The pfSense Store

Show Posts

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.


Messages - chris4916

Pages: [1] 2 3 4 5 ... 121
1
Français / Re: [debutant] Infrastructure pfsense
« on: December 12, 2017, 06:43:08 am »
Tu peux aussi, si tu ne veux pas lire la documentation, te contenter de l'installer et tu verras le message de warning sur l'interface d'administration

2
Français / Re: [debutant] Infrastructure pfsense
« on: December 12, 2017, 05:46:37 am »
L'accès à internet depuis le DC et WSUS n'est pas lié au fait que les utilisateurs s'authentifient au travers du proxy pour être autorisés à accéder.
Il suffit de permettre une règle au niveau du FW qui permette ces flux tout en n'autorisant pas l'accès aux IP des utilisateurs (sauf le proxy bien sûr) ;-)

Petit point de détail: selon la littérature de Microsoft, il n'est pas souhaitable de faire tourner WSUS et un DC sur le même serveur. Il faut bien vendre des licences  ;D

3
Français / Re: Syntaxe dans le filtrage avancé des logs
« on: December 11, 2017, 01:45:38 pm »

4
Français / Re: [Débutant] Besoin de conseil
« on: December 10, 2017, 11:41:59 pm »
Sinon si je souhaite mettre en place un accès "GUEST" il faudra que je passe par un point d'accès relié directement à un port de mon pfsense ?

Dès lors que tu veux que ce soit un réseau "isolé", le seul moyen de le faire est que les flux du wifi guest soient séparés du LAN. Donc soit une connexion sur un port dédié du FW soit sur un VLAN, ce qui revient à peu près au même.

Si tes switchs te permettent de configurer des VLAN, ton point d'accès peut être n'importe où sur le réseau à condition que les ports des switchs et les trunk soient bien configurés.

Quote
Je vais aussi me renseigner un peu plus sur la partie DMZ pour mon serveur accessible depuis l'extérieur.

C'est on ne peut plus simple: une interface dédiée (ou un VLAN ?) pour un segment qui héberge les services accessibles depuis l'extérieur. Certains flux depuis internet sont redirigés vers ces services qui, avec, lorsque c'est nécessaire, relaient vers le LAN.
La DMZ peut également héberger les services permettant de "sortir" depuis le LAN vers Internet: par exemple pour héberger un proxy HTTP, un MTA.
C'est le FW au milieu qui te permet de gérer les règles décrivant quels flux sont autorisés.

Quote
Connais tu un livre sur pfsense qui est "bien" et en français (ou penses tu que cela n'a pas vraiment d'utilité).

non  :( ni en anglais d'ailleurs, je n'ai pas encore eu l'occasion de lire le "livre" de pfSense

Quote
Autre question (peut être bête mais je me lance). J'ai un compte chez un fournisseur de VPN, est ce que je peux l'utiliser pour "chiffrer"  une partie ou la totalité de mes échanges.
oui tu peux configurer pfSense en tant que client VPN. Si le but est de vivre "caché", il faut bien garder à l'esprit que si le flux est encrypté, ton ISP sait en revanche vers quelle IP tu te connectes et sais donc que tu te cache dans un tunnel  ;)
Ce n'est pas le cas avec IPSec  8)

5
Français / Re: Réglages élémentaires sur ma configuration 1 Lan / 2 Wan
« on: December 10, 2017, 07:59:28 am »
Si tu parles de clients FTP (de ton coté) qui accèdent des serveurs "sur le WAN":
- Je ne vois pas bien ce que le port 20 vient faire dans ton alias  ;)
- ça ne devrait pas trop poser de problème (sauf qu'il faut ouvrir des ports)
- est-ce que les déconnexions ne sont pas dues au load balancing ?

6
Français / Re: [Débutant] Besoin de conseil
« on: December 10, 2017, 01:05:33 am »
Oui ton approche me semble cohérente. Est-ce que ça suffit pour te lancer dans l'installation ? Probablement pas mais au moins tu es dans la bonne direction.

Ne t’inquiète pas avec l'OS: beaucoup de ceux qui déploiement pfSense ne connaissent pas BSD. Le fait que pratiquement tout soit réalisable au travers d'une interface graphique  permet de s'affranchir de la compréhension fine du fonctionnement de l'OS. En revanche, ça ne permet pas de s'affranchir de la compréhension du principe d'un FW SPI (Stateful Packet Inspection) ainsi que la compréhension au moins basique des protocoles que tu veux filtrer. ce qui implique de comprendre un minimum de différence entre IP et ICMP, TCP et UDP.

Si j'avais un seul avis à partager, ce serait de commencer par lire un peu de documentation vulgarisatrice sur le fonctionnement du réseau en général et ensuite de regarder les quelques services de base qui seront indispensables à ton utilisation d'internet, en commençant par DNS et HTTP(S)
La seconde étape consiste à faire un cahier des charges: quels services dans quel sens ? C'est ce qui va déterminer tes règles.

Tu peux sans problème faire une maquette d'un pfSense dont l'interface WAN se connecter à ton LAN actuel pour t'assurer que tout fonctionne correctement. Au détail près du double NAT, tout va fonctionner exactement de la même manière et au moment où tu vas passer en mode bridge, il te suffira de connecter tous tes équipements au LAN de pfSense (sauf pour la partie Free TV que tu as déjà identifié  ;) )

Bien sûr, cela implique de ne pas (plus) utiliser le point d'accès wifi de ta Freebox  8)

Sur cette base, si tu déploies pfSense avec les valeurs par défaut en mettant ta Freebox en mode bridge, tu vas avoir un comportement assez similaire à celui de la Freebox, à savoir que tous les flux sortants seront autorisés et tous les flux entrants bloqués.
Il faut (je ne me souviens pas si c'est la conf par défaut de pfSense) que le serveur DHCP soit configuré pour le LAN et idéalement, que pfSense soit le serveur DNS des équipements sur le LAN.

Avec ça, l'accès internet fonctionne.

A partir de là, il faut te poser la question de quels flux sortant tu as besoin, l'idée étant, idéalement, de ne pas autoriser ce qui n'est pas nécessaire.
- par exemple, tu n'as pas besoin de laisser passer DNS puisque pfSense fait office de serveur DNS. Idem pour NTP
- HTTP/HTTPS va dépendre de l'utilisation ou pas d'un proxy
- quid du mail ? Tes utilisateurs utilisent un "vrai" client de mail (ce qui nécessite de contrôler les ports IMAPS, SMTP SUBMISSION...) où bien se contentent-ils d'un webmail ?
- et il faut ainsi de suite, identifier les flux: Skype ? P2P... ?


7
Français / Re: [Débutant] Besoin de conseil
« on: December 09, 2017, 03:43:00 pm »
De quel type de conseil as-tu besoin ?
Il me semble que tu as déjà identifié, dans les grandes lignes comment organiser ton réseau. vu de loin, ça a l'air cohérent. ce qu'il faut regarder de plus près, c'est les flux que tu vas devoir gérer entre ta DMZ et ton LAN si jamais il y en a.

Pour le wifi dédié aux guests, tu peux soit déployer un point d'accès spécifique que tu connectes sur un port dédié de pfSense mais tu peux également, si ton point d'accès wifi te permet de diffuser plusieurs SSID avec quelques réglages avancés (mais assez courants sur la plupart des point d'accés wifi), tu peux connecter ton WAP sur LAN en dédiant un VLAN à ton réseau wifi guest.

8
Français / Re: Portail Captif empêchant le ping
« on: December 07, 2017, 02:51:13 pm »
 8)

Mais du coup, le but ce n'est pas de faire l'exercice à ta place  ;)

Le schéma de ton document est juste horrible mais si c'est une figure imposée, pourquoi pas...
Je ne vois rien dans ce schéma qui impose que le serveur Radius soit sur le LAN.

au lieu de cette représentation incompréhensible, pourquoi n'essaies-tu pas de dessiner un schéma "logique" ?

9
Français / Re: Portail Captif empêchant le ping
« on: December 07, 2017, 02:01:38 pm »
Ce qui illustre que ton design n'est pas le bon.

Le serveur radius coté WAN n'est peut-être pas le meilleur choix et si tu mets en plus le portail captif entre les deux, ça ne marche pas et c'est normal.

A quoi te sert ce portail captif ?
Je veux dire quel est l'objectif ?


10
Français / Re: Portail Captif empêchant le ping
« on: December 07, 2017, 01:34:29 pm »
Je ne suis pas sûr de comprendre.
Est-ce que ce n'est pas exactement le but du portail captif d'empêcher l'accès internet tant que tu n'es pas authentifié sur le portail ?

11
Français / Re: Problème balancement de charge avec WAN
« on: December 07, 2017, 10:24:11 am »
Tu as réglé le problème... Oui mais en faisant quoi ?
Par ailleurs, le ping depuis pfSense n'utilise pas le policy routing et donc s'appuie sur la gateway par défaut. Celle-ci changé t-elle si ta gateway est off ?

12
Français / Re: Problème balancement de charge avec WAN
« on: December 07, 2017, 06:25:35 am »
Avec ta config "gateways group" tu vas avoir un souci si les 2 gateways ont un problème de latence ou perte de packets en même temps.

Le switch sur "gateway down" est plus simple à gérer et en tous cas pour tes tests, plus représentatif.

Par ailleurs, ce que je fais généralement, dans les configurations comme la tienne, c'est que j'utilise le point d'entrée sur le réseau de mon ISP comme IP de contrôle plutôt que le DNS de Google

13
Français / Re: Problème balancement de charge avec WAN
« on: December 06, 2017, 11:39:46 pm »
Pour le reformuler, ce n'est pas exactement que le load balancing ne fonctionne pas "avec le proxy".
le load balancing s'applique au travers des règles de FW décrites sur l'interface entrante. Ici "LAN".

Les services qui tournent "sur pfSense" ne sont pas éligibles aux règles de l'interface LAN, et donc pas de load balancing. Et ça s'applique donc au proxy si il tourne sur pfSense  ;)

Je ne sais pas comment tu fais ton test de "ça marche / ça marche pas" mais tu ne peux pas comparer le flux HTTP et le ping.
Par ailleurs, au niveau du gateway group, comment as-tu configuré le trigger ?

14
Français / Re: Syntaxe dans le filtrage avancé des logs
« on: November 30, 2017, 11:52:39 am »
En effet, regular expressions.
Par exemple, "[2][5]" dans le port de destination va ne montrer que le port 25  8)

[2][5]  ce n'est pas une manière très élégante de le faire mais ça marche et c'est facile à comprendre.

Garde aussi à l'esprit que pour plus de flexibilité, tu peux affiché les logs en mode raw.


15
Français / Re: Pb : 1 Wan - Multi GW
« on: November 30, 2017, 11:40:34 am »
Sauf si j'ai mal compris ton problème, pour moi le fonctionnement que tu décris est normal:
les "routing policies" s'appliquent  ;) et l'ordre des règle de FW également.

et la solution consiste, toujours si je comprends bien, simplement à écrire une règle, au sommet de la pile, qui dit:
"tout ce qui va vers 192.168.200.0/24 (sur les ports de ton choix) utilise le routage par défaut"
et dans ce cas, tes modems étant directement sur le subnet de ton interface WAN, il n'y a pas de raison que tu n'arrives pas à les joindre, si je comprends bien  8)

Pages: [1] 2 3 4 5 ... 121