Pfsense devant proxy bluecoat



  • Bonjour à tous,

    Je suis en train de mettre en place dans mon entreprise un portail captif sous pfsense. Tout fonctionne sauf un petit truc, je vous explique mon architecture :

    J'ai créer un réseau wifi 192.168.1.0/24 relié au réseau local de l'entreprise par pfsense, pfsense sert donc de serveur dhcp pour ce réseau, de routeur entre les deux réseau (entreprise / wifi). Au bout du réseau de mon entreprise nous avons un proxy transparent bluecoat, il authentifie les utilisateurs via les comptes AD et leur donne accès, ou pas aux différents sites demandés. Le but étant d'authentifier chacun des utilisateurs sur le portail captif avec leurs comptes active directory via un serveur radius pour que quand ils sont connectés ils puissent avoir accès à leurs mails, à l'erp ainsi que les sites autorisés…

    Mais vous allez me dire pourquoi mettre un portail captif ?! Sur ce même wifi les visiteurs devront aussi pouvoir avoir accès au net ainsi qu'à leur vpn ou autre un fois authentifiés avec le compte guest sans avoir accès au réseau de l'entreprise.

    Pour l'instant tout est en place mais quand je vais surfer en tant qu'utilisateur lambda c'est pas l'utilisateur qui surf mais le serveur du coup je n'ai pas d'authentification personnalisée et donc pas de différenciation entre le compte invité et les comptes des utilisateurs de l'entreprise.

    Est il possible que pfsense redirige vers le proxy avec pour login et mot de passe celui entré dans le portail captif ?

    Merci.



  • La seul possibilité que je connais est de mettre pfSense en mode pont, mais là il ne fait plus firewall !



  • Merci de ta réponse.

    Je suis pas bien calé sur pfsense, en fait si je le met en mode pont il continuera quand même à ne rien laisser passer si je ne suis pas connecté et tout laisser passer si je suis connecté ?

    Comment faire pour passer en mode pont ? Mettre le bridge lan sur le wan ?

    Merci.



  • Voyons les chose différemment.
    Pourquoi installer un deuxième firewall (pfSense) dans le LAN?



  • Le but est de mettre en place une solution qui permet d'authentifier les utilisateurs sur le réseau wifi (employés et visiteurs) en respectant la politique de sécurité et de filtrage web sans avoir à faire une installation sur tous les postes de l'entreprise.

    Merci.



  • Le but est de mettre en place une solution qui permet d'authentifier les utilisateurs sur le réseau wifi (employés et visiteurs) en respectant la politique de sécurité et de filtrage web sans avoir à faire une installation sur tous les postes de l'entreprise.

    Ceci n'explique pas pourquoi vous installé un firewall (pfSense) dans votre réseau local actuel.

    Je crois comprendre ce que vous-voulez faire, mais vous ne prenez pas le bonne outil.

    pfSense et avant tous un firewall, auquel certain contributeur on créer quelque addons qu'on peux rajouter (ce qui est discutable…).
    Vous, vous chercher avant tous un portail captif et pour ce faire vous utilisé pfSense qui n'est pas conçu au départ pour ça.

    Entre autre, je n'ai pas vraiment compris ou ce situez votre problème, comment sont reconnu les pc sur le réseau de l'entreprise, par un Login et Password?



  • Le souci que j'ai c'est que c'est le serveur pfsense qui va sur le réseau de l'entreprise pour aller surfer ou accéder aux données de l'entreprise et donc c'est le compte du serveur qui es reconnu par le proxy et non le compte utilisé pour la connexion au portail.

    Merci.


Log in to reply