Problème Vlan Pfsense



  • Bonjour,

    J'ai un léger soucis. Je découvre Pfsense, j'ai tout configuré parfaitement, coté wan mon réseau d'entreprise en 192.168.33.X /24 et coté lan mes point d'accés wifi(1 seul pour l'instant relié en direct) en 192.168.35.x /24. L'identification se fait par un serveur IAS avec active directory. J'ai ajouté dans le firewall les règles sur les 2 cartes réseaux de pfsense pour ne rien bloquer durant les tests..

    J'ai créé 2 vlan sur mon point d'accés wifi possédant 2SSID un sécurisé(VLAN2) et l'autre libre(VLAN1). J'aimerai que l'utilisateur se connecte sur le libre(VLAN1) et s'il est authentifié pfsense le bascule sur le wifi sécurisé sur le (VLAN2).

    Alor je ne sais pas si cela vient de moi qui est mal compris, mais je n'ai rien a sélectionner dans "interface->assign->Vlan->Parent Interface" alors que je devrai avoir comme choix LAN?

    Merci de votre aide



  • En principe ce qui apparait c'est l'adresse mac de la carte sur laquele monter le VLAN mais sous cette zone de saisie il est indiqué : "Only VLAN capable interfaces will be shown."
    C'est peut être l'explication de votre problème.

    Modif : Je ne me suis pas intéressé au reste du problème tel que posé (et qu'il faut revoir) mais je confirme entièrement ce qui suit.



  • Il y a un problème de compréhension  ;)
    Le problème se situe ici:

    J'aimerai que l'utilisateur se connecte sur le libre(VLAN1) et s'il est authentifié pfsense le bascule sur le wifi sécurisé sur le (VLAN2).

    Pfsense ne va rien basculer, il n'en a pas la capacité. Ce qu'il faut faire, c'est configurer sur l'AP l'association VLAN<-> SSID. C'est à dir que l'AP va fournir en sortie filaire le traffic du SSID sécurisé sur le Vlan2 et le trafic non sécurisé sur le Vlan1. Sur pfsense il faudra créer deux vlan (1 et 2) que l'on assignera à la carte ethernet sur laquelle est branchée le réseau filaire de l'AP. Ces VLan apparaitrons comme des interface au niveau des règles de pare-feu, à vous de créer les règles d'accès propre à chaque Vlan.
    Ensuite, il se peut que vos cartes réseau ne supportent pas les VLAN..



  • @Juve:

    que l'utilisateur se connecte sur le libre(VLAN1) et s'il est authentifié pfsense le bascule sur le wifi sécurisé sur le (VLAN2).

    Ok merci beaucoup, je pense alors que mon problème provient peut être de ma carte réseau bien que je trouve cela bizarre car mon pc a moins d’un mois ou du fait que j’utilise VirtualPC.
    Pour ce qui est des Vlans et des 2 SSID, je me posais la question sur la manière de faire, j’avais lu sur le tuto d’un projet tutoré mais cela me semblé louche :

    1- on crée 2 VLAN avec 2 SSID différents. Un VLAN sera « sécurisé » et l’autre « Libre »

    2- Le client lorsqu’il arrive la première fois sur le Portail Captif n’a accès qu’au SSID «  connexion libre ». Ce SSID désigne un canal de communication qui est non sécurisé.
            Son rôle est de :

    • Authentifier l’utilisateur
    • Lui donner ensuite la clé WPA pour que l’utilisateur utilise le SSID « connexion sécurisée »
              Remarque : cet AP ne donne en aucun cas un accès vers l’extérieur

    3- Dans un deuxième temps on imaginera le client qui se connecte toujours à l’AP sécurisé ( il détient désormais la clé WPA fournie après l’authentification via l’AP libre).

    Je pense donc que cela ne m’est pas utile de faire 2 vlan et 2 SSID pour sécurisé si cette ce changement de SIID ne peut être effectué car il me faudrait l’ajout d’un autre dhcp.

    Par contre je pense que pour la sécurité, il est plus intéressant de faire un vlan sur les switch ou seront connecté mes APs pour bien séparer mon réseau lan sur pfsense et un sur le wan relié a mon réseau d’entreprise. Qu’en pensez-vous ?



  • Merci de faire attention lorsque vous manipulez les quotes dans vos réponses.

    Par contre je pense que pour la sécurité, il est plus intéressant de faire un vlan sur les switch ou seront connecté mes APs pour bien séparer mon réseau lan sur pfsense et un sur le wan relié a mon réseau d’entreprise. Qu’en pensez-vous ?

    Le wan relié à votre réseau d'entreprise ? Je ne suis pas certain de comprendre ce que vous essayez de faire. Ce dont je suis certain c'est que lan et wan doivent être sur des interfaces physiques et des réseau physique séparés.



  • En fait j'ai mon Wan qui est sur mon réseau d'entreprise et le Lan correspond au réseau wifi pour authentifier les utilisateurs par le portail captif. Dans tous les cas la question ne se pose pas je serais obliger de faire 2vlan sur le switch pour séparer mes réseaux.

    Merci beaucoup pour vos réponses!


Log in to reply