[Résolu]accès clients Wifi d'une livebox sur le réseau Lan de pfsense ?



  • Bonjour,
    d'abord ma config: Sur la carte WAN: une livebox sur laquelle se connectent des clients Wifi (donc pas filtré par PFsense): livebox en 192.168.1.1
    Carte Wan en 192.168.1.150
    Ma carte LAN: 192.168.20.253
    Depuis le LAN, jeux pinger les clients Wifi en 192.168.1.x mais je j'arrive pas à pinger (et à accéder) les machines du LAN
    J'utilise Squid et squidguard.
    Y a t'il une route à entrer, une règle de pare-feu particulière à configurer ?
    Merci d'avance pour tout l'aide qu'on pourra m'apporter.



  • Depuis le LAN, jeux pinger les clients Wifi en 192.168.1.x mais je j'arrive pas à pinger (et à accéder) les machines du LAN

    Si je résume : réseau wifi en 192.168.1.0 qui est connecté sur la patte wan. Et réseau Lan en 192.168.20.0.

    Vous nous dites bien que vous ne pouvez pas, depuis le lan pinguer les machines du lan ?
    Sauf la gateway qui est en 192.168.20.253 sinon je ne vois pas comment vous pourriez atteindre le réseau 192.168.1.0 ?
    Je suggère dans un premier temps de vérifier l'adressage et les masques de sous réseaux sur 192.168.20.0.
    En restant dans le lan, il n'y a pas, par définition, de routage. Quels équipements sont pésents sur le lan ? La lan est un réseau filaire ?

    Si rien de tout cela ne s'éclaire il faudra réaliser des captures de trames.



  • Merci pour votre réponse, mais  je me suis mal fait comprendre.
    Les machines sur le réseau filaire (LAN) communiquent entre elles, peuvent pinger les machines connectées en Wifi sur la livebox, donc
    Le Ping depuis(du LAN) 192.168.20.31 vers (le wifi) 192.168.1.23 fonctionne.
    En revanche, un ping d'un poste connecté en WIFI sur la livebox ne peut pas pinger un poste sur le LAN.
    Masque de sous réseau pour la carte WAN: 255.255.255.0, Masque de la carte LAN: 255.255.255.0
    La carte Wan a comme adresse de passerelle la livebox (192.168.1.1)

    Quand je fais un ping d'un poste en Wifi vers le LAN, le ping me renvoi mon adresse ip publique en me disant qu'il ne peut joindre le lan, je pense que la requête est renvoyée de la carte Wan vers l'ip de la passerelle.
    Comment autoriser l'accès du réseau Wifi vers le réseau LAN ? Définir une route ?



  • Depuis le LAN, jeux pinger les clients Wifi en 192.168.1.x mais je j'arrive pas à pinger (et à accéder) les machines du LAN

    Ce n'est donc pas ce que vous vouliez dire mais vous nous dites :

    Une machine de 192.161.0 ne peut atteindre une machine dans le réseau 192.168.20.0. Je dirai presque que je préfère. Le problème n'est plus un problème Pfsense. Ceci parce que la live box route probablement (?) les paquets destinés au réseau 192.168.20.0 vers son interface Wan. J'ignore si l'on peut définir une route sur la Livebox. Depuis plusieurs années je n'en ai pas touché. La première vérification à faire porte donc sur la configuration de la Livebox.

    J'en profite pour attirer votre attention sur le caractère dangereux de cette configuration. Elle permet facilement la compromission d'une machine du réseau Wifi. Ces dernières ayant des accès dans le lan, c'est tout votre réseau qui sera compromis avec facilité. L'architecture actuelle est porteuse de gros risques de par sa conception. Il serait infiniment préférable de tout faire transiter par Pfsense en lui aoutant une carte réseau et en y connectant un point d'accès.



  • Merci, je vais essayer de voir ça sur la box.
    Maintenant, imaginez qu'à la place de la box, j'ai un modem/routeur adsl avec des connections VPN configurées, j'aurai donc le même cas de figure, c'est donc juste un problème de routage sur le modem routeur ?



  • Si le modem gère l'établissement du tunnel vpn (mais de quel type ?) il va falloir lui dire comment les clients vpn situé sur internet peuvent atteindre un réseau situé derrière Pfsense, lui même situé derrière le modem routeur. Reste encore à voir su le modem routeur vpn fait du nat …
    Toutes ces solutions sont inutilement compliquées car sans valeur ajoutée.



  • Grâce à l'ajout d'une route dans la Livebox (192.168.20.0 255.255.255.0, passerelle 192.168.1.150), je peux désormais utiliser un partage réseau d'une machine du LAN via un pc connecté en WIFI, merci beaucoup pour votre aide !
    Je précise que je n'ai pas établi de règles dans le parefeu, enfin presque (pour l'instant j'autorise tout sur les 2 interfaces, je mettrai en place des règles plus tard)
    Ma carte LAN est bridgé sur la carte WAN. Le seul petit hic, c'est que via un poste en wifi, je ne peux explorer un poste du LAN que par son adresse IP, et pas par son nom DNS. Ce qui est logique vu qu'un poste connecté en WIFI a comme info du dhcp de livebox que le serveur DNS…est la livebox !
    Le DHCP de la livebox ne me permet pas de spécifier un autre serveur DNS, ce qui résoudrait le problème.
    Restera à tester les connexion VPN, à priori celà devrait fonctionner.
    Je sais que cette configuration inhabituelle peut surprendre, mais quelle autre solution pour intégrer le plus simplement du monde un serveur Pfsense dans un réseau d'entreprise en modifiant au minimum l'existant (routeurs VPN, etc...)



  • Il n'y a rien de résolu puisque pfSense est devenu un switch.

    A partir du moment où on décide de mettre en oeuvre un firewall derrière une box, il est clair que la partie wifi de la box ne peut et ne doit plus être utilisée.

    On doit alors utiliser un AP connectée à une carte ethernet sur une zone "WIFI".

    Tout autre solution est totalement insecure et contraire à la motivation pour un firewall.



  • Je suis d'accord avec vous, c'est aussi ma préconisation, mais que faire pour un client qui ne veut absolument pas toucher à sa config. réseau installée ?
    Et si via la box, je créais une DMZ avec la patte WAN branchée, avec le DHCP qui passerait alors de la box à la carte LAN de pfsense sur un adressage réseau différent, box, je devrais obtenir une solution plus secure, non ?
    Box: 192.168.1.1- DMZ: 192.168.1.150.  Pfsense: WAN: 192.168.1.150 - LAN: 192.168.20.253 - Route statique 192.168.1.0 passerelle 192.168.1.150
    DHCP sur LAN
    Brige de LAN vers WAN (sachant que le firewall de pfsense ne serait plus vraiment utilisé, il ne serait q'un simple proxy - Le firewall de la box étant utilisé quant à lui)
    Est-ce une solution valable ?



  • pour intégrer le plus simplement du monde un serveur Pfsense dans un réseau d'entreprise en modifiant au minimum l'existant (routeurs VPN, etc…)

    Quel est le résultat escompté sur le plan fonctionnel avec l'ajout de Pfsense ?

    (sachant que le firewall de pfsense ne serait plus vraiment utilisé, il ne serait q'un simple proxy

    Pas du tout on peut filtrer en bridge. Proxy c'est du niveau applicatif (>4). Un bridge c'est niveau 2.



  • Le but de Pfsense dans ce réseau est de servir de proxy transparent avec squid/squidguard, et rien de plus. Le seul intérêt pour moi d'utiliser le firewall est de pouvoir bloquer les sites en HTTPS, car via le proxy en mode transparent, ce n'est pas possible.
    sur un réseau de type: freebox–>Bewan 10 G (avec liaisons VPN) --->réseau local
    Ou placer ma machine Pfsense ? Que me recommandez-vous ? (je dois dire que je finis par me sentir perdu !)



  • Que me recommandez-vous ?

    1. D'utiliser un proxy. Un vrai. Pas Pfsense qui est d'abord et avant tout un firewall. Et surtot pas Pfsense V 1.2.3 qui ne fonctionne qu'avec deux interfaces au moins et donc obligatoirement translation, etc et un routage par défaut spécifique.
    2. Placement du proxy dans un réseau ? dans une dmz interne (ou privée selon le vocabulaire de chacun).

    Pfsense V 2 pourrait éventuellement être utilisé de la sorte avec une seule interface mais c'est encore en béta.

    Le plus efficace pour planter un clou reste un marteau. Avec un tournevis ca marche mal.



  • Le but de Pfsense dans ce réseau est de servir de proxy transparent avec squid/squidguard, et rien de plus.

    Voyez, vous donnez votre vrai objectif ! Il suffit de faire une phrase, et on comprend.

    Comem l'écrit ccnet, il suffit d'installer un vrai proxy, avec les compléments utiles.
    Et il faut oublier "transparent" … et penser "automatic".

    Un proxy transparent ne fonctionne que pour http et empêche l'authentification.

    Il existe WPAD = Web Proxy Automatic Detection qui permet aux clients configurés en "détection automatique" de trouver le proxy et de l'utiliser.

    Suivez donc les bons conseils de ccnet et cela fonctionnera bien.



  • Merci pour vos réponses. Je sais que Pfsense est avant tout un firewall et qu'il devrait être utilisé en tant que tel.
    Reconnaissez que c'est tentant de l'utiliser seulement en tant que proxy (squid+squidguard) pour ses facilités d'installation, d'administration, de mise à jour de blacklist et j'en passe, plutot que d'avoir une machine avec un linux+squid+squidguard (ce qui reviendrait au même finalement) mais en moins pratique.
    Ma vision des choses peut paraitre hérétique, mais en tant que Windowsien, j'aime les interfaces graphiques et je suis très ouvert aux systèmes alternatifs .

    Je devrai sans doute ouvrir un autre poste: "Inroduction de PfSense dans un réseau existant", en tout cas ça fait plaisir de voir qu'un produit aussi performant dispose d'une section en français, avec des gens calés qui n'hésitent pas à prendre du temps pour répondre aux questions, même les plus incongrues.
    Ps: Vous pouvez reprendre votre souffle, j'arrête les phrases à rallonge !
    Ps2: Configurer un serveur Windows pour servir de serveur WPAD nécessite des manipulations dans le registre, pas très admin-friendly.



  • Configurer un serveur Windows pour servir de serveur WPAD nécessite des manipulations dans le registre, pas très admin-friendly.

    Aucunement ! Tout se fait à la souris pour le serveur et pour le client.

    Pour le client, c'est enfantin : il y a juste une case à cocher.
    pour le serveur, il faut configurer DNS ou (et) DNS et disposer d'un serveur web et puis savoir un script javascript de 10 lignes (et il y a des modèles).

    Non, définitivement, WPAD est facile à mettre en oeuvre.

    En fait, le proxy transparent est une fausse simplicité !



  • une entrée pour le serveur Wpad est bloquée par défaut dans un serveur Windows (par sécurité), pour débloquer: http://technet.microsoft.com/fr-fr/library/cc441517.aspx
    mais parfois celà ne fonctionne pas (les joies des OS Microsoft), et là il faut taper dans le registre comme indiqué ici:
    http://translate.google.fr/translate?hl=fr&langpair=en|fr&u=http://computersplace.net/microsoft-releated/windows-server-howto/unable-resolve-wpad.html
    Pour l'avoir déjà testé, curieusement 2 ou 3 postes ne récupéraient pas le serveur Wpad sur un domaine, je n'ai jamais trouvé la réponse.

    Pour résumer, dans mon cas: Je place mon PfSense dans la DMZ, je configure le serveur WPAD, et roulez jeunesse !
    Quand j'en aurai terminé avec mes tests, je placerai un tuto sur le forum.



  • Oui, certes, mais c'est Microsoft qui débloque un problème qu'il a lui-même choisi de bloquer !!
    La justification du blocage est peu claire : je ne suis pas persuadé que le "spoofing" du proxy soit la première chose à regarder …

    Néanmoins, c'est bien d'avoir déjà trouver la bonne info de déblocage.
    Il est très surprenant de créer un nom dns et de voir qu'il n'est pas résolu !


Log in to reply