Je ne comprend toujours pas très bien comment je vais pouvoir à partir d'un poste avoir accès aux interface WEB des différent composants (modem, pfsense, routeur wifi)

Je n'ai pas accès a l'interface web du routeur ZYXELL ( je ne suis pas sur qu'il en ai une, j'ai lu quelque part qu'il fallait se connecter avec le port com pour avoir un accès aux paramètre du routeur


chris4916

Ton schéma est intéressant… mais ce n'est pas comme ça que ça marche.
Et tu n'est pas non plus obligé d'utiliser TOUS les composants que tu as trouvé.

• Tu peux en effet remplacer ta livebox par un modem en mode bridge. Mais dans ce cas, la livebox, tu la range dans un placard
• le "routeur", tu n'en as pas besoin, c'est plutôt un switch qu'il te faut
• le lien VPN passe par le même accès internet (unique) que celui auquel est connecté le modem: si tu disposes de 2 accès internet par site, alors tu peux faire des choses sympa en terme de haute dispo (si les fournisseurs d'accès sont différents) ou de répartition de charge (comme par exemple VPN sur un lien et internet sur l'autre) mais c'est un peu compliqué pour un premier design. commence simple
• peut-être est-il souhaitable d'isoler le(s) serveur(s) sur un segment dédié. Mais dans ce cas, les flux poste de travail / serveur passent tous par le FW. Va t-il tenir la charge ?

A mon avis la livebox en point d'accès wifi… ça ne marche pas  :-[

J'essaie de te faire un petit schéma de la manière dont je vois les chose d'ici ce soir, sachant qu'il n'y a pas une manière unique de couvrir le besoin que tu décris.

Et le subnet en .300 non plus :P

dg85

Très intéressé par ta proposition de schéma.

Je pense que le zyxell est bien un switch, mais surement par manque d'habitude à traiter ce type de sujet, j'appelle toutes les boites qui ont plein de RJ45 des routeurs  ;D

Pour la livebox, j'ai fait un essai, et si je la branche sans la connecter à la RJ11, en limitant sa plage DHCP, elle me distribue bien des accès internet sur les tel ANDROID de la maison.

Je n'ai qu'un seul FAI pas site mais pour l'instant, je ne cherche à faire que du transfert de fichier.

En fait j'ai ramener tous ce petit matériel chez moi pour les test. Je n'ai laissé à l'usine que la livebox.

chris4916

Tu peux par exemple le faire comme ça (dans une représentation qui ressemble à la tienne  ;))

• un subnet différent par segment, par exemple impair à gauche et pair à droite  ;)
• le tunnel VPN en IPSec (et pas en OpenVPN). tu ne te soucies pas d'adresse de tunnel et autres trucs de ce genre et IPSec est plus adapté à ton usage ici. Il n'y a pas de WAN dédié.
• j'ai mis le wifi "publique" sur un port du boitier pfSense. Tu peux aussi le faire avec du VLAN selon ce que ton switch supporte. ça revient à peu près au même: du point de vue de pfSense, tu vas gérer des règles de FW pour contrôler les flux.
• de même le NAS pourrait être sur un VLAN dédié

Comme je l'écrivais un peu plus haut, il y a d'autres manières de le faire.

• le "modem" peut être en mode bridge, auquel cas, l'IP publique est supportée par le boitier pfSense qui fait du PPPoE
• tu peux envisager de segmenter un peu plus ton réseau local

dg85

Merci de ce schéma, bien sûr des subnet en + de 255 ça doit pas marcher bien, en faisant le dessin ça ne m'a absolument pas traversé l'esprit :-[.
J'était parti sur du openvpn parce que en parcourant le forum, il m'avait semblé que le ipsec etait plus dur à mettre en place.

Je pense avoir maintenant de quoi demarrer une config d'essai.
Je tente ça le week end prochain et je mettrais des captures d'écran de PFsense.

Je ne comprend toujours pas très bien comment je vais pouvoir à partir d'un poste avoir accès aux interface WEB des différent composants (modem, pfsense, routeur wifi) mais j'avance un peu, il semble qu'il faudra gérer ça avec les regles de FW.

Didier

jdh

Si j'ai écrit que le post initial ne respectait pas le formulaire A LIRE EN PREMIER, c'est que c'était un inventaire et une recherche de schéma.
Il est calir qu'il est alors difficile de préciser WAN, LAN, …

Je réécrit les choses déjà écrites pour être bien compris :

• Les livebox :
    * si on veut utiliser pfSense, ce n'est pas pour utiliser le Wifi des livebox en amont ! (ceux qui écrivent le contraire vous donne un mauvais conseil)
    * on a donc intérêt à remplacer les Livebox par les boitiers DSL-320 : mais cela peut dépendre du type d'accès Internet, p.e. je remplace des Neufbox par des DSL-320B pour des ADSL SFR.
• Point d'accès Wifi :
    * même avec 2 antennes et 2 fréquences, le WAC104 ne propose qu'un (B)SSID, donc un seul signal (et sans VLAN)
    * puisque vous avez besoin de 2 signaux Wifi, il vous faudra soit 2 point d'accès soit un nouveau (Chez Netgear vous pouvez chercher WAC505, WAC510, WAC720 ou WAC730)
• Les switchs Zyxel doivent permettre, grâce au VLAN, d'avoir plusieurs réseaux : par exemple, les PC d'un côté, les serveurs (NAS) de l'autre.

Bien sur les réseaux seront distincts sur chaque site : exemple

site 1
LAN/ PC : VLAN 8, adressage 192.168.8.0/255.255.255.0
LAN / SRV : VLAN 9, adressage 192.168.9.0/255.255.255.0
WIFI / Bureau : VLAN 10, adressage 192.168.10.0/255.255.255.0
WIFI / Guest : VLAN 11, adressage 192.168.12.0/255.255.255.0

site 2
LAN/ PC : VLAN 16, adressage 192.168.16.0/255.255.255.0
LAN / SRV : VLAN 17, adressage 192.168.17.0/255.255.255.0
WIFI / Bureau : VLAN 18, adressage 192.168.18.0/255.255.255.0
WIFI / Guest : VLAN 19, adressage 192.168.19.0/255.255.255.0

Comme vous n'avez pas précisé le type d'accès Internet, et que je suppose qu'il s'agit d'ADSL, je répète qu'il ne faudra pas s'attendre à une grande performance d'un VPN.
(VPN plutôt IPsec mais OpenVpn peut aussi très bien fonctionner ...)

NB : Il est nécessaire de crypter les signaux Wifi, c'est votre responsabilité légale qui est en jeu (si on l'utilise à votre insu) !

chris4916

IPSec n'est pas plus compliqué que OpenVPN. Il faut juste faire attention en cas de double NAT. Mais d'un autre côté, il n'y a pas de questions existentielles comme l'adresse du tunnel dont l'utilité est souvent mal comprise.

Pour faire ton PoC, tu peux juste connecter les WAN des pfSense avec un simple câble ethernet en leur attribuant 2 IP dans un sujet dédié.

En fonction de tes contraintes, sans ajouter de matériel, il te faudra choisir entre du wifi "intranet" et du wifi "publique". La livebox pour la partie wifi publique, je n'ai jamais essayé mais je n'y crois pas trop.

dg85

Je n'ai pas précisé le type de connexion car sur les 2 sites nous n'avons que l'ADSL (pas d'accès à la fibre)
J'ai compris sur ce forum que l'on pouvait améliorer les performances et la qualité de la connexion en multipliant les FAI. Ce n'est pas d'actualité pour moi (mais c'est intéressant de la savoir, peut être qu'un jour …).

Je ne sait pas si il existe d'autre mode de transfert (je n'ai rien vu de grand public dans le "Pour les débutants")

Vous me dite qu'il peut être intéressant de séparer en sous réseau les serveur et les PC, je ne comprend pas bien le but de cette séparation ?

Pour le cryptage du WIFI, ça aussi je ne le savais pas. Sur nos 2 sites, il faut être dans le bâtiment pour capter. Ca ne passe pas sur le terrain je ne parle même pas de la voie publique qui est à plusieurs centaines de mètres. Partant du principe que tous les salariés ont accès à ce WIFI, même si je le crypte il faudra bien que je leur donne la clef et il aura toujours le risque qu'ils la diffusent autour d'eux.

chris4916

@dg85:

J'ai compris sur ce forum que l'on pouvait améliorer les performances et la qualité de la connexion en multipliant les FAI. Ce n'est pas d'actualité pour moi (mais c'est intéressant de la savoir, peut être qu'un jour …)

Je ne sais pas où tu as lu ça mais pour augmenter le débit avec 2 lignes ADSL, c'est assez difficile, surtout sans équipement dédié à chaque extrémité de la connexion.
Par ailleurs, le A de ADSL vient de "asymétrique". Si tu n'est pas en VDSL, le débit est fortement asymétrique et le débit "montant" (depuis ton site vers internet) est souvent faible. Du coup, entre tes 2 sites, il y a toujours un sensqui est montant, donc débit assez faible.

Je ne sait pas si il existe d'autre mode de transfert (je n'ai rien vu de grand public dans le "Pour les débutants")

A quoi fais tu allusion ? un mode de transfert de quoi ?

Vous me dite qu'il peut être intéressant de séparer en sous réseau les serveur et les PC, je ne comprend pas bien le but de cette séparation ?

Le but, en isolant le(s) serveur(s) des postes de travail, c'est de t'assurer que tu contrôle bien les flux entre ces 2 extrémités, ce qui rend le serveur moins vulnérables aux attaques qui peuvent venir des postes de travail, lesquels sont plus sujet aux virus et autres malware.

dg85

Les 2 lignes, j'avais lu ça ici : https://www.provya.net/?d=2017/11/24/11/31/31-pfsense-configurer-un-dual-wan-plusieurs-connexions-internet

Mon manque de vocabulaire me perdra, j'appelle "mode de transfert" le type de connexion à internet je n'en connais que 3 ADSL, VDSL, FIBRE.

Je comprend que la séparation en sous réseau va isoler certain segment. Mais comme je n'ai toujours pas compris comment faire passer les infos d'un réseau à l'autre, pour l'instant je me limite à 2 lan et 1 wan

Situation actuelle

1-Mon DSL-320B est installer en mode bridge (adresse de config 192.168.1.1)
J'ai commencer par le réinitialiser, mettre un poste en IP fixe sur le même segment que le DSL pour accéder à l'interface WEB là j'ai configurer en bride.

2-Mon routeur WIFI netgear est configurer en serveur dhcp sur 192.168.10.1
J'ai commencer par le réinitialiser, mettre un poste en IP fixe sur le même segment que le routeur wifi pour accéder à l'interface WEB là j'ai configurer en serveur dhcp sur 192.168.10.1

3-Mon PFsense est configurer avec 1 wan et 2 lan
J'ai commencer par sauvegarder sa config.
Ensuite je suis passé en paramètre usine (remise à zéro)
J'ai utiliser le WIZARD qui m'a créer le LAN et WAN j'ai donc
      un WAN sur le lan1 configurer en ppoe sur 192.168.0.1
      un LAN1 sur le lan2 configurer en ipstatic sur 192.168.10.1
J'ai ajouter un LAN2 sur le lan3 configurer en serveur DHCP sur 192.168.100.1.

(lan1 lan2 lan3 sont les étiquettes collée sur le boitier PFsense associé à une adresse MAC et un port RJ45)

L'ensemble fonctionne
Les postes reliés au LAN1 ont accès au WEB et aux autre postes
Les postes reliés au LAN2 (WIFI netgear) n'ont accès que au WEB

Dans PFsense je n'ai touché que aux interfaces (rien dans routing, rules, firewall etc…)
Je dis que l'ensemble fonctionne, mais je pense que le parefeux ne protège rien. Qu'en pensez vous ?
Autre problème, je ne parvient plus à me connecter au interfaces web du Dlink et du netgear. Comme ils sont sous un autre sous réseau c'est normal, mais je pensait pouvoir créer une route. Pouvez vous me dire si cette manip est possible et par quel moyen ?

Oui, je sait que ces questions prouvent à quel point je n'y connait rien ;)

chris4916

J'avoue ne pas y comprendre grand chose.
Je pense qu'un schéma serait beaucoup plus parlant et clair.

J'ai l'impression que dans tes explications, LAN1 c'est parfois l'interface de ton boitier pfSense que tu as configuré… en WAN et parfois le segment qui te sert vraiment de LAN.

Je ne comprends pas non plus comment est connecté ton point d'accès Wifi qui est serveur DHCP (pour les postes en Wifi je pense) avec un range identique (même si tu ne précises pas les netmask) à l'interface du pfSense à laquelle il est connecté  ???

dg85

Ce que j'ai écrit en majuscule correspond au nom de l'interface dans PFsense (WAN, LAN1, LAN2)
ce qui est en minuscule correspond aux prises RJ45 du boitier PFsense  (lan1, lan2, lan3)

jdh

C'est sur qu'un schéma, avec les adressages complets, serait mieux.

Sur le boitier firewall est sérigraphié Lan1,2,3,4, mais rien n'empêche de coller des étiquettes : WAN, LAN, WIFI, …

Boitier DSL320-B :
Votre config est exactement ce qu'il faut faire (mode Bridge RFC1483).
Il faut alors mentionner que WAN de pfSense doit alord être configuré en PPPoE avec les identifiants fournis.

Boitier Netgear WAC104 :
Malgré le Datasheet où il est mentionné en 'Point d'accès', il s'agit d'un routeur.
Votre config n'est pas la meilleure :
Côté LAN du routeur : il faut configurer juste une @ip LAN et ^pas de DHCP.
Côté WAN du routeur : il faut configurer une @ip statique dans un réseau totalement inutilisé (192.168.254.254/24).
Enfin il faut brancher un câble entre pfSense et un port LAN (oui) de ce routeur.
Avec ce mode de config, le routeur devient juste un point d'accès, le pfSense est le serveur DHCP de ce réseau !
Bien plus simple.

Config pfSense :
Vous êtes ainsi arrivé à une config assez simple :

• WAN : PPPoE, relié au boitier DSL320 qui est un bridge ADSL/Ethernet, adresse publique auto fournie par Orange (qui fournit aussi un DNS),
• LAN : ethernet statique, fournir du DHCP
• WIFI : eethernet statique, relié au WAC104 (sur le LAN du boitier), fournir du DHCP.

Un pfSense normalement initialisé n'a qu'une règle : LAN / par défaut.
Il faudra bien sur ajouter les bonnes règles dans l'onglet WIFI.

Si Wifi est un wifi guest, il faut commencer par une règle d'interdiction vers LAN ...

chris4916

Ah !  ;D

Le nom sur les étiquettes des interfaces du boitier pfSense ne présente pas d'intérêt et ne donne aucune information technique.

Au risque de répéter: un schéma t'aiderait beaucoup.

Finalement, ton point d'accès wifi est sur le segment LAN ou sur un segment dédié ?
Et en 192.168.10.1, il y a quoi ? une des interfaces de pfSense ou le point d'accès wifi ?

Si tu ne maitrises pas trop ces histoires de route, le plus simple est définitivement de configurer pfSense comme serveur DHCP pour l'ensemble des postes/clients (filaires et Wifi). ton point d'accès wifi n'est pas obligé de servir de serveur DHCP  ;)

Et l'accès à l'interface de ton "modem" ne nécessite pas de route particulière: un poste sur le LAN a une route par défaut qui est l'interface de pfSense, lequel connait la route vers le "modem".

dg85

Ok,

Merci Jdh, et chris4916 cela me semble plus clair.

Je pense quand même que le WAC104 n'est pas un routeur (voir PDF joint)

J'espérais remettre tout ça en route rapidement sur le site mais je me rend compte que je suis beaucoup trop limité en connaissance pour assurer une installation correcte.

Je vais donc continuer à me familiariser avec ce matériel et essayer de bien le prendre en main.

Pour ce qui est de mon besoin en lien VPN, ce sera dans un second temps. Quand j'aurais bien assimilé les bases.

Pour l'instant, je reste sur la config suivante :

modem      : DLINK en bridge
PFsense    : WAN1 en ppoe
                    LAN_filaire sur switch zyxel
                    LAN_wifi sur WAC104
WAC104    : Point d'acces wifi

interdiction de LAN_WIFI vers LAN_filaire
PFsense en seul serveur DHCP

Quand j'aurais finalisé, je mettrais quand même des étiquettes sur les ports RJ. La première fois où j'ai toucher ce boitier PFsense, je n'ai pas imaginé une seconde que chaque port représentait une carte réseau. Je ne suis pas loin de la retraite, et mon successeur ne sera surement pas informaticien lui non plus ;D

chris4916

@dg85:

Je pense quand même que le WAC104 n'est pas un routeur (voir PDF joint)

Effectivement, il n'y a pas d'interface "WAN" sur ce point d'accès Wifi et donc, comme l'explique la documentation, il fut utiliser le serveur DHCP du routeur (ici pfSense)

The access point functions as a WiFi access point and LAN switch for Internet access but does not provide routing services such as NAT and does not include a DHCP server. Basically, the access point functions as a bridge between your existing router and the access point’s LAN and
WiFi clients, which receive an IP address from or through the router.

donc pfSense est le serveur DHCP pour les clients Wifi.

Du coup, il faut juste faire une réservation d'adresse IP pour l'adresse MAC du WAC104 que tu connectes à pfsense afin que l'IP du point d'accès ne change pas.

(par défaut, comme le dit la doc de Netgear, le WAC104 est client DHCP)

@dg85:

Pour ce qui est de mon besoin en lien VPN, ce sera dans un second temps. Quand j'aurais bien assimilé les bases.

un tunnel IPSec, c'est le plus simple

jdh

Mea culpa, le Netgear WAC104 est bien un point d'accès.
Mon erreur vient du fait qu'il est doté de 4 prises RJ alors qu'un point d'accès ne comporte qu'une seule prise RJ usuellement (j'utilise des Netgear WNAP 210 avec une seule prise mais multiples SSID).
Ces prises RJ fonctionnent comme un switch permettant de brancher une imprimante, … mais c'est sans grand intérêt puisque en 10/100.

Je confirme que, même si ce Netgear peut être serveur DHCP, ce n'est pas très malin de le faire puisque pfSense saura 'mieux' le faire.

Je suggère de fixer l'adresse de ce boitier plutôt qu'il soit client DHCP.
Par exemple, 192.168.11.1/24 pour le pfSense et 192.168.11.2/24 pour le netgear WAC104.

Ce Netgear est l'élément le plus faible du lot de matériel car c'est un simple point d'accès (grand public) avec un seul SSID : en entreprise, on préfèrera un point d'accès multi-SSID.

dg85

Ci joint une page du manuel, j'ai bien la possibilité de créer 2 SSID.
Mais visiblement ils seront sur le même sous réseau.

J'opte bien pour la solution que vous préconisez, PFsense en serveur DHCP et le netgear en ip fixe.
Le lan wifi sera uniquement sur le netgear et séparer du lan filaire.

Si par la suite je veut ajouter du wifi pour le lan filaire, je prendrais un autre point d'acces que je brancherais sur le routeur du lan filaire