Votre avis avant d'aller plus loin ?



  • Bonjour à tous,

    J'ai déjà pas mal parcouru ce forum, tant dans la partie fr que l'anglaise.
    Je découvre pfSense et je viens de débuter les tests en virtuel pour le moment, histoire de ma familiariser et voir si cela peut répondre à mes besoins. A prioiri, pas mal de point sont ok mais je m'interroge pour d'autres. C'est là que vos avis d'experts m'aideront !  8)

    Voici ce que j'ai besoin ou ce que je souhaiterais mettre en place:

    Situation:
    une école avec 900 élèves (logins) et 130 profs (logins) soit un bon millier d'utilisateurs. Plus des visiteurs occasionnels (représentant, inspecteurs d’académie …Etc).
    Le but est de contrôler tout cela ET de gérer les accès.

    Mes besoins (dans l'idéal):

    • Contrôle d'accès individuel ou par groupe pour la sortie sur le WAN (captive portal ?)

    • Certains utilisateurs fixes (direction, postes administratifs), accès internet automatique sans devoir entrer de logins (via MAC ?)

    • Locaux informatiques avec accès internet autorisé pour le local complet (chaque local sur un routeur individuel)

    • Pour les profs, accès internet constant via le login

    • Pour les élèves, accès internet via wifi autorisé aux heures de break (recréation, cantine …)

    • A certaines heures de cours, autoriser certains groupes (classes) à avoir accès à internet (élève avec portable qui travaillent en classe)

    • Gestion "simple" des comptes internet visiteurs (vouchers ?) par une personne ressource (non admin) n'ayant pas de compétences appronfondies

    • filtrage web via proxy (séparé ? squid ? mais utilisateurs identiques au firewall)

    • Log d'activité internet individuel. La direction souhaite, en cas de nécessité, avoir la possibilité de sortir un historique individuel des sites visités, des dates et heures

    • Vu le nombre d'utilisateurs (qui sont déjà encodés dans une autre DB), pouvoir facilement importer une liste d'utilisateurs et les insérés dans des groupes au moment de l'importation (csv ?)

    Je pense avoir fait le tour pour le moment, et c'est déjà pas si mal, non ? Vu tout ce qu'il faut mettre en place, je galère un peu. Pour le moment, pratiquement tout ceci fonctionne sur le proxy/firewall KerioControl mais je souhaite être en ordre de licence. Du coup, Kerio devient impayable vu le nombre d'utilisateurs et surtout le peu de moyen financiers.

    D'avance merci pour tout conseil(s) et pistes.
    Lenif.



  • Bonjour,

    ** Pfsense en point central avec portail captif ( multi Wan avec load-ballancing + fail-over vivement conseiller vu le nb de users)
    ** séparation des réseaux (physique ou Vlan), 1administratif, 1 pédago (salles info), 1* Wifi (prof/élève même bornes mais Vlan)
    ** serveur Ldap avec Radius (pour prof+élèves) (en Dmz ou Lan) (servira pour portail captif et proxy^^)
    ** Proxy sur machine dédier en dmz (non transparent + Wpad pour auto configuration des clients)

    je vous conseille de faire une maquette avant; attention aux incidences (nb cartes + config) si vous virtualiser la maquette

    Bon courage car il y a pas mal de travail :)

    Cordialement



  • Même réponse et éventuellement du NAC pour automatiser le placement des machines dans un vlan en fonction de l'authentification, ou de l'absence d'authentification.



  • nickel, voilà un bon avis professionnel pour démarrer le bazar !

    Pour le portail captif, ok, ça j'ai testé et ça marche bien. Par contre, j'utilisais la db interne et le radius, encore jamais touché. Nous avons bien un win2003 pour l'administration mais il est déjà hyper chargé et je sais pas si je vais lui mettre le service radius en plus, je pencherais plutôt pour un serveur radius indépendant sur le réseau. Les machines des bureaux sont adressées via une réservation. Je ne peux pas créer de vlan car nous n'avons aucuns switchs managables (manque de sous oblige).
    Pour le proxy, si je comprend bien, il peut se connecter automatiquement au radius également et du coup, la gestion des utilisateur se fait en central sur le radius. Le serveur dhcp est actif sur le MS2003, je préfère le laisser sur celui-ci sauf si vous estimez qu'il est mieux de mettre le dhcp sur pfsense

    Pour ce qui est du NAC, je connais pas mais je me renseigne, suis autodidacte.

    Merci pour toutes ces informations  ;)



  • http://fr.wikipedia.org/wiki/Network_Access_Control pour le NAC
    et bien sûr 802.1x est utilisé, http://fr.wikipedia.org/wiki/IEEE_802.1X , mais comme vous n'avez pas switchs administrables vous ne pourrez pas mettre en œuvre ces technologies. Lé sécurité va s'en ressentir mais vous devrez faire avec.



  • oui bien sur, j'en suis malheureusement conscient. Le câblage réseau est fait et cela me parait hyper contraignant de le refaire pour le moment.
    Surtout que dans notre école nous avons deux bâtiments principaux (et d'autres) séparés d'un bon km et la prochaine étape sera d'installer une liaison sans fil longue distance. Pour ne plus être dépendant d'internet d'une école à l'autre. Cela évitera également aux utilisateurs se trouvant sur le site distant de travailler en sessions distante sur le serveur comme actuellement. Mais çà, c'est une autre histoire. Une chose à la fois …  :o

    Pour le radius, pouvez vous me conseiller une version au lieu d'un autre ? Peut on directement y gérer des groupes ? Est il possible de donner des accès à un gestionnaire qui pourrait créer des comptes et les mettre dans le groupe correspondant, sans pour autant s'y connaitre, et donc avec une interface simple ?

    merci encore



  • Bonjour,

    Pour la liaison sans fils longue distance, attention à la topologie géographique des lieux ainsi qu'à la stabilitée et aux performances.

    Une liaison fibre optique serai l'idéal tant d'un aspect performance que péréniter et évolution dans le temps; malheureusement c'est la solution la plus chère.

    Un Vpn basé sur des Sdsl 2mb/s peut être un compromis entre le coût et la stabilitée. (peut être un sdsl 4 sur le site central et des Adsl de qualité sur les sites distants, a calculer en fonctions des besoins et methodes de travails)

    Cordialement

    EDIT : peut être que certains de vos sites sont éligible à un accè fibre type Numericable ou autres prestataires.



  • salut,

    J'ai déjà testé la liaison VPN mais les débits via internets n'étaient pas assez rapide pour notre logiciel de gestion école.
    ET pourtant nous avons une connexion vers le cable, je suis synchro à l'école à 120Mb/s en download et 6 Mb/s en upload
    En testant la connexion vpn depuis chez moi, synchro à 30Mb/s en download et 3 Mb/s en upload, ca ramait à mort.
    Nickel pour la navigation dans les dossiers du serveurs, ouvrir un word, tout ca ok. Mais l'application de gestion, fait déjà 22Mb à ouvrir, plus les échanges vers la DB, c'était inutilisable. C'est suite à cela, que j'ai configurer le RDP sur notre serveur. Ca tourne maintenant, même si la config devient vieillissante (changement de serveur prévu l'année prochaine), mais mon problème reste la dépendance à internet. En cas de panne sur le net, 10, personnes au chomage technique, même si cela les arrange. Autre argument, les connexions internet sont hors de prix chez nous (en Belgique). Par exemple, 75€/mois pour l'école 1 et pas moins de 150€/mois pour l'école 2 … on gagnerait déjà 150 €/mois en wifi

    Le wifi proposé est garanti à 60 Mb/s dans les deux sens ... j'ai par sécurité, visité une entreprise voisine qui dispose de ce système. Ils l'utilisent  pour le réseau et en plus la VOIP ... tout va bien pour eux. RDV vendredi pour proposition, on verra ce qui se dit ...