<mode incruste="">J'étais présent comme JDH & CCnet sur l'exélent forum IXUX dont nous parle JDH dans un précédent post. (Forum tjr dispo en lecture seule : ixus.net)</mode>

salut,

je suis tombé cet été (pas avant puisque ce n’était pas mon monde) sur plusieurs fils d'ixus.net, et j'ai effectivement remarqué plusieurs intervenants que je vois ici. des intervention de qualités déjà à l'époque. la seule différence est qu'en 2008/2009, jdh etait moins ronchon !

J'ai(me) bien ton approche naturelle et la touche d'humour ; ton intérret didactique dans ce post en fait (pour moi) son intréret général, c'est pourquoi j'aimerai revenir sur un point qui me chagrine, à savoir : tes questions ! ^^

Il est (pour moi) très pertinant d'avoir sur un forum des questions digne d'intéret MAIS également leur réponsses  ;)

Intégrer dans tes précédents post les questions que tu t'est poser et leur réponsses ne donnerons que plus de valeur valeur à ton fil  :D

dans un premier temps, je te remercie… si si ! ca fait toujours plaisir, et c'est toujours mieux que de se faire envoyer bouler au premier post.

tu as tout à fait raison, mais comme tu l'as remarqué, je n'ai pas encore commencé l'install. donc pour le moment, ce n'était que des réflexions à moi-même. je vais donc reprendre les prochains posts et effectivement y intégrer les questions que je me suis posé de façon claire.

pour le moment, mes réflexions ont porté principalement sur le matériel, ma config existante et la façon de mettre pfsense en prod de façon progressive (dès que je serais persuadé que c'est l’outil qu'il me faut) sans m’empêcher de bosser au quotidien.

encore merci pour tes encouragements et bonne soiree.

Je me souviens d'un de mes patrons qui me disait "tu délègues quand tu maîtrises" (parce que si le "délégué" lâche, tu es capable de reprendre).
Mais il y a le cas où tu ne maîtrises pas.

Il y a donc 2 sortes de clients :

celui qui a une bonne compétence, celui qui n'est pas assez compétent (qui croit l'avoir).
Le premier refusera de faire un MITM, le second n'en aura pas même conscience.
Il est clair que les fabricants d'UTM visent les seconds … qui sont les plus nombreux.

Comme clients, je ne souhaite pas être mené en bateau. (Suis-je a-normal ?)
L'avant-vente qui viendrait me parler de son formidable UTM qui fait tout, aurait forcément la question du MITM. Et là il sait ou pas.
Néanmoins, je verrais d'un bon oeil un prestataire me proposant 2 solutions et m'expliquant que la 2ième, plus chère, est plus respectueuse ...

Il y a contradiction entre 'Marketing' et 'Sécurité' ...

(Dans la pratique, je n'ai besoin de personne pour faire les firewall des entreprises où je passe depuis 15 ans. Mais il m'est arrivé d'utiliser des petits boitiers type Zyxell, ou des moyens comme WatchGuard, ...)
(Dans l'une, j'ai commencé par annuler le contrat de support d'un checkpoint à 4000€/an dans une pme industrielle de 300 pers sur 2 sites : fallait pas pousser ...)

(Si un avant-vente parle de choses qu'il ne connait pas à fond, tant pis pour lui ...)

Niquel ça marche parfaitement maintenant, c'était bien le nat.
merci à vous les gars.

J'ouvre un nouveau sujet pour un nouveau pb.

Bonjour bastion,

Je viens d'essayer cela ne fonctionne pas pour moi.
Même problème.

Salut,

Je suis le modérateur du forum.

Ce post est un peu un gloubiboulga indigeste… 
Je passe !

(Il est important d'utiliser le formulaire : cela aide le lecteur et, au final, vous avez de meilleures réponses.)

Mon expérience en terme de CARP remonte à pfSense 1.3, je présume que le concept demeure.

Un cluster, c'est 2 machines et un lien (interface) de synchro entre elles.
L'une est master (active), l'autre slave (inactive).
Chacune a sa propre adresse ip sur chaque interface, mais la machine master a, en plus, les adresses ip virtuelles qu'il faut utiliser (ou du cluster).
La bascule consiste transférer les adresses ip virtuelles (quand le master tombe).
Il est à comprendre que l'on accède, bien sur, qu'aux ip virtuelles ensuite (quelle que soit l'interface) !

Pour les interfaces internes (à adressage privé), pas de difficulté : 192.168.1.11 ip lan de fw1, 1.12 ip lan de fw2, et .10 ip lan virtuelle du cluster.
Pour une interface wan à adressage public, c'est plus compliqué.
Si on possède une range d'adresses ip suffisante, on y arrive :
exemple : réseau 128.128.128.160/29 donne 8 adresses dont 6 utiles :
128.128.128.160 = réseau (inutilisable)
128.128.128.161 = routeur FAI
128.128.128.162 = dispo
128.128.128.163 = dispo
128.128.128.164 = ip WAN (reelle) fw2
128.128.128.165 = ip WAN (reelle) fw1
128.128.128.166 = ip (virtuelle) cluster
128.128.128.167 = broadcast (inutilisable)
Si on ne possède pas une range suffisante, on triche en agrandissant et … en priant pour ne jamais être en contact :
exemple : réseau 128.128.128.160/30 donne 4 adresses dont 2 utiles :
128.128.128.160 = réseau (inutilisable)
128.128.128.161 = routeur FAI
128.128.128.162 = ip (virtuelle) cluster
128.128.128.163 = broadcast (inutilisable)
On configure tous les wan en /29 avec les ip réelles de fw1 et fw2 en .165 et .166.
La conséquence sera le fonctionnement ok mais l'impossibilité de causer avec les vraies .164-.167 !

Ne pas oublier de faire attention au NAT OUTBOND qui doit être en manuel avec ip virtuelle du cluster !

A adapter si en plus failover ... (double wan)

Attention, je retirerai le dhcp qui me semble peu aisé à basculer

Salut,

Désolé si je me suis mal exprimer… en espérant être plus clair avec ceci ....

Contexte : Nouvelle configuration dans un environnement en production
Besoin : Avoir un site principale avec deux lien internet et deux PFSENSE qui se connecte à 4 site distant
WAN : Deux fournisseur internet
LAN :  un réseau en DHCP la production
DMZ : un réseau DHCP pour les expérimentations
Régles NAT et firewall : redirection de port de WAN à LAN pour enregistreur de caméra et serveur Web
Packages ajoutés : aucun
Autres Fonctions assignés au Pfsense : OPENVPN

schema.png
schema.png_thumb

Oui c'était en terme de sizing hardware.
Bon ben merci pour l'info, le squid ne log que les http / https ou je me trompe?

Voyez : vous ajoutez maintenant des infos qui peuvent faire changer les réponses !
Si vous saviez le temps gagné pour tout le monde si, dès le départ, le problème était bien exposé …

Il est très clair que, pour FTP, il est essentiel de comprendre qu'il y a 2 modes de fonctionnement, et qu'il y a un choix à faire.
(Le bon site : wikipedia forcément).

La doc pfSense est, elle aussi, très claire (si lue plusieurs fois).

Vous avez fait un choix, le mode actif. Bien.

Cobian Backup sait gérer : http://www.astucesinternet.com/modules/smartsection/item.php?itemid=81 Etape 2-C  (1er lien trouvé avec 'cobian backup ftp mode'). (Je croyais Cobian Backup mort ?)

Robocopy n'a jamais fait de ftp, à ma connaissance.

Je crois que rsync n'est pas à ignorer pour faire des backup.

Clairement ce fil est loin d'être parfait :

présentation mauvaise et insuffisante connaissances insuffisantes de protocoles

J'espère que vous ferez un beau post de conclusion :

rappelant la problématique indiquant les éléments mis en place avec les choix de mode, les paramètres le fonctionnement obtenu

@gilgil:

Est-ce que le portail captif intercepte sur le 3128 ?

De toute évidence non  :-\

A mon avis, le proxy installé, comme je le propose, avec iptables sur une machine entre ton routeur externe et pfSense ne risque pas grand chose car il n'expose basiquement qu'un service (à condition de faire un peu de hardening) et iptables fourni un bon moyen de limiter les accès aux IPs issues du LAN.

Malgré ta limitation qui est de ne pas pouvoir créer de DMZ, il y a peut-être d'autres implémentations possibles avec par exemple des VLAN mais est-ce bien souhaitable ?

Une des difficultés dans ton design, c'est qu'il faut que ce soit l'utilisateur (en fait son IP ou MAC) qui passe par l'interface contrôlée par le portail captif pour accéder au web. Si le proxy est à l'intérieur, ça ne fonctionne pas car en mode explicite, c'est le proxy qui fait la requête.

Techniquement, une des solutions consisterait à mettre un proxy en mode transparent + MITM (pour HTTPS) en série avec pfSense mais c'est juste horrible et je ne suggèrerait jamais ce genre de chose  :o :o :o même si ça marche  >:(

Une autre approche, à tester et à mettre en œuvre si, comme on l'évoquait au début de ce fil, uniquement si tu es à l'aise avec la surcharge générée par la duplication de la charge réseau sur m'interface LAN de pfSense consisterait à:

1 - créer une deuxième IP dans un autre plan d'adressage (par exemple 192.168.4.0/24) sur l'interface LAN. Je pense que ce n'est toujours pas possible via l'interface graphique mais c'est documenté ici  8)
2 - tu installes et configures ton proxy à une adresse sur ce subnet et change ton DNS ou ton proxy.pac en conséquence.
3 - tu crées une exception sur le portail captif pour autoriser cette adresse IP sans authentification. Dans ma compréhension, un fonctionnement "par zone" du portail n'est ici pas possible car la notion de zone est associée à celle d'interface. Possible avec du VLAN mais pas avec une autre IP

Avec ce design, les utilisateurs passent par le portail captif pour accéder au proxy puisque pfSense est leur gateway et ton proxy est "à l'intérieur" ;-) au prix d'une charge supplémentaire sur l'interface LAN (mais cette charge devrait être faible car limitée par le débit du WAN).

4 - reste que l'accès au proxy ne déclenchera pas de redirection vers le portail captif car fait sur le port 3218 (le proxy sur le port 80 est une solution, mais je ne suis pas certain qu'il n'y ait pas d'effets de bord. Je n'y ai pas trop réfléchi à ce stade.  Avec ce nouveau design, si tu mets le proxy.pad sur la machine qui héberge le proxy, l'utilisateur va être intercepté par le portail captif pour accéder au proxy.pac et donc déclencher une règle de la part du portail captif, ce qui va libérer l'accès au port 3128. Effet de bord: à expiration du voucher, l'accès au port 3128 va expirer mais le navigateur risque de ne pas recharger le proxy.pac donc demander à nouveau une authentification au niveau du portail.

mais je n'ai pas beaucoup plus d'idées que ça compte tenu des tes limitations hardware.

Le prix du câble devrait s'amortir sur le nombre d'appliance …
Merci de l'info du nouveau fonctionnement : il est probable que les concepteurs ont préféré ce mode à une install déjà pré-définie.

Merci de mettre [Resolu] dans le titre …

Quelle indigence ce message !
https://forum.pfsense.org/index.php?topic=79600.0

Désolé,
Je crée donc un nouveau post pour ne pas déterrer de cadavres….
Cordialement,

mais tu n'a pas besoin de ça pour des règles en "entrée"  ???
le failover s'applique sur l'interface externe, celle qui pointe sur le groupe de gateways

EDIT: enfin… quoique..  :-\  je comprends ce que tu as fait maintenant que je le lis mieux.  :-X

Le CPU est a 100%…mais dans quoi ? Kernel space (sys) ? User space (un programme) ? Irq ? Wait ?
Ou est consommé le temp ?

42

bonsoir,

Les ports de l'ESXi sont bien dans le bon VLAN. y compris celui de de l'interface physique du VLAN 35. La carte virtuelle de l'ESXi est bien dans le VLAN35.

Merci pour le feedback.

Ce qui est intéressant, c'est que pfSense autorise la connexion LDAP avec un DN qui n'est pas un DN pour l'authentification  ;D ;D

@mickael62:

Si je mets un switch après mon convertisseur, comment je fais pour que mes Pfsense puissent communiquer avec lui s'ils sont sur un réseau privé sur la partie Wan ?

Tu oublies un tout petit détail  ;D

Il n'y a qu'un seul pfSense qui communique avec  le convertisseur et donc internet, c'est celui qui supporte la VIP publique.
Pour simplifier, en terme de routage, les pfSense sont sur un réseau privé.
A un instant donné, un seul des deux a l'IP publique. Celle-ci est "flottante".

A noter que le switch s'en moque complètement: les 2 pfSense peuvent se voir au travers du switch via le réseau privé sur l'interface WAN. Ce ne serait pas pareil si c'était un routeur n'est-ce pas  ;)