Contacter contrôleur Domaine sur Wan depuis Lan



  • Bonjour,

    j'aurais besoins de vos lumières.
    Je n'arrive pas a contacter mon contrôleur de domaine depuis mes postes client en wifi.
    je m'explique:

    Mon Réseau Local est comme ça:

    (Serveur 2012) 192.168.0.2 –-- 192.168.0.x (Postes Client Fil)
                                                ---- 192.168.0.4 Wan (PfSense) Lan 192.168.2.1 –- 192.168.2.x(Borne Wifi en AP) --- 192.168.2.x(Postes Client Wifi).

    depuis le wifi je peut pinger le 192.168.0.2 mais je n'ais pas de réponses si je ping sont nom net bios et donc je ne peut pas intégrer ces postes en wifi à mon domaine.

    est-ce que vous pourriez me dire quels sont les points important à vérifier dans Pfsense ou sur mon serveur pour que les machines en wifi puissent s’intégrer au domaine.

    je vous remercie de votre aide.



  • Un contrôleur de domaine connecté à Wan, ce n'est pas banal. Ma toute première réflexion est que tous les postes qui se trouvent sur un autre réseau que wan, et connectés à Pfsense, ont par défaut leur adresse ip translatée avec l'ip de l'interface wan. Je ne suis pas certain que les systèmes Microsoft soient prévus pour fonctionner ainsi.
    La deuxième chose que je vous recommande est de regarder quels sont les besoins d'un serveur 2012 en terme de ports accessibles et de mécanismes de résolution de noms. Lorsque tout cela sera clair vous comprendrez sans doute mieux ce qui peut poser problème. Il y a longtemps j'ai vu passer un papier Microsoft avec un un titre comme " domain controler through firewall".



  • merci pour votre réponse si rapide.

    en fait je suis dans un environnement scolaire j'ai fait comme ça pour mettre un réseau wifi (hotspot) a disposition des ordinateurs des profs mais aussi des ordinateurs des salles de classe (Tableau blanc interactif).

    Donc j'avais besoins d'un réseau wifi ouvert pas de clé wpa ou wep mais un filtrage par adresse mac grâce au captive portal voila pourquoi le wan. ainsi les élèves petits malins voient qu'il y a un wifi mais ne peuvent pas se connecter sans adresse mac valide en revanche les profs eux peuvent utilisé leurs ordinateurs personnel pour peut que j'ai déclarer leurs adresse mac dans Pfsense (DHCP Serveur et PassThrough.

    je pense a un problème de DNS mais je ne voie pas vraiment comment m'y prendre, de plus je ne voudrais pas influencer vos idées.



  • La remarque de ccnet est très pertinente : lors du passage de LAN ou WIFI vers WAN, il y a un NAT implicite et c'est très mal !

    Un filtrage par adresse MAC reste un filtrage faible car assez facilement contournable.

    Premièrement, pfSense doit être placé en amont (pour éviter le NAT de WAN) : Internet <-> (WAN) pfSense

    Je placerai 3 interfaces internes : LAN, WIFI-OK et WIFI-HOTSPOT.
    Relié à WIFI-OK, un point d'accès wifi avec cryptage WPA–PSK/AES et clé longue.
    Relié à WIFI-HOTSPOT, un point d'accès wifi en Open et avec un portail captif pour contrôle accès vers Internet.

    Des règles simples autoriseraient les flux entre LAN et WIFI-OK, et d'autres interdirait tout flux WIFI-HOTSPOT vers LAN ou WIFI-OK.

    Le DHCP de la zone WIFI-OK fournirait comme dns le serveur Windows de LAN.



  • Hello,

    As tu des contraintes à cause du réseau "scolaire" comme un firewall Eole fournit par le rectorat.

    Je comprend le besoin que tu as de mettre pfSense "à coté" pour en faire un routeur wifi mais,

    • Si tu n'as pas de firewall Eole ou autre en amont de tes serveurs/postes alors OUI pfSense doit être en tête avec plusieurs cartes réseaux par zones : WAN, LAN, WIFI, DMZ, …

    • Si tu as un firewall Eole en amont alors c'est un problème de routage.
      Si ton serveur DC est dans une de ses zones alors il n'aura pas la route pour aller sur ton réseau wifi derrière pfsense qui fait du NAT en plus.
      Il faudrait ajouter une route sur le firewall Eole vers le réseau Wifi et désactiver le Nat sur pfSense. Demande au rectorat ...

    D'autre part si tu as un contrôleur de domaine alors tu pourrais avec le portail captif authentifier les utilisateurs Wifi en ldap + le filtrage MAC

    Voilà :)



  • Comme vous l'avez lu, vous avez, dans votre choix initial un problème d'architecture. Avec ces différentes réponses vous devriez pourvoir aboutir. Je confirme qu'un filtrage pas adresse MAC est une solution très faible, facilement contournable.



  • bonjour, et merci a tous pour vos réponse :D.

    j'ai pue résoudre le problème en indiquant l'adresse ip du serveur windows comme dns dans les informations DHCP délivrés aux clients wifi par pfsense (wifi). comme le propose jdh

    Pour l'accès internet j'ai effectivement en première ligne un Firewall AMON après mes box adsl.

    Merci a tous de votre aide.


Log in to reply