Renouvellement bail DHCP.



  • Je ne suis pas sûr de bien comprendre  :-[

    Tu veux faire une sorte de NAC (Network Access Control) avec pfSense et le portail captif ?
    Et donc avoir des clients wifi isolés et permutés sur un VLAN une fois qu'il se sont authentifiés ?



  • C'est aussi ce que je crois comprendre … Un "nac" mais basé sur le login utilisateurs. Sur le lan fonctionnel je ne vois pas ce qui est recherché.



  • @ccnet:

    Sur le lan fonctionnel je ne vois pas ce qui est recherché.

    La même chose que ce qui est fait avec un WAP "classique"
    un mode publique "anonyme" et un mode "privé" avec WPA2 + radius

    C'est courant en entreprise (dans certaines entreprises  ;)) même au niveau du réseau câblé: le wifi de part sa nature (connexion qui n'est pas "physique") à rapidement développé des solution d’authentification utilisateur pour permettre de contrôler qui accède au réseau ou pas.

    Au niveau d'un réseau Ethernet, avec un serveur DHCP standard, n'importe qui ayant accès au réseau peut se brancher sur une prise RJ45 de l'entreprise et avoir accès au réseau. Bien sûr sans authentification, pas d'accès aux services qui demandent un login/pwd mais rien que le fait d'être sur le réseau permet de faire déjà pas mal de choses.

    Pour lutter contre ce problème, il y a des serveurs DHCP qui implémentent des mécanismes de DHCP authentifié qui permet d'attribuer une IP en fonction de l'authentification.

    Le problème, dans la question posée ici, c'est que, à mon avis, la fonction de NAC ne se fait pas à partir d'un portail captif. Celui-ci ne peut que changer des règles de FW.
    Il faut le faire au niveau DHCP et si le serveur DHCP de pfSense ne le fait pas, ce n'est pas faisable avec pfSense (pour la partie DHCP)



  • Par exemple.
    Mais ça ne marche avec pfSense  ;)

    Ceci étant, tu n'es pas obligé de tout faire avec pfSense, n'est-ce pas  ?  8)



  • @air1:

    Du coup je voulais savoir si après authentification, il y avait un moyen de renégocier le bail DHCP par exemple, éventuellement en jouant sur un timer … pour réattribuer un plan d'adressage IP qui sera défini par profil (un pour chaque réseau cible).

    Le problème est que ton portail captif se base sur l'IP du client. Si tu changes d'IP via un lease DHCP court et un autre serveur DHCP sur le VLAN cible, le portail captif ne va plus fonctionner correctement.

    si il existe des solutions pour isoler les clients en entrée après authentification.

    Cherches-tu à obtenir un fonctionnement similaire à celui que fourni un serveur OpenVPN qui isole les clients d'un même serveur les uns dex autres ?



  • Re, merci pour vos réponses et votre intérêt.

    Je comprends vos questionnements.

    @chris4916:

    Je ne suis pas sûr de bien comprendre  :-[

    Tu veux faire une sorte de NAC (Network Access Control) avec pfSense et le portail captif ?
    Et donc avoir des clients wifi isolés et permutés sur un VLAN une fois qu'il se sont authentifiés ?
    [/quote]

    C'est bien cela. Il faut un marquage VLAN en sortie du pfsense qui routera les paquets vers un routeurs ayant des vrf.

    Mais en amont j'ai plusieurs contraintes.

    Je ne peux utiliser le marquage VLAN en entrée, contraintes en terme de ressources et d'architecture.

    Il faudrait que les flux soit isolés entre les clients ayant un profil différent sur un AP.
    En gros l'idéal serait d'obetnir une première adresse IPv4 non routable par le portail puis ensuite une seconde adresse routable pour atteindre le LAN du client (il y aura bien plus de 100 LANs potentiellement).

    @chris4916:

    Cherches-tu à obtenir un fonctionnement similaire à celui que fourni un serveur OpenVPN qui isole les clients d'un même serveur les uns dex autres ?

    Oui en quelque sorte mais vu les contraintes que j'ai je ne peux utiliser de VPN …

    @chris4916:

    Le problème est que ton portail captif se base sur l'IP du client. Si tu changes d'IP via un lease DHCP court et un autre serveur DHCP sur le VLAN cible, le portail captif ne va plus fonctionner correctement.

    Oui en effet, mais il est possible que ce que je demande ne soit pas réalisable, j'en suis conscient, c'est pour cela que je me suis permis de poster ici …

    En tous cas merci pour vos retours.



  • @chris4916
    Je connais tout cela. Je suis un peu fatigué avec les demandes formulées sans que l'on comprenne les besoins, et où il faut tirer les vers du nez au demandeur, s'assurer qu'il sait de quoi il parle, etc. Souvent ce n'est pas le cas et des utilisateurs cherchent à faire fonctionner des solutions basées sur ce qu'ils imaginent et qui ne correspond pas à la réalité technique des protocoles et des équipements.
    Fin en ce qui me concerne sur ce fil.



  • CCNET je te remercie de ta contribution et d'avoir fait vivre le fil mais je ne crois pas t'avoir contraint à y répondre. Tu te fatigues un peu tout seul à mon sens.
    Chris a bien compris lui.

    Ce que je demande fonctionne avec des VLANs actuellement, je ne peux juste plus les utiliser, je cherche donc une alternative. Je comprends que ce ne soit pas simple c'est pour cela que je suis là.
    Pour info certains équipements ne supportent pas énormément de VLANs et de tout manière le standard 802.1Q est limité à 4096.

    Et j'ai déjà une autre solution basée sur de l'aléatoire qui ne me satisfait pas totalement, mais peu importe je ne voulais pas influencer vos réflexions.

    Bref, merci quand même.



  • Ras le bol des 'Chris4196 lui a compris' … (surtout de la part de personnes qui ne savent pas utiliser le formulaire A LIRE EN PREMIER, qui pense solution avant besoin, et qui ne veulent pas décrire leur besoin !)

    Relisez un peu : beaucoup de généralités mais rien de précis ... faute de précisions de votre part !



  • @jdh:

    Ras le bol des 'Chris4196 lui a compris' … (surtout de la part de personnes qui ne savent pas utiliser le formulaire A LIRE EN PREMIER, qui pense solution avant besoin, et qui ne veulent pas décrire leur besoin !)

    Relisez un peu : beaucoup de généralités mais rien de précis ... faute de précisions de votre part !

    Je crois que tu t'es planté en te logguant ccnet pour répondre à ce fil, tu t'es loggué en jdh …



  • Ccnet c'est ccnet et jdh c'est jdh : il s'agit de 2 personnes bien différentes, qui se connaissent depuis plus de 10 ans (et sur d'autre forum), sans s'être jamais rencontré, et qui parlent souvent avec une expérience proche … Il est notable que ccnet est le plus expérimenté, le plus précis et courtois; alors que je chauffe vite (la vie est courte alors les c...). S'il y a une personne en qui vous pouvez avoir confiance, c'est ccnet (aka C'est Carré le NET !).

    Je ne juge pas, je constate, c'est très différent !
    Pourquoi vous sentez vous agressé ? (instructif de voir qu'un constat est vu comme jugement : ça dit des choses ...)
    Le formulaire est difficilement ratable 'A LIRE EN PREMIER', vous ne l'avez pas utilisé et c'est regrettable car c'est utile ... pour les lecteurs !
    Vous avez en tête une solution mais, très souvent, un problème se résout d'abord avec un papier et un crayon, et 'qu'est ce que je veux faire ?' puis 'quelle contrainte induite par cette solution ?'.

    Chris4196 a un art consommé pour écrire des généralités autour d'un sujet, mais face au même manque criant d'infos, que peut-il dire de vraiment concrets et pratiques ?
    Comme beaucoup d'autres (nouveaux), vous avez l'impression qu'il en sait plus car il couche sur le site et ne prend aucune vacances (il répond invariablement en 20').
    Mais si vous lisiez bien, c'est très général et pas toujours précis ...
    Ici, ccnet vous demande des infos, que vous ne donnez pas. Alors naturellement ccnet n'élucubre rien, puisqu'il y a pas d'infos.
    C'est une mauvaise idée que de voir des idées multiples alors que la (vraie) problématique est toujours inconnue !
    C'est un peu comme si on voit des branches mais il n'y a aucun tronc !



  • jdh merci ne plus répondre sur ce fil vous ne m'aidez pas, d'ailleurs force est de constater qu'à part émettre des critiques négatives et être offensant vous n'aidez pas grand monde monsieur (ou madame d'ailleurs).

    Votre charte je l'ai lu, elle ne me convient pas donc ne venez pas alimenter un sujet qui ne vous plaît pas.

    Si la vitrine d'un magasin ne vous plaît pas, personne ne vous oblige à y entrer, compris ?

    La goutte d'eau c'est quand même votre manque de respect envers chris qui a bien compris ma demande et qui lui a été utile et constructif.
    Arrêtez d'être envieux, c'est pas une compétition à qui sera le meilleur pour répondre. Et peut-être que vous savez plus de choses, mais je n'ai vraiment pas envie d'apprendre quoi que ce soit de vous.

    J'ai une idée en tête mais j'ai bien parlé d'exemple et demandé d'autres alternatives, lisez à minima mon premier post la prochaine fois, mais sur ce fil n'y venez plus !

    Merci.



  • Bravo pour votre premier fil !



  • @jdh:

    Bravo pour votre premier fil !

    En 5 mots vous réussissez encore à vous planter.

    Vous feriez mieux de lire et d'essayer de comprendre ce que les gens postent. Merci de ne pas revenir ça voulait dire ne plus poster.

    Ça n'est pas mon premier fil, vraiment bravo, prenez du recul ça vous fera du bien.

    J'attends le retour de Chris s'il ose revenir après que vous m'ayez pourri mon fil de la sorte.



  • Oui 2 fils ! (Vous aussi, vous ne savez pas lire : ccnet et jdh sont bien distincts, ce que tout le monde sait ici !)

    Vous avez raison : vous êtes inscrit depuis le 17/8, vous avez 8 posts à votre actif, vous ne respectez pas les règles souhaitées sur le sous-forum France, vous ne respectez pas les anciens, vous n'êtes pas clair et vous n'êtes pas capable de répondre simplement à des questions claires et simples, on ne peut rien vous dire et … vous faites la leçon.

    Mais qui vous êtes pour écrire sur ce ton ?



  • @ccnet:

    @chris4916
    Je connais tout cela.

    Je n'en doute pas une seconde  ;)
    Mon explication était plus là pour m'assurer qu'on parlait bien de la même chose avec l'auteur du fil.



  • oh c'est tendu ici  :o
    En même temps, je ne suis pas trop surpris. En tous cas c'est bien dommage.

    je vais vous laisser continuer vos "échanges" qui ne présentent pas d'intérêt pour moi.

    @air1: ccnet et jdh sont bien 2 personnes différentes  ;) malgré les apparences.

    @jdh

    Chris4196 a un art consommé pour écrire des généralités autour d'un sujet, mais face au même manque criant d'infos, que peut-il dire de vraiment concrets et pratiques ?
    Comme beaucoup d'autres (nouveaux), vous avez l'impression qu'il en sait plus car il couche sur le site et ne prend aucune vacances (il répond invariablement en 20')

    Tes concours pour savoir qui en sait le plus et qui va répondre le premier ne m'intéressent pas. Je ne joue pas dans cette cours et certainement pas avec toi.
    Tu peux donc t'abstenir de faire des commentaires répétés de ce type qui ne mettent pas en avant tes compétences.
    Si mes interventions ne te plaisent pas, il y à un bouton pour te plaindre au modérateur, je te l'ai déjà dit il me semble.



  • Merci pour votre contribution Chris et d'avoir répondu calmement malgré que je n'ai pas respecté la charte, cc'est tout à votre honneur.
    Bonne journée, je vais me débrouiller avec mon problème ;)



  • Les concours de quéquette et de "tu n'as pas respecté la charte, je ne te répond pas" ne m'intéressent pas.
    Il y a tellement de fils qui respectent la charte sans que ça donne une information utile que cette approche, qui pourrait être bénéfique dans le principe, perd de son sens.

    Pour en revenir à ton problème, je ne pense pas qu'il y ait de solution basée sur pfSense, ni même de solution basée sur le portail captif.
    Si le besoin est d'isoler les uns des autres les clients du LAN avant authentification et qu'ensuite chaque client se retrouve dans un VLAN dépendant de sont authentification, je pense qu'l faut déployer un composant spécifique NAC. Et même dans ce cas, je ne vois pas comment isole les clients en amont.

    De plus, le portail captif de pfSense ne va pas fonctionner dan ce montage.



  • @chris4916:

    Pour en revenir à ton problème, je ne pense pas qu'il y ait de solution basée sur pfSense, ni même de solution basée sur le portail captif.
    Si le besoin est d'isoler les uns des autres les clients du LAN avant authentification et qu'ensuite chaque client se retrouve dans un VLAN dépendant de sont authentification, je pense qu'l faut déployer un composant spécifique NAC. Et même dans ce cas, je ne vois pas comment isole les clients en amont.

    De plus, le portail captif de pfSense ne va pas fonctionner dan ce montage.

    J'ai une solution qui isole les clients non pas par profil mais par situation géographique.

    La solution est basée sur un portail unique, un SSID unique mais plusieurs subnets attachés au SSID unique et segmentés géographiquement (globalement par AP ou par couple d'APs).
    UCOPIA sait le faire et il sait en sorti attribuer un VLAN.
    Il ne sait juste pas envoyer un DHCPNAK à la volée et même en moins de 15 mn … qui m'aurait aidé pour le renouvellement mais en effet il faut aussi ensuite un système de DHCP authentifié ...

    Le besoin est d'isoler en amont du portail captif (ou d'un équipement NAC avec portail) les clients une fois authentifié, avant authentification ils ne seront pas isolés.
    Et ensuite en aval du portail (ou nac) d'ajouter un marquage 802.1Q puis les VRF feront le taf ...

    Merci encore.


Log in to reply