Bonjour,

Je voudrais savoir si quelqu'un sait (si c'est possible  ) comment gérer de l'accès conditionnel avec un pfsense.

Je m'explique : J'ai un PfSense en multi-wan (2 WANs), un réseau lan et un WiFi. Le wifi est une carte réseau avec un AP connecté dessus.

Je voudrais savoir si en wifi, avec le portail captif, le RADIUS ou tout autre moyen, je peux donner l'accès au LAN et au WAN aux collabs, et ne donner l'accès qu'au WAN aux invités.

Merci !

Hello,
 
A mon avis le plus plus simple pour toi serai de gérer deux SSID avec deux plages IP différentes, te permettant d'identifier les utilisateurs (public ou private) en fonction de l'IP et donc de leur affecter différents droits via des règles de firewall.

Merci.
 
Mettre une carte réseau en plus me parait compliqué vu l'état de la machine, mais je vais voir ce que je peux faire
 
Si j'avais quelqu'un à d'autres solutions, je prends !

Ta borne wifi est directement connecté au pfSense?
 
Tu peux pas utiliser des VLANS entre la borne et le pfSense pour faire transiter les réseaux (sans avoir à utiliser donc de carte réseau supplémentaire) ?

Pour l'instant on à deux bornes (Cisco) et deux répéteurs. Les bornes sont en direct entre le pare-feu et le modem, pour les invités.
Pour les besoins des collabs, on a un routeur wifi connecté au LAN  
C'est super moche, mais ça marche et c'est comme ça depuis que je suis arrivé  

Je pense à regarder pour faire ça avec les deux bornes et des VLANS, mais au niveau du pfsense, je peux créer deux zones (genre wifi et lan) sur une interface ?

Sur du pfSense tu peux créer des interface virtuelles (lié à un VLAN) sans problème.
 
Donc idéalement 2 ou 3 interface :  
- Un VLAN pour des collabs (LAN et wifi)
- Un VLAN pour les guest.
 
Tu peux éventuellement séparer le LAN et le wifi de tes collabs mais c'est vraiment pas une obligatoire et c'est plutôt sympa de les avoir au même endroit (plus simple à gérer)

Ça peut être intéressant tout ça
 
Par contre, ça fait longtemps que je n'ai pas manipulé les VLANs  
Je dois avoir des switchs qui les gèrent ? Ou si sur mon PFSense je dis que le VLAN 2 c'est pour le wifi guest et que ma borne diffuse :  
- le réseau Collabs par le VLAN1  
- le réseau Guests par la VLAN2
ça peut marcher ?
 
Merci
 

Sur le pfSense tu devras assigner le VLAN à un port (et si je dit pas de bétise, tu ne pourra pas avoir le même vlan sur deux ports physiques différents)
Donc si tu veux avoir les collabs sur le wifi et le LAN (sur la même plage IP) tu devras passer par un switch, et évite d'utiliser le vlan1, exemple avec les vlan 2&3 (vlan 2 guest et vlan 3 collabs):
 
 
             vlan2&3               vlan 2&3
pfsense------------- switch -------- AP
                              |
                              | vlan 3
                              collab
 
l'AP diffusant 2 SSID (vlan 2 pour les guest et vlan 3 pour les collabs)
 

Pourquoi il ne faudrait pas utiliser le VLAN1 ? parce que c'est la VLAN par défaut ?
Je demande parce que pas tous mes switchs sont administrables, du coup pour la gestion des VLANs je sias pas comment ça peut se passer..  
 
Exemple :  
J'ai mon PFSense qui communique sur les VLANs 1(collab) & 2(guest).
Un switch pas administrable.
Des machines en filaire et ma borne wifi sur le switch.
 
Je ne peux pas dire que tel ou tel port (machine) ou telle MAC doit aller sur le VLAN 1. Mais sur la borne, il me semble que je peux spécifier sur quel(s) VLAN(s) elle doit communiquer, et donc je crée un SSID collab VLAN1 et un Guest VLAN2. ça marcherait ? ça voudrait dire que n'importe quel matériel branché en ethernet aurait accès à toute l'infra, mais c'est déjà le cas
Je veux juste que les clients wifi du réseau guest n'aient pas accès au LAN

Concernant l'utilisation du VLAN 1 : c'est principalement pour des aspects de sécurité, certain protocoles  entre les switchs utilisent ce vlan, avoir les utilisateurs dans un autre vlan empêche toute capture ou "intervention".
Après, si tu y es forcé tu peux quand même utiliser ce vlan.

Concernant l'utilisation d'un switch non administrable entre la borne et le pfsense, je n'en ai aucune idée pour le coup (jamais fait et jamais tester). IMHO, je ne pense pas que tu puisse y faire transiter du trafic avec des entête de VLAN.

Donc il faudrait faire quelque chose du genre :

            vlan2&3 (trunk)    vlan 2&3  (trunk)
pfsense------------- switch ---------------------- AP
                       administrable
                              |
                              |Access vlan 3
                              |collab
                              |
                              |
                              |
                           switch
                   non administrable

Pour le coup si tu y tiens vraiment, tu peux remplacer le vlan 3 par le vlan 1, cela fonctionnera aussi.

Ça dépend de ce que tu veux obtenir...
De ce que j'ai compris, les invités ne peuvent avoir accès qu'au WAN = ils ne doivent voir que la passerelle, pas se voir entre eux. Comme c'est du LAN, le rouleur ne peut rien pour cela, il faut que ce soir géré par les bornes et/ou le switch: sur les bornes tu vas avoir une option d'isolation des clients (ceux connectés sur une même borne ne communiquerons pas entre eux), et sur le switch (manageable) tu vas pouvoir isoler les ports pour que les périphériques connectés dessus ne communiquent pas non plus entre eux.
Si tu veux juste que les invités ne voient pas les périphériques sur le LAN corporate, tu crées une interface VLAN enfant du LAN sur ton Pf, tu tag le SSID guest sur les bornes, et même un switch non manageable permettra que ça fonctionne (un switch non manageable est inconscient des en-têtes de VLAN sur les trames).