Nouvelle installation PF Sense
-
Mea culpa, le Netgear WAC104 est bien un point d'accès.
Mon erreur vient du fait qu'il est doté de 4 prises RJ alors qu'un point d'accès ne comporte qu'une seule prise RJ usuellement (j'utilise des Netgear WNAP 210 avec une seule prise mais multiples SSID).
Ces prises RJ fonctionnent comme un switch permettant de brancher une imprimante, … mais c'est sans grand intérêt puisque en 10/100.Je confirme que, même si ce Netgear peut être serveur DHCP, ce n'est pas très malin de le faire puisque pfSense saura 'mieux' le faire.
Je suggère de fixer l'adresse de ce boitier plutôt qu'il soit client DHCP.
Par exemple, 192.168.11.1/24 pour le pfSense et 192.168.11.2/24 pour le netgear WAC104.Ce Netgear est l'élément le plus faible du lot de matériel car c'est un simple point d'accès (grand public) avec un seul SSID : en entreprise, on préfèrera un point d'accès multi-SSID.
-
Ci joint une page du manuel, j'ai bien la possibilité de créer 2 SSID.
Mais visiblement ils seront sur le même sous réseau.J'opte bien pour la solution que vous préconisez, PFsense en serveur DHCP et le netgear en ip fixe.
Le lan wifi sera uniquement sur le netgear et séparer du lan filaire.Si par la suite je veut ajouter du wifi pour le lan filaire, je prendrais un autre point d'acces que je brancherais sur le routeur du lan filaire
 -
Les points d'accès utilisent du 2.4 Ghz pour G (jqa 54Mb), N (jqa 600 Mb), et du 5.0 Ghz pour AC (jqa 1200 Mb voire 1750 Mb avec 2 interfaces ethernet 1G).
Il est très clair que les signaux AC sont bien meilleurs que les anciens G ou N.Forcément avec 2 antennes, on peut avoir 2 signaux : un N et un AC, chacun pouvant avoir son propre SSID.
Mais ça n'a pas vraiment de sens !
D'autant plus qu'il faudrait alors du VLAN pour différencier les 2 SSID … ce que la photo ne montre pas.
Ce matériel est un matériel 'obsolète' AMHA, parmi les premiers en AC (d'ailleurs limité à 867 Mb)Il vaut mieux imaginer un seul SSID (signal) et, selon la techno du client, accès en N ou en AC.
Et pour l'entreprise, un multi-SSID : chaque SSID a son VLAN pour séparation par le firewall. -
J'avance petit à petit et j'y voit de plus en plus clair.
config fonctionnelle :
Modem en mode bridge
PFsense -
J'avance petit à petit et j'y voit de plus en plus clair.
config fonctionnelle :
Modem en mode bridge 192.168.1.1
PFsense
wan 1 en ppoe
lan 1 pour le réseau filaire 192.168.100.1
lan 2 pour le wifi public 192.168.0.1J'ai installer avec le menu wizard et j'ai ensuite ajouter le lan2 en recopiant les même rêgles que celles présente sur le lan1
Ca fonctionne comme je le souhaite
Mais du coup les règles me gênent un peu.
En fait il y a 2 rêgles (ipv4 et ipv6) qui laissent tout passer (configurées sur "any")Je pensait supprimer ces régles et en refaire d'autre pour ne valider que certain port (smtp pop etc…).
Pour mes test à la maison, ça semble fonctionner mais je ne suis pas sûr que cela va bien fonctionner à l'usine. Sur le site nous travaillons avec solidworks (dassault) et inventor (autodesk) et ces 2 applications communiquent avec les serveurs de dassault et autodesk donc je suppose qu'ils ont dédié un port de communication.Je pense pouvoir trouver ces ports et créer des règles spécifique pour ces 2 applis mais cela m'amène à une autre question : les adresse DHCP.
Est ce que ce principe m'oblige à déclarer mes postes qui utilisent inventor ou solidworks (ou les 2 sur un des poste) en adresse fixe (chaque licences est identifiées sur les serveurs).
Si je laisse les règles comme elles sont, je pense qu'il n'y aura pas de soucis mais dans ce cas là, le pare feux perd de son intérêt non ?
-
Effectivement si tu laisses "any to any", le FW ne sert pas à grand chose.
Mais d'un autre coté, tu n'es pas obligé de définir ET source ET destination pour chaque protocole.Oui il va falloir identifier les ports utilisés par les différentes applications.
Mais ensuite, tu peux peut-être te contenter de d'autoriser, par exemple, un range source (celui que tu utilises pour DHCP) à accéder, pour un ensemble de ports correspondant à l'application, à l'IP du serveur qui la supporte.Pense ici à utiliser la notion d'alias qui va te faciliter la vie dans la gestion des règles.