Pfsense + 2 ligne adsl
-
bonjour
je dispose de pfsense 1.2.3 et j'ai 2 lignes adsl : ADSL 1 et adsl2
je dispose dans mon lan de 2 population P1 et P2 je veux que la population P1 puissent sortir à travers adsl1 et population P2 puissent sortir à travers adsl2 et ceci à travers leurs @ ip
je me demande comment le faire
-
Les deux populations P1 et p2 seront chacune dans réseau spécifique. Chaque réseau étant connecté à une interface spécifique sur Pfsense, physique ou Vlan. Pensez à la mise en ouvre au niveau des switchs.
Le lan P1 aura Wan (donc par défaut) en Gateway et lan P2 aura ADSL2. Ce sont les grandes lignes, lisez les documentations. C'est assez simple à mettre en œuvre. A condition que vous ayez posé la totalité du problème (le besoin), et là franchement je n'en suis pas convaincu. En fait pourquoi sortir par deux lignes ADSL différentes ? Tiens, oui, pourquoi ? -
en faite la population P2 est VIP , donc on n'autorise pas un lenteur ou une saturation de ligne c'est pourquoi on les a reservé un adsl
pour la population P1 non VIP il partage le ligne adslj'ai installer un pfsense avec trois cartes 1 pour le lan et 1 pour adsl1 et 1 adsl2
je cherche une configuration pour dire à pfsense que les utilisateurs ayant une @ ip appartenant à la P1 vont sortir par adsl1 et utilisateurs ayant une @ ip appartenant à la P2 vont sortir par adsl2
quelqu'un à une idée ou pourra m'orienter vers une documentation ????
-
dire à pfsense que les utilisateurs ayant une @ ip appartenant à la P1
Je viens de vous dire que les utilisateurs de P1 et de P2 doivent être sur des réseaux, sous sous réseau différents.
Puis dans les règles selon trafic (http, https, …) et sources il suffit de changer la gateway pour sortir d'un côté ou de l'autre.en faite la population P2 est VIP , donc on n'autorise pas un lenteur ou une saturation de ligne c'est pourquoi on les a reservé un adsl pour la population P1 non VIP il partage le ligne adsl
Aucune donnée chiffrée ne permet d'apprécier votre problème et la pertinence de la solution. A mon sens il ne serait pas totalement inutile de regarder du côté de Squid. Et de la QoS. Je ne suis pas certain que l'usage de deux lignes soit la meilleure des solutions.
-
L'autre façon de raisonner est d'utiliser 1 proxy (ou 2).
Schéma : Lan -> Fw -> Wan = Adsl1; + zone Dmz : Proxy -> Adsl2.
Les VIP ont un poste avec une config qui leur indique de passer par le proxy situé en DMZ.
Celui-ci dispose de 2 cartes : l'une en DMZ et l'autre relié à une box. (Il faudra une route pour accéder au Lan via l'ip DMZ de pfSense).
Le proxy est un simple serveur Debian avec Squid + SquidGuard + blacklist.
On y ajoute, via SquidGuard, un contrôle d'ip par exemple. (facile à contourner mais c'est déjà ça …)C'est de toute façon rationnel de mettre en place un proxy dès qu'il y a plus de 10 clients !
Et cela permet de filtrer au moins des blacklist, voire les virus, et c'est valable pour les VIP comme pour les autres.
(Car on découvre toujours que les VIP sont souvent les premiers sur des sites inutiles et non professionnels !)Je ne peux que plussoyer ccnet dans sa démarche à encourager/aiguillonner/titiller votre réflexion :
bien souvent, on cherche une solution technique (ici 2 ADSL) à un faux problème (ici les VIP ont BESOIN de vitesse).
en faisant cela, on imagine des trucs compliqués et donc difficiles à mettre au point et partant inefficaces !
Il est très étonnant que Squid (proxy) ne soit pas déjà LA BASE, car il y a le reporting : regardez donc les 100 premiers sites visités !
Il est notable que 60% du trafic est personnel dans les entreprises ...