[Résolu] PfSense 1.2.2 + VLANs + Procurve 2626
-
Le multilan sur interfaces physiques doit fonctionner sans problème. J'ai des setup avec des dizaines de LAN physiques…et des dizaines (ou centaines ;D) de milliers de sessions/s sans aucun problème. Pour IPV6....c'est un problème d'argent et de retour sur investissement....quand les offres IPV6 "bout en bout" seront généralisées les outils suivront (enfin espérons-le :) )
Je suis d'accord pour la partie ADSL/SDL pour equilibrer flux métiers et surf, c'est la tendance actuelle. Il faut juste avoir un bon nombre de lignes pour éviter les étranglements en uplink et prioriser les ACK sur les SYN.Enfin pour tout le reste...ce sont des sujets ouverts à de vastes débats. ;D
Enfin(bis) la présence de la gestion des bits TOS dans les règles de QOS n'est là que pour assurer une compatibilité avec un maximum d'équipements déjà en place. Là encore, ce type de technologie, même dépassée, est encore largement utilisée (même dans les très grosses infra).
-
Certe le TOS est encore largement utilisé, mais cela ajoute à la confusion des utilisateurs, qui se retrouvent avec un fouillis QOS qu'aucune interface graphique ne saura démèler.
Dans la pratique, le TOS pour l'utilsateur en entreprise n'a pas vraiement d'intérêt puisqu'on trouve dans la plupart des matériels et logiciels actuels d'entreprise le DSCP, qui est la norme en vigueur.
De plus les opérateurs français ne prennent pas en compte la QOS TOS/DSCP en provenance du WAN de l'entreprise, sauf contrats très spéciaux et hors de prix. Il est donc un peu inutile dans un logiciel destiné aux entreprises de mettre les anciennes définitions TOS sous prétexte de compatibilité avec les grandes installations des opérateurs.
Mettre les deux définitions me semble le plus judicieux, avec un choix par menu, et éventuellement pour les nostalgiques du TOS la visualisation de l'interdépendance de chaque bit sur les deux normes.
Par exemple, beaucoup confondent COS (class of service), qui est une prioritisation niveau 2 par l'entête VLAN, avec TOS, DSCP, lorsqu'on parle d'IP precedence on ne sait pas très bien s'il s'agit de l'entête VLAN 802.1p ou des trois premiers bits du DSCP, etc etc.
Tout cela est pourtant très clair techniquement, malheureusement le foutoir des interfaces et des documents disponibles sur la QOS plongent l'utilisateur dans un profond désaroi, au point que 99,5 % des switchs et routeurs supportant la QOS en entreprise sont toujours laissés sur leur réglages par défaut, sans QOS.
Il est vrai aussi que les opérateurs en France ne font rien pour développer la QOS, et qu'il la freine certainement volontairement, pour éviter une bascule trop rapide de la téléphonie RTC vers la téléphonie et les services IP temps réels, alors que leurs connaissances et leurs infrastructures ne sont pas encore prêtes. C'est bien dommage, car 98 % des problèmes de qualité en IP proviennent d'une dégradation du timing des trames au sein des réseaux opérateurs.
Il faut absolument faire cesser cette croyance qui arrange les fabricants de switchs d'entreprise, qui est de croire que la QOS sur les switchs va résoudre les problème de qualité audio en téléphonie IP. C'est totalement faux.
La qualité en IP temps réel commence sur le routeur wan de l'entreprise, ou le flux montant doit particulièrement être soigné par les règles QOS, mais aussi et surtout chez les opérateurs, qui pour la plupart n'ont pas envie de se prendre la tête avec de nouvelles offres QOS et une refonte du réseau IP européen pour prendre en charge la QOS à cet échelon.
L'utilisateur final, ou administrateur, a besoin de voir les choses clairement, car il n'a pas forcément la culture informatique d'un ingénieur passionné qui connait l'historique de toutes ces normes.
C'est pour cela que je pense que les interfaces graphiques doivent être plus soignées encore que ce qu'on trouve actuellement, pour aider l'utilisateur à ne pas se mélanger les pinceaux dans le monde complexe du routage et de la QOS.
C'est encore plus vrai avec IPv6, où les interfaces graphiques des logiciels vont jouer un grand rôle dans l'éducation des administrateurs (Cisco n'a jamais compris cela :=)
Je vous donne un simple exemple :
Dans Pfsense 1.2, pour un sous réseaux 192.168.100.0/24, l'interface gui pour le serveur DHCP donne la zone d'adresses disponible suivante (available range) :
192.168.100.0 à 192.168.100.255
l'utilisateur moyen va tout de suite penser qu'il peut utiliser toutes ces adresses dans sa plage d'adresse DHCP, alors que :
192.168.100.0 est inutilisable, c'est l'adresse du sous réseau
192.168.100.1 est inutilisable, c'est l'adresse du firewall (en général)
192.168.100.255 est inutilisable, c'est l'adresse de broadcast du sous réseau.
Tout cela pour dire que vu le temps, les mois, les années, que les développeurs passent sur la programmation de leurs projets, qu'il soit opensource ou commercial, une toute petite partie de ce temps devrait être consacré à l'amélioration de l'interface graphique. Elles seraient alors splendides et très pédagogiques.
Il existe aujourd'hui des outils de programmation fantastiques pour des interfaces graphiques très réactives en web 2.0, mais même en html basique, il est possible de faire simple, ergonomique et facile d'utilisation.
Je ne comprends pas comment des projets sur lesquels il y a des dizaines de milliers d'heures de programmation puissent se retrouver avec des interfaces moyennes, qu'il s'agissent de PFsense, qui est un des mieux placés, comme les autres.
Peut être faudrait il que des débutants se penchent sur les interfaces, afin de faire remonter aux programmeurs leurs incompréhensions.
-
Bonjour à tous et petite question à ccnet,
Comment fais tu pour supprimer la configuration de la carte en tant qu'interface.
J'ai regardé sur ton lien et cherché dans les menus pfsense sans succès
J'ai essayé via le menu ligne de commande là non plus je n'ai pas trouvé/réussi.
… je supprime, dans la configuration la carte en tant qu' interface, puis je créé les Vlans sur cette carte. En d'autre termes je n'utilise pas une carte physique à la fois comme interface et comme Vlan. Je suis souvent obligé de redémarrer Pfsense.
Ainsi que ce lien : http://doc.pfsense.org/index.php/HOWTO_setup_vlans_with_pfSenseSi vous avez l'info ou même un piste je suis preneur.
David
-
Deux questions au préalable pour tenter de vous aider :
1. Combien de cartes physiques avez vous sur votre système ? Lan et Wan ne peuvent pas être supprimées.
2. Si vous avez au moins 3 interfaces physiques, supportent elles les vlans ? -
Hello,
Merci de ta rapidité!
J'ai 4 cartes, je n'en utilise que 2.
Et en effet j'ai constaté que LAN et WAN ne se supprimaient pas.
Oui mes cartes supportent les vlans.
Si j'ai bien lu entre les lignes tu va me proposer de mettre le LAN sur une interface non utilisée (connectée à rien ) et une carte opt dont je me servirai réellement pour le LAN (donc mes vlans)…
C'est bien ça?
Si non pour le moment mes vlans sont OK, bien créés sur le pfsense et sur le switch.
En fait je suis en train de prendre pfsense en main, j'envisage une mise en production d'ici un bon mois. Donc je teste les différentes fonctionnalités
Deux questions au préalable pour tenter de vous aider :
1. Combien de cartes physiques avez vous sur votre système ? Lan et Wan ne peuvent pas être supprimées.
2. Si vous avez au moins 3 interfaces physiques, supportent elles les vlans ? -
Si j'ai bien lu entre les lignes tu va me proposer de mettre le LAN sur une interface non utilisée (connectée à rien ) et une carte opt dont je me servirai réellement pour le LAN (donc mes vlans)…
C'est bien ça?
Non.
Si non pour le moment mes vlans sont OK, bien créés sur le pfsense et sur le switch.
Quel est alors le problème ?
-
Hello,
Arf, perdu, pas trouvé…
Et bien, je n'ai pas de problème, mais lisant le post et voyant qu'il était possible de désactiver l'interface LAN, j'ai essayé de le faire sans succès.
Je suis en train de tester pfsense en vue de mettre en prod dans les mois qui viennent et j'essaie les configs et paramètres qui correspondent le plus à ma situation.
J'essaie de tirer de pfsense le plus possible en termes de sécurité et fonctionnalités.Donc désactiver l'interface physique lan (untagged par nature) et garder les vlans sur cette interface m'intéresse.
Si je n'y parviens pas, ce n'est pas grave mais si je peux le faire pourquoi s'en priver?
David
Si j'ai bien lu entre les lignes tu va me proposer de mettre le LAN sur une interface non utilisée (connectée à rien ) et une carte opt dont je me servirai réellement pour le LAN (donc mes vlans)…
C'est bien ça?
Non.
Si non pour le moment mes vlans sont OK, bien créés sur le pfsense et sur le switch.
Quel est alors le problème ?
-
La question n'est pas de s'en priver ou pas mais d'en avoir l'usage. Pour répondre à votre question :
1. Interfaces: Assign supprimer la carte à utiliser pour les vlan (par exemple OPT2)
2. Interfaces: VLAN : cliquer sur le + et sélectionner la carte non assignée pour y mettre un ou plusieurs Vlans.
3. Interfaces: Assign pour utiliser le Vlan créé
4. Redémarrez Pfsense. -
Merci ccnet,
Et donc si g bien compris, cette manip ne peut pas être faite avec l'interface "LAN" vu qu'on ne peut pas la supprimerIl faut donc que les interfaces virtuelles des VLANs soient créés sur une autre carte réseau/interface que la carte "LAN"?… (donc une carte OPTx)
David
La question n'est pas de s'en priver ou pas mais d'en avoir l'usage. Pour répondre à votre question :
1. Interfaces: Assign supprimer la carte à utiliser pour les vlan (par exemple OPT2)
2. Interfaces: VLAN : cliquer sur le + et sélectionner la carte non assignée pour y mettre un ou plusieurs Vlans.
3. Interfaces: Assign pour utiliser le Vlan créé
4. Redémarrez Pfsense. -
Oui.
-
Merci ccnet.
Je continue dans mes tests et après avoir changé une carte réseau (changement/remplacement physique de carte), je remarque que c'est le foutoir.
J'ai bien ré-assigné les interfaces physiques via le menu mais ensuite la seule interface sur laquelle je peux me connecter à l'interface web de pfsense est mon interface LAN (que je n'avais pas supprimé, OUF!)Il a donc fallu que je recrée toutes les interfaces virtuelles des VLANs puis reconfigurer (une par une ces interfaces virtuelles (renommer, ré-attribuer IP, activer).
Notez encore que ce qui est trompeur, c'est que, connecté dans un VLAN (le 7) je recevais une IP mais ne parvenais à rien faire. En fait, après l'échange de carte réseau et la ré-assignation des cartes les VLANs sont toujours créés, le DHCP tourne mais les interfaces virtuelles ne sont pas créées/assignées. Donc je recevais une ip en 192.168.7.x (range de mon vlan7) mais ne parvenais pas à surfer ni atteindre l'interface web de pfsense!
Donc finalement est il si conseillé de désactiver l'interface physique LAN. Ne vaut il mieux pas la garder active mais reliée à rien et attribuer les vlans sur une carte/interface OPT qui elle est reliée au switch (et de là VLANs)?
Car visiblement cette interface LAN reste l'accès de secours à l'interface de pfsense en cas de problème…Je me suis permis de poster cette remarque ici vu que dans mes recherches autour des vlans et leur config je tombais souvent sur ce post.
J'espère ne pas dire une annerie...
David
Oui.
-
Donc finalement est il si conseillé de désactiver l'interface physique LAN. Ne vaut il mieux pas la garder active mais reliée à rien et attribuer les vlans sur une carte/interface OPT qui elle est reliée au switch (et de là VLANs)?
Personne, en tout cas pas moi, ne vous a conseillé de désactiver l'interface Lan, et encore moins la suite.
-
Pas de soucis CCNET, loins de moi l'idée de t'attribuer la suggestion de supprimer l'interface LAN.
Merci pour tes bonnes infos
Bien à toi
David
Donc finalement est il si conseillé de désactiver l'interface physique LAN. Ne vaut il mieux pas la garder active mais reliée à rien et attribuer les vlans sur une carte/interface OPT qui elle est reliée au switch (et de là VLANs)?
Personne, en tout cas pas moi, ne vous a conseillé de désactiver l'interface Lan, et encore moins la suite.