Règles Firewall pour portail captif



  • Bonjour, j'essaie de mettre en place un portail captif et je voudrais savoir s'il faut configurer des règles Firewall ou bien laisser les règles par défaut avec cette configuration :

    Configuration de pfSense :
    LAN : 193.56.2.224
    WAN : 192.168.1.1
    OPT1 : 192.168.2.1

    Passerelle WAN (adresse du Routeur 1) : 192.168.1.254
    Passerelle OPT1 (adresse du Routeur 2) : 192.168.2.254

    Merci.



  • Bonjour,

    la topologie et les adressages sont ok

    vous n'expliquez rien de vos besoin !

    donc pour répondre directement à votre question :

    avec la règle par défaut tout le trafic en provenance du lan sera authorisé en sortie et passera par la passarelle par défaut ; que je suppose être Wan.

    lisez la doc multi-wan et faite quelques recherches pour comprendre le fonctionnement du multi-wan sera un gain de temps pour vous !

    et dans votre cas la version de pfsense utilisé est n'est pas sans incidences !

    bonne recherche

    cordialement

    P.S: votre architechture actuelle ne conviens pas pour un portail captif mais pour un multi-wan !



  • En fait, il faudrait que je mette en place deux solutions comme ça dans deux bâtiments différents, toujours avec cette même configuration pour le portail captif.

    La première étant : Le switch connecté à l'interface LAN possède deux Vlans, le premier devant pointer vers le routeur/box WAN, le second vers le routeur/box 2.

    La seconde étant : Le switch connecté à l'interface LAN possède deux Vlans où une des deux box fonctionne et l'autre fait office de tolérance de panne, c'est à dire que lorsque la première lâche, la seconde prend la relève.

    Au niveau du portail captif j'y arrive, mais je bloque à la configuration des WAN et OPT et aux règles Firewall.

    "et dans votre cas la version de pfsense utilisé est n'est pas sans incidences", que voulez-vous dire pas là ?



  • le multi-wan ne fonctionne pas de la même façon entre pf v1 et pf V2

    je vous confirme qu'il vous faut vous documenter sur les fonctionnements multi-wan.

    je vous préconiserai même de faire un pool en load-ballancing pour les protocoles le supportant ainsi 1 à 2 pool en fail over en fonction de comment vous souhaiter router les protocoles qui ne se ballance pas.

    le portail captif sera donc actif sur lan



  • Je me suis documenté sur le load-balancing et j'envisage de faire une configuration comme ça :

    Pour la conf  réseau de WAN, OPT et LAN tout est Ok, mais il me reste quelques point à éclaircir.

    L’interface WAN est mon interface par défaut. OPT1 n’est pas forcément utilisée et va pointer vers l’interface WAN (ce qu’on je ne veux pas). Je pense qu'il est alors judicieux d’ajouter une route statique pour le DNS.

    Qu'en pensez-vous ?

    Pour ce qui est du firewall, je suis en train d'étudier la question.



  • multi-wan = multi gateway = configurable dans les règle de firewall

    le network pour opt1 n'est pas bon car vous indiquer comme réseau une l'adresse d'un serveur Dns de votre FAI
    votre réseau pour opt1 est 192.168.2.0/24 avec 2.254 comme gateway

    il faut également préciser à Pfsense les Dns des FAI sur les bonnes gateway

    EDIT:
    cite : OPT1 n’est pas forcément utilisée et va pointer vers l’interface WAN (ce qu’on je ne veux pas). Je pense qu'il est alors judicieux d’ajouter une route statique pour le DNS.

    =>je ne comprend pas ce que vous voulez dire !



  • En fait j'essaie de me débrouiller entre la doc (je suis loin d'être bon en anglais) et les tutos sur le net.

    D'après vous, la route statique est inutile. J'ai trouvé un nouveau tuto qui m'a l'air court et simple. Qu'en pensez-vous ?

    http://fr.wikitwist.com/dual-wan-load-balancing-pfsense-20/#axzz2kjCnTmc4

    Encore merci pour votre aide.



  • ce tuto a l'avantage d'expliquer simplement les principes du multi-wan sous Pf 2.x

    a tête reposer vous devriez vous en sortir :)



  • La question est de savoir si d'après vous il fonctionne. Car en ce moment, je ne peut pas tester la soltuion  ^^



  • ce qui est expliquer et juste et fonctionnel !

    comme tout tuto il est à adapter !

    il ne fait pas référence au système fail-over mais vous donne toutes les info pour le faire en respectant la logique décrite.

    donner les dns des Fai sur les gateway correspondante est impératif ^^

    (j'ai plusieurs Pf V2.x en production avec du load-ballancing et fail-over qui fonctionne parfaitement)



  • Ce tuto m'a l'air parfait, de plus il n'y a qu'une seule règle Firewall à mettre en place. Il répond à toute mes attentes.

    Bonne soirée et merci pour votre précieuse aide :)