Carbodébit doc

documentation technique du réseau wifi Carbodébit

Outils pour utilisateurs

Outils du site

Piste:
pfsense

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentes Révision précédente
Prochaine révision 		Révision précédente
Dernière révision Les deux révisions suivantes
pfsense [2015/04/05 16:56]
carbodebit 		pfsense [2016/10/20 18:10]
carbodebit
Ligne 1: Ligne 1:
 ====== Pfsense ====== ====== Pfsense ======
-===== principe général ===== +Le serveur Pfsense de Carbodébit (//modèle firewall FWA-3025 de chez Osnet//) n'est pas accéssible depuis l'extérieur du réseau pour des raisons de sécurité. 
-Un wan (l'Internet) et un lan (les usagers). //(2 lan's provisoirement avec le 2.4 ghz)//.\\ +===== principe général ===== \\ 
 +Un wan (l'Internet) et un lan (les usagers). //.\\ 
 Pfsense fournit les adresses par dhcp sur opt1.\\  Pfsense fournit les adresses par dhcp sur opt1.\\ 
 Pfsense nate en nat 1:1 de la façon suivante:\\  Pfsense nate en nat 1:1 de la façon suivante:\\ 
-  une ip privée de type 10.81.100.x = une ip publique de type 213.190.92.x +Une ip privée de type 10.81.100.x = une ip publique de type 213.190.92.x \\ 
- +Une sauvegarde de la configuration de Pfsense est stockée sur l'espace technique de l'association. \\ 
-===== interfaces =====+\\ ===== interfaces ===== \\
 **wan**: interface vers le web.\\ **wan**: interface vers le web.\\
-**lan**: interface privée vers le 2.4 ghz 10.81.x.y.\\ 
 **opt1**: interface privée vers le 5 ghz 10.81.100.x.\\ **opt1**: interface privée vers le 5 ghz 10.81.100.x.\\
 **dmz**: interface vers Eon (serveur de supervision) 10.71.1.x.\\ **dmz**: interface vers Eon (serveur de supervision) 10.71.1.x.\\
  
-===== règles pare feu =====+\\ ===== règles pare feu =====//
 Se référer aux documentations de Pfsense.\\ Se référer aux documentations de Pfsense.\\
 Le raisonnement est le suivant:\\ Le raisonnement est le suivant:\\
-  - pour chaque interface: laisser sortir tous les paquets +  - pour chaque interface: laisser sortir tous les paquets\\ 
-  - ne laisser entrer sur un port xx (exemple le port 80) que vers les adresses qui doivent rester joignables depuis l'extérieur du réseau Carbodébit (ex: EON, switches). +  - ne laisser entrer sur un port xx (exemple le port 80) que vers les adresses qui doivent rester joignables depuis l'extérieur du réseau Carbodébit (ex: EON, switches).\\ 
-  -  +  - laisser passer la DMZ dans le LAN et OPT1 pour permettre la supervision.\\ 
-===== ip virtuelles =====+  - tout le reste est interdit (pour faire vite) \\ 
 +\\ 
 +\\ 
 +{{:capture_du_2015-04-06_16_40_02.png?100 |}} \\ 
 +{{:capture_du_2015-04-06_16_40_33.png?100 |}} \\  
 +{{:capture_du_2015-04-06_16_40_44.png?100 |}} \\ 
 +{{:capture_du_2015-04-06_16_40_58.png?100 |}} \\ 
 +\\ 
 +\\ 
 +\\ ===== ip virtuelles =====\\ 
 Une seule Ip virtuelle nécessaire sur le réseau Carbodébit:\\ Une seule Ip virtuelle nécessaire sur le réseau Carbodébit:\\
-10.70.3.1: ip nécessaire pour joindre les antennes carbes/campans routées en ip's privées entre deux ip's publiques.+10.70.3.3: ip nécessaire pour joindre les antennes carbes/campans routées en ip's privées entre deux ip's publiques.//
 ===== dhcp ===== ===== dhcp =====
-===== nat 1:1 ===== +Sur opt1.\\ 
-===== nat automatic ===== +Une seule plage dhcp dite //"de chantier"// est activée: 10.81.100.224/27 \\ 
- +Elle permet aux installateurs de connecter les clients sans intervention préalable.\\ 
-===== pour mémoire système 2.4 ghz ===== +Une fois un nouvel adhérent connecté: 
- +  - on fige sa lease dhcp sur une ip fixe dans le créneau 10.81.100.100-224 
- +  - le client aura donc toujours la même ip privée en fonction de son adresse MAC 
- +  - cette ip (indiquée dans le [[fichier-essentiels|fichier scan-v4.xls]]) est ensuite natée vers une ip publique.  
- +\\ ===== nat 1:1 ===== \\ 
- +Suivre la doc de Pfsense. C'est tout bête.\\ 
- +Une ip privée de type 10.81.100.x est natée (transformée) en une ip publique 213.190.92.x \\ 
- +{{ :1_1_nat.png?100 |}} 
- +\\ 
- +\\ ===== nat automatic ===== \\ 
- +Sont natés en Outbound classique et automatique:\\ 
 +  * la plage "chantier" 10.81.100.224/27 \\ 
 +  * tout le reste passe donc vers  
 +\\ ===== traffic shapping ===== \\ 
 +Un filtre "de base" est activé mais ne hiérarchise pas les classes.\\ 
 +Il permet d'activer la gestion de la file d'attente et fluidifie donc le transit.\\ 
 +Pas de Qos donc. (pour l'instant).\\ 
 +\\ ===== pour mémoire système 2.4 ghz =====\\  
 +Le système antérieur en 2.4 Ghz était routé de façon plus complexe.\\ 
 +  * une passerelle par secteur (8 secteurs à l'origine) \\ 
 +  * un sous-réseau pour chaque secteur (ex: 10.81.7.x et 10.81.8.x) \\ 
 +  * pas de Dhcp; tous les clients configurés en dur.\\ 
 +  * utilisation de la techno olsr, firmware Freifunk. \\ 
 +  * beaucoup de contraintes techniques, configuration en amont. \\
  
-{{:wiki:imagexxxs.png?200|}}+{{:wiki:imagexxxs.png?200|}}  --- //[[jmguilbert@carbodebit.net|Jean-Marc Guilbert]] 2015/04/05 19:01//
pfsense.txt · Dernière modification: 2016/10/20 18:12 de carbodebit

Outils de la page

Sauf mention contraire, le contenu de ce wiki est placé sous les termes de la licence suivante : GNU Free Documentation License 1.3
GNU Free Documentation License 1.3 Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki