C'est en gros mon cas. (avec une connexion ADSL "redondé").
En gros 20 personnes avec téléphonie IP (50% du trafique).

20 personnes, redondance ADSL, ce qui n'est déjà plus un petit site.

@Issa:

hello interressant et peut utiliser deux pfsense comme ceci pour réaliser çe que propose l'auteur de ce topic :

donc deux machine avec pfsense avec des role dedié ?

INTERNET <–>PFSENSE(FIrewall)<---> PFSENSE(Proxy)<---> Réseaux
?

Franchement non et non.

Bonjour, à tous

j'ai refais mon architecture qu'en pensez vous svp ?

Le plus important est l'étape 2, car sur l'étape 1 je suis obliger d y passer car ma sme ne peut pas ếtre enlever, car il y a beaucoup de service important dessus, donc la je compte faire mon install comme dans l'étape1, puis quand j'aurais terminé de vider les services de la sme je passerais à l'étape2.

qu'en pensez vous svp ?

pour le shéma etape2 , pour les seveur Ubuntu qui sont dans le réseaux 192.168.5.0 il faut que je fasse uniquement des routes dans pfsense pour être accessible sur mon réseaux ?

Pour l'OpenVpn, j'ai fais des tests, mais j'ai toujours pas réussi à m y connecter.

merci d'avance

Bonjour,

commencer par lire la doc du wiki ?
http://doc.pfsense.org/index.php/Multi_WAN_/_Load_Balancing

Bonjour,

Effectivement ma question peut paraitre stupide mais quand je vais voir dans "Diagnostics: System logs: Firewall", et il n'y a pas grand chose….
Précistion mon PF est dans un boitier Sookris sur une compac flash. J'ai installé sur une machine "Kiwi syslog server" pour archiver les logs.

Nusa

Le bouton "search" est ton ami.
;)

Bonsoir flow,

y'aurait-il une possibilité d'avoir ton tuto? je suis interressé pour le tester avec ubuntu. D'habitude comme serveur j'utilise DALORADIUS : http://daloradius.com/

Merci beaucoup.

Moula

les extensions ldap de php ou la bibliotheque sous windows ?!?

L'autre façon de raisonner est d'utiliser 1 proxy (ou 2).

Schéma : Lan -> Fw -> Wan = Adsl1;  + zone Dmz : Proxy -> Adsl2.

Les VIP ont un poste avec une config qui leur indique de passer par le proxy situé en DMZ.
Celui-ci dispose de 2 cartes : l'une en DMZ et l'autre relié à une box. (Il faudra une route pour accéder au Lan via l'ip DMZ de pfSense).
Le proxy est un simple serveur Debian avec Squid + SquidGuard + blacklist.
On y ajoute, via SquidGuard, un contrôle d'ip par exemple. (facile à contourner mais c'est déjà ça …)

C'est de toute façon rationnel de mettre en place un proxy dès qu'il y a plus de 10 clients !
Et cela permet de filtrer au moins des blacklist, voire les virus, et c'est valable pour les VIP comme pour les autres.
(Car on découvre toujours que les VIP sont souvent les premiers sur des sites inutiles et non professionnels !)

Je ne peux que plussoyer ccnet dans sa démarche à encourager/aiguillonner/titiller votre réflexion :
bien souvent, on cherche une solution technique (ici 2 ADSL) à un faux problème (ici les VIP ont BESOIN de vitesse).
en faisant cela, on imagine des trucs compliqués et donc difficiles à mettre au point et partant inefficaces !
Il est très étonnant que Squid (proxy) ne soit pas déjà LA BASE, car il y a le reporting : regardez donc les 100 premiers sites visités !
Il est notable que 60% du trafic est personnel dans les entreprises ...

Il est possible de créer, de la même façon qu'une blacklist, une whitelist.

Le fichier correspondant a le même format : un fichier texte avec un domaine par ligne.

C'est vrai le portail captif le fait, je suppose qu'il est possible de le faire comme iptable mais bon…

@clarknova:

Je ne croix pas qu'il existe la possibilite de creer un "blacklist" pour les MACs, sauf par captive portal ou wifi.

Salut,

Pourquoi faire un portail captif quand tu utilises de l'eap TLS ?

Si tu veut faire du radius avec un pfSense, tu devrais plutôt utilisé une méthode CHAP pour l'authentification

J'ai un tutoriel si ça t'intéresse pour configurer un freeradius sous ubuntu

@+

Il (me) parait logique qu'un point d'entrée Ipsec (ou autre VPN) soit situé au niveau du firewall c'est à dire à l'intersection LAN et WAN.

D'autant plus pour Ipsec qui, comme on le sait, supporte mal le NAT sauf avec l'option (pas toujours présente) NAT-traversal …

Si des fois ça t'intéresse de faire un serveur DNS avec BIND en interne moi j'ai fait de cette façon :

http://www.pcc-services.com/sles/dyndns2.html

Mais c'est vrai que pfSense ne doit pas avoir, selon moi, ce rôle.
Bien séparer DNS pour l'interne et DNS pour le nom de domaine.

Voilà.

Merci pour ta réponse,

hier soir, j'ai changer ma config :
Je travail avec deux ALIX 3 ethernet.

Pour essayer, j'ai brancher un carte Ether/USB, détecter sans aucun problème, j'ai assigner une ip sur le VOIP et j'ai crée un CARP IP pour la VOIP.  J'ai reboot et bigo tout fonctionne !

Je fais juste attention que les règles liée à ma connexion qui n'apparait pas sur mon "SLAVE" ne soit pas synchroniser !

Certain ce demanderons pourquoi j'ai placer les VPN P2P sur la connexion DSL et non sur le CARP SDSL ?
évidement c'est le but mais aujourd'hui, cette connexion SDSL à trop de perturbation (j'ai des micro coupure).
Après avoir passer du temps avec un support qui m'explique qu'il y a rien d'anormale ! 
J'ai préférer ne plus l'utilise en état pour mes VPNs !

Comment manipules-tu pf depuis ton script ? SSH(pfctl ?), XML-RPC ou par HTTP ?
C'est toujours intéressant de savoir les différentes tactiques utilisées  ;D

Merci beaucoup pour ta réponse.

Je vais essayer tous sa.

Merci,

Juste pour info, j'utilise cette carte avec succes : lan1641, PCI Quad Ethernet board
dispo sur https://kd85.com/soekris.html.

Bonne journée

Autant pour moi :)

je voulais dire 1)  Assign Interfaces

Bonne journée