Carbodébit doc

documentation technique du réseau wifi Carbodébit

Outils pour utilisateurs

Outils du site

Piste:
pfsense

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentes Révision précédente
Prochaine révision 		Révision précédente
Dernière révision Les deux révisions suivantes
pfsense [2015/04/05 18:49]
carbodebit 		pfsense [2016/10/20 18:10]
carbodebit
Ligne 1: Ligne 1:
 ====== Pfsense ====== ====== Pfsense ======
-===== principe général ===== +Le serveur Pfsense de Carbodébit (//modèle firewall FWA-3025 de chez Osnet//) n'est pas accéssible depuis l'extérieur du réseau pour des raisons de sécurité. 
-Un wan (l'Internet) et un lan (les usagers). //(2 lan's provisoirement avec le 2.4 ghz)//.\\ +===== principe général ===== \\ 
 +Un wan (l'Internet) et un lan (les usagers). //.\\ 
 Pfsense fournit les adresses par dhcp sur opt1.\\  Pfsense fournit les adresses par dhcp sur opt1.\\ 
 Pfsense nate en nat 1:1 de la façon suivante:\\  Pfsense nate en nat 1:1 de la façon suivante:\\ 
-  une ip privée de type 10.81.100.x = une ip publique de type 213.190.92.x +Une ip privée de type 10.81.100.x = une ip publique de type 213.190.92.x \\ 
- +Une sauvegarde de la configuration de Pfsense est stockée sur l'espace technique de l'association. \\ 
-===== interfaces =====+\\ ===== interfaces ===== \\
 **wan**: interface vers le web.\\ **wan**: interface vers le web.\\
-**lan**: interface privée vers le 2.4 ghz 10.81.x.y.\\ 
 **opt1**: interface privée vers le 5 ghz 10.81.100.x.\\ **opt1**: interface privée vers le 5 ghz 10.81.100.x.\\
 **dmz**: interface vers Eon (serveur de supervision) 10.71.1.x.\\ **dmz**: interface vers Eon (serveur de supervision) 10.71.1.x.\\
  
-===== règles pare feu =====+\\ ===== règles pare feu =====//
 Se référer aux documentations de Pfsense.\\ Se référer aux documentations de Pfsense.\\
 Le raisonnement est le suivant:\\ Le raisonnement est le suivant:\\
-  - pour chaque interface: laisser sortir tous les paquets +  - pour chaque interface: laisser sortir tous les paquets\\ 
-  - ne laisser entrer sur un port xx (exemple le port 80) que vers les adresses qui doivent rester joignables depuis l'extérieur du réseau Carbodébit (ex: EON, switches). +  - ne laisser entrer sur un port xx (exemple le port 80) que vers les adresses qui doivent rester joignables depuis l'extérieur du réseau Carbodébit (ex: EON, switches).\\ 
-  - tout le reste est interdit (pour faire vite) +  - laisser passer la DMZ dans le LAN et OPT1 pour permettre la supervision.\\ 
-===== ip virtuelles =====+  - tout le reste est interdit (pour faire vite) \\ 
 +\\ 
 +\\ 
 +{{:capture_du_2015-04-06_16_40_02.png?100 |}} \\ 
 +{{:capture_du_2015-04-06_16_40_33.png?100 |}} \\  
 +{{:capture_du_2015-04-06_16_40_44.png?100 |}} \\ 
 +{{:capture_du_2015-04-06_16_40_58.png?100 |}} \\ 
 +\\ 
 +\\ 
 +\\ ===== ip virtuelles =====\\ 
 Une seule Ip virtuelle nécessaire sur le réseau Carbodébit:\\ Une seule Ip virtuelle nécessaire sur le réseau Carbodébit:\\
-10.70.3.1: ip nécessaire pour joindre les antennes carbes/campans routées en ip's privées entre deux ip's publiques.+10.70.3.3: ip nécessaire pour joindre les antennes carbes/campans routées en ip's privées entre deux ip's publiques.//
 ===== dhcp ===== ===== dhcp =====
 Sur opt1.\\ Sur opt1.\\
Ligne 29: Ligne 38:
   - le client aura donc toujours la même ip privée en fonction de son adresse MAC   - le client aura donc toujours la même ip privée en fonction de son adresse MAC
   - cette ip (indiquée dans le [[fichier-essentiels|fichier scan-v4.xls]]) est ensuite natée vers une ip publique.    - cette ip (indiquée dans le [[fichier-essentiels|fichier scan-v4.xls]]) est ensuite natée vers une ip publique. 
-===== nat 1:1 =====+\\ ===== nat 1:1 ===== \\
 Suivre la doc de Pfsense. C'est tout bête.\\ Suivre la doc de Pfsense. C'est tout bête.\\
 +Une ip privée de type 10.81.100.x est natée (transformée) en une ip publique 213.190.92.x \\
 +{{ :1_1_nat.png?100 |}}
 +\\
 +\\ ===== nat automatic ===== \\
 +Sont natés en Outbound classique et automatique:\\
 +  * la plage "chantier" 10.81.100.224/27 \\
 +  * tout le reste passe donc vers 
 +\\ ===== traffic shapping ===== \\
 +Un filtre "de base" est activé mais ne hiérarchise pas les classes.\\
 +Il permet d'activer la gestion de la file d'attente et fluidifie donc le transit.\\
 +Pas de Qos donc. (pour l'instant).\\
 +\\ ===== pour mémoire système 2.4 ghz =====\\ 
 +Le système antérieur en 2.4 Ghz était routé de façon plus complexe.\\
 +  * une passerelle par secteur (8 secteurs à l'origine) \\
 +  * un sous-réseau pour chaque secteur (ex: 10.81.7.x et 10.81.8.x) \\
 +  * pas de Dhcp; tous les clients configurés en dur.\\
 +  * utilisation de la techno olsr, firmware Freifunk. \\
 +  * beaucoup de contraintes techniques, configuration en amont. \\
  
-===== nat automatic ===== +{{:wiki:imagexxxs.png?200|}}  --- //[[jmguilbert@carbodebit.net|Jean-Marc Guilbert]] 2015/04/05 19:01//
-Sont natés en Outbound classique et automatique: +
-  * la plage "chantier" 10.81.100.224/27 +
-===== pour mémoire système 2.4 ghz ===== +
- +
- +
- +
- +
- +
- +
- +
- +
- +
- +
- +
- +
-{{:wiki:imagexxxs.png?200|}}+
pfsense.txt · Dernière modification: 2016/10/20 18:12 de carbodebit

Outils de la page

Sauf mention contraire, le contenu de ce wiki est placé sous les termes de la licence suivante : GNU Free Documentation License 1.3
GNU Free Documentation License 1.3 Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki