Provya

Expertise pfSense

Sommaire des articles  -  Liens & Actualités  -  Firewall pour pfSense

# - @ - Guillaume - 31/10/2019 à 10:22:43

@betux :
Bonjour,

Il n'y a aucune raison que l'authentification radius (aussi bien en ligne de commande que via pf2ad ou squid) ne fonctionne plus une fois le cluster en place. Il s'agit, peut-être, d'un problème d'outbound NAT.
Avec un outil de capture des flux réseaux (menu Diagnostic > Packet capture côté pfSense), voyez-vous les paquets quitter le pfSense à destination de votre serveur Radius ? Avec quelles adresses IP sources & destinations ? Voyez-vous les paquets de réponses arriver ?

Nul besoin de rediriger l'adresse VIP vers la 127.0.0.1 ;-)

Cordialement,

Guillaume
--
Provya

# - @ - Guillaume - 31/10/2019 à 10:11:49

@Yathus :
Bonjour Yathus,

Non. Il faudra adapter vos règles de priorisation. Notamment parce que l'on définit la bande-passante par interface et dans votre cas, vous aurez deux interfaces internes (LAN data et LAN VoIP).
Dans votre cas, le mieux est d'appliquer un tag sur vos paquets en fonction de leurs origines (LAN data ou LAN VoIP) et d'appliquer vos règles de priorisation uniquement sur l'interface WAN en jouant sur le sens (in ou out) et sur le tag.

Cordialement,

Guillaume
--
Provya

# - @ - Yathus - 29/10/2019 à 07:14:47

Bonjour,

Est ce que si je sépare sur un autre LAN mes telephones VOIP (par un VLAN par exemple) les règles présentées ici s'appliquent correctement ?

Merci !

Yathus

# - @ - betux - 28/10/2019 à 08:45:31

Un grand merci pour votre article notamment pour la configuration des règles d'autres articles sont plus confus ou trop large sur ce qu'il faut ouvrir.

J'ai mis en place le failover, il fonctionne très bien.

En revanche l'authentification radius testé avec la ligne de commande de pfsense ne fonctionne plus.
J'utilise également pf2ad pour l'authentification transparente squid et également HS.

Pour squid j'ai rajouté dans les customs option http_port 192.168.0.254:3128
Et il demande bien une authentification mais rien ne passe.

Je me demande si il ne faudrait pas rediriger le traffic de l'adresse virtuelle vers le 127.0.0.1 du pfsense. En claire je me demande si il ne faut pas une interface physique à squid.

Merci.

NB : du coup j'ai découvert votre materiel je pense que je vais en prendre un ;o)