Aide configuration pfsense
-
Bonjour,
Je suis en classe de BTS SIO et j'ai un projet, qui est de créer un portail captif (En virtuel). J'ai donc 3 machines :
-Windows Server 2008 r2 (192.168.182.2)
-Windows 7 32 bits (Je ne sais pas en quoi la configurer …Donc je l'ai mis en IP fixe 192.168.1.4)
-Pfsense (WAN -> le0 DAHCP:192.168.188.133 , LAN -> le0 192.168.182.6)J'ai un domaine avec Windows server et Windows 7 dedans (Il communique [ping]).
J'arrive à accéder a l'interface graphique de mon Pfsense. Mais je ne sais pas comment la configurer pour que mon Windows 7 ce fasse automatiquement attribuer une IP. Et que si il veux aller sur le net passe par l'authentification du portail captif …
Si quelqu'un peux m'aider je suis preneur =)
Merci d'avance à vous ;) -
Bonsoir,
Etant étudiant, vous étes donc là pour apprendre :) je vais donc dans un 1er temps vous donner quelques indications et éviter de vous donner des liens vers des tutos car dans votre cas vous n'avez pas un besoin de mise en production d'une solution mais besoin de comprendre ''le pourquoi du comment''.
en 1er je vous conseille la lecture du post destiné aux débutants pour vous familliariser avec les fondamentaux ;)
2/ travaillez avec des machines physiques plutôt qu'avec des VM, pour éliminer les contraintes inérantes aux environnements de virtualisation qui complique l'aspect réseau.(avec des VM le principe reste strictement le même ;) )
3/ vous devez avoir des réseaux différents pour Wan et lan
4/ le w2k8 et le w7 doivent être dans le même réseau
5/ le lan de pf doit être dans le même réseau que le w2k8 et le w7
6/ vous avez précisé votre environnement en domaine et non en workgroup, de fait les fonctions DHCP et Dns doivent être gérées par le W2k8
7/ le w7 (par principe) sera en DHCP et non en ip fixe et être intégré proprement au domaine (via l'assistant d'intégration windows)
8/ le w7 doit donc ''recevoir'' comme gateway l'ip lan de pf et l'ip du w2k8 comme Dns principal
A ce stade, il n'est pas encore l'heure de parler de portail captif :D mais votre w7 doit être en mesure de ''surfer'' sur le net en ayant concervé la règle de firewall par défaut de pf (trop laxiste pour une production mais parfaite pour débuter sans ennuis).
Histoire de vérifier que vous avez bien suivi, repondez à ces 2 questions :
** Quel doit être le 1er redirecteur (l'ip) de votre serveur Dns windows ?
** Quel doit être le 1er dns de Pf (l'ip) ?
Une fois votre maquette à ce stade ET fonctionnelle il sera venu le moment de réfléchir aux configurations possibles du portail en fonction de vos souhaits et/ou configurations théoriques idéales :P
Revenez vers nous pour la suite quand vous en serez la ;)
-
Merci de ta réponse très complète ! =)
J'ai fait tout ce que tu m'à dit mais j'ai un petit soucis avec mon serveur DHCP ( apres l'installation mon W7 a pris une bonne adresse IP mais il avais en DNS 127.0.0.1 donc sa n'allait pas , j'ai donc changer et maintenant mon w7 ne veux que 192.168.188.132 j'ai supprimer et recréer une plage mais rien n'y fait … je réinstaller le service dhcp demain ducoup ^^ )
Pour tes deux questions je dirais que le redirecteur du dns de Windows serais celui de lan de pf et celui de pf serais l'adresse du FAI ou de ma box ;)
Et c'est mon dernier mot Jean Pierre ! =D
-
Bonne réponsse ;)
(sur ce je vais dormir un peut)
-
Bonjour,
Ne connaissant pas le Bts SIO j'ai interroger mon ami google ^^
Je présume, vu votre projet, que vous avez choisit l'option SISR ?
Si tel est le cas, je vous suggère de remplacez votre livre de chevet par le site de M. CALECA; on ne le répètera jamais assez, la métrise des fondamentaux qui y sont expliquer est crutiale et va vous servir longtemps, … très longtemps ^^
-
Merci de vous intéressez a moi =)
Mais heureusement non je ne suis pas en SISR mais en SLAM (Nous sommes un groupe de 4, 1 SISR et 3 SLAM don moi)
Le problème dans notre classe c'est qu'il n'y à que des mauvais SISR, du coup étant donné que j’essaie d’être polyvalent je me retrouve à faire le boulot des SISR …
Maintenant j'ai bien tout configurer, mon DHCP fonctionne, mon pfsense à accès au net mais mon W7 lui n'à pas acces au net ...
Surement a cause de pfsense qui doit tout bloquer de base je pense ...
Comment faire ? ^^
-
Avez-vous toucher aux règles par défaut de l'interface lan ?
De base il y en à 2 :
La 1ère est griser, c'est la règle d'anti-lockout (destiner à ne pas perdre l'administration web par une mauvaise règle)
La 2ème laisse sortir tous le trafic et donc autorise implicitement les réponses.le w7 ''récupère'' la donne gateway+dns via dhcp ?
EDIT :
Le w2k8 arrive à ''surfer'' ?
-
J'ai déjà bidouiller un peux …
Comment remettre par defaut les paramètre de pfsense ? -
comme le screen suivant :
-
Moi j'ai sa :
Ha non ça c'est le wan !!! autant pour moi ! j'ai comme toi sur le Lan sauf que j'ai aussi IPV6
Et oui le windows 7 récupére le bon gateway+dns
-
pas utile mais pas génant l'ipv6
pas de firewall soft autre que celuis de windows sur le w7 ?
pas de stratégie sur le w2k8?avez-vous essayer en donnant au w7 l'ip lan de pf en gateway ET dns ?
que donne les 3 ping depuis l'outils ping de pf (interface lan) et depuis le w7
ping ip gateway
ping ip google
ping www.google.frEDIT : les 3 ping ou le test de connectivité élémentaire :)
=> à mémoriser et à appliquer en cas de doute ^^
-
Non aucun autre que celui de windows 7 qui est désactiver…
Pas de stratégie je pense ...
non j'ai pas essayer car en passerelle avec mon DHCP il à deja l'ip lan de pf mais pas en DNS
depuis pf je ping:
- la gateaway (donc lui meme) sa marche
- l'ip de google (8.8.8.8) sa marche
- www.google.com sa ne marche pas ....
depuis windows 7:
- la gateway sa marche
- www.google.com sa ne marche pas ....
- l'ip de google sa ne marche pas
avec mon prof on à ajouter sa a rules>wan:
pour tout laisser sortir
-
(rapidement, car je n'ai pas le temps la^^)
Ping gateway = ping next hope (prochain noeud) donc depuis pf = gateway de wan
ping 8.8.8.8 ok + ping www.xyz.com pas ok = next hope ok + dns pas ok
votre règle n'est pas bonne il FAUT préciser le réseau source (dans votre cas lan subnet)
dans un 1er temps il FAUT laisser les 2 règles de base comme sur mon screen
-
Désoler de ne pas avoir répondu plus tôt (j'avais des exams )
Merci de ta réponse =)
Je vais essayer de remettre tout sa demain (les 2 règles de bases )
Bonne soirée ;) 8)
-
Alors me revoilà avec des infos toutes fraîches ! =)
Pour commencer tout le monde ce ping ! ;)
ensuite voila mes règles :
WAN :
LAN :
Et voici comment est configuré mon Windows 7 :
Et j'ai remarquer que lorsque je faisais un ping dans les logs de pfsens WAN bloque tout ! Et que dans les règles WAN bloque tout aussi …
Maintenant que dois-je faire ?
Pour mon projet je doit également créer une appli qui ira récupérer les logs mais je ne sais pas comment faire ?
Et aurais tu un fichier log quelconque qui a les historique de connexion, et historique de navigation pour que je puisse le passer au autres membres de mon groupe. Pour qu'il commence le développement de l'appli ;)
En tout cas encore merci pour ton aide =)
-
Pour mon projet je doit également créer une appli qui ira récupérer les logs mais je ne sais pas comment faire ?
Complètement aberrant. Pfsense sait envoyer ses logs vers un serveur syslog. Ce qui est beaucoup plus sûr que d’autoriser je ne sais quel programme à se connecter sur Pfsense.
historique de navigation
Vous ne trouverez rien de tel sur un firewall, simplement parce que c'est le travail d'un proxy et non d'un firewall.
Avec les règles en place vous pouvez remplacer votre firewall par un câble RJ45, ce sera aussi efficace et plus économique en énergie.
-
Pour mon projet je doit également créer une appli qui ira récupérer les logs mais je ne sais pas comment faire ?
Complètement aberrant. Pfsense sait envoyer ses logs vers un serveur syslog. Ce qui est beaucoup plus sûr que d’autoriser je ne sais quel programme à se connecter sur Pfsense.
historique de navigation
Vous ne trouverez rien de tel sur un firewall, simplement parce que c'est le travail d'un proxy et non d'un firewall.
Avec les règles en place vous pouvez remplacer votre firewall par un câble RJ45, ce sera aussi efficace et plus économique en énergie.
Je ne sais pas si vous avez vue le but de mon projet, qui est de créer un portail captif . Et étant novice en la matière je suis ce que l'on me dit. Et je remercie baalserv pour tout les réponses qu'il m'à donné ! Grace à lui j'ai compris pas mal de truc ;)
Les profs nous ont demander de faire une appli pour récupérer les logs alors c'est ce qu'on fait.
-
Bonjour,
Vous n'avez besoin d'aucune règle sur Wan
Pour les logs, Ccnet vous à donner la bonne réponse ;); si vos profs veullent vous faire écrire un programme, qu'ils choisissent un exemple utile plutôt qu'une pure abération comme ce qu'il vous demande. (abérant d'un point de vu sécurité car un firewall DOIT avoir le moins de process actif possible et le system Syslog n'a pas été implémenter par les dev sans raison ^^)
Comme je vous l'ai déja écris vous devez avoir une solution fonctionnelle avec les élément que je vous ai donner AVANT de voir la mise en place du portail captif.
A titre indicatif : j'ai ''at home'' via VM (pour tests) la même plateforme que celle que je vous ai indiquer, avec portail captif en Https et des pages personnalisés.
De même, je ne vous ai pas donner autant d'info dans mon 1er post sans raison ^^ -
Je vient de remettre mes règles comme les vôtres.
Quand vous dites élément fonctionnelle c'est le Windows 7 qui ce connecte au web c'est sa ?
Je ne comprend pas ce que vous voulez dire dans la phrase ci-dessous …
@baalserv:A titre indicatif : j'ai ''at home'' via VM (pour tests) la même plateforme que celle que je vous ai indiquer, avec portail captif en Https et des pages personnalisés.
Je comprend tout à fait c'est pourquoi j'ai suivie à la lettre toutes les infos que vous avez donné lors de votre premier post ;)
-
pour faire simple, j'ai en virtuel la solution que vous souhaitez avec portail captif indexer sur l'ad ^^
Elle me sert de plateforme de tests divers et varier (version de pf, windows, MAJ, os clients, …..)
