Forum |  HardWare.fr | News | Articles | PC | Prix | S'identifier | S'inscrire | Aide | Shop Recherche
1790 connectés 

  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Sécurité

  Accès conditionnel PFSense

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Accès conditionnel PFSense

n°145061
Matthieudu​05
Hard Geek Inside :D
Posté le 01-03-2017 à 15:32:54  profilanswer
 

Bonjour,

 

Je voudrais savoir si quelqu'un sait (si c'est possible  :whistle:) comment gérer de l'accès conditionnel avec un pfsense.

 

Je m'explique : J'ai un PfSense en multi-wan (2 WANs), un réseau lan et un WiFi. Le wifi est une carte réseau avec un AP connecté dessus.

 

Je voudrais savoir si en wifi, avec le portail captif, le RADIUS ou tout autre moyen, je peux donner l'accès au LAN et au WAN aux collabs, et ne donner l'accès qu'au WAN aux invités.

 

Merci ! :)


Message édité par Matthieudu05 le 01-03-2017 à 16:06:45
mood
Publicité
Posté le 01-03-2017 à 15:32:54  profilanswer
 

n°145073
logre
Posté le 02-03-2017 à 11:34:58  profilanswer
 

Hello,
 
A mon avis le plus plus simple pour toi serai de gérer deux SSID avec deux plages IP différentes, te permettant d'identifier les utilisateurs (public ou private) en fonction de l'IP et donc de leur affecter différents droits via des règles de firewall.

n°145087
Matthieudu​05
Hard Geek Inside :D
Posté le 02-03-2017 à 17:19:30  profilanswer
 

Merci.
 
Mettre une carte réseau en plus me parait compliqué vu l'état de la machine, mais je vais voir ce que je peux faire :D
 
Si j'avais quelqu'un à d'autres solutions, je prends ! :)

n°145093
logre
Posté le 03-03-2017 à 09:35:32  profilanswer
 

Ta borne wifi est directement connecté au pfSense?
 
Tu peux pas utiliser des VLANS entre la borne et le pfSense pour faire transiter les réseaux (sans avoir à utiliser donc de carte réseau supplémentaire) ?

n°145156
Matthieudu​05
Hard Geek Inside :D
Posté le 06-03-2017 à 21:35:03  profilanswer
 

Pour l'instant on à deux bornes (Cisco) et deux répéteurs. Les bornes sont en direct entre le pare-feu et le modem, pour les invités. :whistle:
Pour les besoins des collabs, on a un routeur wifi connecté au LAN  :ange:
C'est super moche, mais ça marche et c'est comme ça depuis que je suis arrivé  :D

 

Je pense à regarder pour faire ça avec les deux bornes et des VLANS, mais au niveau du pfsense, je peux créer deux zones (genre wifi et lan) sur une interface ?


Message édité par Matthieudu05 le 06-03-2017 à 22:25:09
n°145179
logre
Posté le 07-03-2017 à 10:38:49  profilanswer
 

Sur du pfSense tu peux créer des interface virtuelles (lié à un VLAN) sans problème.
 
Donc idéalement 2 ou 3 interface :  
- Un VLAN pour des collabs (LAN et wifi)
- Un VLAN pour les guest.
 
Tu peux éventuellement séparer le LAN et le wifi de tes collabs mais c'est vraiment pas une obligatoire et c'est plutôt sympa de les avoir au même endroit (plus simple à gérer)

n°145192
Matthieudu​05
Hard Geek Inside :D
Posté le 07-03-2017 à 14:29:31  profilanswer
 

Ça peut être intéressant tout ça :)
 
Par contre, ça fait longtemps que je n'ai pas manipulé les VLANs :whistle:  
Je dois avoir des switchs qui les gèrent ? Ou si sur mon PFSense je dis que le VLAN 2 c'est pour le wifi guest et que ma borne diffuse :  
- le réseau Collabs par le VLAN1  
- le réseau Guests par la VLAN2
ça peut marcher ?
 
Merci :)
 

n°145193
logre
Posté le 07-03-2017 à 15:12:14  profilanswer
 

Sur le pfSense tu devras assigner le VLAN à un port (et si je dit pas de bétise, tu ne pourra pas avoir le même vlan sur deux ports physiques différents)
Donc si tu veux avoir les collabs sur le wifi et le LAN (sur la même plage IP) tu devras passer par un switch, et évite d'utiliser le vlan1, exemple avec les vlan 2&3 (vlan 2 guest et vlan 3 collabs):
 
 
             vlan2&3               vlan 2&3
pfsense------------- switch -------- AP
                              |
                              | vlan 3
                              collab
 
l'AP diffusant 2 SSID (vlan 2 pour les guest et vlan 3 pour les collabs)
 

n°145208
Matthieudu​05
Hard Geek Inside :D
Posté le 07-03-2017 à 23:22:04  profilanswer
 

Pourquoi il ne faudrait pas utiliser le VLAN1 ? parce que c'est la VLAN par défaut ?
Je demande parce que pas tous mes switchs sont administrables, du coup pour la gestion des VLANs je sias pas comment ça peut se passer..  
 
Exemple :  
J'ai mon PFSense qui communique sur les VLANs 1(collab) & 2(guest).
Un switch pas administrable.
Des machines en filaire et ma borne wifi sur le switch.
 
Je ne peux pas dire que tel ou tel port (machine) ou telle MAC doit aller sur le VLAN 1. Mais sur la borne, il me semble que je peux spécifier sur quel(s) VLAN(s) elle doit communiquer, et donc je crée un SSID collab VLAN1 et un Guest VLAN2. ça marcherait ? ça voudrait dire que n'importe quel matériel branché en ethernet aurait accès à toute l'infra, mais c'est déjà le cas :whistle:
Je veux juste que les clients wifi du réseau guest n'aient pas accès au LAN

n°145232
logre
Posté le 08-03-2017 à 13:38:02  profilanswer
 

Concernant l'utilisation du VLAN 1 : c'est principalement pour des aspects de sécurité, certain protocoles  entre les switchs utilisent ce vlan, avoir les utilisateurs dans un autre vlan empêche toute capture ou "intervention".
Après, si tu y es forcé tu peux quand même utiliser ce vlan.

 

Concernant l'utilisation d'un switch non administrable entre la borne et le pfsense, je n'en ai aucune idée pour le coup (jamais fait et jamais tester). IMHO, je ne pense pas que tu puisse y faire transiter du trafic avec des entête de VLAN.

 

Donc il faudrait faire quelque chose du genre :

 

            vlan2&3 (trunk)    vlan 2&3  (trunk)
pfsense------------- switch ---------------------- AP
                       administrable
                              |
                              |Access vlan 3
                              |collab
                              |
                              |
                              |
                           switch
                   non administrable

 


Pour le coup si tu y tiens vraiment, tu peux remplacer le vlan 3 par le vlan 1, cela fonctionnera aussi.


Message édité par logre le 08-03-2017 à 13:39:20
mood
Publicité
Posté le 08-03-2017 à 13:38:02  profilanswer
 

n°145369
Power Nabo​t
Verticalement désavantagé.
Posté le 14-03-2017 à 08:58:56  profilanswer
 

Ça dépend de ce que tu veux obtenir...
De ce que j'ai compris, les invités ne peuvent avoir accès qu'au WAN = ils ne doivent voir que la passerelle, pas se voir entre eux. Comme c'est du LAN, le rouleur ne peut rien pour cela, il faut que ce soir géré par les bornes et/ou le switch: sur les bornes tu vas avoir une option d'isolation des clients (ceux connectés sur une même borne ne communiquerons pas entre eux), et sur le switch (manageable) tu vas pouvoir isoler les ports pour que les périphériques connectés dessus ne communiquent pas non plus entre eux.
Si tu veux juste que les invités ne voient pas les périphériques sur le LAN corporate, tu crées une interface VLAN enfant du LAN sur ton Pf, tu tag le SSID guest sur les bornes, et même un switch non manageable permettra que ça fonctionne (un switch non manageable est inconscient des en-têtes de VLAN sur les trames).


---------------
Encore une victoire de canard !

Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Sécurité

  Accès conditionnel PFSense

 

Sujets relatifs
Sécuriser accès extérieurAccès Internet impossible en IP fixe
Limiter l'accès internet au non membre du domaineWin 10 Pro sur domaine - empecher accès partages réseau
Lenteur d'accès à un NASDroits d'accès précis
[Résolu/Impossible] Donner accès Hyper-VPfsense / Portail captif et proxy
Routage avec PFSENSE 
Plus de sujets relatifs à : Accès conditionnel PFSense



Copyright © 1997-2016 Hardware.fr SARL (Signaler un contenu illicite) / Groupe LDLC / Shop HFR