Carbodébit doc

documentation technique du réseau wifi Carbodébit

Outils pour utilisateurs

Outils du site


pfsense

Ceci est une ancienne révision du document !


Pfsense

principe général

Un wan (l'Internet) et un lan (les usagers). (2 lan's provisoirement avec le 2.4 ghz).
Pfsense fournit les adresses par dhcp sur opt1.
Pfsense nate en nat 1:1 de la façon suivante:

une ip privée de type 10.81.100.x = une ip publique de type 213.190.92.x

interfaces

wan: interface vers le web.
lan: interface privée vers le 2.4 ghz 10.81.x.y.
opt1: interface privée vers le 5 ghz 10.81.100.x.
dmz: interface vers Eon (serveur de supervision) 10.71.1.x.

règles pare feu

Se référer aux documentations de Pfsense.
Le raisonnement est le suivant:

  1. pour chaque interface: laisser sortir tous les paquets
  2. ne laisser entrer sur un port xx (exemple le port 80) que vers les adresses qui doivent rester joignables depuis l'extérieur du réseau Carbodébit (ex: EON, switches).
  3. laisser passer la DMZ dans le LAN et OPT1 pour permettre la supervision.
  4. tout le reste est interdit (pour faire vite)

ip virtuelles

Une seule Ip virtuelle nécessaire sur le réseau Carbodébit:
10.70.3.1: ip nécessaire pour joindre les antennes carbes/campans routées en ip's privées entre deux ip's publiques.

dhcp

Sur opt1.
Une seule plage dhcp dite “de chantier” est activée: 10.81.100.224/27
Elle permet aux installateurs de connecter les clients sans intervention préalable.
Une fois un nouvel adhérent connecté:

  1. on fige sa lease dhcp sur une ip fixe dans le créneau 10.81.100.100-224
  2. le client aura donc toujours la même ip privée en fonction de son adresse MAC
  3. cette ip (indiquée dans le fichier scan-v4.xls) est ensuite natée vers une ip publique.

nat 1:1

Suivre la doc de Pfsense. C'est tout bête.

nat automatic

Sont natés en Outbound classique et automatique:

  • la plage “chantier” 10.81.100.224/27
  • à compléter

traffic shapping

Un filtre “de base” est activé mais ne hiérarchise pas les classes.
Il permet d'activer la gestion de la file d'attente et fluidifie donc le transit.
Pas de Qos donc. (pour l'instant).

pour mémoire système 2.4 ghz

Le système antérieur en 2.4 Ghz était routé de façon plus complexe.

  • une passerelle par secteur (8 secteurs à l'origine)
  • un sous-réseau pour chaque secteur (ex: 10.81.7.x et 10.81.8.x pour Jean-Petit toujours en fonctionnement)
  • pas de Dhcp; tous les clients configurés en dur.
  • utilisation de la techno olsr, firmware Freifunk.
  • beaucoup de contraintes techniques, configuration en amont.

Jean-Marc Guilbert 2015/04/05 19:01

pfsense.1428253325.txt.gz · Dernière modification: 2015/04/05 19:02 de carbodebit