Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Nouvelle installation PF Sense

    Français
    3
    26
    3.2k
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • J
      jdh
      last edited by

      C'est sur qu'un schéma, avec les adressages complets, serait mieux.

      Sur le boitier firewall est sérigraphié Lan1,2,3,4, mais rien n'empêche de coller des étiquettes : WAN, LAN, WIFI, …

      Boitier DSL320-B :
      Votre config est exactement ce qu'il faut faire (mode Bridge RFC1483).
      Il faut alors mentionner que WAN de pfSense doit alord être configuré en PPPoE avec les identifiants fournis.

      Boitier Netgear WAC104 :
      Malgré le Datasheet où il est mentionné en 'Point d'accès', il s'agit d'un routeur.
      Votre config n'est pas la meilleure :
      Côté LAN du routeur : il faut configurer juste une @ip LAN et ^pas de DHCP.
      Côté WAN du routeur : il faut configurer une @ip statique dans un réseau totalement inutilisé (192.168.254.254/24).
      Enfin il faut brancher un câble entre pfSense et un port LAN (oui) de ce routeur.
      Avec ce mode de config, le routeur devient juste un point d'accès, le pfSense est le serveur DHCP de ce réseau !
      Bien plus simple.

      Config pfSense :
      Vous êtes ainsi arrivé à une config assez simple :

      • WAN : PPPoE, relié au boitier DSL320 qui est un bridge ADSL/Ethernet, adresse publique auto fournie par Orange (qui fournit aussi un DNS),
      • LAN : ethernet statique, fournir du DHCP
      • WIFI : eethernet statique, relié au WAC104 (sur le LAN du boitier), fournir du DHCP.

      Un pfSense normalement initialisé n'a qu'une règle : LAN / par défaut.
      Il faudra bien sur ajouter les bonnes règles dans l'onglet WIFI.

      Si Wifi est un wifi guest, il faut commencer par une règle d'interdiction vers LAN ...

      Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

      1 Reply Last reply Reply Quote 0
      • C
        chris4916
        last edited by

        Ah !  ;D

        Le nom sur les étiquettes des interfaces du boitier pfSense ne présente pas d'intérêt et ne donne aucune information technique.

        Au risque de répéter: un schéma t'aiderait beaucoup.

        Finalement, ton point d'accès wifi est sur le segment LAN ou sur un segment dédié ?
        Et en 192.168.10.1, il y a quoi ? une des interfaces de pfSense ou le point d'accès wifi ?

        Si tu ne maitrises pas trop ces histoires de route, le plus simple est définitivement de configurer pfSense comme serveur DHCP pour l'ensemble des postes/clients (filaires et Wifi). ton point d'accès wifi n'est pas obligé de servir de serveur DHCP  ;)

        Et l'accès à l'interface de ton "modem" ne nécessite pas de route particulière: un poste sur le LAN a une route par défaut qui est l'interface de pfSense, lequel connait la route vers le "modem".

        Jah Olela Wembo: Les mots se muent en maux quand ils indisposent, agressent ou blessent.

        1 Reply Last reply Reply Quote 0
        • D
          dg85
          last edited by

          Ok,

          Merci Jdh, et chris4916 cela me semble plus clair.

          Je pense quand même que le WAC104 n'est pas un routeur (voir PDF joint)

          J'espérais remettre tout ça en route rapidement sur le site mais je me rend compte que je suis beaucoup trop limité en connaissance pour assurer une installation correcte.

          Je vais donc continuer à me familiariser avec ce matériel et essayer de bien le prendre en main.

          Pour ce qui est de mon besoin en lien VPN, ce sera dans un second temps. Quand j'aurais bien assimilé les bases.

          Pour l'instant, je reste sur la config suivante :

          modem      : DLINK en bridge
          PFsense    : WAN1 en ppoe
                              LAN_filaire sur switch zyxel
                              LAN_wifi sur WAC104
          WAC104    : Point d'acces wifi

          interdiction de LAN_WIFI vers LAN_filaire
          PFsense en seul serveur DHCP

          Quand j'aurais finalisé, je mettrais quand même des étiquettes sur les ports RJ. La première fois où j'ai toucher ce boitier PFsense, je n'ai pas imaginé une seconde que chaque port représentait une carte réseau. Je ne suis pas loin de la retraite, et mon successeur ne sera surement pas informaticien lui non plus ;D

          WAC104_IG_FR1.jpg
          WAC104_IG_FR1.jpg_thumb
          WAC104_IG_FR2.jpg
          WAC104_IG_FR2.jpg_thumb
          20180225_193134.jpg
          20180225_193134.jpg_thumb

          1 Reply Last reply Reply Quote 0
          • C
            chris4916
            last edited by

            @dg85:

            Je pense quand même que le WAC104 n'est pas un routeur (voir PDF joint)

            Effectivement, il n'y a pas d'interface "WAN" sur ce point d'accès Wifi et donc, comme l'explique la documentation, il fut utiliser le serveur DHCP du routeur (ici pfSense)

            The access point functions as a WiFi access point and LAN switch for Internet access but does not provide routing services such as NAT and does not include a DHCP server. Basically, the access point functions as a bridge between your existing router and the access point’s LAN and
            WiFi clients, which receive an IP address from or through the router.

            donc pfSense est le serveur DHCP pour les clients Wifi.

            Du coup, il faut juste faire une réservation d'adresse IP pour l'adresse MAC du WAC104 que tu connectes à pfsense afin que l'IP du point d'accès ne change pas.

            (par défaut, comme le dit la doc de Netgear, le WAC104 est client DHCP)

            @dg85:

            Pour ce qui est de mon besoin en lien VPN, ce sera dans un second temps. Quand j'aurais bien assimilé les bases.

            un tunnel IPSec, c'est le plus simple

            Jah Olela Wembo: Les mots se muent en maux quand ils indisposent, agressent ou blessent.

            1 Reply Last reply Reply Quote 0
            • J
              jdh
              last edited by

              Mea culpa, le Netgear WAC104 est bien un point d'accès.
              Mon erreur vient du fait qu'il est doté de 4 prises RJ alors qu'un point d'accès ne comporte qu'une seule prise RJ usuellement (j'utilise des Netgear WNAP 210 avec une seule prise mais multiples SSID).
              Ces prises RJ fonctionnent comme un switch permettant de brancher une imprimante, … mais c'est sans grand intérêt puisque en 10/100.

              Je confirme que, même si ce Netgear peut être serveur DHCP, ce n'est pas très malin de le faire puisque pfSense saura 'mieux' le faire.

              Je suggère de fixer l'adresse de ce boitier plutôt qu'il soit client DHCP.
              Par exemple, 192.168.11.1/24 pour le pfSense et 192.168.11.2/24 pour le netgear WAC104.

              Ce Netgear est l'élément le plus faible du lot de matériel car c'est un simple point d'accès (grand public) avec un seul SSID : en entreprise, on préfèrera un point d'accès multi-SSID.

              Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

              1 Reply Last reply Reply Quote 0
              • D
                dg85
                last edited by

                Ci joint une page du manuel, j'ai bien la possibilité de créer 2 SSID.
                Mais visiblement ils seront sur le même sous réseau.

                J'opte bien pour la solution que vous préconisez, PFsense en serveur DHCP et le netgear en ip fixe.
                Le lan wifi sera uniquement sur le netgear et séparer du lan filaire.

                Si par la suite je veut ajouter du wifi pour le lan filaire, je prendrais un autre point d'acces que je brancherais sur le routeur du lan filaire

                ![wac104 ssid.jpg](/public/imported_attachments/1/wac104 ssid.jpg)
                ![wac104 ssid.jpg_thumb](/public/imported_attachments/1/wac104 ssid.jpg_thumb)

                1 Reply Last reply Reply Quote 0
                • J
                  jdh
                  last edited by

                  Les points d'accès utilisent du 2.4 Ghz pour G (jqa 54Mb), N (jqa 600 Mb), et du 5.0 Ghz pour AC (jqa 1200 Mb voire 1750 Mb avec 2 interfaces ethernet 1G).
                  Il est très clair que les signaux AC sont bien meilleurs que les anciens G ou N.

                  Forcément avec 2 antennes, on peut avoir 2 signaux : un N et un AC, chacun pouvant avoir son propre SSID.
                  Mais ça n'a pas vraiment de sens !
                  D'autant plus qu'il faudrait alors du VLAN pour différencier les 2 SSID … ce que la photo ne montre pas.
                  Ce matériel est un matériel 'obsolète' AMHA, parmi les premiers en AC (d'ailleurs limité à 867 Mb)

                  Il vaut mieux imaginer un seul SSID (signal) et, selon la techno du client, accès en N ou en AC.
                  Et pour l'entreprise, un multi-SSID : chaque SSID a son VLAN pour séparation par le firewall.

                  Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

                  1 Reply Last reply Reply Quote 0
                  • D
                    dg85
                    last edited by

                    J'avance petit à petit et j'y voit de plus en plus clair.

                    config fonctionnelle :
                    Modem en mode bridge
                    PFsense

                    1 Reply Last reply Reply Quote 0
                    • D
                      dg85
                      last edited by

                      J'avance petit à petit et j'y voit de plus en plus clair.

                      config fonctionnelle :
                      Modem en mode bridge 192.168.1.1
                      PFsense
                        wan 1 en ppoe
                        lan 1 pour le réseau filaire 192.168.100.1
                        lan 2 pour le wifi public 192.168.0.1

                      J'ai installer avec le menu wizard et j'ai ensuite ajouter le lan2 en recopiant les même rêgles que celles présente sur le lan1

                      Ca fonctionne comme je le souhaite

                      Mais du coup les règles me gênent un peu.
                      En fait il y a 2 rêgles (ipv4 et ipv6) qui laissent tout passer (configurées sur "any")

                      Je pensait supprimer ces régles et en refaire d'autre pour ne valider que certain port (smtp pop etc…).
                      Pour mes test à la maison, ça semble fonctionner mais je ne suis pas sûr que cela va bien fonctionner à l'usine. Sur le site nous travaillons avec solidworks (dassault) et inventor (autodesk) et ces 2 applications communiquent avec les serveurs de dassault et autodesk donc je suppose qu'ils ont dédié un port de communication.

                      Je pense pouvoir trouver ces ports et créer des règles spécifique pour ces 2 applis mais cela m'amène à une autre question : les adresse DHCP.

                      Est ce que ce principe m'oblige à déclarer mes postes qui utilisent inventor ou solidworks (ou les 2 sur un des poste) en adresse fixe (chaque licences est identifiées sur les serveurs).

                      Si je laisse les règles comme elles sont, je pense qu'il n'y aura pas de soucis mais dans ce cas là, le pare feux perd de son intérêt non ?

                      1 Reply Last reply Reply Quote 0
                      • C
                        chris4916
                        last edited by

                        Effectivement si tu laisses "any to any", le FW ne sert pas à grand chose.
                        Mais d'un autre coté, tu n'es pas obligé de définir ET source ET destination pour chaque protocole.

                        Oui il va falloir identifier les ports utilisés par les différentes applications.
                        Mais ensuite, tu peux peut-être te contenter de d'autoriser, par exemple, un range source (celui que tu utilises pour DHCP) à accéder, pour un ensemble de ports correspondant à l'application, à l'IP du serveur qui la supporte.

                        Pense ici à utiliser la notion d'alias qui va te faciliter la vie dans la gestion des règles.

                        Jah Olela Wembo: Les mots se muent en maux quand ils indisposent, agressent ou blessent.

                        1 Reply Last reply Reply Quote 0
                        • First post
                          Last post
                        Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.