[RESOLU] Administration portail captif
-
Bonjour
Je suis en train de tester Pfsense car je souhaiterais mettre en place un portail captif wifi dans une médiathèque.
Tout fonctionne correctement mais je butte sur un problème : l'administration du Pfsense ne peut se faire que sur l'interface LAN et non depuis le WAN.
Voici le schéma de l'archi pour comprendre ma question :
(internet)–--modem/routeur------firewall------------switch-------------pfsense-----------------------------AccessPoint
192.168.1.1 192.168.1.2 192.168.1.50 / 192.168.10.1 192.168.10.2"Petit" détail qui a son importance, je n'ai pas la main sur le firewall (qui fait le dhcp notamment) qui est gérée par un prestataire.
J'ai la main sur le modem/routeur en revanche.Je peux depuis le LAN pfsense (192.168.10.0/24) accéder à l'interface WebGUI mais pas depuis la partie WAN (192.168.1.0/24).
C'est la première fois que je répond à ce type de besoin et je dois passer sans doute à côté de quelque chose d'élémentaire mais un petit coup de pouce serait le bienvenue.
Merci d'avance de votre aide !
edit : je suis bien conscient qu'il ne s'agit pas ici de la meilleure architecture en termes de sécurité mais je ne peux pas faire autrement (pour le moment).
-
Vous envisagez sérieusement de mélanger le réseau de la médiathèque (filaire ?) avec le réseau wifi ?
Je peux depuis le LAN pfsense (192.168.10.0/24) accéder à l'interface WebGUI mais pas depuis la partie WAN (192.168.1.0/24).
Et quel est le problème ?
Globalement il y me semble y avoir un problème d'architecture réseau.
-
Il est évident que l'architecture réseau est incorrecte, j'en suis bien conscient. Malheureusement, je ne peux faire autrement pour le moment. Je suis en contact avec le prestataire (qui ne travaille au passage pas pour moi) mais celui-ci a du mal à répondre à mes questions/besoins et ma hiérarchie commence à s'impatienter…
Le problème : la médiathèque souhaite gérer les utilisateurs et créer des comptes pour fournir les identifiants au public. Ils doivent par conséquent pouvoir accéder à l'interface LAN (192.168.10.1) depuis leur réseau métier (192.168.1.0/24). Sur le LAN en 192.168.10.1, il n'y a qu'un Access Point wifi connecté directement sur la carte réseau de la machine pfsense.
Donc avec un pc portable par exemple, j'accède à l'interface d'administration sans souci (ce que j'aimerais naturellement bloquer ensuite).
Merci de vos conseils...
-
J'ai finalement résolu le problème avec une règle de NAT et de firewall.
-
Dans votre cas il parait très difficilement envisageable au regard de la législation de fournir cet accès à internet sans utiliser un proxy, avec un archivage des logs pendant une année. Votre schéma initial ne fait pas mention d'un proxy, ni pour le réseau "métier", ni pour le réseau invité. J'attire votre attention sur l'utilisation de Pfsense telle que vous l'avez conçu en ce ui concerne l'identification éventuelle des machines accédant à internet. Elles seront toutes "cachées" derrière la même ip , celle de l'interface wan de Pfsense.
-
Bonjour,
Merci pour votre intervention.
Je suis au fait de la législation et je regarde actuellement comment mettre en place cette partie (proxy et gestion des logs).