Nouvelle installation PF Sense



  • Bonjour à tous,

    Pour commencer, je précise que je ne suis pas un pro des systémes réseaux, je connait les différents termes, mais je ne suis pas toujours sûr de bien comprendre la signification (NAT, DMZ Etc…).

    J'ai changé d'emploi il y à quelques mois, (Responsable de prod en tôlerie/mécano soudure) L'entreprise que j'ai rejoint possède 2 sites de production qui n'ont AUCUN lien informatique, les données transitent par messagerie où déplacement physique (20 km entre les sites).

    Il n'y à personne sur l'un où l'autre des sites qui soit en mesure de prendre en charge la gestion informatique donc j'ai essayé de m'y coller.

    Ce qui m'a donner l'idée de prendre ça en charge, c'est que je suis tombé sur un carton au fond d'un placard qui semble prouver qu'à un moment quelqu'un à eu l'idée de relier les 2 sites.

    Liste du contenu du carton :

    2 boitiers PFsense avec 4 sortie RJ45 en PFsense pas de marque indiqué mais si j'ai bien compris, cela signifie que le boitier intègre 4 cartes réseau
    Les sorties RJ45 sont nommées de LAN1 à LAN4 sur le boitier. Dans la config PFsense, les interfaces sont LAN1, LAN2, WAN1, WAN2, BRIDGE.
    4 switch 8+2 ports  GS2200-8HP ZYXEL
    2 routeurs wifi netgear WAC104
    2 modem DLINK DSL-320B Z1 (juste un modem sans routeur 1 RJ45+ 1 RJ11)

    Les 2 sites sont actuellement installé avec une livebox qui gère le DHCP sur une dizaine de poste et un NAS par site .
    Les livebox ont le wifi activé sans mot de passe pour permettre aux salarié de se connecter à internet pendant les pauses, cela ne me gène pas trop si ce n'est qu'ils ont aussi accès au réseaux et aux fichiers de l'entreprise.

    Ce que je souhaiterais mettre en place :

    Une config identique d'un site à l'autre.

    Un accès Internet par le modem partageable sur 2 sous réseaux.
    Un sous réseau ouvert en accès uniquement wifi et uniquement accès à internet
    Un sous réseau fermé (mot de passe wifi) ayant accès au NAS et au wifi et internet
    Une liaison VPN entre les 2 sites

    je pense avoir tous ce qu'il faut pour cette installation je pense même être capable de bricoler quelque chose de fonctionnel en suivant les tuto PF sense.
    Mais je n'aurais jamais la certitude d'avoir tout fait "comme il faut".

    Pour l'instant tout ce matériel est inutilisé, ça me permet de faire des tests (pas très concluant pour l'instant) sans toucher à l'existant.

    L'une de mes difficultés est la gestion des équipements, lorsque je configure le modem, les routeurs, le wifi, j'attribue des sous réseaux et du coup, je n'ai plus accès aux éléments qui sont hors du sous réseaux en cour. Ca me va très bien pour la séparation des sous réseau mais j'aimerais avoir au moins un poste qui aura accès à tous les réseaux.

    J'espère ne pas avoir été trop long et si quelqu'un peux m'accompagner sur ce projet je vous en serais très reconnaissant.

    Didier



  • Même si ce premier post ne respecte pas le formulaire A LIRE EN PREMIER, il est intéressant car il y a des informations !

    Concernant le matériel existant :

    • Les boitiers DLINK DSL-320B doivent permettre de ne pas utiliser les Livebox = s'utilisent à la place
        + l'avantage est que le wifi des livebox ne sera pas dispo !
    • Les point d'accès Netgear WAC104 sont 'entrée de gamme mais AC'
        + AC signifie un wifi performant (=mieux que N)
        } MAIS ils n'ont qu'un seul (B)SSID = un seul signal, ce qui n'est pas terrible pour l'entreprise
    • Les switchs ZYXELL sont ok mais peu fréquent :
        + des switchs 24 ou 48 ports 10/100/1000 administrables et de marque tel Aruba, HP, + autres, sont plus intéressants
        + mais ils doivent gérer des VLAN

    Concernant les réseaux,
    Ce qui importe en entreprise, c'est que le firewall (pfSense), soit à la croisée des réseaux :

    • WAN = connexion vers Internet, forcément distincte
    • LAN = réseau interne
      le réseau interne LAN peut (et doit) être découpé soit physiquement (souvent pour la DMZ) soit logiquement par VLAN.
      Donc on choisir des n° de VLAN et on configure le(s) switchs) et le pfSense avec ce choix.
      En particulier le Wifi se séparent avec plusieurs (B)SSID chacun sur son VLAN (d'où les points d'accès multi-SSID)

    Au niveau du pfSense, il est aisé d'indiquer les VLAN et de créer l'interface qui sera sur ce VLAN, et ainsi de gérer finement les règles de flux inter VLAN=inter-interfaces !

    NB : il est clair que si vous laissez les Livebox avec leur Wifi, aucun filtrage n'est possible puisque les Livebox sont en amont du pfSense, d'où l'importance de passer à DSL-320B.

    Enfin si vos lignes Internet sont des ADSL, il ne faudra pas attendre de miracle d'un VPN entre les sites puisque la perfomance sera basée sur le débit montant des ADSL soit moins d'1Mb en général.



  • Il me semble que les point d'acces netgear ont 2 fréquences différente, (2.4 Ghz et 5 ghz), Lorsque je les connectes il y a 2 réseau visible.
    Mais de toute façon, je ne compte pas utiliser le même routeur WIFI pour le réseau entreprise et le réseau public j'ai bien l'intention de séparer physiquement les points d'accès.

    J'ai bien lu le "A lire en premier" mais je n'ai pas compris toutes les questions je vais essayer de vous donner une idée de mon niveaux.
    J'ai parcouru aussi le "pour les débutant" et ça fait bien 2 semaines que je passe du temps sur ce site http://irp.nain-t.net/doku.php qui est très intéressant mais qui demande quand même un peu de connaissances de base.
    J'ai une formation en électronique (BTS en 1987) mais je n'ai jamais travaillé dans ce domaine.

    Contexte : Entreprise sur 2 sites 10 à 12 poste par site y compris les imprimantes et traceur
    niveau expertise de l'administrateur : notion très légère
    age de la solution firewall  ????
    Pour une nouvelle installation

    Besoin : Un accès Internet par le modem partageable sur 2 sous réseaux.
    Un sous réseau ouvert en accès uniquement wifi et uniquement accès à internet
    Un sous réseau fermé (mot de passe wifi) ayant accès au NAS et au wifi et internet
    Une liaison VPN entre les 2 sites

    Schéma : je vais essayer de faire un beau dessin

    Question : Problème précis rencontré et questions posées, …
    Pas de problèmes réel, je souhaite juste utiliser ce qui est à ma disposition

    Pistes imaginées
    néant

    Logs et tests : complément de "Recherches" : quels sont les résultats des tests effectués (section qui ne peut être vide !)
    Pour l'instant j'ai juste chercher à avoir accès aux pages web des différents élément et cela à marché

    Je joint une photo des pare feux à ma disposition.

    Didier




  • ;D ;D ;D
    C'est bien sympa d'avoir reformulé ton premier post une deuxième fois en y mettant les formes.
    Mais bon, le premier était déjà très clair  ;)

    Un petit point à noter en ce qui concerne ton matériel: le Celeron J1900 de tes boitiers sur lesquels est installé pfSense convient parfaitement, en terme de puissance, pour supporter les services dont tu pourrais avoir besoin avec un accès ADSL.
    Avec un accès fibre à 100 Mb/s ça va le faire également mais pas beaucoup plus.

    Le vrai problème potentiel est que:

    • le débit du tunnel IPSec que tu vas monter entre les 2 sites va être limité par le CPU qui ne supporte pas AES-NI (donc même en fibre des 2 cotés, tu ne va pas saturer la bande passante du lien
    • plus important: ce manque de support de AES-NI fait que tu ne pourras pas passer en pfSense 2.5

    https://www.netgate.com/blog/pfsense-2-5-and-aes-ni.html

    Ce n'est pas nécessairement un problème bloquant et tu peux déjà démarrer comme ça dans tous les cas.

    Pour ce qui est du wifi:
    Exposer du Wifi à 2,4 et 5 GHz implique bien d'avoir 2 "réseaux wifi" différents mais un point d'accès qui permet plusieurs SSID te permet d'avoir plusieurs réseaux Wifi, par exemple en 2,4 Ghz, à partir du même point d'accès. Tu ne gagnes rien, en terme de sécurité, à séparer physiquement ces points d'accès.

    Pour me wifi "intranet", je t'invite fortement à regarder WPA2, qui est un peu plus sécurisé que WPA (avec un mot de passe) mais qui va nécessiter d'avoir un serveur Radius.

    Avec le matériel à ta disposition, tu peux déjà, sans perturber l'accès internet existant, configurer un tunnel IPSec entre les 2 sites en connectant tes boitiers pfSense aux LiveBox. Attention cependant au plan d'adressage IP local de part et d'uatre qui doit être, pour faire simple, différent.

    De même, tu peux mettre en place un wifi "intranet" sans impacter le wifi "internet" qui peut rester provisoirement sur la LiveBox.

    La difficulté, pour conclure provisoirement sur ce point est que si tes postes de travail disposent d'un accès internet direct sans contrôle et peuvent ensuite se connecter sur le réseau local, il devient très difficile de s'assurer que lors de leur session de surf "libre", ils n'ont pas télécharger du code qui va se déployer ensuite sur le LAN.
    Mais c'est plus un problème de gestion des devices et des outils associés qu'un problème directement lié à pfSense.



  • Je joint un organigramme de ce que je souhaite.
    Je résume de ce que j'ai compris de mes différente lectures :

    -Les réseaux du site 1 et 2 ne doivent pas avoir les même masque
    -Le lien vpn doit avoir lui aussi un masque différent
    -Mon boitier PFsense doir avoir 4 cartes réseaux différentes:
      -1x WAN1 vers modem internet
      -1x WAN2 vers lien VPN
      -1x LAN1 pour 1 sous réseau interne
      -1x LAN2 pour un autre sous reseau interne

    La configuration du pfsense va me permettre
    -d'attribuer à chaque sortie (lan1 à 4 sur le boitier) une fonction bien spécifique.
    -creer un bridge pour le partage de l'acces internet

    Je ne comprend toujours pas très bien comment je vais pouvoir à partir d'un poste avoir accès aux interface WEB des différent composants (modem, pfsense, routeur wifi)

    Je n'ai pas accès a l'interface web du routeur ZYXELL ( je ne suis pas sur qu'il en ai une, j'ai lu quelque part qu'il fallait se connecter avec le port com pour avoir un accès aux paramètre du routeur

    ![plan reseau.jpg](/public/imported_attachments/1/plan reseau.jpg)
    ![plan reseau.jpg_thumb](/public/imported_attachments/1/plan reseau.jpg_thumb)



  • Ton schéma est intéressant… mais ce n'est pas comme ça que ça marche.
    Et tu n'est pas non plus obligé d'utiliser TOUS les composants que tu as trouvé.

    • Tu peux en effet remplacer ta livebox par un modem en mode bridge. Mais dans ce cas, la livebox, tu la range dans un placard
    • le "routeur", tu n'en as pas besoin, c'est plutôt un switch qu'il te faut
    • le lien VPN passe par le même accès internet (unique) que celui auquel est connecté le modem: si tu disposes de 2 accès internet par site, alors tu peux faire des choses sympa en terme de haute dispo (si les fournisseurs d'accès sont différents) ou de répartition de charge (comme par exemple VPN sur un lien et internet sur l'autre) mais c'est un peu compliqué pour un premier design. commence simple
    • peut-être est-il souhaitable d'isoler le(s) serveur(s) sur un segment dédié. Mais dans ce cas, les flux poste de travail / serveur passent tous par le FW. Va t-il tenir la charge ?

    A mon avis la livebox en point d'accès wifi… ça ne marche pas  :-[

    J'essaie de te faire un petit schéma de la manière dont je vois les chose d'ici ce soir, sachant qu'il n'y a pas une manière unique de couvrir le besoin que tu décris.

    Et le subnet en .300 non plus :P



  • Très intéressé par ta proposition de schéma.

    Je pense que le zyxell est bien un switch, mais surement par manque d'habitude à traiter ce type de sujet, j'appelle toutes les boites qui ont plein de RJ45 des routeurs  ;D

    Pour la livebox, j'ai fait un essai, et si je la branche sans la connecter à la RJ11, en limitant sa plage DHCP, elle me distribue bien des accès internet sur les tel ANDROID de la maison.

    Je n'ai qu'un seul FAI pas site mais pour l'instant, je ne cherche à faire que du transfert de fichier.

    En fait j'ai ramener tous ce petit matériel chez moi pour les test. Je n'ai laissé à l'usine que la livebox.




  • Tu peux par exemple le faire comme ça (dans une représentation qui ressemble à la tienne  ;))

    • un subnet différent par segment, par exemple impair à gauche et pair à droite  ;)
    • le tunnel VPN en IPSec (et pas en OpenVPN). tu ne te soucies pas d'adresse de tunnel et autres trucs de ce genre et IPSec est plus adapté à ton usage ici. Il n'y a pas de WAN dédié.
    • j'ai mis le wifi "publique" sur un port du boitier pfSense. Tu peux aussi le faire avec du VLAN selon ce que ton switch supporte. ça revient à peu près au même: du point de vue de pfSense, tu vas gérer des règles de FW pour contrôler les flux.
    • de même le NAS pourrait être sur un VLAN dédié

    Comme je l'écrivais un peu plus haut, il y a d'autres manières de le faire.

    • le "modem" peut être en mode bridge, auquel cas, l'IP publique est supportée par le boitier pfSense qui fait du PPPoE
    • tu peux envisager de segmenter un peu plus ton réseau local




  • Merci de ce schéma, bien sûr des subnet en + de 255 ça doit pas marcher bien, en faisant le dessin ça ne m'a absolument pas traversé l'esprit :-[.
    J'était parti sur du openvpn parce que en parcourant le forum, il m'avait semblé que le ipsec etait plus dur à mettre en place.

    Je pense avoir maintenant de quoi demarrer une config d'essai.
    Je tente ça le week end prochain et je mettrais des captures d'écran de PFsense.

    Je ne comprend toujours pas très bien comment je vais pouvoir à partir d'un poste avoir accès aux interface WEB des différent composants (modem, pfsense, routeur wifi) mais j'avance un peu, il semble qu'il faudra gérer ça avec les regles de FW.

    Didier



  • Si j'ai écrit que le post initial ne respectait pas le formulaire A LIRE EN PREMIER, c'est que c'était un inventaire et une recherche de schéma.
    Il est calir qu'il est alors difficile de préciser WAN, LAN, …

    Je réécrit les choses déjà écrites pour être bien compris :

    • Les livebox :
        * si on veut utiliser pfSense, ce n'est pas pour utiliser le Wifi des livebox en amont ! (ceux qui écrivent le contraire vous donne un mauvais conseil)
        * on a donc intérêt à remplacer les Livebox par les boitiers DSL-320 : mais cela peut dépendre du type d'accès Internet, p.e. je remplace des Neufbox par des DSL-320B pour des ADSL SFR.
    • Point d'accès Wifi :
        * même avec 2 antennes et 2 fréquences, le WAC104 ne propose qu'un (B)SSID, donc un seul signal (et sans VLAN)
        * puisque vous avez besoin de 2 signaux Wifi, il vous faudra soit 2 point d'accès soit un nouveau (Chez Netgear vous pouvez chercher WAC505, WAC510, WAC720 ou WAC730)
    • Les switchs Zyxel doivent permettre, grâce au VLAN, d'avoir plusieurs réseaux : par exemple, les PC d'un côté, les serveurs (NAS) de l'autre.

    Bien sur les réseaux seront distincts sur chaque site : exemple

    site 1
    LAN/ PC : VLAN 8, adressage 192.168.8.0/255.255.255.0
    LAN / SRV : VLAN 9, adressage 192.168.9.0/255.255.255.0
    WIFI / Bureau : VLAN 10, adressage 192.168.10.0/255.255.255.0
    WIFI / Guest : VLAN 11, adressage 192.168.12.0/255.255.255.0

    site 2
    LAN/ PC : VLAN 16, adressage 192.168.16.0/255.255.255.0
    LAN / SRV : VLAN 17, adressage 192.168.17.0/255.255.255.0
    WIFI / Bureau : VLAN 18, adressage 192.168.18.0/255.255.255.0
    WIFI / Guest : VLAN 19, adressage 192.168.19.0/255.255.255.0

    Comme vous n'avez pas précisé le type d'accès Internet, et que je suppose qu'il s'agit d'ADSL, je répète qu'il ne faudra pas s'attendre à une grande performance d'un VPN.
    (VPN plutôt IPsec mais OpenVpn peut aussi très bien fonctionner ...)

    NB : Il est nécessaire de crypter les signaux Wifi, c'est votre responsabilité légale qui est en jeu (si on l'utilise à votre insu) !



  • IPSec n'est pas plus compliqué que OpenVPN. Il faut juste faire attention en cas de double NAT. Mais d'un autre côté, il n'y a pas de questions existentielles comme l'adresse du tunnel dont l'utilité est souvent mal comprise.

    Pour faire ton PoC, tu peux juste connecter les WAN des pfSense avec un simple câble ethernet en leur attribuant 2 IP dans un sujet dédié.

    En fonction de tes contraintes, sans ajouter de matériel, il te faudra choisir entre du wifi "intranet" et du wifi "publique". La livebox pour la partie wifi publique, je n'ai jamais essayé mais je n'y crois pas trop.



  • Je n'ai pas précisé le type de connexion car sur les 2 sites nous n'avons que l'ADSL (pas d'accès à la fibre)
    J'ai compris sur ce forum que l'on pouvait améliorer les performances et la qualité de la connexion en multipliant les FAI. Ce n'est pas d'actualité pour moi (mais c'est intéressant de la savoir, peut être qu'un jour …).

    Je ne sait pas si il existe d'autre mode de transfert (je n'ai rien vu de grand public dans le "Pour les débutants")

    Vous me dite qu'il peut être intéressant de séparer en sous réseau les serveur et les PC, je ne comprend pas bien le but de cette séparation ?

    Pour le cryptage du WIFI, ça aussi je ne le savais pas. Sur nos 2 sites, il faut être dans le bâtiment pour capter. Ca ne passe pas sur le terrain je ne parle même pas de la voie publique qui est à plusieurs centaines de mètres. Partant du principe que tous les salariés ont accès à ce WIFI, même si je le crypte il faudra bien que je leur donne la clef et il aura toujours le risque qu'ils la diffusent autour d'eux.



  • @dg85:

    J'ai compris sur ce forum que l'on pouvait améliorer les performances et la qualité de la connexion en multipliant les FAI. Ce n'est pas d'actualité pour moi (mais c'est intéressant de la savoir, peut être qu'un jour …)

    Je ne sais pas où tu as lu ça mais pour augmenter le débit avec 2 lignes ADSL, c'est assez difficile, surtout sans équipement dédié à chaque extrémité de la connexion.
    Par ailleurs, le A de ADSL vient de "asymétrique". Si tu n'est pas en VDSL, le débit est fortement asymétrique et le débit "montant" (depuis ton site vers internet) est souvent faible. Du coup, entre tes 2 sites, il y a toujours un sensqui est montant, donc débit assez faible.

    Je ne sait pas si il existe d'autre mode de transfert (je n'ai rien vu de grand public dans le "Pour les débutants")

    A quoi fais tu allusion ? un mode de transfert de quoi ?

    Vous me dite qu'il peut être intéressant de séparer en sous réseau les serveur et les PC, je ne comprend pas bien le but de cette séparation ?

    Le but, en isolant le(s) serveur(s) des postes de travail, c'est de t'assurer que tu contrôle bien les flux entre ces 2 extrémités, ce qui rend le serveur moins vulnérables aux attaques qui peuvent venir des postes de travail, lesquels sont plus sujet aux virus et autres malware.



  • Les 2 lignes, j'avais lu ça ici : https://www.provya.net/?d=2017/11/24/11/31/31-pfsense-configurer-un-dual-wan-plusieurs-connexions-internet

    Mon manque de vocabulaire me perdra, j'appelle "mode de transfert" le type de connexion à internet je n'en connais que 3 ADSL, VDSL, FIBRE.

    Je comprend que la séparation en sous réseau va isoler certain segment. Mais comme je n'ai toujours pas compris comment faire passer les infos d'un réseau à l'autre, pour l'instant je me limite à 2 lan et 1 wan

    Situation actuelle

    1-Mon DSL-320B est installer en mode bridge (adresse de config 192.168.1.1)
    J'ai commencer par le réinitialiser, mettre un poste en IP fixe sur le même segment que le DSL pour accéder à l'interface WEB là j'ai configurer en bride.

    2-Mon routeur WIFI netgear est configurer en serveur dhcp sur 192.168.10.1
    J'ai commencer par le réinitialiser, mettre un poste en IP fixe sur le même segment que le routeur wifi pour accéder à l'interface WEB là j'ai configurer en serveur dhcp sur 192.168.10.1

    3-Mon PFsense est configurer avec 1 wan et 2 lan
    J'ai commencer par sauvegarder sa config.
    Ensuite je suis passé en paramètre usine (remise à zéro)
    J'ai utiliser le WIZARD qui m'a créer le LAN et WAN j'ai donc
          un WAN sur le lan1 configurer en ppoe sur 192.168.0.1
          un LAN1 sur le lan2 configurer en ipstatic sur 192.168.10.1
    J'ai ajouter un LAN2 sur le lan3 configurer en serveur DHCP sur 192.168.100.1.

    (lan1 lan2 lan3 sont les étiquettes collée sur le boitier PFsense associé à une adresse MAC et un port RJ45)

    L'ensemble fonctionne
    Les postes reliés au LAN1 ont accès au WEB et aux autre postes
    Les postes reliés au LAN2 (WIFI netgear) n'ont accès que au WEB

    Dans PFsense je n'ai touché que aux interfaces (rien dans routing, rules, firewall etc…)
    Je dis que l'ensemble fonctionne, mais je pense que le parefeux ne protège rien. Qu'en pensez vous ?
    Autre problème, je ne parvient plus à me connecter au interfaces web du Dlink et du netgear. Comme ils sont sous un autre sous réseau c'est normal, mais je pensait pouvoir créer une route. Pouvez vous me dire si cette manip est possible et par quel moyen ?

    Oui, je sait que ces questions prouvent à quel point je n'y connait rien ;)



  • J'avoue ne pas y comprendre grand chose.
    Je pense qu'un schéma serait beaucoup plus parlant et clair.

    J'ai l'impression que dans tes explications, LAN1 c'est parfois l'interface de ton boitier pfSense que tu as configuré… en WAN et parfois le segment qui te sert vraiment de LAN.

    Je ne comprends pas non plus comment est connecté ton point d'accès Wifi qui est serveur DHCP (pour les postes en Wifi je pense) avec un range identique (même si tu ne précises pas les netmask) à l'interface du pfSense à laquelle il est connecté  ???



  • Ce que j'ai écrit en majuscule correspond au nom de l'interface dans PFsense (WAN, LAN1, LAN2)
    ce qui est en minuscule correspond aux prises RJ45 du boitier PFsense  (lan1, lan2, lan3)



  • C'est sur qu'un schéma, avec les adressages complets, serait mieux.

    Sur le boitier firewall est sérigraphié Lan1,2,3,4, mais rien n'empêche de coller des étiquettes : WAN, LAN, WIFI, …

    Boitier DSL320-B :
    Votre config est exactement ce qu'il faut faire (mode Bridge RFC1483).
    Il faut alors mentionner que WAN de pfSense doit alord être configuré en PPPoE avec les identifiants fournis.

    Boitier Netgear WAC104 :
    Malgré le Datasheet où il est mentionné en 'Point d'accès', il s'agit d'un routeur.
    Votre config n'est pas la meilleure :
    Côté LAN du routeur : il faut configurer juste une @ip LAN et ^pas de DHCP.
    Côté WAN du routeur : il faut configurer une @ip statique dans un réseau totalement inutilisé (192.168.254.254/24).
    Enfin il faut brancher un câble entre pfSense et un port LAN (oui) de ce routeur.
    Avec ce mode de config, le routeur devient juste un point d'accès, le pfSense est le serveur DHCP de ce réseau !
    Bien plus simple.

    Config pfSense :
    Vous êtes ainsi arrivé à une config assez simple :

    • WAN : PPPoE, relié au boitier DSL320 qui est un bridge ADSL/Ethernet, adresse publique auto fournie par Orange (qui fournit aussi un DNS),
    • LAN : ethernet statique, fournir du DHCP
    • WIFI : eethernet statique, relié au WAC104 (sur le LAN du boitier), fournir du DHCP.

    Un pfSense normalement initialisé n'a qu'une règle : LAN / par défaut.
    Il faudra bien sur ajouter les bonnes règles dans l'onglet WIFI.

    Si Wifi est un wifi guest, il faut commencer par une règle d'interdiction vers LAN ...



  • Ah !  ;D

    Le nom sur les étiquettes des interfaces du boitier pfSense ne présente pas d'intérêt et ne donne aucune information technique.

    Au risque de répéter: un schéma t'aiderait beaucoup.

    Finalement, ton point d'accès wifi est sur le segment LAN ou sur un segment dédié ?
    Et en 192.168.10.1, il y a quoi ? une des interfaces de pfSense ou le point d'accès wifi ?

    Si tu ne maitrises pas trop ces histoires de route, le plus simple est définitivement de configurer pfSense comme serveur DHCP pour l'ensemble des postes/clients (filaires et Wifi). ton point d'accès wifi n'est pas obligé de servir de serveur DHCP  ;)

    Et l'accès à l'interface de ton "modem" ne nécessite pas de route particulière: un poste sur le LAN a une route par défaut qui est l'interface de pfSense, lequel connait la route vers le "modem".



  • Ok,

    Merci Jdh, et chris4916 cela me semble plus clair.

    Je pense quand même que le WAC104 n'est pas un routeur (voir PDF joint)

    J'espérais remettre tout ça en route rapidement sur le site mais je me rend compte que je suis beaucoup trop limité en connaissance pour assurer une installation correcte.

    Je vais donc continuer à me familiariser avec ce matériel et essayer de bien le prendre en main.

    Pour ce qui est de mon besoin en lien VPN, ce sera dans un second temps. Quand j'aurais bien assimilé les bases.

    Pour l'instant, je reste sur la config suivante :

    modem      : DLINK en bridge
    PFsense    : WAN1 en ppoe
                        LAN_filaire sur switch zyxel
                        LAN_wifi sur WAC104
    WAC104    : Point d'acces wifi

    interdiction de LAN_WIFI vers LAN_filaire
    PFsense en seul serveur DHCP

    Quand j'aurais finalisé, je mettrais quand même des étiquettes sur les ports RJ. La première fois où j'ai toucher ce boitier PFsense, je n'ai pas imaginé une seconde que chaque port représentait une carte réseau. Je ne suis pas loin de la retraite, et mon successeur ne sera surement pas informaticien lui non plus ;D








  • @dg85:

    Je pense quand même que le WAC104 n'est pas un routeur (voir PDF joint)

    Effectivement, il n'y a pas d'interface "WAN" sur ce point d'accès Wifi et donc, comme l'explique la documentation, il fut utiliser le serveur DHCP du routeur (ici pfSense)

    The access point functions as a WiFi access point and LAN switch for Internet access but does not provide routing services such as NAT and does not include a DHCP server. Basically, the access point functions as a bridge between your existing router and the access point’s LAN and
    WiFi clients, which receive an IP address from or through the router.

    donc pfSense est le serveur DHCP pour les clients Wifi.

    Du coup, il faut juste faire une réservation d'adresse IP pour l'adresse MAC du WAC104 que tu connectes à pfsense afin que l'IP du point d'accès ne change pas.

    (par défaut, comme le dit la doc de Netgear, le WAC104 est client DHCP)

    @dg85:

    Pour ce qui est de mon besoin en lien VPN, ce sera dans un second temps. Quand j'aurais bien assimilé les bases.

    un tunnel IPSec, c'est le plus simple



  • Mea culpa, le Netgear WAC104 est bien un point d'accès.
    Mon erreur vient du fait qu'il est doté de 4 prises RJ alors qu'un point d'accès ne comporte qu'une seule prise RJ usuellement (j'utilise des Netgear WNAP 210 avec une seule prise mais multiples SSID).
    Ces prises RJ fonctionnent comme un switch permettant de brancher une imprimante, … mais c'est sans grand intérêt puisque en 10/100.

    Je confirme que, même si ce Netgear peut être serveur DHCP, ce n'est pas très malin de le faire puisque pfSense saura 'mieux' le faire.

    Je suggère de fixer l'adresse de ce boitier plutôt qu'il soit client DHCP.
    Par exemple, 192.168.11.1/24 pour le pfSense et 192.168.11.2/24 pour le netgear WAC104.

    Ce Netgear est l'élément le plus faible du lot de matériel car c'est un simple point d'accès (grand public) avec un seul SSID : en entreprise, on préfèrera un point d'accès multi-SSID.



  • Ci joint une page du manuel, j'ai bien la possibilité de créer 2 SSID.
    Mais visiblement ils seront sur le même sous réseau.

    J'opte bien pour la solution que vous préconisez, PFsense en serveur DHCP et le netgear en ip fixe.
    Le lan wifi sera uniquement sur le netgear et séparer du lan filaire.

    Si par la suite je veut ajouter du wifi pour le lan filaire, je prendrais un autre point d'acces que je brancherais sur le routeur du lan filaire

    ![wac104 ssid.jpg](/public/imported_attachments/1/wac104 ssid.jpg)
    ![wac104 ssid.jpg_thumb](/public/imported_attachments/1/wac104 ssid.jpg_thumb)



  • Les points d'accès utilisent du 2.4 Ghz pour G (jqa 54Mb), N (jqa 600 Mb), et du 5.0 Ghz pour AC (jqa 1200 Mb voire 1750 Mb avec 2 interfaces ethernet 1G).
    Il est très clair que les signaux AC sont bien meilleurs que les anciens G ou N.

    Forcément avec 2 antennes, on peut avoir 2 signaux : un N et un AC, chacun pouvant avoir son propre SSID.
    Mais ça n'a pas vraiment de sens !
    D'autant plus qu'il faudrait alors du VLAN pour différencier les 2 SSID … ce que la photo ne montre pas.
    Ce matériel est un matériel 'obsolète' AMHA, parmi les premiers en AC (d'ailleurs limité à 867 Mb)

    Il vaut mieux imaginer un seul SSID (signal) et, selon la techno du client, accès en N ou en AC.
    Et pour l'entreprise, un multi-SSID : chaque SSID a son VLAN pour séparation par le firewall.



  • J'avance petit à petit et j'y voit de plus en plus clair.

    config fonctionnelle :
    Modem en mode bridge
    PFsense



  • J'avance petit à petit et j'y voit de plus en plus clair.

    config fonctionnelle :
    Modem en mode bridge 192.168.1.1
    PFsense
      wan 1 en ppoe
      lan 1 pour le réseau filaire 192.168.100.1
      lan 2 pour le wifi public 192.168.0.1

    J'ai installer avec le menu wizard et j'ai ensuite ajouter le lan2 en recopiant les même rêgles que celles présente sur le lan1

    Ca fonctionne comme je le souhaite

    Mais du coup les règles me gênent un peu.
    En fait il y a 2 rêgles (ipv4 et ipv6) qui laissent tout passer (configurées sur "any")

    Je pensait supprimer ces régles et en refaire d'autre pour ne valider que certain port (smtp pop etc…).
    Pour mes test à la maison, ça semble fonctionner mais je ne suis pas sûr que cela va bien fonctionner à l'usine. Sur le site nous travaillons avec solidworks (dassault) et inventor (autodesk) et ces 2 applications communiquent avec les serveurs de dassault et autodesk donc je suppose qu'ils ont dédié un port de communication.

    Je pense pouvoir trouver ces ports et créer des règles spécifique pour ces 2 applis mais cela m'amène à une autre question : les adresse DHCP.

    Est ce que ce principe m'oblige à déclarer mes postes qui utilisent inventor ou solidworks (ou les 2 sur un des poste) en adresse fixe (chaque licences est identifiées sur les serveurs).

    Si je laisse les règles comme elles sont, je pense qu'il n'y aura pas de soucis mais dans ce cas là, le pare feux perd de son intérêt non ?



  • Effectivement si tu laisses "any to any", le FW ne sert pas à grand chose.
    Mais d'un autre coté, tu n'es pas obligé de définir ET source ET destination pour chaque protocole.

    Oui il va falloir identifier les ports utilisés par les différentes applications.
    Mais ensuite, tu peux peut-être te contenter de d'autoriser, par exemple, un range source (celui que tu utilises pour DHCP) à accéder, pour un ensemble de ports correspondant à l'application, à l'IP du serveur qui la supporte.

    Pense ici à utiliser la notion d'alias qui va te faciliter la vie dans la gestion des règles.