Bloquer accès administration d'un point d'accès aux clients Wifi ???

Trisogol

Bonsoir,

J'ai configuré un portail captif a l'aide d'un point d'accès (AP) et je voudrais faire en sorte que le WLAN (172.16.1.0/24) n'accéde à aucune ressource du réseau "WAN" (192.168.1.0/24).
J'ai donc créé une règle pour bloquer tous trafic en provenance du LAN net vers WAN net qui fonctionne très bien.

Par contre je voudrais trouver un moyen pour faire en sorte que les client WIFI du AP ne puisse pas accéder à la page d'administration ou effectuer des ping sur le AP.

J'ai beau retourner le problème dans tous les sens il me semble que ce n'est pas possible.

Si quelqu'un à une idée  ???

Merci

Box .1
    |
    | WAN = 192.168.1.0/24
    |
PfSense
    |
    | LAN = 172.16.1.0/24
    |
  AP .254

jdh

Il n'y a pas à chercher longtemps : ce trafic ne passe pas dans pfSense !

(Le trafic décrit ne concerne que l'AP et le client.)
Il est peut-être judicieux d'affecter une adresse interne de l'AP qui ne soit pas dans la range de l'interface WIFI de pfSense …

ccnet

D'une façon générale, l'administration devrait utiliser un réseau filaire séparé. Pfsense devrait donc être configuré avec 3 interface et l'ap devrait être connecté sur opt1. L'administration se faisant via l'interface l'an.

Trisogol

@jdh:

Il n'y a pas à chercher longtemps : ce trafic ne passe pas dans pfSense !

(Le trafic décrit ne concerne que l'AP et le client.)
Il est peut-être judicieux d'affecter une adresse interne de l'AP qui ne soit pas dans la range de l'interface WIFI de pfSense …

La solution de l'adresse dans un autre réseau pour l'AP en plus du log et password me semble suffisant dans mon cas.

Pour ce qui est d'une configuration avec 3 interfaces je ne vois pas bien comment faire.

Encore merci pour vos réponses

ccnet

Pour ce qui est d'une configuration avec 3 interfaces je ne vois pas bien comment faire.

Cela me semble asse évident pourtant.
L'interface Wan reste connecté comme actuellement.
L'ap est connecté à OPT1
L'interface Lan est utilisée avec une connexion filaire pour administrer Pfsense. Éventuellement vous le port pour l'accès à l'administration de Pfsense si l'utilisation de TCP/443 vous pose un problème.

Trisogol

@ccnet:

Pour ce qui est d'une configuration avec 3 interfaces je ne vois pas bien comment faire.

Cela me semble asse évident pourtant.
L'interface Wan reste connecté comme actuellement.
L'ap est connecté à OPT1
L'interface Lan est utilisée avec une connexion filaire pour administrer Pfsense. Éventuellement vous le port pour l'accès à l'administration de Pfsense si l'utilisation de TCP/443 vous pose un problème.

Je me suis mal exprimé, c'est surtout que je ne vois pas ce que ça va m'apporter de plus de le faire avec 3 interfaces plutôt que 2.
Si ce n'est bien sur que d'avoir pfSense entre mon LAN privé et ma box.

Mon LAN privé étant également l'accès WAN, mon objectif est juste de faire en sorte que les invités WIFI puissent se connecter à internet sans pouvoir accéder à des ressources du LAN privé (WAN), ni à la page d'administration du AP.

Je précise que l'administration est uniquement possible par le port 443 via le LAN privé (WAN).

Voir le schéma ci-dessous


jdh

Avec un tel schéma, il y a 2 inconvénients majeurs :

• il n'y a pas de firewall interne (ce qui n'est pas du tout bon),
• il y a accès presque normal au micro entre le routeur et le firewall (sauf règle précise).

Il me semble absolument nécessaire, compte tenu du besoin exprimé (pas d'accès au LAN) de placer le firewall immédiatement près du routeur avec un schéma traditionnel :

Internet <-> routeur <-> (WAN) pfsense (LAN) + (OPT1=WIFI).

Il y a 2 méthodes simples : soit changer l'adressage du LAN soit celui du routeur.

NB : le schéma indiqué en premier post est donc erroné et nous a envoyé sur de fausses pistes …

Trisogol

@jdh:

Avec un tel schéma, il y a 2 inconvénients majeurs :

• il n'y a pas de firewall interne (ce qui n'est pas du tout bon),
• il y a accès presque normal au micro entre le routeur et le firewall (sauf règle précise).

Il me semble absolument nécessaire, compte tenu du besoin exprimé (pas d'accès au LAN) de placer le firewall immédiatement près du routeur avec un schéma traditionnel :

Internet <-> routeur <-> (WAN) pfsense (LAN) + (OPT1=WIFI).

Il y a 2 méthodes simples : soit changer l'adressage du LAN soit celui du routeur.

NB : le schéma indiqué en premier post est donc erroné et nous a envoyé sur de fausses pistes …

Le schéma du premier post est le même, mais je conviens que les dénominations sont ambigües.
J'ai adopté cette topologie pour deux raisons.

1. Le matériel mis à ma disposition pour pfSense ne dispose que de deux NIC.

2. Le choix de ne pas mettre le firewall entre le LAN privé (WAN) et le routeur ne me semble pas indispensable étant donné que la configuration initial avant mise en place du portail captif était que le réseau privé était directement relié à la box.

Mais je comprend parfaitement qu'il serait plus sécure et plus logique de mettre en place une topologie comme vous la décrivez mais elle me demanderai 3 interfaces.

ccnet

pfSense ne dispose que de deux NIC.

Coût d'une carte réseau ? Cinq euros sur Ebay pour une carte Intel, dix peut être ? Pour une carte Gigabit on monte carrément à près de vingts euros.

L'argument n'est pas sérieux pas plus que celui qui consiste à dire que c'était comme cela avant.

Il me semble aussi absolument nécessaire (indispensable) de placer le firewall après le routeur et avant tous les réseaux accédant (ou non) à internet.

J'ai beau retourner le problème dans tous les sens il me semble que ce n'est pas possible.

Il suffit juste d'utiliser une architecture adaptée.

Trisogol

::) Ma config est a base de carte mère mini-ITX ayant un seul port PCI, il faudra que je jette un oeil sur le prix des cartes multi NIC.

Je prend note de vos suggestions pour faire évoluer cette maquette dans ce sens.

Merci pour vos réponses

jdh

Installer un firewall derrière le routeur est une bonne action.
(Le schéma idéal sera bien sur avec 3 cartes réseau : ccnet donne des pistes mais certains hardware ne sont pas adaptés.)

Il faut penser à valoriser en interne cette action :

• cela apporte une sécurisation : filtrage en sortie, filtrage en entrée puisque on doit écrire chaque règle, …
• cela permet un ajout fonctionnel : le réseau wifi (avec portal) n'aura pas accès au réseau interne,
• cela apportera d'autres fonctions : vpn, mise en réseau vers d'autres sites, ...

Cela est factuel et montrera votre implication personnelle.