Rebonjour,

Effectivement, l'installation d'un proxy sur un firewall utilisé en production par exemple est une mauvaise idée.

Dans mon cas, c'est une machine virtuelle de test qui ne jouera finalement que le rôle de proxy (pfsense en mode routage). L'interface de pfsense étant assez simple d'utilisation et pouvant répondre aux besoins de personnes non qualifiées dans le domaine.

Le but dans mon cas est de tester les packages squid + squidguard sur pfsense afin de proposer (éventuellement) des solutions de proxy simples d'utilisation aux clients (et non plus du squid squidguard avec interface webmin qui me semble plus complexe pour les clients).

Salut à tous,
Voici un argumentaire que j'ai essayé de mettre en place afin de retenir Pfsense comme la solution la mieux adaptée pour mettre en place un système de haute disponibilité. Merci d'y jeter un coup d'oeil et me donner un coup de main afin de le parfaire car ceci est dans le cadre de mes travaux de mémoire pour mon master. Il me faut donc mettre en place un argumentaire qui tienne la route.

I- Tableau comparatif et Analyse des solutions
Nous avons recensé un certain nombre de produits commerciaux et Open Source supportant le Multi Wan que nous allons comparer afin d’en retenir une qui servira de base à notre solution. Le tableau ci-dessous regroupe ces différents produits que nous comparons sur la base de quelques éléments importants pour notre cahier de charge. Ceci nous permettra après analyse de retenir la plate forme la mieux adaptée à notre solution.
a) Tableau comparatif

b) Analyse
D’après le tableau précédent, nous remarquons que les routeurs commerciaux sont limités en termes de fonctionnalités. Certaines fonctionnalités ne sont implémentés que dans certaines gammes de routeurs bien spécifiques et haut de gamme donc très cher bien que n’offrant pas  toutes les fonctionnalités dont on pourrais avoir besoin dans le temps après les avoir acheté (Les prix des routeurs que nous avons sélectionné vont de 275 à 6490 Euros HT ). Notre choix ne pourrais donc se porter que sur Pfsense et Vyatta, deux firewall Open Source offrant toutes les fonctionnalités d’un routeur, donc plus besoin de débourser des sommes importantes pour disposer d’un bon firewall.
La distribution PfSense (FreeBSD ) est basée sur MonoWall et donc spécialement conçu pour le routage. Elle se présente sous la forme d’un LiveCD ou d’une clé USB, de ce fait, pas besoin d’une grosse machine pour la faire fonctionner. Pfsense présente une interface Web complète pour configurer tout ce que la distribution propose, un serveur SSh pour pouvoir se connecter en cas de problème ou avoir accès au système de base de la distribution (comme sur n’importe quelle machine Linux). Vyatta quant à lui est basé sur Linux Debian. Il est un concurrent direct de Cisco, offrant plus de fonctionnalités tout étant moins cher qu’une solution Cisco pour des fonctionnalités équivalentes. La solution Vyatta se base dans sa partie Routage IP sur un autre projet Open Source nommé Xorp. Il lui apporte une interface normalisée sous la forme CLI (Ligne de commande) dont la syntaxe des commandes est proche de celles que l’on peut trouver sur Cisco IOS. Il dispose également d’une interface Web,  pas aussi complète que celle de PfSense. C’est tout au moins ce que les utilisateurs Cisco rêvent d’avoir depuis de nombreuses années ainsi que d’autres fonctions réseaux. Tout comme PfSense, Vyatta dispose d’une version Live. Tous deux, ils s’installent aisément, seulement que vyatta n’est pas aussi aisé à configurer que pfsense car la plupart des fonctions avancées se configure par ligne de commande.
Pfsense et Vyatta se valent en fonctionnalités (certaines sont présentent d'un côté et pas les autres etc.). En haute disponibilité, pfsense a le dessus avec un cluster a basculement sans rupture de service (pfsync). PfSync + CARP offrent un basculement extrêmement rapide (1s au maximum). De plus les virtual IP permettent de partager une seule IP WAN pour 2 interfaces WAN physiques (1 sur chaque Firewall concrètement), ce qui évite les coupures de connexions WAN établies lors du
basculement. Notons quand même que certains éléments comme le L2TP pour la partie VPN nomade sont plus développé chez Vyatta. Cette fonctionnalité est annoncée dans la version 2 de PfSense.  Notons également les fonctionnalités comme le portail captif pour les points d’accès et de serveur VoIP qu’offre PfSense. Il dispose également d’un serveur Radius et proxy pouvant s’installer en option afin de résoudre certains problèmes comme les problèmes de sécurité des accès aux ressources. Un exemple est le couplage du serveur radius avec la fonctionnalité de portail captif afin d’offrir un accès sécurisé aux ressources du réseau aux utilisateurs du WiFi, le système étant hautement disponible  tout ceci motivant en plus des éléments mentionnés ci-dessus notre choix.
De tout ce qui précède, nous retenons que PfSense est la mieux adapté pour la mise en place d’une solution répondant aux éléments mentionnés dans le cahier de charges.
Dans la suite de ce document, nous allons mieux le présenter, procéder à son installation pour enfin procéder par la mise en œuvre détaillée de la solution.

.jpg)
.jpg_thumb)

Voici les screens :

firewall.jpg_thumb
firewall.jpg
firewall.jpg_thumb
firewall.jpg

UP !

oui je ping bien ma machine avec l'annuaire ldap, par contre je n'ai pas fait de capture réseau

Dans un premier temps, j'échangerais les deux interfaces LAN et OPT tout simplement pour des raisons de logique (LAN = zone de confiance forte, OPT=WIFI dans votre cas=zone de confiance modérée à nulle)
LAN dédiée au réseau 192.168.0.0/24 où se situe le serveur radius.
OPT dédiée au réseau WIFI 192.168.50.0/24 avec le CP d'activé.

Ensuite il n'y a normalement pas de règle à créer pour l'authentification RADIUS étant donné que le trafic d'authentification est généré par pfsense lui même et qu'il n'y a pas de restriction pour ce genre de trafic.
Vérifiez bien que tout est OK niveau réseau (les éléments peuvent se joindre) puis, si vous utilisez de la résolution DNS dans vos politiques radius que celle-ci fonctionne bien (enregistrement existant pour l'adresse IP LAN de votre pfsense).

Enfin, je vous conseille de modifier la règle qui permet aux utilisateurs de faire de la résolution DNS directement vers le serveur DNS externe en la restreignant à l'IP de votre pfsense côté OPT1. Dès lors vos utilisateurs wifi passeront par le dns forwarder de pfsense et vous aurez donc "la main" sur leur résolution DNS (très utile!).

Justement, non (du moins dans ce que j'ai fouillé). Juste les tentatives mais rien sur le blocage de l'IP. Il doit y avoir un paramètre à passer pour définir au bout de combien de tentatives une IP est bloquée.
Et puis, il y a peut-être trop de règles d'activées (toutes ::) ), je le trouve gourmand en CPU.
Je vais voir çà, en fait je faisais une pause avec pfSense, car je me bat aussi avec un Cisco 5510 et sa superbe (ton ironique) interface graphique, qui modifie elle même les règles. Y'a pas à dire, Cisco n'a jamais été doué dans les interfaces graphiques, hormis peut-être avec CNA… Mais on s'écarte du sujet là.

Merci tout de même. Et si quelqu'un à le même problème, je ne lâche pas pour autant :-)

L'alias dans DNS :
Un alias ne doit apparaitre que dans la partie gauche d'un enregistrement dns, jamais à droite.
Lors d'une résolution dns lorsqu'un alias est trouvé, la recherche se poursuit afin de retourner une ip en utilisant le nom canonique trouvé dans la partie droite.

Exemple :
hd1.freebox.fr IN A 212.27.40.254
disque1.freebox.fr IN CNAME hd1.freebox.fr

Alors une recherche sur disque1.freebox.fr sera remplacé par une recherche de hd1.freebox.fr. C'est le fonctionnement normal des alias dns.
Par ailleurs la gestion proposé par Pfsense n'est pas celle d'un DNS complet mais uniquement d'une liste d'enregistrements adresses afin de fournir ce que l'on appelle aussi le "split horizon". C'est à dire une résolution strictement interne, jamais propagée, qui masque celle que fourni le dns public. Pfsense utilise pour cela Tiny dns.

Désolé pour ce post, une erreur de ma part.

Bonjour,

J'ai supprimé les routes statiques, aucun problème depuis les postes clients, et plus d'ICMP redirect :)
Merci et bonne vacances.

Juve merci pour votre réponse, j'avais effectivement un lifetime moins important sur le boitier distant. Le probleme semble etre résolu je vais continuer a suivre cela. Merci encore

Merci pour la réponse,

Mais est ce normal que mon fichier squid.conf ne prenne pas en compte les modifications que j'ai effectue lorsque je redémarre pfsense ? pourtant j'ai bien appuyer sur "save"
Sinon ne faut t 'il pas rentrer les configurations depuis l'interface graphique dans l'onglet "upstream proxy" ? ne problème vient du fait qu'il me demande un "ICP port" et je ne sais pas trop quoi mettre

Bonjour, juste pour info, avec quel outils a tu fait des grazphiques ;)

@myux:

Bonjour,

Ancien utilisateur IPCOP, je cherche un FW plus performant pour monter ultérieurement 2 FWS en Failover
Loadbalancing ; j'ai découvert PFSENSE 1.2.2 et je pense qu'il répond très clairement à mes attentes ; J'ai
monté une maquette à 5 pattes (WAN,LAN,DMZ,WIFI) avec un accès freebox v5 en mode routeur ; J'ai réussit l'installation ; à faire fonctionner la sortie du LAN vers le WAN ; mais impossible d'atteindre ma DMZ ; de dedans ou de l'extérieur. Après de multiples essais, je n'ai jamais réussit ; j'ai cherché des tutos et des
discussions mais rien ne convient à ma config ; Je n'ai pas de repère et je pense que je ne perçois pas toutes les subtilités du produit ; Alors Que faut-il vraiment faire sous PFsense !

Je sais que je demande peut-être encore et encore quelque chose qui a été certainement demandé mais je ne trouve pas chaussure à mon pied !

Voici mon schéma pour vous aider !

Voici ce que je pensais configurer !

Tout est bloqué au départ (je suppose)
J'autorise le LAN à sortir sur WAN
J'autorise la DMZ à sortir sur WAN
J'autorise la WIFI à sortir sur WAN
J'autorise le LAN vers DMZ (port 80,22,21 peut-être seulement)
J'autorise le WIFI vers DMZ (port 80,22,21 peut-être seulement)
Je NAT les ports 80,21 de WAN vers le serveur WEB de ma DMZ.

J'ai peut-être oublié quelque chose !!!
Est-ce que quelqu'un peu m'aider en indiquant les étapes pas à pas !

ENCORE…
MERCI.

myux

oui j'y ai pas penssé ca serais une solution mais apres ca deviens le bordel car tout le monde vas venir me voir pour me dire que msn passe plus ou que bidule-machin-reseau ne passe plus et qu'il peut plus bosser.

en fait j'ai activer le support upnp pour les windaubiens et ne pas passer mon temp a faire du NAT et bloquer les ports courant utilisé par la mule and co mais ca n'est pas sufieseant.

Ah ben voilà qui est beaucoup plus clair dans mon esprit, merci à tous les deux  ;)
la DMZ n'est qu'un cloisonnement des services qu'on veut proposer à l'extérieur pour éviter de les avoir sur le LAN, ben c'est pas du tout ce que j'avais compris quand on m'a expliqué la théorie, ou alors ce sont les personnes qui m'ont expliqué qui n'avaient pas la chose bien claire.

J'ai déjà 3 interfaces sur le routeur pfsense, j'avais prévu le coup quand j'ai acheté une Alix2c3 il y a quelques mois mais je n'avais pas encore eu le courage de me pencher sur la DMZ.
Bien, reste plus qu'à ouvrir ces ports et créer les règles. Je n'y arrive pas encore aussi facilement que je le voudrais mais j'apprends bien plus de choses avec Pfsense qu'avec les routeurs commerciaux "trop simples"

Merci encore

Merci
pour l'aide

tout fonctionne comme je veux ou presque mais ca va aller

J'apprécie beaucoup ce type de forum ou débutant et expert peuvent échanger très simplement

Continuer

moi je continue à  vous lire

+1

Merci pour votre réponse, j'ai préféré acheter une autre carte réseau reconnu par pfsense.

cdt.

J'ai vu que je n'étais pas le seul à avoir ce problème dans les forums.
Ca serait génial si tu pouvais faire un test car sur le serveur de prod, je ne peux me le permettre.
Merci

Merci bien !