Aide configuration pfsense

cabri89

Ha sa c'est bien =)

Je vous avoue que vous prendre cette VM et tentant mais faire cela n'aurais aucun mérite ;)

Je préférerais faire tourner moi même ma machine =)

Je crois savoir pourquoi mon W7 n'arrive pas à ce connecter au net !

Je vient de faire un nslookup et mon serveur DNS ne répond pas …

Avez vous une idée de comment résoudre le problème ?

ccnet

Oui !

cabri89

@ccnet:

Oui !

?…

baalserv

Bonjour,

Que votre prof ne soit pas familier de pf et donc de l'écriture des règles, je le conçoit.

Qu'il n'ai pas était en mesure de vous expliquer la logique du test des 3 ping …..

J'ose espérer qu'il sera en mesure de vous guider sur votre problème de dns windows ^^

Cordialement

cabri89

Je ne vois mon prof que 1 fois par semaine ducoup je n'est pas le temps de lui demander grand chose …

Je le vois cette aprem et je vous tien au jus des que mon problème est résolu ;)

lg750

Bonjour,

Je me permet de rebondir sur cette situation ! Je vois que le même problème s'est créé entre Cabri et moi-même au niveau des règles du PFSense, et dans les deux cas ce sont les explication d'un professeur qui en sont la cause…

Comme indiqué dans mon dernier sujet, l'histoire des sources où l'on indiquait "any" au lieu d'indiquer la bonne source semble être une méthode familière à certains professeurs...

Pourquoi de telles divergences d'opinion alors que vous semblez, à raison, mettre un point d'honneur à l'indication de la source lors de la création de règle.

Cordialement,

Loïc

baalserv

Bonjour,

2 raisons :

1/ raison de sécurité évidente => pourquoi ''any'' quand on à la possibilitée de spécifier le subnet concerner par la règles ?

2/ vos prof ne maitrise pas pFsense …

Cordialement

ccnet

@lg750:

Pourquoi de telles divergences d'opinion alors que vous semblez, à raison, mettre un point d'honneur à l'indication de la source lors de la création de règle.

C'est autre chose qu'un point d'honneur. C'est une certaine expérience de la sécurité. Le problème avec any c'est que on suppose , et c'est une erreur, que le gentil utilisateur appartient au réseau connecté à l’interface. Avec any que se passe t il si le vilain hacker choisi délibérément un numéro de réseau qui n'est pas celui attendu (naïvement), mais celui par exemple d'une dmz ? Vous maitriser les conséquences d'une telle situation ?
C'est comme les développeurs qui supposent que dans le champ code postal d'un formulaire web le gentil utilisateur va saisir 5 chiffres. Mais voilà que se passe t il avec, par exemple, (volontairement simpliste et non fonctionnel probablement):

75001;select password from users --

Si le développeur n'a rien prévu notre hacker dump la table des mots de passe.

Ce que l'on préfère éviter dans les deux cas en étant restrictif et en ne faisant pas confiance a priori. Voilà ce qui nous différencie de vos profs qui par ailleurs ont des compétences, mais be sont pas nécessairement spécialisés sur les questions de sécurité.

cabri89

J'ai réussi à résoudre avec mon prof le problème et du-coup tout fonctionne j'ai mon portail captif qui fonctionne sur le client ! =)

Il me reste plus qu'à configurer ma connexion avec les identifiant de l'AD.

et a trouver ou sont stocker les logs ;)

en fait on doit faire une appli pour voir les sites les plus visité sous quelle plage horaire etc…

Nos profs nous demande de faire ce projet pour qu'on sache comment fonctionne un portail captif, après comme vous dites il ne sont pas spécialisé dans le pfsense donc ils font comme ils peuvent et résultat sa marche ! =D Apres on ne le déploiera pas c'est juste un projet ;)

baalserv

@cabri89:

Nos profs nous demande de faire ce projet pour qu'on sache comment fonctionne un portail captif

Le portail captif n'est qu'un ''interrupteur'' on/off (comme l'a préciser Ccnet très recement dans un autre fil)

@cabri89:

en fait on doit faire une appli pour voir les sites les plus visité sous quelle plage horaire etc…

==> pour avoir ces logs il FAUT un proxy (Squid par exemple) et quand à son emplacement …

@cabri89:

et a trouver ou sont stocker les logs ;)

Vous n'avez pas à ''trouver'' les logs, ils sont dans des fichiers sur pf; mais le pb n'est pas la :o

Un package existe pour faire ce que veut votre prof c'est LightSquid ;)

Mais c'est encore raté ???

La ''bonne démarche'' consiste à exporter les logs vers un syslog ( déja dis 8) )

==> donc, votre ''applie maison'' devra trier/gérer les logs reçu par le serveur syslog -> par exemple : Greylog2, Kiwi, Splunk, …

lg750

Merci pour vos réponses, il est clair de toute façon qu'il y a un manque de compétence ou un défaut de spécialisation de la part du corps enseignant…

Cordialement,

Loïc

baalserv

Bonjour,

Pour indexé le portail sur l'AD plusieurs points :

Le nom FQDN de Pf DOIT être en correspondance avec votre domaine

Il vous faut aussi une entrée pour pf dans votre serveur Dns windows

Activé le service radius sur votre DC

Il vous faudra également un groupe de user AD avec une stratégie d'autorisation (indice : Vpn)

Et bien évidement définir votre serveur Radius/AD dans Pf

Bon courage :D

cabri89

Bonjour,

J'ai de nouveaux des petits soucis …

J'ai suivi ce tuto :

https://forum.pfsense.org/index.php/topic,44689.msg232267.html

Et quand je test mes utilisateurs ils fonctionnent mais maintenant je ne peux pas m'authentifier avec ses derniers ...

J'ai bien tout suivis j'ai créer le même groupe que lui mais rien ...

Quelqu'un à une idée pour éviter de me faire passer par un serveur Radius ?

Merci d'avance pour tout =)

baalserv

Il vous manque peut être un privilège non lister sur votre tuto car inéxistant à l'époque : User - Services - Captive portal login

cabri89

Malheureusement je ne trouve pas ce dont vous me parler …

C'est dans User Manager ?

C'est sa :

baalserv

comme ci dessous :

privileges.png_thumb

cabri89

He bien j'ai déjà ajouter tout les privilèges …

J'ai supprimer le groupe puis je l'est recréer et j'ai ajouter juste le privilèges :

User - Services - Captive portal login

cabri89

Bonjour,

Je vient d'essayer de mettre une page personnalisée pour l'authentification sur mon portail captif, et sur cette page j'ai un accès a ma base de donnée, et quand je test ma page cela me mes : "Erreur : Could not find driver". Pour moi c'est un module qui n'est pas activé. Mais comment activité ce module ?

Merci d'avance :)

baalserv

Bonjour,

je pense que vous avez pris la ''mauvaise'' route

==>
@cabri89:

Quelqu'un à une idée pour éviter de me faire passer par un serveur Radius ?

Essayons de répondre à cette question par d'autres questions et un peut d'humour ^^

Pourquoi ne pas utiliser Radius, avez vous une raison valable ?
Pourquoi les ''grand constructeurs'' comme cisco, hp, …. implémente Radius dans leurs produits ?
Pourquoi Microsoft à implémenter Radius dans ses OS serveurs
Pourquoi existe t'il aussi des Raduis serveur pour le pingouin et le diablotin ?
Pourquoi ''bricoler'' une pages perso contenant un code maison pour de l'authentification ?

En gros, pourquoi nous demander de vous aider à planter un clou avec un tournevis en nous précisant que vous ne souhaitez pas utiliser le marteau que vous avez sous la main ?

Cordialement

EDIT : il FAUT éviter de modifier et/ou ajouter du code dans un firewall

EDIT 2 : quand je met en place un portail, j'adapte à mes besoins la page que je vous met en lien plus bas; elle est simple (html) et légère (tout ce qu'il faut^^)
==> http://blog.stefcho.eu/wp-content/uploads/2011/06/index1.html

Vous trouverez aussi sur ce blog des tuto fonctionnel répondant à vos besoin ;)