Configurer son point d'accès Wi-Fi

pfSense peut être utilisé pour servir de point d'accès Wi-Fi. Ainsi, c'est pfSense qui diffuse le
réseau Wi-Fi, qui gère sa sécurité et ses modalités d'accès et qui filtre le trafic.

Dans cet article, nous détaillerons comment configurer un point d'accès Wi-Fi sur pfSense.
Il faut que la carte Wi-Fi de votre pfSense soit pleinement supportée. Nous ne détaillerons pas
dans cet article comment bien choisir sa carte Wi-Fi pour pfSense. Si ce sujet vous intéresse,
nous vous invitons à lire notre article complet
Attention : plusieurs utilisateurs rapportent des instabilités du Wi-Fi depuis la dernière
version de pfSense (2.4.5-RELEASE-p1). Aussi, pour le moment, nous ne recommandons pas
d'utiliser pfSense comme point d'accès Wifi pour les nouveaux déploiements ou en
environnement professionnel.

1. Créons une interface sans-fil

Nous commençons par créer une interface sans-fil, que nous associerons ensuite à une
interface logique que nous pourrons configurer. Si cette notion d'interface logique, virtuelle
ou physique n'est pas claire pour vous, nous vous invitons à relire notre article détaillé :
[pfSense] Comprendre la gestion des interfaces réseaux.

Se rendre dans le menu Interfaces > Assignments :

Puis se rendre dans le sous-menu Wireless :

Nous cliquons sur l'icône "+ Add" située sur la droite de la page.
Nous choisissons notre carte Wi-Fi depuis le menu déroulant "Parent Interface" (ath0, par
exemple), le mode et remplissons si nous le souhaitons une description
Pour le mode, 3 choix nous sont proposés :

 Infrastructure (BSS) : permet de se connecter à un réseau Wi-Fi existant ;

 Ad-Hoc (IBSS) : permet de se connecter à un Wi-Fi existant en mode point-à-point ;
 Access Point : permet de créer et diffuser un nouveau point d'accès Wi-Fi.

Dans notre cas, nous choisissons le mode "Access Point".

Exemple de résultat obtenu :

Nous cliquons sur l'icône "Save" pour sauvegarder nos changements.

Cette interface sans-fil va pouvoir être associée à une interface logique afin d'être configurée.

2. Configurons l'interface Wi-Fi

Nous retournons dans le sous-menu Interface Assignments, nous choisissons notre interface
sans-fil dans le menu "Available network ports:" et cliquons sur le bouton "+ Add" associé :

Puis nous cliquons sur notre nouvelle interface afin de la configurer. Les principaux
paramètres à personnaliser sont les suivants :

 Enable : cocher cette case pour activer l'interface, bien-sûr.

 Description : le nom de notre interface. Nous choisissons tout simplement "wifi".
  IPv4 Configuration Type : la configuration IPv4 à appliquer sur cette interface. Les
choix parlent d'eux-mêmes. Nous choisissons "Static IPv4" pour donner à cette
interface une adresse IP statique.
 IPv6 Configuration Type : la configuration IPv6 à appliquer sur cette interface. Dans
notre cas, nous ne travaillerons pas avec IPv6, nous choisissons donc "None".
 MAC Address : ce champ est à compléter si l'on souhaite modifier l'adresse MAC de
notre carte Wi-Fi. Ce ne sera pas notre cas ici, nous laissons donc ce champ vide.
 MTU : permet de personnaliser la valeur du MTU, qui correspond à la taille maximale
d'un paquet pouvant être transmis en une seule fois sans être fragmenté. Dans notre
cas, nous laissons ce champ vide afin de garder la valeur par défaut, soit 1 500 octets.
 MSS : permet de personnaliser la taille du MSS pour les connexions TCP. Si vous
décidez de personnaliser cette valeur, pfSense la diminuera automatiquement de 40
octets (ce qui correspond à la taille de l'en-tête TCP/IP). Dans notre cas, nous laissons
ce champ vide afin de garder la valeur par défaut.
 Speed and Duplex : permet de définir la vitesse de fonctionnement de l'interface. Le
menu déroulant présente toutes les configurations supportées par votre carte Wi-Fi.
Nous restons sur le choix par défaut.
 IPv4 Address : l'adresse IPv4 de notre interface Wi-Fi
 IPv4 Upstream gateway : nous laissons la valeur à None.
 Persist common settings : cocher cette case permet de conserver les configurations
effectuées même lorsque l'interface logique est supprimée. Nous laissons cette case
décochée.
 Standard : la déclinaison du standard 802.11 avec lequel nous souhaitons travailler.
Les choix proposés dépendent de votre carte Wi-Fi. Dans notre cas, nous choisissons
802.11 ng.
 Channel : le canal Wi-Fi qui sera utilisé par pfSense. Il est recommandé d'opter pour
le 1, le 6 ou le 11. Dans notre cas, nous choisissons le 6.
 Mode : nous choisissons "Access Point".
 SSID : l'identifiant de notre réseau Wi-Fi. Vous pouvez choisir ce que vous souhaitez.
Dans notre exemple, nous l'avons nommé Point-Acces-pfSense.
 Enable WME : cocher cette case.
 WAP - Enable : cocher cette case.
 WPA mode : pour des raisons de sécurité, choisir WPA 2 exclusivement.

Exemple de résultat obtenu :

La configuration de l'interface est terminée. Il nous reste à activer le service DHCP et
autoriser les flux réseau.

3. Activons le serveur DHCP

Se rendre dans le menu Services > DHCP Server et configurer le serveur DHCP pour
l'interface wifi.

Les options à configurer son assez parlantes, il ne paraît pas pertinent de les détailler ici.
Si vous avez besoin d'assistance pour la configuration de votre serveur DHCP, vous pouvez
vous appuyer sur notre article complet : [pfSense] Configurer son serveur DHCP.

4. Créons une règle de firewall

Par défaut, tout le trafic est systématiquement bloqué sur chaque interface de pfSense (sauf
l'interface LAN où une règle d'autorisation est créée automatiquement par pfSense).
Pour autoriser le trafic, se rendre dans le menu Firewall > Rules, puis sur l'onglet du nom de
l'interface que nous venons de créer ("wifi", dans notre cas).
L'ajout d'une règle se fait depuis l'un des 2 boutons "Add".

Si vous ne souhaitez appliquer aucun filtrage spécifique, alors, lors de la création de votre
règle, modifiez la valeur de "Protocol" et indiquez "any". Sauvegardez, puis cliquez sur le
bouton "Apply changes".

À noter : nous ne recommandons pas de ne configurer aucun filtrage.

Exemple de résultat obtenu :

Votre réseau Wi-Fi est maintenant prêt et fonctionnel !

5. Debug / Dépannage

Vérifier l'état de son interface Wi-Fi

Se rendre dans le menu Interfaces > Status. Vous pourrez visualiser l'état de toutes les
interfaces de pfSense. Exemple de résultat obtenu pour notre interface Wi-Fi :

On constate que l'interface est bien up et qu'elle diffuse le SSID "Point-Acces-pfSense".

Voir les autres réseaux Wi-Fi à proximité

Se rendre dans le menu Status > Wireless. Si aucun point d'accès n'est listé, cliquez sur le
bouton Rescan. Vous pourrez alors visualiser la liste des autres points d'accès disponibles :

Pour terminer, si vous souhaitez approfondir le sujet sur la configuration du Wi-Fi sur
pfSense, vous pouvez consulter la documentation officielle Netgate (en anglais) :
https://docs.netgate.com/pfsense/en/latest/wireless/index.html

Comment bien choisir sa carte Wi-Fi

pfSense supporte depuis de nombreuses années des fonctionnalités de gestion du Wi-Fi lui
permettant d'agir comme un point d'accès sans-fil ou de se connecter à un point d'accès
existant.

Pour pouvoir profiter pleinement de toutes les fonctionnalités offertes par pfSense dans la
gestion du Wi-Fi, il est important de bien choisir sa carte Wi-Fi afin qu'elle soit pleinement
compatible.

Dans cet article, nous faisons un tour d'horizon des caractéristiques supportées par pfSense
pour la gestion des réseaux sans-fil et détaillerons comment bien choisir sa carte Wi-Fi et où
l'acheter au meilleur prix !

Attention : plusieurs utilisateurs rapportent des instabilités du Wi-Fi depuis la dernière

version de pfSense (2.4.5-RELEASE-p1). Aussi, pour le moment, nous ne recommandons pas
d'utiliser pfSense comme point d'accès Wifi pour les nouveaux déploiements ou en
environnement professionnel.

[Introduction] L'ensemble de normes 802.11

Le fonctionnement des réseaux Wi-Fi est normalisé à travers l'ensemble de normes 802.11.
Cet ensemble de normes comporte plusieurs protocoles, dont les principaux sont les suivants :

 802.11a : offre un débit jusqu'à 54 Mbps sur la bande des fréquences des 5 GHz
 802.11b : offre un débit jusqu'à 11 Mbps sur la bande des fréquences des 2,4 GHz
 802.11g : offre un débit jusqu'à 54 Mbps sur la bande des fréquences des 2,4 GHz
 802.11n : offre un débit théorique jusqu'à 450 Mbps par multiplexage "MIMO" sur les
bandes des fréquences 2,4 et 5 GHz
 802.11 ac : offre un débit théorique en Gbps sur la bande des fréquences des 5 GHz

Pour en savoir plus sur le fonctionnement des réseaux sans-fil et de ces normes, nous vous
recommandons la lecture de l'article Wi-Fi n, ac, ad, ax… : tout savoir sur le réseau sans fil et
ses débits du site FrAndroid.

Il est important de savoir qu'il existe plusieurs protocoles et d'identifier quels protocoles sont
supportés par pfSense ou par sa carte Wi-Fi afin d'être certain de faire le bon choix en
fonction de ses besoins.

Support du 802.11b, 802.11g, 802.11n

Les versions actuelles de pfSense supportent ces 3 protocoles sur une variété de matériels.

Il est difficile de dresser la liste exhaustive des matériels supportés. D'autant que certains
matériels peuvent fonctionner, mais à des débits très faibles...
C'est pourquoi, avant de choisir une carte Wi-Fi, il vaut mieux s'assurer qu'elle soit
effectivement annoncée comme étant compatible pfSense par le fabricant ou le revendeur (qui
l'aura donc préalablement testée).

Support du 802.11ac

C'est très simple, il n'y a actuellement aucun support du 802.11ac sous pfSense.

Fréquences radio et dual-band

Certaines cartes Wi-Fi supportent les fréquences sur la bande des 2,4 Ghz et sur la bande des
5 GHz. Cependant, actuellement il n'y a aucune carte qui puisse fonctionner sous pfSense
en opérant à la fois dans la bande des fréquences des 2,4 GHz et des 5 GHz.

L'idée d'utiliser 2 cartes différentes dans le même boîtier (afin d'en configurer une qui
fonctionnerait sur la bande des 2,4 GHz et la seconde sur la bande des 5 GHz) est à proscrire
car cela créerait inévitablement des interférences radio.

Aussi, s'il est nécessaire de disposer d'un point d'accès supportant ce fonctionnement dual-
band (pour des raisons de compatibilité avec des terminaux spécifiques, notamment), alors
nous recommandons clairement l'utilisation d'un point d'accès externe dédié.

Point d'accès multi-SSID

Une fonctionnalité très utile est la capacité à pouvoir diffuser plusieurs SSID (plusieurs
réseaux Wi-Fi) indépendants dans leur configuration et dans leur mode de fonctionnement
(l'un avec authentification par clé WPA/WPA2, l'autre avec une authentification par portail
captif, ...) depuis la même carte Wi-Fi.

Un exemple concret d'utilisation serait que notre pfSense diffuse un réseau Wi-Fi pour les
collaborateurs de l'entreprise et en parallèle diffuse également un second réseau Wi-Fi
"invité" (sur lequel on pourra d'ailleurs configurer un portail captif depuis pfSense) pour les
personnes externes à l'entreprise de passage dans les locaux.

pfSense supporte pleinement cette fonctionnalité. Cependant, toutes les cartes Wi-Fi ne
peuvent pas fonctionner avec ce mode... Si cette fonctionnalité vous intéresse, il est donc
nécessaire que la carte Wi-Fi que vous choisirez la supporte.

Nous avons fait le tour des éléments à prendre en considération dans le choix de sa carte Wi-
Fi.

Est-ce une bonne idée de faire porter par pfSense le point

d'accès Wi-Fi de son réseau ?

C'est une question fréquente. Dans la même logique, une question qui revient souvent est de
se demander s'il est pertinent de faire supporter par pfSense plusieurs fonctionnalités
(firewall, serveur DHCP, point d'accès WiFi, ...).

Nous profitons de cet article pour y apporter notre réponse.

Cette réponse va dépendre principalement du contexte et de la taille de la structure concernée.
De notre point de vue, il faut distinguer 2 cas :

1. Cas d'un usage SOHO / TPE / PME

Dans le cas d'un usage personnel ou pour une petite structure (de l'ordre de moins d'une
vingtaine d'utilisateurs), il apparaît comme tout à fait pertinent de confier à pfSense la gestion
de son point d'accès sans-fil.

La totalité des fonctionnalités attendues est normalement pleinement couverte par pfSense et
cela permet de bénéficier d'un usage de pfSense de type "BOX professionnelle".

On peut alors voir pfSense comme une BOX s'occupant de délivrer l'ensemble des services
réseaux nécessaires : routeur, filtrage firewall, serveur DHCP, serveur ou relais DNS, point
d'accès sans-fil, serveur VPN, proxy, portail captif, etc.

C'est un choix rationnel qui permet de centraliser et d'administrer l'ensemble de ces

fonctionnalités réseau à travers une seule interface et sur un produit open-source dans lequel
on a pleinement confiance.

C'est également un choix économiquement intéressant car il n'y a alors qu'un seul matériel à
acquérir (la "BOX" pour pfSense).

Enfin, sachez qu'il existe de très nombreux retours d'expérience probants quant à l'utilisation
de pfSense en point d'accès quels que soient les équipements se connectant dessus (Mac,
iPhone, Android, Windows, Xbox, ...).

2. Cas d'un usage grosse entreprise type ETI / Grand Compte

Dans les plus gros environnements de production, cela a beaucoup moins de sens de vouloir
faire porter par pfSense le rôle de point d'accès sans-fil.
La fonctionnalité première de pfSense est de garantir la sécurité des flux sur le réseau de
l'entreprise.

Sans parler des problématiques de sécurité du fait de vouloir faire porter trop de
fonctionnalités par un seul équipement (défense en profondeur, notamment), il y a de
nombreux cas d'utilisation où pfSense ne sera pas le plus adapté.
En particulier pour les déploiements répondant à des exigences telles que le support du
802.11ac, la possibilité de fonctionner en simultanée sur la bande des 2,4 et des 5 GHz ou les
réseaux sans-fil maillés, etc.
Il faut également réfléchir à la localisation du point d'accès car bien souvent le firewall n'est
pas placé au meilleur endroit pour diffuser un réseau sans-fil.

Enfin, les besoins pour ce type d'environnement sont très différents et pfSense n'est pas une
solution adaptée pour y répondre : gestion des réseaux sans-fil étendu, cartographie, ... sont
autant de fonctionnalités que n'offre pas pfSense pour la gestion d'un réseau Wi-Fi de grande
envergure.

Si vous êtes dans ce cas d'usage et que vous avez un besoin Wi-Fi, nous recommandons
l'utilisation des solution d'Ubiquiti Networks ou d'autres solutions spécialisées.

On résume : comment choisir sa carte Wi-Fi

Si vous souhaitez utiliser pfSense en point d'accès Wi-Fi ou en client Wi-Fi dans le cadre d'un
usage particulier ou petite entreprise, c'est tout à fait possible.

Les éléments à prendre en compte sont :

 s'assurer que la carte Wi-Fi soit compatible pfSense et supporte les protocoles
802.11b/g/n
 s'assurer que la carte Wi-Fi puisse fonctionner sous pfSense aussi bien en mode client
qu'en mode point d'accès
 s'assurer que la carte Wi-Fi supporte la possibilité de diffuser plusieurs réseaux Wi-Fi
(plusieurs SSID) en parallèle
 s'assurer du débit offert par la carte Wi-Fi en fonctionnant sous pfSense

Il faut avoir conscience des limitations suivantes :

 pfSense ne supporte par le protocole 802.11ac

 aucune carte Wi-Fi ne peut actuellement fonctionner sous pfSense en diffusant à la
fois dans la bande des 2,4 et des 5 GHz
 pfSense n'est clairement pas adapté pour servir de point d'accès Wi-Fi dans le cadre
d'un réseau sans-fil d'envergure

D'une façon générale, nous recommandons uniquement les cartes Atheros. Et uniquement
elles.
Les appareils sans-fil les plus couramment utilisés par les développeurs et les utilisateurs de
FreeBSD ou pfSense sont ceux qui utilisent des pièces fabriquées par Atheros.

Où acheter sa carte Wi-Fi ?

Netgate propose sur sa boutique en ligne la carte WLE200NX (chipset Atheros AR9280) :
https://store.netgate.com/WLE200NX-80211nabg-miniPCIe-Card-P1763.aspx. Cette carte
répond normalement à tous les pré-requis vu précédemment.

Nous proposons sur notre boutique en ligne la carte Atheros AR9287. Cette carte répond à
tous les pré-requis vu précédemment. Elle est garantie 3 ans.

Il existe, bien évidemment, beaucoup d'autres endroits ailleurs sur Internet où acheter une
carte Wi-Fi. Nous vous recommandons de vous assurer que la carte que vous choisirez
dispose bien d'un chipset Atheros, qu'elle supporte les fonctionnalités détaillées dans cet
article et que le revendeur communique les débits attendus en fonctionnement sous pfSense.