Carbodébit doc

documentation technique du réseau wifi Carbodébit

Outils pour utilisateurs

Outils du site


pfsense

Pfsense

Le serveur Pfsense de Carbodébit (modèle firewall FWA-3025 de chez Osnet) n'est pas accéssible depuis l'extérieur du réseau pour des raisons de sécurité. ===== principe général =====
Un wan (l'Internet) et un lan (les usagers). .
Pfsense fournit les adresses par dhcp sur opt1.
Pfsense nate en nat 1:1 de la façon suivante:
Une ip privée de type 10.81.100.x = une ip publique de type 213.190.92.x
Une sauvegarde de la configuration de Pfsense est stockée sur l'espace technique de l'association.

===== interfaces =====
wan: interface vers le web.
opt1: interface privée vers le 5 ghz 10.81.100.x.
dmz: interface vers Eon (serveur de supervision) 10.71.1.x.

===== règles pare feu =====
Se référer aux documentations de Pfsense.
Le raisonnement est le suivant:

  1. pour chaque interface: laisser sortir tous les paquets
  2. ne laisser entrer sur un port xx (exemple le port 80) que vers les adresses qui doivent rester joignables depuis l'extérieur du réseau Carbodébit (ex: EON, switches).
  3. laisser passer la DMZ dans le LAN et OPT1 pour permettre la supervision.
  4. tout le reste est interdit (pour faire vite)











===== ip virtuelles =====
Une seule Ip virtuelle nécessaire sur le réseau Carbodébit:
10.70.3.3: ip nécessaire pour joindre les antennes carbes/campans routées en ip's privées entre deux ip's publiques. ===== dhcp ===== Sur opt1.
Une seule plage dhcp dite
“de chantier” est activée: 10.81.100.224/27
Elle permet aux installateurs de connecter les clients sans intervention préalable.
Une fois un nouvel adhérent connecté: - on fige sa lease dhcp sur une ip fixe dans le créneau 10.81.100.100-224 - le client aura donc toujours la même ip privée en fonction de son adresse MAC - cette ip (indiquée dans le fichier scan-v4.xls) est ensuite natée vers une ip publique.
===== nat 1:1 =====
Suivre la doc de Pfsense. C'est tout bête.
Une ip privée de type 10.81.100.x est natée (transformée) en une ip publique 213.190.92.x


===== nat automatic =====
Sont natés en Outbound classique et automatique:
* la plage “chantier” 10.81.100.224/27
* tout le reste passe donc vers
===== traffic shapping =====
Un filtre “de base” est activé mais ne hiérarchise pas les classes.
Il permet d'activer la gestion de la file d'attente et fluidifie donc le transit.
Pas de Qos donc. (pour l'instant).

===== pour mémoire système 2.4 ghz =====
Le système antérieur en 2.4 Ghz était routé de façon plus complexe.
* une passerelle par secteur (8 secteurs à l'origine)
* un sous-réseau pour chaque secteur (ex: 10.81.7.x et 10.81.8.x)
* pas de Dhcp; tous les clients configurés en dur.
* utilisation de la techno olsr, firmware Freifunk.
* beaucoup de contraintes techniques, configuration en amont.
Jean-Marc Guilbert 2015/04/05 19:01

pfsense.txt · Dernière modification: 2016/10/20 18:12 par carbodebit