Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Nouvelle installation PF Sense

    Scheduled Pinned Locked Moved Français
    26 Posts 3 Posters 3.5k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • J
      jdh
      last edited by

      Mea culpa, le Netgear WAC104 est bien un point d'accès.
      Mon erreur vient du fait qu'il est doté de 4 prises RJ alors qu'un point d'accès ne comporte qu'une seule prise RJ usuellement (j'utilise des Netgear WNAP 210 avec une seule prise mais multiples SSID).
      Ces prises RJ fonctionnent comme un switch permettant de brancher une imprimante, … mais c'est sans grand intérêt puisque en 10/100.

      Je confirme que, même si ce Netgear peut être serveur DHCP, ce n'est pas très malin de le faire puisque pfSense saura 'mieux' le faire.

      Je suggère de fixer l'adresse de ce boitier plutôt qu'il soit client DHCP.
      Par exemple, 192.168.11.1/24 pour le pfSense et 192.168.11.2/24 pour le netgear WAC104.

      Ce Netgear est l'élément le plus faible du lot de matériel car c'est un simple point d'accès (grand public) avec un seul SSID : en entreprise, on préfèrera un point d'accès multi-SSID.

      Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

      1 Reply Last reply Reply Quote 0
      • D
        dg85
        last edited by

        Ci joint une page du manuel, j'ai bien la possibilité de créer 2 SSID.
        Mais visiblement ils seront sur le même sous réseau.

        J'opte bien pour la solution que vous préconisez, PFsense en serveur DHCP et le netgear en ip fixe.
        Le lan wifi sera uniquement sur le netgear et séparer du lan filaire.

        Si par la suite je veut ajouter du wifi pour le lan filaire, je prendrais un autre point d'acces que je brancherais sur le routeur du lan filaire

        ![wac104 ssid.jpg](/public/imported_attachments/1/wac104 ssid.jpg)
        ![wac104 ssid.jpg_thumb](/public/imported_attachments/1/wac104 ssid.jpg_thumb)

        1 Reply Last reply Reply Quote 0
        • J
          jdh
          last edited by

          Les points d'accès utilisent du 2.4 Ghz pour G (jqa 54Mb), N (jqa 600 Mb), et du 5.0 Ghz pour AC (jqa 1200 Mb voire 1750 Mb avec 2 interfaces ethernet 1G).
          Il est très clair que les signaux AC sont bien meilleurs que les anciens G ou N.

          Forcément avec 2 antennes, on peut avoir 2 signaux : un N et un AC, chacun pouvant avoir son propre SSID.
          Mais ça n'a pas vraiment de sens !
          D'autant plus qu'il faudrait alors du VLAN pour différencier les 2 SSID … ce que la photo ne montre pas.
          Ce matériel est un matériel 'obsolète' AMHA, parmi les premiers en AC (d'ailleurs limité à 867 Mb)

          Il vaut mieux imaginer un seul SSID (signal) et, selon la techno du client, accès en N ou en AC.
          Et pour l'entreprise, un multi-SSID : chaque SSID a son VLAN pour séparation par le firewall.

          Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

          1 Reply Last reply Reply Quote 0
          • D
            dg85
            last edited by

            J'avance petit à petit et j'y voit de plus en plus clair.

            config fonctionnelle :
            Modem en mode bridge
            PFsense

            1 Reply Last reply Reply Quote 0
            • D
              dg85
              last edited by

              J'avance petit à petit et j'y voit de plus en plus clair.

              config fonctionnelle :
              Modem en mode bridge 192.168.1.1
              PFsense
                wan 1 en ppoe
                lan 1 pour le réseau filaire 192.168.100.1
                lan 2 pour le wifi public 192.168.0.1

              J'ai installer avec le menu wizard et j'ai ensuite ajouter le lan2 en recopiant les même rêgles que celles présente sur le lan1

              Ca fonctionne comme je le souhaite

              Mais du coup les règles me gênent un peu.
              En fait il y a 2 rêgles (ipv4 et ipv6) qui laissent tout passer (configurées sur "any")

              Je pensait supprimer ces régles et en refaire d'autre pour ne valider que certain port (smtp pop etc…).
              Pour mes test à la maison, ça semble fonctionner mais je ne suis pas sûr que cela va bien fonctionner à l'usine. Sur le site nous travaillons avec solidworks (dassault) et inventor (autodesk) et ces 2 applications communiquent avec les serveurs de dassault et autodesk donc je suppose qu'ils ont dédié un port de communication.

              Je pense pouvoir trouver ces ports et créer des règles spécifique pour ces 2 applis mais cela m'amène à une autre question : les adresse DHCP.

              Est ce que ce principe m'oblige à déclarer mes postes qui utilisent inventor ou solidworks (ou les 2 sur un des poste) en adresse fixe (chaque licences est identifiées sur les serveurs).

              Si je laisse les règles comme elles sont, je pense qu'il n'y aura pas de soucis mais dans ce cas là, le pare feux perd de son intérêt non ?

              1 Reply Last reply Reply Quote 0
              • C
                chris4916
                last edited by

                Effectivement si tu laisses "any to any", le FW ne sert pas à grand chose.
                Mais d'un autre coté, tu n'es pas obligé de définir ET source ET destination pour chaque protocole.

                Oui il va falloir identifier les ports utilisés par les différentes applications.
                Mais ensuite, tu peux peut-être te contenter de d'autoriser, par exemple, un range source (celui que tu utilises pour DHCP) à accéder, pour un ensemble de ports correspondant à l'application, à l'IP du serveur qui la supporte.

                Pense ici à utiliser la notion d'alias qui va te faciliter la vie dans la gestion des règles.

                Jah Olela Wembo: Les mots se muent en maux quand ils indisposent, agressent ou blessent.

                1 Reply Last reply Reply Quote 0
                • First post
                  Last post
                Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.