Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Virtual ip (VIP) vs interfaces physiques

    Scheduled Pinned Locked Moved Français
    6 Posts 3 Posters 1.6k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • C
      carbodebit
      last edited by

      Bonjour tous et bonne année.

      J'ai besoin d'un Pfsense avec 1 wan et 8 réseaux Lan distincts et isolés.

      • Ya t-il un inconvénient majeur à créer 1 lan + 7 virtual IP (VIP) ?
      • Est-ce qu'un Pfsense comprenant 8 interfaces physiques Lan sera plus performant et produira un routage meilleur ?

      Merci à celle ou celui qui prendra cinq minutes pour me répondre ou m'orienter.
      Bien à vous tous, communauté Pfsense.
      Jean-Marc.

      1 Reply Last reply Reply Quote 0
      • J
        jdh
        last edited by

        Il y a comme une incohérence entre "8 réseaux Lan distincts et isolés" et "1 lan + 7 virtual IP (VIP)".
        En effet, si les 8 réseaux sont distincts et isolés, il ne peut y avoir une machine connecté à chacun d'eux !

        Si on écrit "8 réseaux Lan distincts et isolés", cela veut dire 8 switchs distincts (réellement).
        Il serait alors logique de créer un pfSense avec 8 interfaces ethernet (2 cartes de 4 ports). Cela parait un peu onéreux mais c'est sécurisant.

        Il y a, sinon, possibilité d'utiliser des VLAN, ce qui suppose des switchs capables et une très rigoureuse gestion des branchements.
        (La plupart des postes utilisent des cartes où le VLAN est peut-être difficile à définir, d'où la définition au niveau du switchs.

        En tout état de cause, ces 2 méthodes font apparaitre autant d'interfaces  (LAN1, LAN2, …) que nécessaires.
        Et il faudra, surtout, créer les règles d'interdiction dans l'interface de gestion de pfSense ...

        Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

        1 Reply Last reply Reply Quote 0
        • C
          ccnet
          last edited by

          Même interrogation de mon côté. Dans la mesure où vous souhaitez disposer de 8 réseaux séparés et bien cloisonnés, il vous faut donc créer des vlans. Les VIP c'est autre chose.
          Sur la conception de cette architecture quelques remarques.
          La solution de jdh hors Vlan est bien sûr tout à fait recommandable.
          8 réseaux distincts nous sommes donc dans un environnement professionnel a priori. Le besoin de sécurité semble assez important d'après votre post initial. Travaillons donc de façon professionnelle. Ma recommandation serait donc la suivante : placer 3 interfaces physiques distinctes sur Pfsense. Une pour wan, une pour le lan sur lequel l'accès à l'interface de gestion est disponible et une troisième carte qui ne comportera aucun réseau connecté mais la définition des 8 Vlans. Dédier une interface à l’administration est souvent une sage précaution, le trafic étant chiffré sur ce réseau. Une authentification forte peut être souhaitable. La gestion des switchs est alors un point critique pour les raisons indiquées.
          Un point peu connu mais pourtant mentionné par l'ANSSI : les cartes ethernet multiports sont moins sûres que les cartes physiques individuelles.
          http://www.ssi.gouv.fr/IMG/pdf/2011_12_08_-Guide_3248_ANSSI_ACE-_Definition_d_une_architecture_de_passerelle_d_interconnexion_securisee.pdf
          Page 12 - 3.5 Je cite :

          En effet, les cartes disposant d'interfaces multiples ne comprennent bien souvent qu'un unique composant réseau connecté à toutes les  interfaces. Le cloisonnement physique n'est donc pas réellement assuré en cas d'utilisation de telles technologies car tous les flux sont mélangés au sein d'un même composant.

          Après c'est une question d'appréciation du niveau de risque que cela représente.

          1 Reply Last reply Reply Quote 0
          • C
            carbodebit
            last edited by

            Re…
            Merci pour vos réponses très documentées.
            Veuillez m'excuser car je me suis mal exprimé.
            Pour l'exprimer autrement, j'ai besoin de:

            • 1 wan connecté à Internet (avec du nat 1:1)
            • 8 sous-réseaux lan indépendants (sous openwrt)

            Ma question était de savoir qu'elle était la meilleure solution:

            • Pfsense comptant 1 wan + 8 lans dotés chacun d'une interface physique.
            • Pfsense avec 1 wan + 1 interface physique configurée en 1 lan + 7 VIP

            Vous semblez indiquer qu'il vaut mieux en passer par les vlan.
            C'est à dire:

            • Pfsense avec 1 wan et 1 lan disposant de 8 vlans. (voire en + une interface indépendante pour définir les vlans)

            Ai-je bien compris ?
            Encore merci.
            jean-marc

            1 Reply Last reply Reply Quote 0
            • C
              ccnet
              last edited by

              • Pfsense comptant 1 wan + 8 lans dotés chacun d'une interface physique.
              • Pfsense avec 1 wan + 1 interface physique configurée en 1 lan + 7 VIP

              La seconde solution telle qu’énoncée ici n'est pas bonne. Voire impossible. Je ne sais même pas si on peut monter des VIP et les utiliser sur la même interface physique dans des numéros de réseaux différents sur Pfsense. Mais de toute façon cette méthode, si elle était possible, irait à l'encontre de votre besoin de sécurité (Lan distincts et isolés). Il n'y aurait aucun cloisonnement et n'importe quel utilisateur pourrait passer d'un réseau à l'autre en changeant d'ip, voire écouter tous les réseaux avec un peu de méthode et d'astuce. Il reste les vlans et dans ce cas c'est une interface physique et 8 vlans dessus. La solution lan + 7 Vlans ne fonctionne pas correctement.

              Ma question était de savoir qu'elle était la meilleure solution:

              Difficile à dire. Nous avons le choix entre :

              1 - Pfsense comptant 1 wan + 8 lans dotés chacun d'une interface physique.
              2 - Pfsense avec 1 wan + 1 interface physique configurée en 8 Vlans.

              1 - Équipement nécessitant 2 cartes quadri ports. Possible, mais voir la réserve de l'ANSI. Et surtout derrière il faut un switch par réseau.
              2 - On mutualise le switch qui est derrière avec les vlans. Mais si le switch tombe, tous les réseaux sont morts. On peut aussi clusteriser deux switchs ….
              Quid des manip possibles des utilisateurs pour changer de réseau, ou de vlan ? Comment maintenir l'isolation ?

              Je pourrai multiplier les exemples. Pas le temps.

              Comme vous le voyez tout dépend de vos besoins de sécurité tels que vous les avez évalué (critères DICT), des facteurs de risque liés à votre contexte et de l'intensité de l'impact si le risque se matérialise.
              La facilité d'administration, sa complexité, donc risques d'erreurs, les compétences disponibles tout cela fait partie de l'analyse DICT.
              Il n'y a que cette réflexion qui permet d'orienter le choix avec pertinence. De plus il y a la contrainte budgétaire éventuelle.
              Encore une fois une interface d'administration dédiée semble nécessaire.
              Voilà pourquoi, avec les éléments disponibles, je ne sais pas répondre à votre demande. Il y a trop de choses que j'ignore.
              On dira que, peut être, la solution 1 est finalement plus simple. Sous toutes réserves.
              Attention au choix des cartes, prenez des Intels PRO/1000 les cartes bas de gamme (realtek) vont reporter une partie du travail (traitement des interruptions) sur votre processeur.

              1 Reply Last reply Reply Quote 0
              • C
                carbodebit
                last edited by

                Merci à vous pour ces éclairantes réponses.
                Je vais digérer tout cela.

                A moins de me contenter d'un 1 wan et un lan et de 8 sous-réseaux.

                Bien à vous.
                Jean-Marc.

                1 Reply Last reply Reply Quote 0
                • First post
                  Last post
                Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.