Relay DHCP et VLANs



  • Bonjour aux PFsensiens ! ;)

    Voila je crée un nouveau topic pour avoir quelques informations sur la configuration de PFsense.
    J'ai déjà lu pas mal de topic dans le forum donc je n'ai plus que quelques points à éclaircir.

    Concrètement j'ai une architecture qui se présente comme suit :
    Internet -> Routeur HP ( qui fait office de DHCP avec 4 VLANS de créés ) -> pfsense -> switch -> LAN

    Je veux mettre mon PFsense qui relai donc les requêtes DHCP et mes VLANS vers un switch et le reste du LAN.
    Première question, il faut bien que je configure mes 4 vlan sur mon PFsense ? Ou alors il peut "relayer" le DHCP et les vlans sans les créer? J'avais au départ configurer pfsense de façon à ce que ce soit lui qui s'occupe de jouer le rôle de serveur DHCP, et de créer des VLANs, mais pour différentes raisons je dois laisser mon routeur s'en occuper.

    Dans ce cas la dois-je affecter une adresse via dhcp à mon interface WAN ?

    Ensuite ma deuxième question, est-il possible que seulement un de mes VLANS arrive sur une page authentification et que pour les autres ce soit transparent. En effet je compte utiliser pfsense surtout pour accueillir des utilisateurs d'un réseau via une page d'authentification (ou il y aurait quelques règles à accepter avant de pouvoir accéder a internet).

    Merci de m'éclairer sur ces quelques points, j'ai déja trouver pas mal de réponses sur le forum mais j'ai juste besoin de quelques précisions sur ces différents points.

    Merci d'avance  :)

    Cordialement,



  • Un petit up pour avoir une réponse à me première question :) !

    Concernant ma deuxième question, apparament on ne peut activer le portail captif que pour 1 interfaces, ce qui m'oblige donc à créer tous mes VLAN sur mon pfsense …

    C'est bien ça ?

    Cordialement,



  • ccnet une piste ?  ;D



  • pour différentes raisons je dois laisser mon routeur s'en occuper.

    Concrètement j'ai une architecture qui se présente comme suit :
    Internet -> Routeur HP ( qui fait office de DHCP avec 4 VLANS de créés ) -> pfsense -> switch -> LAN

    je ne comprend pourquoi le serveur dhcp et le switch portant les vlans se trouvent du côté Wan. Sauf raison particulière que vous nous expliquerez, Pfsense devrait assurer le service dhcp pour LAN et éventuellement d'autres interfaces. Par ailleurs les vlans devrait se trouver sur Pfsense et, ou sur un ou plusieurs switchs selon ce que vous voulez faire.
    Le portail captif ne s'active que sur une seule interface.
    Pour le moment la logique de votre architecture m'échappe.



  • Merci pour votre réponse.

    Le choix du routeur s'explique car je mets en place PFsense dans une grosse infrastructure, ou ce routeur peut-être configurer pour différentes tâches selon les besoins. Les 4 vlans que je souhaite "router" via PFsense, sont des VLAN donnant ensuite divers accès WIFI.

    Les routeurs étant déjà supervisés, clusterisés, ma DSI souhaite garder celui-ci pour effectuer les taches de serveur DHCP et de création de VLAN.
    Je souhaite donc mettre PFsense juste derrière, puis ensuite des switch ou une cinquantaine de bornes WIFI viendront s'implémenter, selon leur VLAN.

    Je voulais donc savoir s'il était possible d'utiliser les VLAN derrière PFsense sans les configurer sur celui-ci, ou suis je obligé de les créer sur celui-ci.
    J'ai penser bridger les interfaces mais cela ne convient pas.

    Cordialement,



  • Le choix du routeur s'explique car je mets en place PFsense dans une grosse infrastructure, ou ce routeur peut-être configurer pour différentes tâches selon les besoins.

    Ce qui n'explique absolument rien. Ce qui est certain c'est qu'un équipement est "souvent" configuré pour différentes tâches selon les besoins. Il est rare qu'il soit configuré pour une tâche dont on n'a pas besoin.

    J'ai lu votre message plusieurs fois avec attention et je ne comprend toujours pas le sens, ni les fonctionnalités attendus avec une telle architecture.
    Tout cela ressemble à un problème mal posé (pas posé du tout vu d'ici) et aux solutions tordues. On ne comprend toujours pas ce que fait Pfsense entre un routeur et de bornes Wifi. On ne comprend pas ce que vous attendez de Pfsense.

    Si par hasard le problème est de gérer des accès Wifi multiples (SSID multiples) et de placer des utilisateurs selon je ne sais quel critère dans un Vlan ou un autre, ce n'est pas ainsi que cela se gère.



  • Désolé, c'est vrai que je n'ai pas été assez clair.

    En fait le rôle précis qu'aura PFsense entre mes routeurs et mes bornes WIFI est tout simplement le role de portail captif version "light".
    En effet lorsque les utilisateurs de 2 VLANs précis se connecteront, ils devront arriver sur une page web définie, ou ils devront accepter une charte afin que la connexion puisse être établie, pas de gestion d'utilisateurs, juste à cliquer sur le bouton accepter.
    Y sera ajouté un filtrage de site web via une blacklist.

    Voila PFsense aura donc un tout petit rôle dans notre architecture mais important, et c'est le seul produit que j'ai trouvé qui permet cette page "d'accueil" sans l'authentification utilisateurs.
    A noter que peut-être tous  les VLAN devront passer par cette page web.

    Je ne compte donc pas gérer le placement des utilisateurs en vue de SSID multiples.

    A votre connaissance, cela est-il possible de laisser tout passer, vlan, DHCP .. ?



  • Non, Pfsense est trop éloigné de ce dont vous avez besoin. Vous ne pourrez activer le portail captif que sur un seul Vlan. Pfsense est d'abord et avant tout un firewall. Il n'est pas inutile ici de le rappeler.



  • @ccnet:

    Non, Pfsense est trop éloigné de ce dont vous avez besoin. Vous ne pourrez activer le portail captif que sur un seul Vlan. Pfsense est d'abord et avant tout un firewall. Il n'est pas inutile ici de le rappeler.

    Oui on est d'accord sur le rôle de Pfsense.

    Et j'ai également vu que le portail captif ne pouvait fonctionner que sur un VLAN ou une interface.
    Mais donc cela n'est pas possible d'avoir que mon interface WAN et LAN en laissant tout passer, et après mes différents sous-réseaux se verront sur la page du portail captif ce qui conviendrait parfaitement ( il me faut juste un VLAN minimum). Ou puis-je re-créer mes VLAN sur le Pfsense qui s'interfaceraient avec les autres à la manière d'un Switch, même si je me doute que ceci n'est pas possible.

    Merci d'avoir pris le temps de me répondre.



  • Prenez un marteau pour planter des clous et un tournevis pour poser une vis. Vous verrez c'est vraiment mieux.
    Planter un clou avec un tournevis est peu efficace même si dans certains cas (tout petit clou, gros tournevis) ce n'est pas impossible.



  • @ccnet:

    Prenez un marteau pour planter des clous et un tournevis pour poser une vis. Vous verrez c'est vraiment mieux.
    Planter un clou avec un tournevis est peu efficace même si dans certains cas (tout petit clou, gros tournevis) ce n'est pas impossible.

    Réponse très constructive, merci !

    Comme marqué en dessous de mon pseudo, il y a marqué "Newbie" ce qui signifie que je suis nouveau sur le forum ET que si je pouvais connaitre tout sur Pfsense je ne viendrais pas vous emmerder avec un topic de plus, mais j'essaierai plutôt d'aider ou d'orienter différentes personnes postant ici.

    Désolé si mes questions étaient si bêtes que ça, j'ai juste pensé à un moment que peut-être, il serait possible de router les paquets, comme le port tagué d'un switch le fait.

    Merci quand même pour vos réponses.



  • Vous le prenez mal et vous ne devriez pas. J'essaye de vous expliquer qu'il faut utiliser le bon outils pour un travail donné. Je connais assez Pfsense pour savoir que, pour ce que vous voulez faire, ce sera très inconfortable, difficile et qu'il y aura de nombreuses limitations parce que vous n'utilisez pas l'outil qui convient.



  • Bonjour,

    D'après ce que je lis, je n'ai pas du tout comprendre de l'utilité d'un PFsene…

    Mon besoin est de faire un portail captif avec prise en charge d'un serveur radius, et prise en charge de VLANs.
    Dans mon cas, si une personne possède un compte il entre ses identifiants, et se fait contrôlé par le radius, et dans le cas d'un client, il accèpte les règles d'utilisation et se fait "logger" sur un compte générique avec aucun accès au réseau interne de l'entreprise, mais directement relier par une passerelle à notre firewall.
    Me trouvant presque dans la même situation que shnakeur, est-ce que mon choix de placer un PFsense sur une Appliance entre mon routeur FAI et mon switch/contrôleur Wifi est une bonne solution ou trouvez vous ça inutil aussi? (A savoir que je comptais utiliser le PFsense surtout pour faire la limitation de débit pour les users clients.)
    Dans le cas de l'inutilité, que conseilleriez vous pour un portail captif de ce type de gestion de hotspot?

    D'avance merci pour votre réponce.


Log in to reply