• Choix d'architecture / Portail multi-LAN

    4
    0 Votes
    4 Posts
    3k Views
    G

    Merci pour vos réponses.
    Je ne suis pas passé depuis un moment car deux serveurs critiques ont rendu l'âme… ce qui m'a beaucoup occupé (et pré-occupé), sans compter le travail normal sur lequel le retard s'est accumulé...
    J'ai donc profité de cet état de crise pour remonter des suggestions à ma direction, afin que "cela ne se renouvelle plus", ce qui m'a permis de débloquer un peu de budget et faire quelques remises en question de notre infra, ce qui m'a permis notamment de tenir compte de vos remarques, notamment sur la séparation proxy/routeur.

    Voici donc un schéma de mon infra actuelle.

    J'ai donc isolé le proxy sur un serveur tout neuf (merci le budget), que j'ai au passage virtualisé pour gagner des possibilités de restauration en cas de crash, je pense à terme virtualiser de plus en plus de serveurs mais c'est une autre affaire…

    La machine qui faisait office de routeur et de proxy a été formatée, j'ai installé pfsense, et je ne destine cette machine qu'au rôle de routeur/firewall (oui suite à cet échange, ainsi que des discussions sur un autre de mes sujets, vous m'avez convaincu, vous avez gagné :p).

    Du points de vue du routeur :

    serveur DHCP pour mes postes clients (jamais eu de problème DNS =) ), en se déclarant comme passerelle par défaut, et en mettant mon AD comme serveur DNS et serveur WINS (on verra plus tard pour le WPAD, pour l'instant j'ai scripté avec les GPO mon changement de proxy) la passerelle par défaut est mon Netasq le firewall est pour l'instant en pass all (any any ipv4) un petit ntop pour surveiller un peu ce qu'il s'y passe l'interface WAN est celle qui tape sur les serveurs, mais j'ai veillé à décocher le blocage des paquets di'p privées (block private networks, block bogon networks) puisque j'ai un autre parefeu en amont pour le WAN.

    Du point de vue de mon AD :

    il gère le DHCP pour le sous réseau de la baie de serveurs (au cas où je plug un portable pour faire des essais ou autre besoin temporaire) serveur DNS pour toute l'infra, des redirecteurs sont configurés pour les résolutions DNS liées au WAN sa passerelle par défaut est mon routeur (vu que lui tape sur le netasq s'il ne connait pas le réseau demandé…)

    Ce qui m'amène à vous, outre ce petit bout d'histoire, c'est un problème dans mon LAN depuis que je suis passé à pfsense.

    A première vue, tout est fonctionnel, dans la mesure où j'arrive à assurer tous mes services sans blocage ferme et définitif.
    Par contre, il y a énormément de ratés, par exemple des bouts de scripts d'ouverture de session qui se perdent, des lecteurs partagés qui n'apparaissent pas...
    Lors de l'ouverture d'un lecteur réseau, je vais avoir 9 fois sur 10 le dossier qui s'affiche, mais une fois sur 10 j'aurai un blocage ou une déco avant la fin de la liste, puis avec un simple rafraichissement le reste apparait.
    J'ai globalement l'impression que mes postes clients "décrochent".

    Alors j'ai trouvé une demi-solution à ce problème, qui consiste à cocher "Disable all packet filtering". Pour info cette option coupe toute règles de parefeu ainsi que le NAT, et depuis plus de problèmes…
    Donc la logique viendrait à dire que mon problème initial vient soit du parefeu, soit du NAT.

    Hors :

    mon parefeu est en pass all, sur chacune des 4 interfaces j'ai déjà tenté de couper le NAT, en le passant en manuel et en supprimer toutes les règles, et là j'avais plus de réseau du tout !

    Puisqu'à terme j'aimerais pouvoir utiliser les fonctions de parefeu, il me faut résoudre cette problématique.

    Merci pour le temps que vous voudrez bien me consacrer.

  • Votre avis avant d'aller plus loin ?

    8
    0 Votes
    8 Posts
    2k Views
    L

    salut,

    J'ai déjà testé la liaison VPN mais les débits via internets n'étaient pas assez rapide pour notre logiciel de gestion école.
    ET pourtant nous avons une connexion vers le cable, je suis synchro à l'école à 120Mb/s en download et 6 Mb/s en upload
    En testant la connexion vpn depuis chez moi, synchro à 30Mb/s en download et 3 Mb/s en upload, ca ramait à mort.
    Nickel pour la navigation dans les dossiers du serveurs, ouvrir un word, tout ca ok. Mais l'application de gestion, fait déjà 22Mb à ouvrir, plus les échanges vers la DB, c'était inutilisable. C'est suite à cela, que j'ai configurer le RDP sur notre serveur. Ca tourne maintenant, même si la config devient vieillissante (changement de serveur prévu l'année prochaine), mais mon problème reste la dépendance à internet. En cas de panne sur le net, 10, personnes au chomage technique, même si cela les arrange. Autre argument, les connexions internet sont hors de prix chez nous (en Belgique). Par exemple, 75€/mois pour l'école 1 et pas moins de 150€/mois pour l'école 2 … on gagnerait déjà 150 €/mois en wifi

    Le wifi proposé est garanti à 60 Mb/s dans les deux sens ... j'ai par sécurité, visité une entreprise voisine qui dispose de ce système. Ils l'utilisent  pour le réseau et en plus la VOIP ... tout va bien pour eux. RDV vendredi pour proposition, on verra ce qui se dit ...

  • Aucune authentification

    4
    0 Votes
    4 Posts
    1k Views
    B

    Bonjour,

    Surtout que maintenant il y a sur les pages du Gui un ''?'' redirigeant vers la bonne partis de la documentation qui est ligne ^^

    Il y a aussi ''The pfsense definitive guide'' qui reste une valeur sûre sur les fondamentaux de pf (malgré qu'il soit basée sur la V1.2.3), il est disponible dur amazone us & uk ainsi que chez osnet.eu.

    Cordialement

    EDIT : Dans tous les cas il ne faut pas être totalement étranger à la langue de Saakespeare ^^

  • PfSense CLI Commandes

    6
    0 Votes
    6 Posts
    5k Views
    C

    @mykee:

    Ok donc j'imagine qu'il faut relancer la nouvelle config et donc, faire tomber la connexion un certain temps, et je dois absolument faire ça sans impacter les utilisateurs du réseau. En somme, comme si je modifiais l'alias depuis le GUI.

    Il y a une chose que je ne comprend pas non plus, c'est la finalité d'une modification en ligne de commande.
    Si il s'agit de ne pas impacter le fonctionnement de la plateforme l'interface de Pfsense permet d'ajouter des alias et autres sans interruption et avec prise en compte immédiate. Il y a peu de choses qui nécessitent un redémarrage de Pfsense.

    J'aurais aimé ajouter des network à l'alias rapidement en SSH sans passer par le GUI.

    L'accès à l'interface via une connexion vpn est tout à fait satisfaisant. Cela quand bien même le réseau d'administration est dédié.

  • Le service openvpn et tjr "stopped"

    2
    0 Votes
    2 Posts
    817 Views
    C

    Désolé je n'ai pas été livré en marc de café et ma boule de cristal est en panne.
    Il serait utile d'indiquer les paramètres que vous avez employé. Si le service ne démarre pas il y surement au moins un message dans les logs. L'indiquer ne serait pas inutile non plus.

  • Question peut être bête… mais où est l'image iso ?

    4
    0 Votes
    4 Posts
    834 Views
    M

    Désolé, ma faute, j'essayais de lancer une image x64 sur une archi qui ne le supporte pas (je pensais qu'elle le supportait). Je retourne me cacher….

  • Pfsense en proxy seulement

    7
    0 Votes
    7 Posts
    2k Views
    O

    bonjour,

    merci zoummuoz.

    Non je ne suis pas puriste et je ne réinvente pas la roue, certes je suis d accord sur pfsense firewall etc.., mais bon les développeurs on ajouter des packages, certainement des demande ou peut être proposer un outil complet quelles que soient les applications.

    J ai teste squid et squidguard dans d autre environnement( il y a longtemps, il y a peut être eu des avancer depuis) rien de concluant en mode graphique et je n avait pas les moyens nécessaires pour le faire. Je suis tomber sur pfsense et sont portail captif qui etait pour moi top.

    Donc j ai un outil, certes que je maitrise  mal, mais qui m offre un panel de possibilités, mais si ca le détourne un peu de sa fonction premiere (tournevis :)).

    Voila, j ai un pfsense comme firewall et un 2 eme comme proxy (uniquement comme proxy), je vais donc faire ce que m a dit zoummuoz, et je suis toujours ouvert a d autre solution.

    merci a vous.

  • Port nat et serveur 2012 essential

    13
    0 Votes
    13 Posts
    3k Views
    C

    @baalserv:

    Bonjour,

    J'utilise à la maison une freebox (révolution) en mode routeur avec pseudo dmz activé vers IP wan de Pf et je ne me pose aucune question de double nat car tout arrive bien sur le wan de pf.
    Du coup je fait mes Nat seulement sur pf et je n'ai aucun pb.

    cordialement

    J'en suis convaincu. mais manifestement notre utilisateur a connu quelques déboires pour savoir ce qui se passe, on non, entre sa Freebox et Pfsense. Puis c'est tombé en marche. Ma suggestion vise l'utilisateur modérément expérimenté qui peut se laisser déborder …

  • Mise en place QOS (traffic shaper) multiwan, loadbalancing et VOIP

    2
    0 Votes
    2 Posts
    1k Views
    C

    quelques coupures lorsque je navigue en même temps sur le net.

    Je déconseille très fortement un même lien pour acheminer mes trafic data et voix. Je n'équipe aucun client sans séparer les flux sur des liens distincts.

  • Alix debian openvpn server => pfsense client

    2
    0 Votes
    2 Posts
    960 Views
    C

    Le problème vient au moment ou j'essaie de ping du Lan vers le Lan de l'autre côté.

    Je ne comprend pas vos explications. Essayer d'être clair, précis, concis.

  • OpenVPN RoadWarrior - Meme adressage des deux cotés du VPN

    14
    0 Votes
    14 Posts
    3k Views
    J

    (Je voulais dire que je travaille depuis 1 an 1/2 dans une entreprise où les PC étaient en statique à mon arrivée. Ils ne le sont plus, bien évidemment …
    Et la config d'Outlook avec l'@ip du serveur 192.168.x.x c'est un peu fini aussi : "quand je suis chez moi, Outlook fonctionne maintenant, je savais pas", surprise !)

    Je ne peux que plussoyer ccnet (forcément et toujours) :

    niveau 0 (à bannir) : adressage tout statique niveau 1 : adressage statique des serveurs, routeurs, imprimantes réseau, ... + adressage dhcp des PC fixes, portables niveau 1+ : réservation d'ip grace à l'@MAC dans le dhcp niveau 2 : NAC = Network Access Control + switch adapté + toutim ...

    La différence entre 1 et 1+ est juste du confort ... et le signe que l'admin, il maitrise.
    On peut se poser la question de DHCPiser quelques serveurs et imprimantes avec la réservation d'IP par la MAC ...

    Pour le niveau 2, bien penser à TOUT repérer : les smartphones qui se connectent, ...
    C'est plus facile pour 10 PC + 3 serveurs + 2 imprimantes que pour 150 PC + 30 serveurs + ...

  • Problème ping simultané sur 2 virtual IP

    4
    0 Votes
    4 Posts
    966 Views
    N

    Bonjour,

    Merci pour votre réponse,
      le forged transmit et  teaming  sont activés.
    Les deux cartes sont reliées de la même façon au réseau.

    Merci

  • Installation sur ancien proxy (Cyberoam)

    9
    0 Votes
    9 Posts
    2k Views
    R

    D'accord, je vais tenter ça.

    Merci.

  • Port 443

    6
    0 Votes
    6 Posts
    2k Views
    J

    On a déjà écrit que les packages ne sont pas ni la responsabilité de pfSense ni la sécurité.
    Cela dit, les packages bénéficient d'une interface commune agréable, mais cache bien souvent la complexité sous-jacente !
    L'exemple de Squid est frappant puisque la nature de la fonction "proxy" est TRES différente de celle d'un firewall : temps/réactivité contre disque/lenteur/mémoire pour Squid.

    Je ne conteste pas que l'écriture du fichier de conf de Squid demande du temps et de l'expérience.
    Pourtant, c'est là que se fait ou non la réussite !
    On peut d'ailleurs s'inspirer du fichier généré par le package Squid et sa config …
    Il est assez notable qu'un fichier de conf minimum de Squid devrait avoir 20 ou 30 lignes au maxi.

    Je pense, personnellement, que créer un pfSense pour en faire juste un proxy est une erreur.
    Il n'existe pas à ma connaissance de distribution centrée sur le proxy (et c'est regrettable).

  • Reverse proxy Squid avec application web delphi

    4
    0 Votes
    4 Posts
    1k Views
    J

    Un article de vulgarisation (tout frais) : http://linuxfr.org/news/gerer-plusieurs-services-de-facon-transparente
    (Qui montre qu'un proxy ne se réduit pas à http …)
    (Il manque la mention de choses complémentaires comme mod_security ou vulture)

    NB : normalement, le package Squid aurait du faire le job, mais ... c'est un package, et il vaut mieux faire le boulot sur une machine intermédiaire.

  • Problème OPENVPN [Résolu]

    30
    0 Votes
    30 Posts
    6k Views
    B

    @baalserv:

    @baalserv:

    EDIT :
    cite : Y'a t-il quelque chose qui cloche?
    => peut être un firewall logiciel sur le poste de la maison ?

    ;)

  • Règles Firewall pour portail captif

    11
    0 Votes
    11 Posts
    3k Views
    A

    Ce tuto m'a l'air parfait, de plus il n'y a qu'une seule règle Firewall à mettre en place. Il répond à toute mes attentes.

    Bonne soirée et merci pour votre précieuse aide :)

  • Partager bande passante

    2
    0 Votes
    2 Posts
    835 Views
    P

    @namalka:

    Bonjour,
    j'aimerai partager la bande passante de mon wan qui est à 1Mo entre deux interfaces  connectés à mon firewall pfsense.

    wan=1000Kb/s

    je veux partager comme suit:

    Lan=744Kb/s    et  Etudiant=256Kb/s
    j'attends vos reponses.
    Merci

    Comme d'habitude, une simple recherche sur google permet de trouver ça: http://www.osnet.eu/fr/content/qos-avec-pfsense-20-hfsc-dans-le-d%C3%A9tail

  • [Question]Access List/Contrôle d'accès

    6
    0 Votes
    6 Posts
    1k Views
    J

    Dans l'image de Firewall > Rules, il y a une erreur assez fondamentale (même si les règles sont grisées) : les onglets désignent l'interface d'arrivée des paquets …

    Clairement, dans un onglet LAN, la source d'une règle NE PEUT ETRE que comprise dans "LAN Subnet" !

  • Problème de ping et de vpn PPTP

    16
    0 Votes
    16 Posts
    3k Views
    M

    J'ai déjà capturé pas mal de trames mais quand j'essaye de voir les ping partant du pfsense vers les adresses qui ne répondent pas il n'y a rien dans la capture :-(
    comme si pfSense n'envoyait pas les requêtes…

Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.