Pfsense + wan + lan !!!!!



  • bonjour,
    nous voulons mettre en production un portail captif et nous en sommes au test de la solution pfsense.
    voici ce que voulons mettre en oeuvre:
    nous avons deja un radius externe sous linux : 192.168.0.3
    nous allons mettre le lan en 192.168.50.0
    et le wan derriere une adsl.
    ma question est :
    faut il que je declare une troisieme interface a l'installation pour le reseau ou se trouve mon radius ?

    merci d'avance pour vos reponses.

    Philippe



  • Bonjour,

    Ma réponse serait à priori "Oui" Philippe  ::) car:

    • Patte 1: WAN (branchement direct ADSL si j'ai bien compris)

    • Patte 2: LAN Radius (n'oublies pas les regles de NAT / Firewall entre LAN Radius et LAN Users)

    • Patte 3: LAN Users ==> Portail captif actif sur cette patte



  • merci Lylian,
    j'essaye ca demain matin, il est pour me remettre dans le cambouis.

    philippe

    @lylian:

    Bonjour,

    Ma réponse serait à priori "Oui" Philippe  ::) car:

    • Patte 1: WAN (branchement direct ADSL si j'ai bien compris)

    • Patte 2: LAN Radius (n'oublies pas les regles de NAT / Firewall entre LAN Radius et LAN Users)

    • Patte 3: LAN Users ==> Portail captif actif sur cette patte



  • bon, on y a passé toute la journée et on bloque sur l'auth radius externe linux.
    WAN = adsl
    LAN = client wifi
    OPT = radius linux externe

    on a securisé notre LAN vers le WAN
    Proto      src                port        dest        port        gatw
    udp          lan net          *              servdns    53          *
    tcp          lan net          *              *              http          *

    maintenant on voudrait faire passer l'authentification radius.
    1er question: de quel reseau par l'authentification    ? LAN => OPT ?

    on a essayé :
    Proto              src                port        dest        port        gatw
    tcp/udp          lan net          *            OPT net    1812        *

    ca ne fontionne pas.
    lylian me parle de "LAN Radius (n'oublies pas les regles de NAT / Firewall entre LAN Radius et LAN Users)"
    ca veut dire quoi ? un nat et ensuite une regle ?

    merci d'avance pour votre aide precieuse.

    Philippe

    @lylian:

    Bonjour,

    Ma réponse serait à priori "Oui" Philippe  ::) car:

    • Patte 1: WAN (branchement direct ADSL si j'ai bien compris)

    • Patte 2: LAN Radius (n'oublies pas les regles de NAT / Firewall entre LAN Radius et LAN Users)

    • Patte 3: LAN Users ==> Portail captif actif sur cette patte



  • bon, on y a passé toute la journée et on bloque sur l'auth radius externe linux.
    WAN = adsl
    LAN = client wifi
    OPT = radius linux externe

    on a securisé notre LAN vers le WAN
    Proto      src                port        dest        port        gatw
    udp          lan net          *              servdns    53          *
    tcp          lan net          *              *              http          *

    maintenant on voudrait faire passer l'authentification radius.
    1er question: de quel reseau par l'authentification    ? LAN => OPT ?

    on a essayé :
    Proto              src                port        dest        port        gatw
    tcp/udp          lan net          *            OPT net    1812        *

    ca ne fontionne pas.
    lylian me parle de "LAN Radius (n'oublies pas les regles de NAT / Firewall entre LAN Radius et LAN Users)"
    ca veut dire quoi ? un nat et ensuite une regle ?

    merci d'avance pour votre aide precieuse.

    Philippe



  • personne pour m'aider
    :-(



  • Dans un premier temps, j'échangerais les deux interfaces LAN et OPT tout simplement pour des raisons de logique (LAN = zone de confiance forte, OPT=WIFI dans votre cas=zone de confiance modérée à nulle)
    LAN dédiée au réseau 192.168.0.0/24 où se situe le serveur radius.
    OPT dédiée au réseau WIFI 192.168.50.0/24 avec le CP d'activé.

    Ensuite il n'y a normalement pas de règle à créer pour l'authentification RADIUS étant donné que le trafic d'authentification est généré par pfsense lui même et qu'il n'y a pas de restriction pour ce genre de trafic.
    Vérifiez bien que tout est OK niveau réseau (les éléments peuvent se joindre) puis, si vous utilisez de la résolution DNS dans vos politiques radius que celle-ci fonctionne bien (enregistrement existant pour l'adresse IP LAN de votre pfsense).

    Enfin, je vous conseille de modifier la règle qui permet aux utilisateurs de faire de la résolution DNS directement vers le serveur DNS externe en la restreignant à l'IP de votre pfsense côté OPT1. Dès lors vos utilisateurs wifi passeront par le dns forwarder de pfsense et vous aurez donc "la main" sur leur résolution DNS (très utile!).


Log in to reply