[abandonné] ip fixe ou transparent



  • Contexte : chez moi avec un niveau débutant sur le produit
    Besoin : Ci-dessous

    Schéma :
    WAN : connexion par PPPoE avec nom d'utilisateur et mot de passe, récupération ou non d'une ip fixe depuis l'équipement de mon fournisseur de ligne
    LAN : DHCP avec baux fixes pour certains équipements et dynamique pour d'autres.
    DMZ : un réseau avec 4 ip fixes
    WIFI : peut-être par dongle usb

    PPPoE passthrough –--> pfsense ----> dmz de 4 ip fixes
                                                      ----> lan privé depuis un routeur netgear

    Equipement : Pc engines apu 2 avec 3 cartes réseau

    Autres fonctions assignées au pfSense : VPN

    Besoins :

    Est-ce que je dois assigner une adresse ip fixe à la machine pfsense dans ce contexte ou bien il peut-être complètement transparent? Suis assez clair?

    Merci d'avance de vos réponses.
    Meilleures salutations.



  • @jean@adimp.ch:

    Est-ce que je dois assigner une adresse ip fixe à la machine pfsense dans ce contexte ou bien il peut-être complètement transparent? Suis assez clair?

    Au risque de te décevoir, je ne comprends rien à la question.
    l'IP WAN de pfSense est assignée par ton provider, lequel t'alloue également 4 IP publiques supplémentaires. C'est ça ?
    Et donc ?

    Si tu héberges des services accessibles depuis l'extérieur, il peut être intéressant d'avoir des IP fixes pour que le DNS pointe sur ces IP sans devoir passer par un service de type DynDNS.
    Si il n'y a que des services sortants, je ne vois pas l'intérêt.

    Si tu as une DMZ, je suppose que c'est justement pour héberger ces services. d'un point de vue pfSense, les IP fixes vont être (si ce que j'intuite de ton design est correct) exposées en tant qu''IP supplémentaires sur l'interface WAN puis redirigées vers les machines en DMZ. Mais c'est juste parce que je suppose que la DMZ est construite à partir d'une interface dédiée. Ce n'est pas très clair pour moi.

    au passage:

    • le wifi via un dongle USB, c'est une mauvaise idée, à mon avis. Il est largement préférable de déployer des vrais points d'accès, éventuellement avec des VLAN pour isoler le wifi du LAN cablé.


  • Salut Salut

    On va faire simple

    Vous voulez mettre une place un router avec 4 zones (wan/lan/dmz/wifi)
    Comme l'a expliquer votre wan est en ppoe c'est a dire que votre modem ou box fourni ip public vers vers l'interface wan de votre pf.
    Vous devez assigner une ip fixe sur chacune des autres interfaces qui sont dmz/lan/wif et pas le même segment sur chaque cartes.
    ex :

    • lan ==> 192.168.1.1/24
    • dmz ==> 192.168.10.1/24
    • wifi ==> 192.168.100.1/24

    Comme l'a souligner chirs, évite les dongle usb la raison principale est la chauffe et l'instabilité de ce type de port.
    la solution d'un aP wifi dans un vlan pourquoi pas, je pensais aussi à une carte réseau wifi, c'est plus pratique si l'on à la bonne carte reconnu par pf.

    faire un routage/nat plutôt entre les segments en fonction de règles logique.

    Bon courage.



  • L'avantage du WAP par rapport à un dongle ou même une carte wifi "sur" pfSense, c'est justement que de cette manière, ça permet à pfSense de na pas gérer la couche wifi mais de se concentrer sur les aspects VLAN et FW.
    ça permet par exemple d'avoir plusieurs points d'accès: selon où se situe le boitier pfSense, une carte locale va difficilement arroser l'ensemble du bureau. Un point d'accès en hauteur est bien pus performant, à puissance égale. Et on peut en ajouter sans difficulté si nécessaire. Enfin, il n'y a, point important, pas de problème de compatibilité hardware avec l'OS.

    Bref, à mon sens que des avantages  8)



  • Salut salut.

    Certes ap dans un autre segment sur une carte qui isole ce réseau là, si l'on ne maitrise pas les vlan ou que l'on ne veut pas s'en embarrasser.

    ++



  • @Tatave:

    Certes ap dans un autre segment sur une carte qui isole ce réseau là, si l'on ne maitrise pas les vlan ou que l'on ne veut pas s'en embarrasser.

    Exactement, et c'est de mon point de vue la meilleure manière de faire du wifi.

    Après, pour faire du wifi "sérieux", il faut maîtriser un minimum le VLAN car sauf à déployer des WAP "par SSID" ce qui n'est ni économique ni efficace d'un point de vue diffusion du signal, on va avoir des WAP avec des SSID multiples, avec des méthodes d’authentification différentes et forcément des VLAN différents (sans quoi ça ne sert à rien de séparer  ;))

    Avec ça, on peut avoir sur le même access point un wifi publique et un wifi "entreprise" avec du radius tout en isolant les WLAN et le LAN



  • (Certaines réponses ne correspondent pas à la question initiale. Je reviens sur le post initial.)

    C'est bien d'utiliser le formulaire. A continuer …
    Néanmoins il y a certaines inconnues :

    • PPPoE passtrough : que voulez vous dire ? Précisez exactement comment WAN est relié à Internet : modem, box, type, ... ?
    • LAN privé depuis un routeur Netgear : que voulez dire ? Il y a un routeur Netgear (avec du wifi) ?

    Le matériel, PCEngines APU2 avec 3 cartes réseaux : comment attribuez vous chacune des 3 interfaces ?

    Concernant le Wifi, il faut oubliez un dongle USB car cela exige un driver spécifique qui n'existe probablement pas !
    La bonne méthode pour le Wifi est d'utiliser un port ethernet et de relier, en RJ45, un (ou plusieurs ) point d'accès Wifi.
    (Et cela fait une prise ethernet en moins ...)
    (Déjà écrit)

    'Ip fixe ou transparent' ne veut rien dire !
    S'il s'agit de l'ip publique, elle est soit fixe soit dynamique. Chaque cas a ses avantages et inconvénients ...
    S'il s'agit d'une ip interne, elle n'est pas fixe, et pas 'transparente'. (Déjà écrit)



  • Bonjour,
    Merci pour vos réponses.
    @jdh :
        pppoe passthrough = l'appliance pfsense se charge du pppoe vers le provider internet, l'appliance pfsense est connecté au routeur du provider et assume le routage.
        Le routeur netgear est connecté à l'appliance pfsense et s'occupe de gérer le lan avec un wifi.
        Chaque interface son job : une pour le pppoe, une pour le lan, une pour la dmz.
        Est-ce que je suis clair?
    Meilleures salutations.
    Jean.



  • Voila un complément d'infos utile. (Le modèle de Netgear aurait été un plus …)

    L'appliance pfSense a 3 interfaces ethernet affextées clairement :

    • WAN : vers le modem du FAI (Fournisseur d'Accès Internet) : j"écris modem car c'est pfSense qui récupère l'ip publique avec PPPoE
    • DMZ : zone serveurs accédés depuis Internet
    • LAN : les PC internes (qui ne sont pas serveurs accédés).

    Les 3 ports ethernet sont utilisés : il n'en reste pas un disponible et dédié pour une interface WIFI.

    L'utilisation d'un dongle USB pour le wifi est très incertaine : les dongle reconnus sont très rares et difficiles à trouver; de plus la puissance est limitée et cela 'centralise' au niveau de l'appliance l'émission wifi.
    S'il y a vraiment souhait de gérer une (ou plusieurs) zones WIFI, la solution est d'utiliser :

    • un switch en LAN qui gère les VLAN,
    • un point d'accès WIFI qui gère les VLAN : c'est le cas des modèles 'moyenne gamme' multi SSID qui associent un VLAN à chacun des signaux SSID,
    • on peut alors configurer des VLAN au niveau du pfSense puis créer une interface 'logique' basée sur le VLAN/interface physique = ici LAN, et enfin faire du filtrage entre interfaces.

    L'utilisation d'un routeur/wifi (Netgear) permet de fournir un signal wifi.
    Usuellement, on relie le LAN de pfsense à l'un des 4 ports LAN du routeur : l'antenne wifi est 'bridgée' à ces ports, donc les PC en wifi sont dans le même réseau que les ports LAN.
    Si on relie le LAN de pfSense au WAN du routeur, cela entraine un mode 'routeur firewall' : les PC en LAN et WIFI devront utiliser un autre adressage ip que le LAN pfSense et vont utiliser un nat au niveau du routeur et seront vus au niveau pfSense comme une seule et même machine = le routeur; ce qui n'est pas très malin.

    Exemple de matériels permettant de faire mieux, en Netgear :

    • switch GS108E : 8 ports eth gigabit avec support VLAN
    • point d'accès WNAP210 : multi SSID : à chaque SSID un VLAN

    Ce que j'ai écrit sur 'ip fixe' est il clair et répond il ?



  • Salut,
    Merci pour ces précisions.
    Après renseignement pris chez mon fournisseur, l'ip délivrée à l'interface qui connecte par pppoe le fournisseur d'accès internet prend une ip de mon pool d'ip.
    Finalement ma question est plus comment est ce que je configure l'interface par le webconfigurator pour qu'elle connecte par pppoe mon provider? J'ai pas trouvé sur quel bouton appuyer, pardon.
    A+.
    Jean.



  • Après renseignement pris chez mon fournisseur, l'ip délivrée à l'interface qui connecte par pppoe le fournisseur d'accès internet prend une ip de SON pool d'ip.

    Le FAI peut fournit

    • soit un modem : gère l'Adsl, la conversion frame (atm)/ip; on connecte (en eth) un boitier qui va agir en client pppoe
    • soit un routeur : gère tout : le port ethernet internet est en adressage privée

    Dans votre cas, Internet <-> Modem <-> (WAN) pfSense.
    Nécessairement pfSense doit être configuré (depuis le LAN) pour que WAN soit PPPoE en indiquant identifiant/mdp (Interfaces > WAN).
    Il est ensuite possible de vérifier ce qui se passe dans Status > System logs > onglet PPP



  • Bonjour,
    Merci pour votre message. Je fais donc sur l'interface wan la configuration pppoe ( pour ipv4 configuration type) depuis le lan avec le webconfigturator. Puis j'introduis le nom d'utilisateur et le mot de passe pppoe fournit par mon provider. Malheureusement la carte se met en down avec une flêche rouge vers le bas dans l'acceuil pfsense.  Je ne sais pas où je fais la connerie. est-ce que quelqu'un peut me renseigner?
    A+.
    Jean.



  • Salut salut.

    Pfsense s'administre en générale et normalement via une interface réseau non exposée depuis l'extérieur. (comme tous bons firewall qui se respectent)

    Si tes paramétrages sur l'interface pppoe sont biens les bons et sur la bonne interface (wan).
    Si votre câblage est bon (non abimé).
    Si vous n'avez pas fait d'inversion.

    vous deviez avoir un accès sur le web.

    Au pire , ré initialiser les paramètres (pf + modem), refaire le montage point par point et se faire ça liste de contrôle.



  • Bravo Tatave pour ta description impeccable de la bonne méthode …

    J'ajoute :

    • A l'install de pfSense, la config suggérée est WAN + LAN, avec admin, depuis le LAN.
    • la config initiale est LAN 192.168.1.1/24, donc on configure un PC en 192.168.1.2/24 et on pingue pour être sûr de l'interface LAN.
    • On commence à configurer d'abord le WAN jusqu'à ce que pfSense obtienne la bonne adresse ip WAN,
    • Ensuite, on ajoute les règles nécessaires ...

    Il ne fait pas de mal de mettre une petite étiquette sur les ports RJ45 ...



  • Re

    @jdh,

    • 1 - Merci.

    • 2 - Mais pour moi cela était évident, comme quoi les automatismes il faut les expliquer aux autres ^^ (méaculpa).

    • 3 - Ajouter petit schéma avec la contrôle liste.

    • 4 - Autre astuce pour avec l'appareil photo d'un smartphone faire des clichés de boitier et autres éléments pour les intégrer sur un doc word ou openoffice c'est selon vos habitudes. Qui pourrait servir de how to pour les personnes qui pourrait avoir besoin d'intervenir sur le boitier en cas de soucis.



  • Salut,
    Merci pour vos messages. Je vais réessayer ce soir.
    Pourtant j'installe vraiment depuis le lan, en plus je me connecte avec un câble pl2303 sur l'interface rs232 de mon apu2. Gloups….
    Pardon, mais quelles sont les règles à ajouter?
    A bientôt.
    Jean.
    PS : voir l'attachement

    ![Capture du 2016-09-13 22-07-53.png](/public/imported_attachments/1/Capture du 2016-09-13 22-07-53.png)
    ![Capture du 2016-09-13 22-07-53.png_thumb](/public/imported_attachments/1/Capture du 2016-09-13 22-07-53.png_thumb)



  • Quand je parlais de modem …

    Le schéma normal est :

    Internet <-> boitier FAI <-> (WAN) pfSense

    Typiquement, un FAI (non précisé) fournit un boitier de type 'routeur' : l'utilisateur branche un PC, qui récupère une ip privée, donc l'ip publique est au niveau du routeur.
    Si le FAI fournit un boitier de type 'modem' : l'utilisateur devra brancher un firewall, puis les PC derrière celui-ci, à charge du firewall de récupérer l'ip publique et de délivrer des ip privées pour le LAN.

    Dans ce deuxième cas, la plupart du temps, c'est PPPoE qui est utilisé (mais ce peut être DHCP).
    On configure WAN avec PPPoE (ou DHCP).

    Le problème est souvent de croire que le boitier fourni est un modem (bridge).

    La vérification à faire est dans les logs système et dans l'onglet PPP (puisque PPPoE).

    Le fait que WAN ne monte pas, donne à penser que le boitier n'est pas un modem ...
    Au pire un essai avec DHCP et on voit si on récupère une adresse : si elle est privée, c'est un routeur !



  • Salut,
    Merci pour la réponse rapide.
    En fait c'est bien un routeur. Je configure le routeur avec pppoe passthrough comme le provider me l'a indiqué. Et ensuite il me dit de configurer pppoe sur la SG ( en l'occurence c'est mon apu2 avec pfsense, dans ma tête ).
    Cette configuration doit me permettre de continuer à utiliser le téléphone et à me permettre de mettre en route une Security Gateway personnalisé comme décrite au début de ce post.
    Il me semble que les réglages de mon provider ne sont pas au poil. Peut-être que je dois envisager une autre configuration. Mais laquelle?
    Le routeur de mon provider me permet de mettre le port 1 en dmz, peut-être que mon appliance pfsense doit être configuré comme dhcp de la dmz…
    Que puis-je faire?

    Meilleures salutations.
    Jean.



  • Le terme 'PPPoE passtrough' est peu habituel (pour moi).
    Je connais des boitiers, pour ADSL, tel le DLink DSL320-B, qui peuvent fonctionner soit en 'routeur' soit en 'modem'.
    En 'modem', on sélectionne l'option dite 'RFC1483 bridge', et le firewall (pfSense), connecté au port eth, peut tout à fait utiliser PPPoE.

    cf https://tools.ietf.org/html/rfc1483
    ou http://www.cisco.com/c/en/us/tech/long-reach-ethernet-lre-digital-subscriber-line-xdsl/rfc-1483-bridging-routing/index.html
    ou http://www.commentcamarche.net/forum/affich-2075398-c-est-quoi-atm-pppoe-1483-routed-ou-bridged



  • Bonjour,
    Merci pour votre aide. Je vais changer mon projet, car je n'y arrives pas ainsi.
    Je vais ouvrir un nouveau thread.
    A+.
    Jean.