[debutant] Infrastructure pfsense
-
Bonjour à tous,
Je suis encore néophyte dans ce domaine.. J'aimerai trouver ici quelques conseils pour mener à bien un projet d'infrastructure IT.Contexte : Il me faut installer pfsense (proxy/firewall) sur une infrastructure, qui avec un DC (ActiveDirectory) permettra aux utilisateurs de naviguer sur internet grâce à une authentification LDAP.
Problème : Je ne suis pas sûr de bien visualiser le contexte réseau ( adressage IP, GW )
J'ai réalisé un début de schéma d'infrastructure que voici :
[ INTERNET ] (192.168.2.x) –------- (WAN 192.168.2.x) [ PFSENSE ] (LAN 10.x.y.z)
|
|
|
–---------------------------------------------
| |
| |
| |
VLAN 1 VLAN 2
[ DC + WSUS ] [ POSTES CLIENTS ]
( GW : LAN pfsense) ( GW : LAN pfsense)Questions :
- Sera t il possible pour le DC et WSUS de se synchroniser avec internet (mise à jour etc) à l'aide d'une règle sachant qu'ils n'ont qu'une carte réseau chacun ?
- quelles modifications sont à apporter sur mon schéma ?
- Y a t il une solution plus évidente ?
Je vous remercie d'avance !
-
Bonjour,
Pour commencer, pFsense n'est pas un proxy/firewall mais un firewall tout cour !
Le module proxy n'est pas nativement intégrer, n'est pas développer par la team et au vu de votre archi, n'a pas sa place sur le fw mais sur une autre machine/vm.Par contre, il n'y à aucun problème pour indexer le portail captif sur le Ldap AD afin de s'authentifier avant de pouvoir naviger ;D
-
L'accès à internet depuis le DC et WSUS n'est pas lié au fait que les utilisateurs s'authentifient au travers du proxy pour être autorisés à accéder.
Il suffit de permettre une règle au niveau du FW qui permette ces flux tout en n'autorisant pas l'accès aux IP des utilisateurs (sauf le proxy bien sûr) ;-)Petit point de détail: selon la littérature de Microsoft, il n'est pas souhaitable de faire tourner WSUS et un DC sur le même serveur. Il faut bien vendre des licences ;D
-
Tout d'abord merci de vos réponses,
Pour commencer, pFsense n'est pas un proxy/firewall mais un firewall tout cour !
Le module proxy n'est pas nativement intégrer, n'est pas développer par la team et au vu de votre archi, n'a pas sa place sur le fw mais sur une autre machine/vm.D'accord, je comprend. Il etait donc question du portail captif merci !
Petit point de détail: selon la littérature de Microsoft, il n'est pas souhaitable de faire tourner WSUS et un DC sur le même serveur. Il faut bien vendre des licences
Soit, il me faut soigneusement lire la lttérature de Microsoft alors !
Donc les règles vont me permettent de contrôler ces flux.
Je vais continuer de me documenter alors et passer à l'action.
Avec un peu de talent et peu être de la chance vous ne me reverrez plus !Merci :)
-
Tu peux aussi, si tu ne veux pas lire la documentation, te contenter de l'installer et tu verras le message de warning sur l'interface d'administration