Nouvelle installation PF Sense

dg85

Très intéressé par ta proposition de schéma.

Je pense que le zyxell est bien un switch, mais surement par manque d'habitude à traiter ce type de sujet, j'appelle toutes les boites qui ont plein de RJ45 des routeurs  ;D

Pour la livebox, j'ai fait un essai, et si je la branche sans la connecter à la RJ11, en limitant sa plage DHCP, elle me distribue bien des accès internet sur les tel ANDROID de la maison.

Je n'ai qu'un seul FAI pas site mais pour l'instant, je ne cherche à faire que du transfert de fichier.

En fait j'ai ramener tous ce petit matériel chez moi pour les test. Je n'ai laissé à l'usine que la livebox.

chris4916

Tu peux par exemple le faire comme ça (dans une représentation qui ressemble à la tienne  ;))

• un subnet différent par segment, par exemple impair à gauche et pair à droite  ;)
• le tunnel VPN en IPSec (et pas en OpenVPN). tu ne te soucies pas d'adresse de tunnel et autres trucs de ce genre et IPSec est plus adapté à ton usage ici. Il n'y a pas de WAN dédié.
• j'ai mis le wifi "publique" sur un port du boitier pfSense. Tu peux aussi le faire avec du VLAN selon ce que ton switch supporte. ça revient à peu près au même: du point de vue de pfSense, tu vas gérer des règles de FW pour contrôler les flux.
• de même le NAS pourrait être sur un VLAN dédié

Comme je l'écrivais un peu plus haut, il y a d'autres manières de le faire.

• le "modem" peut être en mode bridge, auquel cas, l'IP publique est supportée par le boitier pfSense qui fait du PPPoE
• tu peux envisager de segmenter un peu plus ton réseau local

dg85

Merci de ce schéma, bien sûr des subnet en + de 255 ça doit pas marcher bien, en faisant le dessin ça ne m'a absolument pas traversé l'esprit :-[.
J'était parti sur du openvpn parce que en parcourant le forum, il m'avait semblé que le ipsec etait plus dur à mettre en place.

Je pense avoir maintenant de quoi demarrer une config d'essai.
Je tente ça le week end prochain et je mettrais des captures d'écran de PFsense.

Je ne comprend toujours pas très bien comment je vais pouvoir à partir d'un poste avoir accès aux interface WEB des différent composants (modem, pfsense, routeur wifi) mais j'avance un peu, il semble qu'il faudra gérer ça avec les regles de FW.

Didier

jdh

Si j'ai écrit que le post initial ne respectait pas le formulaire A LIRE EN PREMIER, c'est que c'était un inventaire et une recherche de schéma.
Il est calir qu'il est alors difficile de préciser WAN, LAN, …

Je réécrit les choses déjà écrites pour être bien compris :

• Les livebox :
    * si on veut utiliser pfSense, ce n'est pas pour utiliser le Wifi des livebox en amont ! (ceux qui écrivent le contraire vous donne un mauvais conseil)
    * on a donc intérêt à remplacer les Livebox par les boitiers DSL-320 : mais cela peut dépendre du type d'accès Internet, p.e. je remplace des Neufbox par des DSL-320B pour des ADSL SFR.
• Point d'accès Wifi :
    * même avec 2 antennes et 2 fréquences, le WAC104 ne propose qu'un (B)SSID, donc un seul signal (et sans VLAN)
    * puisque vous avez besoin de 2 signaux Wifi, il vous faudra soit 2 point d'accès soit un nouveau (Chez Netgear vous pouvez chercher WAC505, WAC510, WAC720 ou WAC730)
• Les switchs Zyxel doivent permettre, grâce au VLAN, d'avoir plusieurs réseaux : par exemple, les PC d'un côté, les serveurs (NAS) de l'autre.

Bien sur les réseaux seront distincts sur chaque site : exemple

site 1
LAN/ PC : VLAN 8, adressage 192.168.8.0/255.255.255.0
LAN / SRV : VLAN 9, adressage 192.168.9.0/255.255.255.0
WIFI / Bureau : VLAN 10, adressage 192.168.10.0/255.255.255.0
WIFI / Guest : VLAN 11, adressage 192.168.12.0/255.255.255.0

site 2
LAN/ PC : VLAN 16, adressage 192.168.16.0/255.255.255.0
LAN / SRV : VLAN 17, adressage 192.168.17.0/255.255.255.0
WIFI / Bureau : VLAN 18, adressage 192.168.18.0/255.255.255.0
WIFI / Guest : VLAN 19, adressage 192.168.19.0/255.255.255.0

Comme vous n'avez pas précisé le type d'accès Internet, et que je suppose qu'il s'agit d'ADSL, je répète qu'il ne faudra pas s'attendre à une grande performance d'un VPN.
(VPN plutôt IPsec mais OpenVpn peut aussi très bien fonctionner ...)

NB : Il est nécessaire de crypter les signaux Wifi, c'est votre responsabilité légale qui est en jeu (si on l'utilise à votre insu) !

chris4916

IPSec n'est pas plus compliqué que OpenVPN. Il faut juste faire attention en cas de double NAT. Mais d'un autre côté, il n'y a pas de questions existentielles comme l'adresse du tunnel dont l'utilité est souvent mal comprise.

Pour faire ton PoC, tu peux juste connecter les WAN des pfSense avec un simple câble ethernet en leur attribuant 2 IP dans un sujet dédié.

En fonction de tes contraintes, sans ajouter de matériel, il te faudra choisir entre du wifi "intranet" et du wifi "publique". La livebox pour la partie wifi publique, je n'ai jamais essayé mais je n'y crois pas trop.

dg85

Je n'ai pas précisé le type de connexion car sur les 2 sites nous n'avons que l'ADSL (pas d'accès à la fibre)
J'ai compris sur ce forum que l'on pouvait améliorer les performances et la qualité de la connexion en multipliant les FAI. Ce n'est pas d'actualité pour moi (mais c'est intéressant de la savoir, peut être qu'un jour …).

Je ne sait pas si il existe d'autre mode de transfert (je n'ai rien vu de grand public dans le "Pour les débutants")

Vous me dite qu'il peut être intéressant de séparer en sous réseau les serveur et les PC, je ne comprend pas bien le but de cette séparation ?

Pour le cryptage du WIFI, ça aussi je ne le savais pas. Sur nos 2 sites, il faut être dans le bâtiment pour capter. Ca ne passe pas sur le terrain je ne parle même pas de la voie publique qui est à plusieurs centaines de mètres. Partant du principe que tous les salariés ont accès à ce WIFI, même si je le crypte il faudra bien que je leur donne la clef et il aura toujours le risque qu'ils la diffusent autour d'eux.

chris4916

@dg85:

J'ai compris sur ce forum que l'on pouvait améliorer les performances et la qualité de la connexion en multipliant les FAI. Ce n'est pas d'actualité pour moi (mais c'est intéressant de la savoir, peut être qu'un jour …)

Je ne sais pas où tu as lu ça mais pour augmenter le débit avec 2 lignes ADSL, c'est assez difficile, surtout sans équipement dédié à chaque extrémité de la connexion.
Par ailleurs, le A de ADSL vient de "asymétrique". Si tu n'est pas en VDSL, le débit est fortement asymétrique et le débit "montant" (depuis ton site vers internet) est souvent faible. Du coup, entre tes 2 sites, il y a toujours un sensqui est montant, donc débit assez faible.

Je ne sait pas si il existe d'autre mode de transfert (je n'ai rien vu de grand public dans le "Pour les débutants")

A quoi fais tu allusion ? un mode de transfert de quoi ?

Vous me dite qu'il peut être intéressant de séparer en sous réseau les serveur et les PC, je ne comprend pas bien le but de cette séparation ?

Le but, en isolant le(s) serveur(s) des postes de travail, c'est de t'assurer que tu contrôle bien les flux entre ces 2 extrémités, ce qui rend le serveur moins vulnérables aux attaques qui peuvent venir des postes de travail, lesquels sont plus sujet aux virus et autres malware.

dg85

Les 2 lignes, j'avais lu ça ici : https://www.provya.net/?d=2017/11/24/11/31/31-pfsense-configurer-un-dual-wan-plusieurs-connexions-internet

Mon manque de vocabulaire me perdra, j'appelle "mode de transfert" le type de connexion à internet je n'en connais que 3 ADSL, VDSL, FIBRE.

Je comprend que la séparation en sous réseau va isoler certain segment. Mais comme je n'ai toujours pas compris comment faire passer les infos d'un réseau à l'autre, pour l'instant je me limite à 2 lan et 1 wan

Situation actuelle

1-Mon DSL-320B est installer en mode bridge (adresse de config 192.168.1.1)
J'ai commencer par le réinitialiser, mettre un poste en IP fixe sur le même segment que le DSL pour accéder à l'interface WEB là j'ai configurer en bride.

2-Mon routeur WIFI netgear est configurer en serveur dhcp sur 192.168.10.1
J'ai commencer par le réinitialiser, mettre un poste en IP fixe sur le même segment que le routeur wifi pour accéder à l'interface WEB là j'ai configurer en serveur dhcp sur 192.168.10.1

3-Mon PFsense est configurer avec 1 wan et 2 lan
J'ai commencer par sauvegarder sa config.
Ensuite je suis passé en paramètre usine (remise à zéro)
J'ai utiliser le WIZARD qui m'a créer le LAN et WAN j'ai donc
      un WAN sur le lan1 configurer en ppoe sur 192.168.0.1
      un LAN1 sur le lan2 configurer en ipstatic sur 192.168.10.1
J'ai ajouter un LAN2 sur le lan3 configurer en serveur DHCP sur 192.168.100.1.

(lan1 lan2 lan3 sont les étiquettes collée sur le boitier PFsense associé à une adresse MAC et un port RJ45)

L'ensemble fonctionne
Les postes reliés au LAN1 ont accès au WEB et aux autre postes
Les postes reliés au LAN2 (WIFI netgear) n'ont accès que au WEB

Dans PFsense je n'ai touché que aux interfaces (rien dans routing, rules, firewall etc…)
Je dis que l'ensemble fonctionne, mais je pense que le parefeux ne protège rien. Qu'en pensez vous ?
Autre problème, je ne parvient plus à me connecter au interfaces web du Dlink et du netgear. Comme ils sont sous un autre sous réseau c'est normal, mais je pensait pouvoir créer une route. Pouvez vous me dire si cette manip est possible et par quel moyen ?

Oui, je sait que ces questions prouvent à quel point je n'y connait rien ;)

chris4916

J'avoue ne pas y comprendre grand chose.
Je pense qu'un schéma serait beaucoup plus parlant et clair.

J'ai l'impression que dans tes explications, LAN1 c'est parfois l'interface de ton boitier pfSense que tu as configuré… en WAN et parfois le segment qui te sert vraiment de LAN.

Je ne comprends pas non plus comment est connecté ton point d'accès Wifi qui est serveur DHCP (pour les postes en Wifi je pense) avec un range identique (même si tu ne précises pas les netmask) à l'interface du pfSense à laquelle il est connecté  ???

dg85

Ce que j'ai écrit en majuscule correspond au nom de l'interface dans PFsense (WAN, LAN1, LAN2)
ce qui est en minuscule correspond aux prises RJ45 du boitier PFsense  (lan1, lan2, lan3)

jdh

C'est sur qu'un schéma, avec les adressages complets, serait mieux.

Sur le boitier firewall est sérigraphié Lan1,2,3,4, mais rien n'empêche de coller des étiquettes : WAN, LAN, WIFI, …

Boitier DSL320-B :
Votre config est exactement ce qu'il faut faire (mode Bridge RFC1483).
Il faut alors mentionner que WAN de pfSense doit alord être configuré en PPPoE avec les identifiants fournis.

Boitier Netgear WAC104 :
Malgré le Datasheet où il est mentionné en 'Point d'accès', il s'agit d'un routeur.
Votre config n'est pas la meilleure :
Côté LAN du routeur : il faut configurer juste une @ip LAN et ^pas de DHCP.
Côté WAN du routeur : il faut configurer une @ip statique dans un réseau totalement inutilisé (192.168.254.254/24).
Enfin il faut brancher un câble entre pfSense et un port LAN (oui) de ce routeur.
Avec ce mode de config, le routeur devient juste un point d'accès, le pfSense est le serveur DHCP de ce réseau !
Bien plus simple.

Config pfSense :
Vous êtes ainsi arrivé à une config assez simple :

• WAN : PPPoE, relié au boitier DSL320 qui est un bridge ADSL/Ethernet, adresse publique auto fournie par Orange (qui fournit aussi un DNS),
• LAN : ethernet statique, fournir du DHCP
• WIFI : eethernet statique, relié au WAC104 (sur le LAN du boitier), fournir du DHCP.

Un pfSense normalement initialisé n'a qu'une règle : LAN / par défaut.
Il faudra bien sur ajouter les bonnes règles dans l'onglet WIFI.

Si Wifi est un wifi guest, il faut commencer par une règle d'interdiction vers LAN ...

chris4916

Ah !  ;D

Le nom sur les étiquettes des interfaces du boitier pfSense ne présente pas d'intérêt et ne donne aucune information technique.

Au risque de répéter: un schéma t'aiderait beaucoup.

Finalement, ton point d'accès wifi est sur le segment LAN ou sur un segment dédié ?
Et en 192.168.10.1, il y a quoi ? une des interfaces de pfSense ou le point d'accès wifi ?

Si tu ne maitrises pas trop ces histoires de route, le plus simple est définitivement de configurer pfSense comme serveur DHCP pour l'ensemble des postes/clients (filaires et Wifi). ton point d'accès wifi n'est pas obligé de servir de serveur DHCP  ;)

Et l'accès à l'interface de ton "modem" ne nécessite pas de route particulière: un poste sur le LAN a une route par défaut qui est l'interface de pfSense, lequel connait la route vers le "modem".

dg85

Ok,

Merci Jdh, et chris4916 cela me semble plus clair.

Je pense quand même que le WAC104 n'est pas un routeur (voir PDF joint)

J'espérais remettre tout ça en route rapidement sur le site mais je me rend compte que je suis beaucoup trop limité en connaissance pour assurer une installation correcte.

Je vais donc continuer à me familiariser avec ce matériel et essayer de bien le prendre en main.

Pour ce qui est de mon besoin en lien VPN, ce sera dans un second temps. Quand j'aurais bien assimilé les bases.

Pour l'instant, je reste sur la config suivante :

modem      : DLINK en bridge
PFsense    : WAN1 en ppoe
                    LAN_filaire sur switch zyxel
                    LAN_wifi sur WAC104
WAC104    : Point d'acces wifi

interdiction de LAN_WIFI vers LAN_filaire
PFsense en seul serveur DHCP

Quand j'aurais finalisé, je mettrais quand même des étiquettes sur les ports RJ. La première fois où j'ai toucher ce boitier PFsense, je n'ai pas imaginé une seconde que chaque port représentait une carte réseau. Je ne suis pas loin de la retraite, et mon successeur ne sera surement pas informaticien lui non plus ;D

chris4916

@dg85:

Je pense quand même que le WAC104 n'est pas un routeur (voir PDF joint)

Effectivement, il n'y a pas d'interface "WAN" sur ce point d'accès Wifi et donc, comme l'explique la documentation, il fut utiliser le serveur DHCP du routeur (ici pfSense)

The access point functions as a WiFi access point and LAN switch for Internet access but does not provide routing services such as NAT and does not include a DHCP server. Basically, the access point functions as a bridge between your existing router and the access point’s LAN and
WiFi clients, which receive an IP address from or through the router.

donc pfSense est le serveur DHCP pour les clients Wifi.

Du coup, il faut juste faire une réservation d'adresse IP pour l'adresse MAC du WAC104 que tu connectes à pfsense afin que l'IP du point d'accès ne change pas.

(par défaut, comme le dit la doc de Netgear, le WAC104 est client DHCP)

@dg85:

Pour ce qui est de mon besoin en lien VPN, ce sera dans un second temps. Quand j'aurais bien assimilé les bases.

un tunnel IPSec, c'est le plus simple

jdh

Mea culpa, le Netgear WAC104 est bien un point d'accès.
Mon erreur vient du fait qu'il est doté de 4 prises RJ alors qu'un point d'accès ne comporte qu'une seule prise RJ usuellement (j'utilise des Netgear WNAP 210 avec une seule prise mais multiples SSID).
Ces prises RJ fonctionnent comme un switch permettant de brancher une imprimante, … mais c'est sans grand intérêt puisque en 10/100.

Je confirme que, même si ce Netgear peut être serveur DHCP, ce n'est pas très malin de le faire puisque pfSense saura 'mieux' le faire.

Je suggère de fixer l'adresse de ce boitier plutôt qu'il soit client DHCP.
Par exemple, 192.168.11.1/24 pour le pfSense et 192.168.11.2/24 pour le netgear WAC104.

Ce Netgear est l'élément le plus faible du lot de matériel car c'est un simple point d'accès (grand public) avec un seul SSID : en entreprise, on préfèrera un point d'accès multi-SSID.

dg85

Ci joint une page du manuel, j'ai bien la possibilité de créer 2 SSID.
Mais visiblement ils seront sur le même sous réseau.

J'opte bien pour la solution que vous préconisez, PFsense en serveur DHCP et le netgear en ip fixe.
Le lan wifi sera uniquement sur le netgear et séparer du lan filaire.

Si par la suite je veut ajouter du wifi pour le lan filaire, je prendrais un autre point d'acces que je brancherais sur le routeur du lan filaire


jdh

Les points d'accès utilisent du 2.4 Ghz pour G (jqa 54Mb), N (jqa 600 Mb), et du 5.0 Ghz pour AC (jqa 1200 Mb voire 1750 Mb avec 2 interfaces ethernet 1G).
Il est très clair que les signaux AC sont bien meilleurs que les anciens G ou N.

Forcément avec 2 antennes, on peut avoir 2 signaux : un N et un AC, chacun pouvant avoir son propre SSID.
Mais ça n'a pas vraiment de sens !
D'autant plus qu'il faudrait alors du VLAN pour différencier les 2 SSID … ce que la photo ne montre pas.
Ce matériel est un matériel 'obsolète' AMHA, parmi les premiers en AC (d'ailleurs limité à 867 Mb)

Il vaut mieux imaginer un seul SSID (signal) et, selon la techno du client, accès en N ou en AC.
Et pour l'entreprise, un multi-SSID : chaque SSID a son VLAN pour séparation par le firewall.

dg85

J'avance petit à petit et j'y voit de plus en plus clair.

config fonctionnelle :
Modem en mode bridge
PFsense

dg85

J'avance petit à petit et j'y voit de plus en plus clair.

config fonctionnelle :
Modem en mode bridge 192.168.1.1
PFsense
  wan 1 en ppoe
  lan 1 pour le réseau filaire 192.168.100.1
  lan 2 pour le wifi public 192.168.0.1

J'ai installer avec le menu wizard et j'ai ensuite ajouter le lan2 en recopiant les même rêgles que celles présente sur le lan1

Ca fonctionne comme je le souhaite

Mais du coup les règles me gênent un peu.
En fait il y a 2 rêgles (ipv4 et ipv6) qui laissent tout passer (configurées sur "any")

Je pensait supprimer ces régles et en refaire d'autre pour ne valider que certain port (smtp pop etc…).
Pour mes test à la maison, ça semble fonctionner mais je ne suis pas sûr que cela va bien fonctionner à l'usine. Sur le site nous travaillons avec solidworks (dassault) et inventor (autodesk) et ces 2 applications communiquent avec les serveurs de dassault et autodesk donc je suppose qu'ils ont dédié un port de communication.

Je pense pouvoir trouver ces ports et créer des règles spécifique pour ces 2 applis mais cela m'amène à une autre question : les adresse DHCP.

Est ce que ce principe m'oblige à déclarer mes postes qui utilisent inventor ou solidworks (ou les 2 sur un des poste) en adresse fixe (chaque licences est identifiées sur les serveurs).

Si je laisse les règles comme elles sont, je pense qu'il n'y aura pas de soucis mais dans ce cas là, le pare feux perd de son intérêt non ?

chris4916

Effectivement si tu laisses "any to any", le FW ne sert pas à grand chose.
Mais d'un autre coté, tu n'es pas obligé de définir ET source ET destination pour chaque protocole.

Oui il va falloir identifier les ports utilisés par les différentes applications.
Mais ensuite, tu peux peut-être te contenter de d'autoriser, par exemple, un range source (celui que tu utilises pour DHCP) à accéder, pour un ensemble de ports correspondant à l'application, à l'IP du serveur qui la supporte.

Pense ici à utiliser la notion d'alias qui va te faciliter la vie dans la gestion des règles.