[Résolu]accès clients Wifi d'une livebox sur le réseau Lan de pfsense ?
-
Il n'y a rien de résolu puisque pfSense est devenu un switch.
A partir du moment où on décide de mettre en oeuvre un firewall derrière une box, il est clair que la partie wifi de la box ne peut et ne doit plus être utilisée.
On doit alors utiliser un AP connectée à une carte ethernet sur une zone "WIFI".
Tout autre solution est totalement insecure et contraire à la motivation pour un firewall.
-
Je suis d'accord avec vous, c'est aussi ma préconisation, mais que faire pour un client qui ne veut absolument pas toucher à sa config. réseau installée ?
Et si via la box, je créais une DMZ avec la patte WAN branchée, avec le DHCP qui passerait alors de la box à la carte LAN de pfsense sur un adressage réseau différent, box, je devrais obtenir une solution plus secure, non ?
Box: 192.168.1.1- DMZ: 192.168.1.150. Pfsense: WAN: 192.168.1.150 - LAN: 192.168.20.253 - Route statique 192.168.1.0 passerelle 192.168.1.150
DHCP sur LAN
Brige de LAN vers WAN (sachant que le firewall de pfsense ne serait plus vraiment utilisé, il ne serait q'un simple proxy - Le firewall de la box étant utilisé quant à lui)
Est-ce une solution valable ? -
pour intégrer le plus simplement du monde un serveur Pfsense dans un réseau d'entreprise en modifiant au minimum l'existant (routeurs VPN, etc…)
Quel est le résultat escompté sur le plan fonctionnel avec l'ajout de Pfsense ?
(sachant que le firewall de pfsense ne serait plus vraiment utilisé, il ne serait q'un simple proxy
Pas du tout on peut filtrer en bridge. Proxy c'est du niveau applicatif (>4). Un bridge c'est niveau 2.
-
Le but de Pfsense dans ce réseau est de servir de proxy transparent avec squid/squidguard, et rien de plus. Le seul intérêt pour moi d'utiliser le firewall est de pouvoir bloquer les sites en HTTPS, car via le proxy en mode transparent, ce n'est pas possible.
sur un réseau de type: freebox–>Bewan 10 G (avec liaisons VPN) --->réseau local
Ou placer ma machine Pfsense ? Que me recommandez-vous ? (je dois dire que je finis par me sentir perdu !) -
Que me recommandez-vous ?
1. D'utiliser un proxy. Un vrai. Pas Pfsense qui est d'abord et avant tout un firewall. Et surtot pas Pfsense V 1.2.3 qui ne fonctionne qu'avec deux interfaces au moins et donc obligatoirement translation, etc et un routage par défaut spécifique.
2. Placement du proxy dans un réseau ? dans une dmz interne (ou privée selon le vocabulaire de chacun).Pfsense V 2 pourrait éventuellement être utilisé de la sorte avec une seule interface mais c'est encore en béta.
Le plus efficace pour planter un clou reste un marteau. Avec un tournevis ca marche mal.
-
Le but de Pfsense dans ce réseau est de servir de proxy transparent avec squid/squidguard, et rien de plus.
Voyez, vous donnez votre vrai objectif ! Il suffit de faire une phrase, et on comprend.
Comem l'écrit ccnet, il suffit d'installer un vrai proxy, avec les compléments utiles.
Et il faut oublier "transparent" … et penser "automatic".Un proxy transparent ne fonctionne que pour http et empêche l'authentification.
Il existe WPAD = Web Proxy Automatic Detection qui permet aux clients configurés en "détection automatique" de trouver le proxy et de l'utiliser.
Suivez donc les bons conseils de ccnet et cela fonctionnera bien.
-
Merci pour vos réponses. Je sais que Pfsense est avant tout un firewall et qu'il devrait être utilisé en tant que tel.
Reconnaissez que c'est tentant de l'utiliser seulement en tant que proxy (squid+squidguard) pour ses facilités d'installation, d'administration, de mise à jour de blacklist et j'en passe, plutot que d'avoir une machine avec un linux+squid+squidguard (ce qui reviendrait au même finalement) mais en moins pratique.
Ma vision des choses peut paraitre hérétique, mais en tant que Windowsien, j'aime les interfaces graphiques et je suis très ouvert aux systèmes alternatifs .Je devrai sans doute ouvrir un autre poste: "Inroduction de PfSense dans un réseau existant", en tout cas ça fait plaisir de voir qu'un produit aussi performant dispose d'une section en français, avec des gens calés qui n'hésitent pas à prendre du temps pour répondre aux questions, même les plus incongrues.
Ps: Vous pouvez reprendre votre souffle, j'arrête les phrases à rallonge !
Ps2: Configurer un serveur Windows pour servir de serveur WPAD nécessite des manipulations dans le registre, pas très admin-friendly. -
Configurer un serveur Windows pour servir de serveur WPAD nécessite des manipulations dans le registre, pas très admin-friendly.
Aucunement ! Tout se fait à la souris pour le serveur et pour le client.
Pour le client, c'est enfantin : il y a juste une case à cocher.
pour le serveur, il faut configurer DNS ou (et) DNS et disposer d'un serveur web et puis savoir un script javascript de 10 lignes (et il y a des modèles).Non, définitivement, WPAD est facile à mettre en oeuvre.
En fait, le proxy transparent est une fausse simplicité !
-
une entrée pour le serveur Wpad est bloquée par défaut dans un serveur Windows (par sécurité), pour débloquer: http://technet.microsoft.com/fr-fr/library/cc441517.aspx
mais parfois celà ne fonctionne pas (les joies des OS Microsoft), et là il faut taper dans le registre comme indiqué ici:
http://translate.google.fr/translate?hl=fr&langpair=en%7Cfr&u=http://computersplace.net/microsoft-releated/windows-server-howto/unable-resolve-wpad.html
Pour l'avoir déjà testé, curieusement 2 ou 3 postes ne récupéraient pas le serveur Wpad sur un domaine, je n'ai jamais trouvé la réponse.Pour résumer, dans mon cas: Je place mon PfSense dans la DMZ, je configure le serveur WPAD, et roulez jeunesse !
Quand j'en aurai terminé avec mes tests, je placerai un tuto sur le forum. -
Oui, certes, mais c'est Microsoft qui débloque un problème qu'il a lui-même choisi de bloquer !!
La justification du blocage est peu claire : je ne suis pas persuadé que le "spoofing" du proxy soit la première chose à regarder …Néanmoins, c'est bien d'avoir déjà trouver la bonne info de déblocage.
Il est très surprenant de créer un nom dns et de voir qu'il n'est pas résolu !