Debuter avec pfsense

azram · Apr 30, 2009, 8:03 AM

Bonjour à tous

je suis entrain de me pencher sur une installations d un portail captif, j ai épluché pas mal de comparatif et de forum, et mon choix tend à utiliser pfsense
plusieurs question de noobs à poser (désolé si je repose déjà des questions posé, j ai pourtant épluché le forum)

mon cahier des charges :
je dois installé un portail captif pour environ 300 users d un coté et 10 users de l autres avec authentification login et mot de passe
donc 2 Pfsense d installé car deux connexions adsl séparée
je dois impérativement pouvoir fournir les logs de connexion (qui a fais quoi et a été ou) pour chaque users

mon choix se porte vers :

pour le portail captif:
deux boitiers soekris net5501 avec un hdd sata de 80 ou 160 Go (j ai lu que pfsense avait du mal a gerer le 160, vrai ?)
ou un boitier ITX avec un port VGA, dans se cas avez vous, du matèriel à me conseiller ?
Connaissez vous wifipack :
http://boutique.infracom-france.com/gestionnaire-dacces-wifi-p-710.html?cPath=135&osCsid=5bf0c419e3059be0c5c5189905b91232

pour les logs :
package squired ou logrotate ?
ou
un poste sous xp avec kiwi syslog ?

pour les sauvegardes de logs :
un disque réseau NAS en raid d 1 terra, mais est ce qu'on peux spécifier a pfsense et a squired ou logrotate de sauvegarder le log sur un matériel réseau ?

merci à vous de me faire partager votre expérience, pour le moment je suis dans la théorie, j attend d être sur avant d acheté le matériel

Az'

ccnet · Apr 30, 2009, 8:17 AM

je dois installé un portail captif pour environ 300 users d un coté et 10 users de l autres

Dans le cas d'un portail captif je ne comprend pas ce que cela veut dire. Les utilisateurs utilisant le portail sont connectés sur l'interface où le portail captif est activé.

2 Pfsense d installé car deux connexions adsl séparée

Pas de rapport avec le portail captif directement.

Pas d'avis sur le matériel, je n'utilise jamais ce type de boitier.

je dois impérativement pouvoir fournir les logs de connexion (qui a fais quoi et a été ou) pour chaque users

C'est plutôt le rôle d'un proxy avec authentification.

Pour les logs :
Pour ceux produits par Pfsense, si vous devez les stocker utiliser un serveur syslog. Le paramétrage est dans Diagnostics: System logs: Settings

Globalement tout ce dont vous parlez est très brouillon et on ne comprend pas bien quel est le besoin. Vous nous présentez des ébauches de solutions techniques mais le besoin fonctionnel n'est pas expliqué. Cela donne l'impression que vous vous embarquez dans la mauvaise direction pour traiter le besoin.
Je vous propose de reprendre les choses à la base en décrivant le besoin, sans préjuger des solutions.

azram · Apr 30, 2009, 1:01 PM

merci de votre réponse ccnet …

je vais essayer de mieux détailler pour mieux me faire comprendre

je cherche une solution, pour installer un hotspot wifi avec création de compte utilisateurs et avec pour impératif l enregistrement des logs de connexion et de visites de sites en cas de probleme (loi, terrorisme, pedophilie, big brother, sarkosi ...)

il me semble bien que pfsense fais ce genre de chose ou alors j ai vraiment rien compris a tous se que j ai pu lire, et il me semble que sa se nomme un portail captif .. un firewall avec des règles et une authentification pour accéder au wan ...
pfsense servira de service d authentification pour l accés internet

ex : je suis enregistré en tant qu utilisateur, j ai accès au web, je ne suis pas enregistré en tant qu utilisateur, je me retrouve avec une page me demandant de m enregistré
et en meme temps fermer les ports pour éviter du download, ou autres. ...

ensuite j etais interessé par la solution d'un soekris, mais qu'utilisez vous comme archi pc pour faire tourner pfsense; un pc atx ou matx sa m embete un peu; de l itx sa me plait bien, avez vous essayer ?

si je me trompe, a quoi sert pfsense ?

merci

ccnet · Apr 30, 2009, 1:50 PM

C'est maintenant plus clair. Une question annexe : est ce Pfsense qui sera connecté à Internet et remplira le rôle de firewall ?
Pour le reste et compte tenu du volume de logs qu'il va vous falloir conserver un serveur syslog me semble indispensable. Donc une machine séparée. Les logs n'ont pas leur place sur un firewall.
Ensuite il faut prévoir un Pfsense avec 3 interfaces. Wan, Lan (pour l'administration de vos systèmes) et la dernière pour le portail captif.
Un proxy ne serait pas du luxe si vous voulez interdire les url douteuses et inspecter les contenus.
Pour Pfsense j'utilise systématiquement des serveurs rack 1U, Compaq, Hp, Dell, IBM.

azram · Apr 30, 2009, 2:36 PM

pfsense sera connecté derriere une livebox pro .

pour les logs, je pense a petite machine sous xp avec 1 terra de disque dure et kiwi syslog
pour le proxy, je verrai, c est surtout avoir trace des connexions au cas ou il y aurait un besoin legal, kiwi syslog devrait faire sa trés bien

qu en pensez vous ?

quel est le cout d un serveurs rack 1U, svp ?

merci

ccnet · Apr 30, 2009, 2:55 PM

Faites un test avec les logs produits par Kiwi syslog. Ils ne sont pas d'une lecture très évidente pour votre type d'application et surtout, de mémoire pas facile à extraire et à formater. Pour ce travail j'utiliserai une Debian et les outils pour pouvoir traiter les logs envoyés par Ffsense.
Je ne suis pas certain du tout que les logs du portail captif correspondent au niveau de détails demandés. Pour cette raison et d'autres j'utiliserai un proxy de toute façon.
Les serveurs rack 1U se trouvent neufs à partir de 600 euros (HP DL 140 pas très cher) et chez les brooker on trouve du PIII (DL360 G2 , G3) à partir de 100 euros. Pour ce prix on peut se permettre du spare.

jdh · Apr 30, 2009, 4:37 PM

Concernant les logs, il y a une sérieuse confusion !

il y a les logs systèmes, de type syslog, qui peuvent être envoyé sur un autre serveur syslog (et c'est une bonne idée) :
ces logs sont peu fréquents et plutôt court : paquet refusé, erreur d'authentification, accord d'authentification, …
les logs de navigation :
il faut EVIDEMMENT un proxy. pfSense propose (naturellement) Squid, même si ce n'est pas la fonction d'un firewall, d'être aussi proxy.
Squid peut fournir des logs (fichiers access.log). MAIS ces logs ne sont PAS DU TOUT prévus pour passer dans syslog !
LightSquid, package complémentaire à Squid est un bon visualiseur de log.

azram · May 1, 2009, 8:46 AM

moi c est plutôt les logs de navigation qui m intéresse

lightsquid est une appli de pfsense et se gère dans la même interface ou est ce une appli indépendante
peux t on exporter ensuite le fichier access.log vers un disque nas ?

je vais étudier sa :o)

ccnet · May 1, 2009, 9:58 AM

En ce cas il n'y a pas à hésiter. Il faut absolument utiliser un proxy séparé avec squid et lightsquid, de préférence en dmz. Le proxy aura un disque suffisant pour y conserver les logs. Pas besoin de disque nas.

jdh · May 1, 2009, 11:25 AM

Dans mon entreprise, à côté du firewall, j'ai un proxy sous Debian avec Squid/squidguard + Lightsquid.

Cela fonctionne très bien : il faut juste que chaque PC soit en détection auto du proxy.

L'interface de visualisation de Lightsquid me semble très supérieure à Sarg, Webalizer ou autre.

Je n'utilise pas d'authentification (mais un filtrage basé sur l'adresse ip). J'ignore ce qu'il se passe avec authentification.

Juve · May 1, 2009, 6:50 PM

je suis aussi un adepte de la séparation des rôles.
J'ai un grand nombre de proxy squid en production sur base linux(centos 4 et 5 principalement).
Je conseil des machines avec un système de stockage performant (SCSI/SAS RAID 1) dédiées à ce rôle avec cache en AUFS sur une partition reiser montée en noatime