Déploiement Pfsense dans un lycée



  • Contexte : Bonjour à tous ! Suite au passage de notre collège en lycée croisé à la nouvelle réforme du BAC et la réception d'une tablette par élève, je me retrouve moi "informaticien bidouilleur" passionné à devoir déployer un réseau pour 15 postes + et 80 tablettes environ. J'ai un niveau que je qualifierai de "Ok" en réseau. J'avais installé à l'époque Ipcop dans ce même collège, mais hélas le disque dur a rendu l'âme en janvier, et Ipcop n'étant plus mis à jour, j'ai décidé de déployer ce réseau sous Pfsense qui est à mon gout plus récent, avec une forte communauté et cerise sur le gâteau, en français !

    Besoin : Déployer un réseau pour poste fixes + tablette. Avec logs utilisateurs, Pare-feu http/https, si possible avec aucune configuration / certificat à installer sur les futures tablettes

    Schéma : Nouvelle installation toute fraîche sur un vieux pc qui se situe dans la salle informatique, relié au réseau des postes fixes

    WAN (modem) : La connexion arrive directement d'un câble qui est connecté au modem/routeur orange. Pour le moment, elle est accessible uniquement en loca routeur, accessible en local ( pas d'ip publique donc ) . IP: 192.168.1.100

    LAN : nombre 1, pas de vlan 0, configuré en dhcp ( plage 192.168.2.1 - 192.168.2.249 ), dns celui du routeur + dns google en secondaire ( 192.168.1.1 + 8.8.8.8 ). Ip: 192.168.2.250

    Règles NAT : Par défaut car nouvelle installation, aucune configuration n'a donc été encore faite

    Packages ajoutés : aucun

    Autres fonctions assignées au pfSense : non

    Pistes imaginées : je suis bloqué, lol..

    Logs et tests : complément de "Recherches" : J'ai essayé de suivre divers tuto, mais ils n'ont pas répondu à toutes mes attentes.

    J'ai testé les packages squid mais j'ai péché au niveau du blocage https.
    J'avais également une erreur sur Firefox ( uniquement ) lorsque je faisais une requête sur Google "SSL_ERROR_RX_TOO_LONG". Je pouvais tout de même accéder aux sites via leur URL.

    Par contre impossible d'accéder aux services google, que ce soit sur chrome ou Firefox.
    j'avais suivi ce tuto : Pc2s .
    Merci d'avoir pris le temps de m avoir lu, en espérant que je ne demande pas l'impossible



  • Je ne vais pas répondre à toutes vos interrogations, je n'en ai pas le temps.
    Avant que vous ne poursuiviez une première indication sur l'architecture. Si je comprend bien entre les lignes, il y des tablettes pour les élèves et des pc pour des personnes qui ne sont pas des élèves. Donc des besoins fonctionnels potentiellement différents et surtout des PC (personnels administratifs et enseignants ?) auxquels il est exclu que les élèves puissent avoir accès. Donc segmentation : 2 lans bien séparés.
    Le certificat sur les tablettes pour l'interception SSL ok mais prévoir la charte qui va avec et l'information des utilisateurs. Obligatoire.
    Vieux PC, nouveaux ennuis !



  • Bonsoir @ccnet, merci de ta réponse !
    Pour la charte, elle sera faite aussitôt que le service sera fonctionnel. Pour ce qui est du poste qui sert de serveur malheureusement, c'est tout ce que j'ai pu récupérer, et c'est d'ailleurs pour cela qu'ils font appel à moi plutôt qu'à un vrai professionnel: je le fais bénévolement..

    Je me suis mal exprimé je pense, voici un diagramme du réseau. La partie du bas " du personnel" est déjà en fonction, il reste donc la partie du haut à déployer

    Untitled Diagram.png



  • Je n'avais effectivement pas compris comme cela. Quoi qu'il en soit le schéma qui précède ne convient pas non plus à mon sens.
    Tous les flux devrait transiter par Pfsense et sa patte wan connecté au modem.



  • Salut salut

    comme mon confrère "CCNEt" je suis du même avis, à savoir de tout mettre en arrière du pfsense, se qui est plus sécure.
    Je rappelle à toutes fins utiles qu'en cas de problèmes avec la justice c'est l’établissement est légalement responsable de ce qui se passe derrière son(ses)point(s) de connexion (du moins dans l'héxagone)

    D'ou l'impératif de positionner tous les clients (encadrants, élèves, enseignants, visiteurs)
    le mieux serait
    modem
    ||
    pfsense
    ||
    clients sur vlan (points d'accès comme postes fixes)

    • vlan pédagogique avec gestion des mac adresses de toutes les machines tablettes comprises
    • vlan administratif machines du personnel non enseignant
    • vlan visiteur (le mieux serait de mettre un portail captif) tous clients non connu des deux réseaux administratif/pédagogique
    • vlan téléphonie s'il y a lieu.

    Et une gestion de log a conserver un ans de mémoire et d'autres dispositif comme proxy pour le filtrage de sites non appropriés à un établissement scolaire.

    Pour les établissements scolaire de l’hexagone vous avez je crois, une assistance avec votre académie de rattachement et votre région qui gère un guichet unique donc vous dépendez.

    Cordialement.



  • @ccnet D'accord je vais m'orienter vers cette configuration là, merci

    @Tatave Oui, j'ai parlé avec la personne responsable du déploiement des tablettes, et il m'a dit que c'est comme cela qu'ils fonctionnent, avec un portail captif

    • Du coup afin de commencer l’installation je pense avoir ce qu'il faut pour les bases.
      Câblage

    • Installation basique ( Config WAN, VLAN Pédagogique / Administratif / Visiteur captif )

    • Activation des logs 365j "roulant"

    Il me reste à voir maintenant pour se soucis de filtrage Https. Quelle est la façon la plus simple et transparente pour l'utilisateur à gérer ?



  • salut salut

    Là aussi c'est aussi simple à dire , mais à mettre en place beaucoup moins,
    Mettre ne place un squid (proxy) sur une machine dédiée virtuelle ou physique en ne mettant pas en mode transparent.
    Non transparent parce que gère mal le filtrage https voir pas du tout
    Ne pas oublier la gestion des log de cette machine aussi, (qui va où et quand) cf propos tenu plus haut.
    Je vous invite plus à reprendre contacte avec votre support du guichet unique, et de l'académie, en plus de vous rapprocher du support de squid et autres documentations électroniques ou papiers

    Cordialement.



  • Merci pour ta réponse si rapide ☺
    Je pense que ce n'est pas la meilleure solution certes, mais je pense continuer mes recherches dans le déploiement de ce pare feu, car ce n'est pas vraiment notre "support" mais quelqu'un que j'ai eu la chance de croiser physiquement.
    Pour ce qui concerne squid, ça serait effectivement de poser la question sur un forum d'entraide similaire à celui ci, mais ayant un niveau d'anglais limité je serai vite perdu.
    Je n'ai pas encore trouvé de guide m'aidant à régler mes soucis techniques, mais je vais continué à chercher ! ☺



  • Hello, c'est encore moi, j'avance à grand pas dans ce bourbier qu'est l'installation de pfsense lorsque que l'on est pas adminstrateur réseau 😄

    J'aurai juste un simple question, en ce qui concerne le Proxy Transparent et le Filtrage Web URL. Est il plus "malin" d'utiliser SquidGuard (Squid , SquidGuard , LightSquid) ou pfBlockerNG lorsque que l'on a comme condition le filtrage HTTPS ? Si les deux le font ( ce que j'ai pu comprendre), lequel est le plus facile d'accès ?



  • Hello ! je travailles egalement dans un etablissement de l'education nationale ;)
    Comme rappelé , il faut faire attention a ce que l'on met en place , une tracabilité des connexions est requise (loi) ainsi qu'un filtrage scrupuleux des sites internets.
    Le chef d'etablissement est responsable.

    Dans tous les etablissements c'est a peu pres pareil , il y'a un vlan pedagogique et un vlan administratif.

    Concernant le reseau pedagogique : il est en general constitué d'un serveur AD / un proxy EOLE / un pfsense pour le routage (souvent gerée par qq de l'academie, ce n'est pas la personne locale qui peut y toucher.) et ce pfsense est en effet connecté a un "modem" souvent fibre.

    Le pfsense bloque les sorties directe sur internet et impose le proxy sur le vlan pedagogique.
    Le proxy contient lui une liste de site interdits par l'academie et qui se met a jour toute seule sur un site du rectorat.

    Ca doit dependre des departements mais grosso modo c'est cela.

    Pour connecter notre parc de tablettes, dans le college ou je travailles (env 150 tablettes), on a simplement rajouté un point d'accés wifi que nous avons branché au reseau pedagogique en bridge. Le serveur dhcp du "serveur01" attribuant les adresses IP (c'est un dhcp fermé ... il faut les rentrer manuellement...).

    (du moins le conseil general a installé des bornes aux plafonds, avec "roaming et detection de connexions fantomes" pour permettre le deplacement des tablettes de salles en salles , mais ca revient grosso modo a installer une borne wifi en bridge sur le reseau pedagogique ...)

    Comme cela la tracabilité est assuré par le proxy authentifiant deja en place (synchro avec l'AD) et par la reservation des baux dhcp qui doivent etre manuels. On utilise donc les securites du reseau pedagogique deja en place.

    Donc si je comprends bien .... vous voulez recreer un reseau entierement neuf en ne passant pas par le reseau pedagogique et en le connectant directement au modem fibre optique ???

    Je trouve cela byzarre de ne pas passer par le reseau pedagogique et de se brancher directement au modem.

    Les etablissements utilisent des portails captifs pour gerer leurs tablettes ... OK mais en general ce portail est relié au reseau pedagogique deja en place et non directement a la sortie internet.

    Mais bon , tous est faisable ... dans votre setup vous allez devoir gerer vous meme des listes de sites interdits avec squidguard.

    Si un parent accuse le lycée d'avoir laissé son enfant surfer sur du porno ou harceler son collegue avec facebook ... le chef d'etablissement sera embeté et devra montrer que son reseau est securisé.

    Bon courage ;) ET BONNE VACANCES LONGUEEEEEEESSSSSSSSS (si vous travaillez dans l'education nationale) ;))))))))))))


Log in to reply