Aide et conseil pour la configuration de mon PFSense (résolut et merci aux participants)
-
Bonjours a tous
Comme je l'ai inscrit dans le titre, je suis a la recherche de conseilles pour la configuration de mon PFsense
Mais avant de poser mes questions, je souhaiterai que vous me confirmiez que la solution que j'ai voulu mettre en place (en choisissant PFsense) était bien la meilleur, car malheureusement je ne suis qu'un débutant, je dirais même que je suis encore plus nul qu'un débutant xD
J'ai essayé plusieurs solution, si j'ai opté pour PFsense c'est parce qu'il me permettait en plus de crée un réseau wifi d'installer un pare-feu assez facilement et aussi de contrôler (voir) qui si connecte
Environnement, besoins et matériels
-Environnement: mon domicile
-Mes besoins: Augmenter la vitesse de transfère entre mes différents clients qui sont actuellement tous connecter en wifi sur ma box internet, ainsi que contrôler qui est connecter
-vitesse de transfère actuelle est d'environ 1mo/s quand aucun autre appareil utilise la connexionJe sais que le mieux est d'acheter directement un routeur wifi qui fera un meilleur travail que toutes autres solutions, mais ayant du matériel qui prends la poussière, je préférerai l'utiliser plutôt que de dépenser de l'argent dans un routeur, surtout que mes besoins ne sont pas énormes
Matériel qui prend la poussière^^
CM= marque foxconn model inconnu socket 775
CPU= Intel Celeron 420 @ 1.60GHz
Ram= 1024mo en ddr2 (2x512mo)
HDD= 2go Matrox (possibilité de le remplacer par un de 30go, mais si ce n'est pas pénalisant je préfère laisser celui la)
Réseau Ethernet= 2 cartes (une sur la carte mère (WAN) et l'autre est en PCI (LAN)) fonctionnant toutes les 2 a 100Mbits/s
2 cartes wifi de chez TP-Link model :
-TL-WDN4800 (puce atheros AR938x) double bande 2,4 GHz ou 5 GHz, débit max 450 Mbps (ath0 wifi 5ghz)
-TL-WN851ND (puce atheros 9227) MIMO 2,4 GHz, débit max 300 Mbps (ath1 wifi 2.4ghz)Mon bute est de crée 2 réseaux wifi, un en 2.4 GHz et l'autre en 5 GHz, ainsi tous mes clients pourront se connecter soit sur l'un ou sur l'autre (selon leur possibilité)
Ils devront aussi être capables de communiquer ensemble afin d'échanger des fichiers
Description de l'installation
J'ai déjà installé PFSense, configurer tous les réseaux ainsi que les pare-feux et indépendamment ils fonctionnent (accès a internet et partage de fichiers) malheureusement j'ai été incapable de faire en sorte qu'ils se voient tous
Pour être plus précis seuls ceux qui sont sur le même réseau se voieJ'ai (dans un premier temps) opté pour la "facilité" en créent un bridge, mais j'ai eu beaucoup de mal a le mettre en place (du a mon manque de connaissance pour l'adressage d'ip des différentes interfaces), mais après quelques recherches et testes cela fonctionnais, malheureusement des soucis sont apparue (ainsi que des messages d'erreurs) je l'ai donc supprimé, car j'ai lu que le faite que le bridge marche de façon transparente rendais les recherches d'erreur plus difficile a trouver
Je suis donc revenu au système décrit ci-dessous-Schéma du reseau
-Adresse ip du reseau
Adresse box internet -> 192.168.1.1
WAN ->ip static 192.168.1.49/24 passerelle 192.168.1.1
LAN ->ip static ->192.168.100.1/24
Wifi 5ghz (ath0) ->ip static ->192.168.101.1/24
Wifi 2.4ghz (ath1) ->ip static ->192.168.102.1/24
DHCP activé sur LAN, Wifi 5ghz et Wifi 2.4ghz plage début 192.168.X.10 plage fin 192.168.X.254 (a terme la plage sera réduite car je n'ai tous au plus qu'une 20ne de clients a brancher)
DNS ->127.0.0.1, 192.168.1.1 (adresse de la box internet), 81.253.149.9 (dns1 orange), 80.10.246.1 (dns2 orange)
Aucune règle NAT mis à part celles par défauts
Règle du pare-feu (identique sur toutes les interfaces du coté LAN)J'ai laissé les dernières règles que j'ai testées pour le partage réseau (que j'ai adapté a chaque interface), mais elle ne fonctionne pas et comme ce n'est pas des formules magiques, j'ai arrêté de tester tous et n'importe quoi, pour rechercher la réponse (mais sans résultat pour le moment)
Autre précision
- Les seuls réglages de que j'ai modifiées sont la zone (pour l'heure), le passage de pfsense en français, ainsi que les options inscrites plus haut
Tous le reste est avec les options par défaut et aucun paquet additionnelle n'a été installé
Erreurs, problèmes et tentative de les régler
-J'obtiens très souvent cette erreur dans les journaux système
ath1: stuck beacon; resetting (bmiss count 4)
De temps en temps c'est ath0, mais c'est beaucoup plus rare et bien qu'en général cela ne gène pas le trafique, par moment le trafique est extrêmement lent
-Il arrive que l'on soit déconnecte du réseau et que l'on ne voie plus mes réseaux dans la liste des réseaux Wifi (c'est aléatoire et comme les ralentissements, cela se produit sur les 2 interfaces wifi, mais rarement en même temps)
J'ignore donc si c'est lié a l'erreur ci-dessus ou si c'est des problèmes différents D'après mes recherches c'est du a un problème de pilote Atheros qui bloque des balises, mais vu que je ne parle pas anglais et que les traductions via google ne sont pas top, il n'est pas toujours facile de comprendre, surtout quand c'est sur un sujet que l'on ne connait pas-Lors des ralentissements j'ai souvent vu cette erreur, mais j'ignore si c'est lié
ath1: ath_tx_aggr_comp_aggr: AR5416 bug: hasba=0; txok=1, isaggr=1, seq_st=2694
La aussi des fois c'est ath0 et le dernier chiffre peux varier (seq_st=xxxx)
-Autres erreurs qui reviens fréquemment, mais dont j'ignore tous, c'est:
nginx: 2019/06/11 02:25:07 [crit] 61210#100105: *176 SSL_write() failed (SSL:) (13: Permission denied) while processing HTTP/2 connection, client: 192.168.3.13, server: 0.0.0.0:443
/etc/rc.d/hostid: WARNING: hostid: unable to figure out a UUID from DMI data, generating a new one
Plus d'autres erreurs mais moins fréquentes
-Les clients partage leurs fichiers que si ils sont sur la même interface
Le ping passe entre toutes les machines et ce quelque soit l'interface ou elle est branché
Depuis l'interface web de pfsense c'est pareil le teste ping passe, le traceroute aussi (a condition de cocher la case pour utiliser icmp sinon ca ne passe pas)
Je peux (depuis les clients) accéder à l'interface web depuis les 3 adresses local de pfsense
J'ai donc présumé que c'était du au pare-feu et non a un défaut de route, j'ai alors testé plusieurs règles, cherché sur internet, mais tous les exemples trouvé ne fonctionnaient pas
J'ai crée un alias pour chaque interface afin d'être sur de ne pas faire erreur entre LAN_net et LAN_adresse (même résultat)
J'ai crée un alias unique avec l'adresse des 3 réseaux pour vérifier que ce n'était pas du a une erreur entre le destinataire et la source
J'ai même modifié les 2 dernières règle (Bloquer tous) par autorisé afin de permettre a l'intégralité du trafique de passer, mais la encore sans résultat
J'ai fini par suspecter les pare-feux des clients et je les ai désactivé, mais toujours pas de partage quand ils ne sont pas sur la même interface
Du coup j'ignore si c'est vraiment le pare-feu ou c'est du a une mauvaise configuration qui bloque le partage quand les clients sont sur des interfaces différentesSi ce c'est pas gênant pour la recherche des problèmes inscrit plus haut je recréerais un bridge (vu que cela fonctionnais), mais ne serai-ce que par curiosité j'aimerai savoir pourquoi ça ne fonctionnais pas
Mes questions (oui oui c'est bientôt la fin^^)
Donc mes questions sont
-
PFsense est-il adapter a mes besoins ? Si la réponse est non, oublier les autres questions, mais pourriez vous m'orienter vers un système plus adapté ?
-
Quelle doivent être les règles du pare-feu ou que dois-je modifier pour permettre a tous mes clients de partager des fichiers et se quelle que soit le réseau sur lequel ils sont branché (je parle évidement des interfaces coté LAN) ?
-
A quoi pourrais être du les ralentissements, mes déconnexions et la disparition de mes réseaux wifi ? Problème de pilote ? Mauvaise configuration ? Ou un peux des 2 xD ?
Pour info la réception wifi du client le plus éloigné est de -70 a -75dBm sur le 5ghz et de -58 a -65dBm sur le 2.4ghz -
Les règles du pare-feu que j'ai mise en place sont elles bonne ? Je sais que c'est selon nos besoins, mais vu que les miens sont minimaux, les seules choses qui ont besoins d'accéder à "internet" sur mes clients, c'est :
-Le navigateur
-Le système d'exploitation pour se mettre à jours
-Le partager des fichiers entre mes clients
-La mise a l'heure des clients via le NTP de pfsense
Je souhaite donc bloquer tous le reste, ainsi il me sera plus facile de trouver ce qui est bloqué plutôt que de chercher se qui ne devrais pas passer (pas sur que ce que je dis est tres français^^, mais si je me fais mal comprendre hésitez pas à demander) -
J'ai vu et lu qu'il était possible de limité le débit des clients, mais la encore la barrière de la langue et mon manque de compréhensions (connaissance) m'empêche de faire ce que je souhaite
Je voudrais faire une règle qui pénalise celui qui consomme le plus de bande passante afin de permettre a ceux qui consomme peu d'être prioritaire et donc de ne pas ramer (attendre) parce qu'un client utilise toutes la bande passante, un peu comme on le fait pour le trafique sur les vlans avec les voip par rapport au p2p, mais il faut qu'elle soit adaptatif afin de pénaliser que le plus gros consommateur et uniquement si les autres utilise internet, car tous ce que j'ai pue trouver limite soit le maximum, soit divise la bande passante par rapport au nombre de clients connecter et non par rapport a ce qu'il consomme comparer aux autres
Donc si c'est possible, dite moi le, éventuellement mettais moi sur la piste et je chercherai la solution une fois que tous ce qu'il y a au dessus de cette question sera résolut -
La dernière question qui me viens en tête pour le moment concerne les paquets additionnelles qui sont disponible telle que squid et squidGuard et plus largement tous ce qui permet d'accroitre la sécurité sur pfsense, cela est il vraiment efficaces ? Et le ou lesquels conseillerez vous pour un particulier ?
Oui oui c'est enfin fini :P
Bon je vais arrêter la mon long pour ne pas dire très long pavé xD
Mais je voulais donner le maximum d'info afin que vous ayez tous sous la main
S'il manque des choses hésiter pas a demandé et je m'excuse pour les nombreuses fautes d'orthographes qu'il doit y avoir dans mon texteMerci a ceux qui me liront
- Les seuls réglages de que j'ai modifiées sont la zone (pour l'heure), le passage de pfsense en français, ainsi que les options inscrites plus haut
-
@ener-v said in Aide et conseil pour la configuration de mon PFSense:
PFsense) était bien la meilleur
Le meilleur n'existe pas. Il y a des solutions adaptées à certains besoins, d'autres pas.
Mon bute est de crée 2 réseaux wifi, un en 2.4 GHz et l'autre en 5 GHz
Je ne vois pas d'intérêt à une segmentation sur le critère de la bande de fréquence Wifi. Les bornes gèrent les deux sans qu'il soir besoin de créer deux réseaux.Le schéma général semble correct.
Il semble que vous utilisez un matériel inadapté et, ou défaillant.PFsense est-il adapter a mes besoins ?
Ils sont très simple donc oui à l'évidence.
Quelle doivent être les règles du pare-feu ou que dois-je modifier pour permettre > a tous mes clients de partager des fichiers et se quelle que soit le réseau sur
lequel ils sont branché (je parle évidement des interfaces coté LAN) ?On se demande à quoi sert le pare-feu en regardant les règles.
Les règles du pare-feu que j'ai mise en place sont elles bonne ? Je sais que c'est
selon nos besoins, mais vu que les miens sont minimaux, les seules choses qui ont > besoins d'accéder à "internet" sur mes clients, c'est :
-Le navigateur
-Le système d'exploitation pour se mettre à jours
-Le partager des fichiers entre mes clients
-La mise a l'heure des clients via le NTP de pfsenseFaites un tableau de flux, vous en déduirez les règles. Déterminez comment vous accédez aux partages, protocoles, ports ....
-
Bonsoir Ccnet
Qu'entendez-vous par 2 segments ? 2 réseaux ?
A moins que je me trompe ou que j'ai mal compris lorsque je me suis renseigné, mais si je l'ai mis sur 2 réseaux (et si j'utilise 2 carte wifi) c'est parce qu'il n'est pas possible (avec pfsense) de crée les 2 avec une seule carte ou sur un seul réseau (si je fais erreur hésitez pas a me le dire)
Je pourrais mettre tous le monde sur le 2.4ghz, mais j'habite dans un immeuble qui est lui même entouré d'autres immeubles et le réseau sur cette fréquence est plus que surchargé avec des 10ene de borne wifi sur chacun des canaux
D'ou la raison de crée un réseau en 5ghz, malheureusement tous mes "clients" ne sont pas équipé pour ce dernierQu'est-ce qui vous fait penser que le matériel est défaillant ou inadapté ?
Les cartes wifi fonctionnaient bien lorsqu'elle était installée dans un pc, quant au reste du pc il marchait aussi, sont remplacement été du a son manque puissance et non a une défaillance
Je pourrais remonter les cartes sur un autre pc si vous pensez que cela viens d'elle et il me reste encore une licence de win XP, je pourrais donc le réinstaller si c'est sur la tour que vous avez un doutePour les règles du pare-feu, je suis désolé mais comme je l'ai dit je suis un débutant xD
J'espère donc que vous me pardonnerez mes erreurs
Car bien que j'ai cherché pour faire en sorte qu'elles servent à quelque chose, ca ne doit pas être le cas au vu de votre réaction
Je vais donc reprendre mes recherches pour voir lesquelles sont mauvaise et remettre les bonnesPar contre si vous me parlez des règles pour le partage de fichiers, je suis entièrement d'accord avec vous, j'ai volontairement voulu laisser passer l'intégralité du trafique afin de vérifier si je pouvais accéder au partage (ce qui n'est pas le cas) malgré ses règles
Au début j'avais bien fait la recherche et précisé que je débloquai seulement les ports 137, 138, 139 et 445 ( si je dit pas de bêtise, par contre la je ne sais plus qui est en tpc et en udp), mais vu que ca ne marchais pas, j'ai essayé des règles plus laxiste, d'ailleurs j'ai (peu de temps après le screen) supprimer les règles de partage et pour être francs les règles intra-lan ne sont pas les règles les plus importante pour moi, vu que toutes ma famille a accès à tous les pc et qu'avant il était directement branché à la box sans aucun pare-feu sans conté que le mode bridge (que j'avais mis en place par facilité) ne filtre rien du tous
Mais vous avez raison de me faire cette réflexion et quitte à faire les choses autant les faire bien
Donc pourriez vous me confirmer que mis a par les bons ports à indiquer il n'y a aucune autre option qui pourrez bloquer le trafique ?
Car si il y en a aucune, je ne comprendrai pas pourquoi le trafique était bloqué entre mes pc alors que j'autoriser tous à passerDésolé j'ignore comment on fait pour faire un tableau de flux xD
Dois-je seulement chercher sur internet ou il y a une autre façon de faire ?Merci
-
Je ne vois pas la nécessité de créer deux réseaux pour exploiter 2 bandes de fréquences sur des points d’accès wifi. Que ce soit des grands ou petits réseaux wifi, avec les deux bandes de fréquences exploitées, je n’ai jamais connecté qu’un seul câble, un seul lan pour, pour des utilisateurs indifféremment connectés en 2,4 ou en 5 GHz.
L’usage de Windows XP est à proscrire. Il représente aujourd’hui un niveau d’exposItion inacceptable en particulier à cause de l’usage de smb V1. Et pas seulement.
Je ne vais pas pouvoir vous aider plus, il y a trop de points à traiter dans votre cas.
-
Je pense que l'on c'est mal compris et peut être aussi que mon schéma est mal fait (décrit)
Je ne dispose pas de point d'accès (borne) wifi branché en Ethernet, mais seulement 2 cartes wifi connectées directement à la carte mère du pc ou est installé PFSense
Une en PCI (comme la carte Ethernet) et une en PCI-EPhoto d'une des 2 cartes
Les deux réseaux wifi sont crée depuis et par PFsense
Donc quand on regarde mon schéma les 3 cases à droite que je nome "clients..." sont en faite mes PC (téléphone, tablette, etc...) et non des bornes wifi sur lesquelles ses derniers pourrai se connecterScreen de la configuration d'un des 2 wifi
Pour ce qui était de réinstaller win XP ce n'était pas pour l'utiliser et encore moins le connecter a internet, mais uniquement pour testé le matériel afin de voir si oui ou non il est défectueux (comme vous aviez l'air de le penser) et pour cela il est amplement suffisant
J'aurai peux être du parler d'un live linux, malheureusement je ne connais que trop peux se système et au vu des capacités de la machine, il est impossible d'installer un seven, même pour de simple teste :/Aucun souci, je comprends et je vous remercie d'avoir pris le temps de me répondre
Bonne continuation et bonne journée :)PS: Juste par curiosité (car je vais surement abandonner l'idée d'utilisé PFSense ou toutes autres système et rebrancher tous mes appareils sur le wifi de ma Livebox), le tableau de flux dont vous avez parlé, est-ce bien cela (au paragraphe 59) et la liste est-elle complète ? (trouver sur le site de microsoft)
"Cliquer ici"Merci
-
je ne parle pas français...
J'ai quelque chose de similaire à votre configurationath1: stuck beacon; resetting (bmiss count 4)
stuck beacon; resetting (bmiss count 4) > cartes reset / trafique est extrêmement lent / no ssid transmitted / no internet
pfsense = Freebsd = not so reliable wireless support, bad drivers (support sans fil peu fiable)
J'ai eu le même problème
J'ai changé 3 cartes avant d'en trouver une qui fonctionne (mini pci-express asus, azurewave ... no luck)
maintenant je possèdeathp0@pci0:4:0:0: class=0x028000 card=0x00000000 chip=0x003c168c rev=0x00 hdr=0x00 vendor = 'Qualcomm Atheros' device = 'QCA986x/988x 802.11ac Wireless Network Adapter' class = network ath0@pci0:7:0:0: class=0x028000 card=0x03031a32 chip=0x002a168c rev=0x01 hdr=0x00 vendor = 'Qualcomm Atheros' device = 'AR928X Wireless Network Adapter (PCI-Express)' class = network
et il n'y a pas de support 802.11ac pour QCA986x/988x
cartes récupérées à partir de vieux PCJe vous suggère
Box internet -> PFSense ->client Lan
PFSense ->openwrt avec cartes wifi -> clients wifi 5ghz / 2.4ghzsi vous voulez récupérer les cartes
ou points d'accès dédiés
J'espère que vous avez compris (google traduction ici) -
@ener-v said in Aide et conseil pour la configuration de mon PFSense:
Je pense que l'on c'est mal compris et peut être aussi que mon schéma est mal fait (décrit)
Je ne dispose pas de point d'accès (borne) wifi branché en Ethernet, mais seulement 2 cartes wifi connectées directement à la carte mère du pc ou est installé PFSense
Une en PCI (comme la carte Ethernet) et une en PCI-ECela marche en général très mal. Un firewall est ... un firewall pas un point d'accès wifi. Le mélange des genres n'est pas souhaitable.
Je ne peux rien de plus pour vous. Vous êtes embarqué sur un chemin difficile.
-
Comme je l'ai dit dans mon 1er message, mon but est de crée 2 réseaux wifi afin d'accélérer la vitesse de transfère entre mes clients avec le matériels que j'ai nommé
Vu que vous venez de me confirmer que PFSense n'était pas adapté a mes besoins pourriez-vous répondre à la 2eme partie de cette même question ?
C'est à dire : m'orienter vers un système plus adapté a mes besoins?
Si vous ne pouvez pas, ne répondez pas, car j'ai déjà pris assez de votre temps du a nos incompréhensionsMerci
@ kiokoman: thank you for your advice :)
-
@kiokoman said in Aide et conseil pour la configuration de mon PFSense:
Openwrt
-
salut salut
il y a deux cas de figure
- usage perso à semi pro et la pf fait son office, le vrai goulot d'étranglement est la cnx internet.
- usage pro , pf aussi fait le taf, mais avec les produits plus gros avec l'environnement spécifique qui lui peut et concurrence d'autres constructeurs d'éléments réseaux du marché connu ou moins connu.
dans tous les cas de figure c'est le financier qui va faire le juge de paie.
Nota comme mes camardes cnet et jdh, l'usage de carte wifi n'est pas la bonne solution , je vous exhorte plus à passer par des AP qui permet la mise en place de vlan.
Pour l'avoir fait chez un ami qui en a eu marre de voir la carte wifi se vautrer régulièrement, il est passé par des ap et au final est plus serrin.
Cordialement.
-
@kiokoman : Je vais jeter un œil a Openwrt
I'm going to take a look at Openwrt@Tatave : C'était justement pour évité de passer a la caisse que je cherchais une autre solution pour mon domicile (non professionnelle), mais si je dois vraiment le faire se sera pour un vrai AP (borne) wifi
Je retiens donc votre conseil (ainsi que celle de vos camarades)Je suis aussi preneur pour des conseils concernant ses AP, mais plutôt en MP (si c'est possible) car cela n'a rien à voir avec PFSense ou ma demande initial
Merci
-
Premier post fourni = bravo, c'est tellement mieux quand on commence par fournir des infos ... plutôt que passer 10-20 questiona sà demander des précisions !
pfSense est un firewall qui sait parfaitement séparer des zones disctinctes, ou gérer finement la communication entre zones. Donc Bridge = s'abstenir !
pfSense doit disposer de pilotes (drivers) dans son noyau pour travailler avec des cartes variées. Donc attention aux cartes réseau Wifi pci = remplacer par une carte ethernet et un point d'accès Wifi. Il doit y en avoir qui sont reconnues mais la plupart ne le seront pas !
OpenWrt est un firmware alternatif pour hardware de type AP Wifi. Il est plaisant car il embarque plusieurs fonctions généralement absentes des AP commerciaux (type Firewall), et on peut l'installer sur des matériels différents (qui deviennent ressemblants !). Avec pfSense, son intérêt diminue largement ... puisque le filtrage est le domaine de pfSense. Préférez un bon AP multi-ssid, avec un VLAN par ssid, il sera aisé de proposer des wifi différents avec des possibilités différentes.
-
C'est surtout une question de logique, pour pouvoir être aidée ou pour aider, il faut donné (avoir) un minimum d'info
J'ai essayé sans le bridge, mais j'ai été incapable de faire en sorte que les clients qui était sur des interfaces différents se voie :/
Soit c'est du a l'option "BSS" (c'est lui que je suspectais) qui le bloque, mais le plus probable est que ce soit ma propre ignorance la coupable^^Mes cartes wifi (que j'ai nommé dans mon 1er poste) était bien reconnu et elle fonctionnait, sauf que par moment elle déconnait et vu que l'on m'a dit que PFSense était pas adapté a mes besoins je l'ai débranché, mais avant de le faire j'ai découvert que mes déconnexions et peu être aussi mes ralentissements était surement du a la mise en veille des cartes, car des que j'allait dans les options "état->Wifi" et que j'actualisait la carte "coupable" mon réseau réapparaissais aussitôt
Donc si ca peut donner des pistes a ceux qui ont aussi ce problème...Pour OpenWrt je ne pense pas que je l'installerai car comme vous l'avez dit, il est surtout fait pour les AP et a moins de recompilé sa base, il y a peut de chance que tous les pilotes dont j'aurai besoins soit dans la "base", je vais tous de même essayer car ca coute rien
J'ai posé cette question plus haut concernant les tableaux de flux donc si vous pouviez me dire si c'est bien cela et si la liste est complète (trouver sur le site de Microsoft)
Merci