Portail Captif et Vlan



  • Bonsoir,
    Je n'ai pas trouvé dans l'historique des discussions de réponse aux questions suivantes que je me pose :

    Je mets en place l'architecture suivante :
                                                                  LAN              WAN
                          AP–---------Switch---------------Pfsense------------Parefeu Amon

    Le Nat a été rétiré de la Pfense pour que les logs soient retenus sur le Amon. Jusque là pas de problème.

    Je me demandais si je pouvais procéder de la façon suivante pour sécuriser mon installation:
    Côté LAN :  VLAN10 pour les utilisateurs souhaitant bénéficier de l'accès Internet, avec Portail captif (comptes locaux).
                    VLAN20 pour le management (switch + APs) avec une authentification WPA2 sur les AP.
    Je peux gérer le MultiSSid sur mes bornes et pensais créer 1 SSID pour chaque Vlan (1 caché pour le management et l'autre non).

    D'après ce que j'ai vu le portail captif s'active sur le Lan sans distinction de vlan et là j'ai un peu de mal à comprendre.

    J'ai un doute sur la question suivante : Est ce que je peux activer le relais DHCP pour utiliser celui du Amon et fournir ainsi à mes utilisateurs du VLAN10 une adresse du WAN ? (Ce qui éviterait de rajouter des règles et des scripts dans le Amon). Si j'ai bien tout compris, on ne peut accèder au Wan qu'une fois l'authentification réussie sur la pfsense, donc tant qu'on n'a pas passé cette barrière, comment le nomade peut-il récupérer une adresse IP valide?

    Merci pour votre aide.
    Cdt



  • Bonjour,

    Je serais assez intéressé de poursuivre cette discussion.

    Quelqu'un pense avoir une réponse claire à fournir ?

    Cdt,
    Sig



  • Très honnêtement, vu le côté acrobatique de la configuration, j'ai décidé à la lecture de ce post de ne pas y donner suite.
    Je ne suis pas convaincu du bien fondé de l'utilisation de Pfsense comme portail captif si c'est le besoin.

    fournir ainsi à mes utilisateurs du VLAN10 une adresse du WAN ?

    Les utilisateurs ont des ip publiques ? Vlan, Wan quel mélange !
    Bref c'est tordu, confus. Enfin les problèmes de Vlan n'ont pas de rapport direct avec Pfsense surtout dans une utilisation à la marge.



  • @ccnet:

    Je ne suis pas convaincu du bien fondé de l'utilisation de Pfsense comme portail captif si c'est le besoin.

    Ah oui ? Je suis très intéressé de savoir pourquoi ? Car je trouve le service "portail captif" assez abouti et bien géré dans Pfsense.

    Cdt,
    Sig



  • Le problème n'est pas là. Pfsense est un firewall qui intègre un portail captif en effet bien fonctionnel. Mais pas un portail captif. Vous avez bien vu en quoi depuis le début le détournement de fonctionnalité implique des gymnastiques divers. Planter des clous avec un tournevis n'est jamais très pratique.



  • @ccnet:

    Le problème n'est pas là. Pfsense est un firewall qui intègre un portail captif en effet bien fonctionnel. Mais pas un portail captif. Vous avez bien vu en quoi depuis le début le détournement de fonctionnalité implique des gymnastiques divers. Planter des clous avec un tournevis n'est jamais très pratique.

    J'aime la métaphore et je suis relativement d'accord ! ;o)



  • Bonjour,

    Je souhaiterai préciser l'utilisation que je compte faire de Pfsense dans ce cas précis car effectivement c'est la fonctionnalité portail captif et pour le moment seulement celle ci, simple de mise en œuvre, qui m'a fait choisir cette distribution après pas mal de recherches sur le net.

    Ma problématique était la suivante : fournir un accès internet via Wifi à des étudiants. Le réseau pédagogique de établissement scolaire est placé derrière un Amon géré par les services du rectorat, les personnes ressources n'ont pas la main dessus ( Chilispot peut  s'installer sur cette distribution, mais je n'avais pas le droit d'y toucher, et étant encore un peu handicapée de la ligne de commande, j'ai préféré me tourner vers quelque chose de plus abordable).

    Le Wan de ma Pfsense est donc le réseau privé eth2 de mon Amon. Il fallait faire avec cette contrainte.
    J'ai à l'heure actuelle une architecture aboutie et fonctionnelle depuis que les règles de parefeu du Amon ont été adaptée pour permettre à mon réseau Lan de la Pfsense de sortir sur le net), ce qui n'était pas le cas au moment où j'ai mis ce post.

    Ça ne me paraissait pas logique de mettre le même plan d'adressage côté Lan et Wan de la pfsense (comme me l'avais suggéré un de mes collègues au rectorat) c'est pour cela que je posais la question, pour avoir confirmation.

    Pour les Vlan, je trouvais très intéressante l'idée de séparer mon réseau de management des actifs du réseau "invité" en créant 2 vlans et en utilisant des SSID différents sur mes bornes. Ce que je ne vois pas c'est comment l'articuler avec le portail captif.
    Actuellement, j'ai "réglé le problème" en mettant des adresses réseau différentes (192.168.0.0/24 pour le serveur DHCP qui donne les adresses aux nomades, et 192.168.100.0/24 pour les actifs).

    Il est vrai que je n'utilise pas actuellement la Pfsense en tant que firewall mais que le portail captif.
    Mais les choses évoluant vite, j'ai actuellement des demandes qui vont certainement m'obliger à y venir, comme donner des droits différents aux profs et aux étudiants pour notamment l'accès aux ressources pédagogiques.

    Est ce vraiment si grave de détourner la Pfsense de sa fonction originelle ?
    C'est vrai que ça implique du bricolage, mais n'est ce pas en faisant ce genre de chose qu'on peut tous avancer ?

    Cdt



  • Ça ne me paraissait pas logique de mettre le même plan d'adressage côté Lan et Wan

    Il n'y a pas de logique intrinsèque à Pfsense sur ce plan. Il y a juste des besoins et solutions.

    Pour les Vlan, je trouvais très intéressante l'idée de séparer mon réseau de management des actifs du réseau "invité" en créant 2 vlans et en utilisant des SSID différents sur mes bornes. Ce que je ne vois pas c'est comment l'articuler avec le portail captif.

    Et vous avez raison. Mais vous pêchez à la mise en œuvre parce que vous n'utilisez pas le bon outil.

    Est ce vraiment si grave de détourner la Pfsense de sa fonction originelle ?

    Non ce n'est pas grave, c'est juste inefficace.

    C'est vrai que ça implique du bricolage, mais n'est ce pas en faisant ce genre de chose qu'on peut tous avancer ?

    Certainement pas non.


Log in to reply