Driver/Pilote

ccnet

Visiblement support 802.1Q et FreeBSD 4.X

Pfsense 1.2.3 RC1 utilise la version 7.1, comme la 1.2.2 (de mémoire, à moins que ce ne soit encore que 7.0). Vous pouvez aussi jeter un oeil sur le HCL de FreeBSD.

MrD

Re-re-re Bonjour à vous CCNET,

Tout d'abord merci de votre assiduité à me répondre! Ensuite, un mea culpa, je vous tutoyais alors que très poliment vous me vouvoyiez (orthographe?).

En continuant mes recherches je suis tombé sur 2 infos:

commandes "dmesg" et "pciconf -lv"
Ces dernières me permettent de constater que:
Mon ancienne et ma nouvelle carte utilisent le même pilote (et le même chipset): RealTek 8139.
Les IRQ de ma carte LAN et WAN sont différentes (16 et 19)
RealTek 8139 est bien supporté via le pilote (re)

A ce stade je n'ai pas de souci vu que c'est une config de test.

Cependant la question derrière ma situation est "Que puis je attendre de pfsense en terme de… évolutivité hardware /réparation /remplacement."
Autrement dit, sur une config type x86 avec un pfsense installé configuré avec une vingtaine de VLAN dans quelle mesure puis je compter pouvoir changer les élements suivants en cas de panne hardware:
RAM
Disque dure
NICs
CPU
Carte mère

Pour certain éléments comme cpu, carte mère, vaut il mieux réinstaller et ré-importer une config (est ce même faisable avec une config "complexe")?

Encore merci CCNET pour vos bonnes infos, je pense qu'en remerciement je baptiserai mon premier pfsense en production "CCNET".

David

@ccnet:

Visiblement support 802.1Q et FreeBSD 4.X

Pfsense 1.2.3 RC1 utilise la version 7.1, comme la 1.2.2 (de mémoire, à moins que ce ne soit encore que 7.0). Vous pouvez aussi jeter un oeil sur le HCL de FreeBSD.

Gertjan

Tout ces questions sont quasi inutiles - rassure toi  ;)

Pour que pfSEnse ce sente bien, utilise un 'vieux PC' de env. 3 à 5 années.
Sauf bien sur pour des projets genre mission critical, "avec des milliers des PC's" coté LAN : je te conseille de taper www.cisco.com au lieu de www.pfsense.com  :D

Evite les "dual cores dernière cri" ou autre GTX 285 - va au plus simple.
Il n'y pas de demande spécifique coté carte mère, si t'en trouve un sans chip set hyper sophistiqué : tant mieux. Pas de sont intégré : parfait - coté disque dur : même le PATA est plus que bien. RAM : prend le mêmes que pour tes PC's et c'est déjà trop.

Ah, oui : une chose !! dans la partie US de ce forum, j'ai toujours vu UNE réaction de la part des devs de pfSense (et tout autre fan de FreeBSD & Linux) : évite des cartes réseau qui ont une liaison avec Realtek. "Reste loin de cette marque et tout va bien".

Mais : j'ai trois systèmes pfSense, dont une avec QUE des Realtek, puis RAS depuis bien plus que 3 ans ^^

ccnet

De manière un peu plus raisonnée : http://www.pfsense.org/index.php?option=com_content&task=view&id=52&Itemid=49

MrD

Bonsoir Gertjan, Bonsoir CCNET,

Merci de vos retour, mais ma question concerne plus l'aspect panne/remise en route.

L'aspect "sizing"/dimensionnement, c'est à dire choisir sa config en fonction de ses besoins en terme de performances, bandepassante etc ne m'inquiete pas( plus), en effet j'ai trouvé les infos nécessaires sur le forum (en plus du lien de CCNET).

Prendre du matos de récup pour économiser est un aspect intéressant de pfsense qui en effet peut cadrer avec certaines situations que j'envisage mais pas toutes. En effet, une carte gigabit sans une interface suffisamment "large" et un cpu adapté ne cadrera pas avec mes besoins les plus gros.

Donc tout ça pour dire, que ma question est celle de la panne hardware et la remise en route.

Pour une config genre 4 NICs (2 wans, 1lan, 1 vlans):

• Que faire si ma carte mère tombe en panne?

• Puis je réinstaller une autre machine avec 4 nics et simplement restaurer un backup?
• Puis je remettre une carte mère de "spare" (même modèle, marque), le système supportera t il ce genre de manip?

• Même question pour le CPU
• Et pour les cartes réseau?

• Puis je installer une carte réseau à la place d'une autre?
  J'ai essayé entre deux cartes de marque différente avec peu de succès
• Je vais essayer avec deux cartes de même marque… (à suivre)

Mesurer les limites et possibilités du système me semble important, j'espère que ma question ne vous semble pas farfelue.
Je sais que ma question peut paraitre très pessimiste, n'y voyez pas un manque de confiance en PFsense (que du contraire).

Merci pour vos bonnes infos, pistes, idées, expériences

David

jdh

Concernant la 'high availability", il serait bon de regarder du côté de CARP.

J'ai du changer mes vieux firewalls en début d'année : j'ai choisi 2 hardwares neufs 1er prix (base Sempron + disque sata + carte type realtek) (par site).
J'ai été totalement bluffé par CARP.
Mais je n'ai pas encore trouvé comment remonter la bascule automatique (en fait je n'ai pas encore cherché mais je suppose que ce sera autour d'un nagios) …

ccnet

Absolument. Plutôt que de se préoccuper de changer des pièces le clustering est l'option à retenir. L'option récupération de matériel d'ancienne génération peut être envisagée. On trouve des lots de DL360 P III pour environ 100 euros l'unité. A ce prix là il est facile de changer une machine entièrement. Penchez vous sur les sauvegardes et restauration de configuration. Ne vous compliquez pas la vie à envisager de changer chaque pièce d'un serveur.
Je doute que vous soyez à un tel niveau en terme d'exigence de disponibilité. Quand bien même ce serait le cas, un cluster Pfsense et une troisième machine identique en secours devrait vous couvrir à 99,…. %

Gertjan

Ce qui concerne le remplacement d'une carte mère :
pfSEnse ne possède pas de paramétrage lié à la carte mère.
Ce règle s'impose : si FreeBSD 7.1 (en cas de version 1.2.3-RC1) s'installe sur la carte (lire : chip set, interface disque dur, processeur, …) pfSense fonctionnera.

Par mesure de précaution : en cas de changement de la carte mère, réinstalle pfSEnse.

Il faut comprendre le pfSEnse démarrera avec l'aide d'UN fichier : config.xml - ce fichier possède qu'un lien avec le hardware : les adresses MAC des NIC's utilisés.
On retrouve ce lien dans l'interface web de pfSEnse : le menu Interfaces => (assign)
Chaque NIC est reconnu grace à son MAC.
Du moment qu'on change un NIC (carte d'extension ou, attention, lui présent dans le chip set de la carte mère) pfSEnse doit être informé / re-paramétré.

Rien t'empêche de changer un NIC (PCI) contre un autre et de modifier le MAC correspondant dans le config.xml - si le fabricant et type est la même, donc le driver de FreeBSD sera la même, pfSense redémarrera sans aucun autre installation.
Ma façon de gérer le backup d'un PC : je n’en ai pas !!
J’utilise deux cartes PCI Intel dual NIC – et je n’utilise pas le NIC de la carte mère.
Avec ce config, je n’ai que à prendre une nouvelle ‘vieux’ PC, je désactive le NIC embarqué sur le mobo (ils l’ont tous une de ces jours) – remettre mes cartes NIC en place, installer pfSense sur le DD, importer mon config.xml et ça roule.
J’ai testé cette procédure, je suis UP en env. 30 minutes, pause café inclus.
Le jour ou ce 30 minutes est trop longue, je jetterai un coup d’œil sur le CARP.
Pour l’instant, pfSense sur un PC est beaucoup plus fiable que mon FAI, alors ^^^^

MrD

Génial,

Merci pour vos infos!

En effet j'avais vu CARP (pas encore testé)

Concernant les NIC et leur changement merci pour l'info, je vais regarder du fichier qui contient la mac adresse et faire des tests.

A propos des cartes réseau, ayant utilisé d'autres distrib orienté passarelle (IPCOP, Astaro) je trouve que le référencement de la carte par sa mac dans le menu de sélection de la carte est vraiment pratique, pour eut qu'on labelise les NICs avant de les monter dans le PC on sait facilement quelle NIC est quelle interface lors de l'installation.

Encore merci toutes vos bonnes infos

PS: une question subsidiaire, lors de l'install, PFSense installe t il sur le disque tous les drivers qu'il connait ou uniquement ceux dont il a besoin?
La question derrière ma question est si j'installe par la suite du nouveau matériel, dois je ré installer pfsense ou bien va t il recoonaitre et attribuer le driver adéquat à ce matériel (pour peut que le driver existe)?

Bonne journée.

David

ccnet

De mémoire, ils sont tous sur le disque. Je n'ai pas eu a réutiliser le cd après avoir ajouté une carte Intel double port. Je n'ai eu qu'à choisir le driver proposé, puis à créer mes interfaces.

Gertjan

@MrD:

PS: une question subsidiaire, lors de l'install,….

A mon avis, pfSense, coté OS, n'est rien d'autre que ça : ftp://ftp.freebsd.org/pub/FreeBSD/releases/i386/ISO-IMAGES/7.2/7.2-RELEASE-i386-livefs.iso
(le 7.1 chez Freebie n'existe plus - c'est le 7.2 la bas)
Pour voir ce qu'il contient, je t'invite à parcourir www.freebsd.org - c'est énorme, l'info qu'on trouve la bas.

D'ailleurs, il faut faire l'abstraction entre FreeBSD et pfSEnse.
L'un est un OS, qui permet 'de base' tout ce qu'il fait pfSEnse.
pfSense est la partie 'serveur pages web' plus des pages php (et bien d'autre chose encore …), qui permet de paramétrer (plutôt : totalement gérer) ton parafeu/routeur/serveur DHCP/..... /...... )

Le page d'accueil de www.pfsense.org donne un lien vers l'ancêtre de pfSense : http://m0n0.ch/wall/

La, on trouve en cinquante mots ce que c'est :

m0n0wall is a project aimed at creating a complete, embedded firewall software package that, when used together with an embedded PC, provides all the important features of commercial firewall boxes (including ease of use) at a fraction of the price (free software).
m0n0wall is based on a bare-bones version of FreeBSD, along with a web server, PHP and a few other utilities. The entire system configuration is stored in one single XML text file to keep things transparent.
m0n0wall is probably the first UNIX system that has its boot-time configuration done with PHP, rather than the usual shell scripts, and that has the entire system configuration stored in XML format.

ccnet

D'ailleurs, il faut faire l'abstraction entre FreeBSD et pfSEnse.

abstraction: nom féminin, (bas latin abstractio) :
Opération intellectuelle qui consiste à isoler par la pensée l'un des caractères de quelque chose et à le considérer indépendamment des autres caractères de l'objet.
In Larousse en ligne.

Pour vous dire que je ne comprend pas cette phrase, ni ce que vous voulez dire. Peut être vouliez vous dire, simplement, qu'il faut distinguer Pfsense et FreeBSD ?

Juve

Attention pfsense n'est pas construite sur une base freesbie mais dragonflyBSD et est considérablement allégée.

Concernant les drivers, tous les drivers réseaux fournis de base avec freeBSD (à build équivalente à celle de pfsense) sont intégrés en natif.

Gertjan

@ccnet:

Pour vous dire que je ne comprend pas cette phrase, ni ce que vous voulez dire. Peut être vouliez vous dire, simplement, qu'il faut distinguer Pfsense et FreeBSD ?

Même pas…..
'faire la différence entre' suffira largement.
J’ai posté trop vite, sans vérifier ce que j’ai choisi avec l’aide du Maj-F7.

Brèf, pour te dire, ccnet, ma femme (elle est française  ;) ) te donne raison.

Juve : bien sur. Le but de mon post est de proposer des liens qui peuvent donner tout l’information que MdR cherche.

MrD

Merci pour ces infos très très intéressantes!!!

A mon tour de vous donner une info (yes!!!), mon nic n'est pas Mdr mais MrD :D

Si non MdR m'a bien fait rire

Bonne journée tout le monde

David (comme dans MrD ou l'inverse)

@Gertjan:

@ccnet:

Juve : bien sur. Le but de mon post est de proposer des liens qui peuvent donner tout l’information que MdR cherche.

MrD

Hello Gertjan,

@Gertjan:

Il faut comprendre le pfSEnse démarrera avec l'aide d'UN fichier : config.xml - ce fichier possède qu'un lien avec le hardware : les adresses MAC des NIC's utilisés.
…
Rien t'empêche de changer un NIC (PCI) contre un autre et de modifier le MAC correspondant dans le config.xml - si le fabricant et type est la même, donc le driver de FreeBSD sera la même, pfSense redémarrera sans aucun autre installation.

Je viens de regarder dans le fichier config.xml, ma première remarque est "Que c'est propre!!!"

Ensuite pour revenir à la question des MAC adresse, je les retrouve bien dans l'interface web mais pas dans le fichier config.xml
Est ce mon fichier qui n'est pas bon ou bien est ce dans un autre fichier que se trouve l'info?

Merci pour ton avis

David

Gertjan

Bien vu - je suis surpris moi même.
Je retrouve que son 'nom' donc mon Opt1 s’appelle à l’interne, comme 'fxp0'.

Donc pfSEnse utilise ces noms pour identifier les cartes - pas les MAC.

Inutile de dire que dès que tu change l'ordre des ces cartes dans le PC, que l'attribution des noms change.
Par exemple sis0 devient sis1 et vis versa.