Pfsense dans un hotel
-
Je répète : les cartes réseaux sont critiques.
Effetivement la qualité des cartes réseau est critique :) et RealTek qui équipe beaucoup de configs est parfois extrêmement pénible et lent.
Mettre un chip Intel, c'est s'assurer qu'il n'y aura pas de problème de ce coté là.Proc i5 c'est du poste de travail.
En effet mais en quoi est-ce un problème ???
un autre lien qui décrit les besoins hardware pour pfSense
http://www.firewallhardware.it/en/pfsense_selection_and_sizing.html
La différence entre un serveur et un poste de travail, ce n'est pas vraiment le CPU, même si Intel et AMD ont tous les 2 des CPU plutôt dédiés à des machines de type serveur.
L'architecture de la carte mère, la possibilité d'avoir une alimentation redondante, la qualité du refroidissement sont des aspects autrement plus importants. -
Quand je dis I5 je voulais dire un bon proc quoi mais serveur bien évidement.
Il faut juste faire attention, il y a des i5 à 2 cœurs, ce qui peut être un aspect limitant.
Plus que la puissance brute du CPU, le nombre de cœurs risque d'impacter la performance. Nous discutons de machine pour faire du réseau: les 2 cibles sont la bande passante et le nombre de session.- le nombre de session va avoir un impact (quoique faible au final) sur la mémoire
- l'accroissement de la demande en bande passante va être géré plus efficacement avec une machine multi-cœurs qu'avec une machine pédalant très vite sur un seul cœur.
Mais dans ce cas je me pose la question, pourquoi avons nous le package proxy dans pfsense? ou c'est juste pour 4-5 users?
Ce n'est pas une problématique de puissance mais plutôt des considérations de sécurité et stabilité en terme d'exploitation.
Pour certains utilisateurs de pfSense, Squid ne fait pas partie de pfSense car c'est un package développé en dehors, ce qui présente potentiellement des risques. -
Afin de clarifier cet aspect "worstation" vs. "server", il est intéressant de regarder par exemple cette page de Intel qui compare un Xeon avec un i7.
La principale différence se situe au niveau du chip graphique intégré, inutile ici, ainsi que sur les aspects virtualisation qui ne sont pas non plus à considérer dans le cas d'un pare-feu.Ceci pour ce qui est du CPU ;)
En revanche, il y a potentiellement plus de différence au niveau des cartes mère, mais aussi plus de choix, ce qui rend la comparaison difficile.
Il y aura beaucoup plus de choix dans les cartes mère multi CPU à base de Xeon (bien que ça existe pour du i7 ;D) mais là on discute de pare-feu avec des capacités qui sont bien au delà du sujet initial (et bien au delà de la plupart des besoins du commun des administrateurs ;D ;D) si on se limite, et c'est le point important, à un pare-feu qui gère des fonctions de pare-feu, c'est à dire, grosso-modo, iptables et fonctions associées.L'ajout de services supplémentaires tel que du VPN, du proxy, de l'anti-virus etc… change considérablement la donne en terme de besoins hardware.
Si pour une raison quelconque, le choix final était de tout mettre sur une même machine, il convient de bine étudier le dimensionnement pour chaque service avant d'essayer de définir la machine cible, sachant que ce travail ne se limite pas à une simple addition de CPU et mémoire. Il y a par exemple des aspects relatifs aux I/O (disque) qui peuvent avoir des impacts très important en terme de performance.EDIT: le même type de page comparant le i5 avec un Xeon. Idem peu de différence, en apparence ;D le point important ici est le manque d'hyperthreading pour le i5. Mais encore une fois, )à mon avis ce n'est pas un souci dans la config dont nous discutons, pour du FW.
-
grosso-modo, iptables et fonctions associées.
Grosso-modo oui, donc pf et non iptable
Je pense aussi que les caractéristiques du matériel serveur (redondance des composants, ventilation, "endurance") sont essentielles pour l'usage prévu si vous ne voulez pas être en train de bricoler tous les matins. Idem pour la gestion hors bande donc à distance. -
Bonjour,
Désolé pour le retour tardif, dimanche très chargé!
En tout cas merci pour vos réponses, je vais donc d'abord voir en terme de services nécessaires puis je définirai le besoin en hardware. Pour le moment c'est qui est sur, c'est que j'aurai besoin des services primaires, firewall, squid, portail captif, gestion de ticket et un snort à long terme.merci
-
Hello,
Je me permets de revenir sur ce sujet…qui est toujours en phase de réflexion...et je me demande si au lieu de créer un user / mot de passe pour le portail captif, peut-on demander à ce que le user rentre son username / password mais comment faire pour "obliger" le client de rentrer son vrai nom? genre le username je veux que ce soir prenom.nom par exemple. Si y a un moyen de checker son identité quoi..
Merci d'avance,
-
la gestion d'un vrai compte pour tes clients est très probablement quelque chose de peu réaliste et certainement bien plus compliqué que ce que tu sembles imaginer (et là je peux t'en parler dans le détail car l'identity management, c 'est mon cœur de métier 8) ).
Pour les populations qui en ont un usage ponctuel, la technologie associée au portail captif est celle du voucher. Mais l'implémentation de pfSense n'intègre pas, à ma connaissance, d'extension permettant d'enrichir le fonctionnement de base afin de stocker des information nominatives et uniques pour identifier les personnes à qui un voucher a été alloué.Il te faut donc imaginer une solution externe (et ça me parait d'ailleurs préférable) pour maintenir une liste de à qui a été alloué un voucher et quand.
-
En posant ma question, je m'attendais bien evidement à une réponse de ce genre…mais je me suis dit je pose quand même, sait-on jamais :p
Bon ben je pense que je vais utiliser pfsense uniquement pour en faire un firewall / routeur.Merci
-
ça ne dépend pas de tes obligations légales en tant que fournisseur d'un accès internet publique ?
J'imagine qu'en tant qu'hôtelier, tu as obligation de garder une trace de qui tu héberges. Si tu crées un compte pour cette personne par exemple dans un annuaire LDAP, tu peux ensuite lui demander de s'authentifier avec un login style prenom.nom.quelquechose ou tout autre mécanisme qui rend unique ce login.
Le besoin d'unicité est lié au fait que tu ne devrait normalement pas réutiliser un compte existant: sur la simple base de prenom.nom, tu vas inévitable avoir des homonymes, probablement pas lors du même séjour mais il faut que ce lien compte <=> personne physique reste unique.Sur quelle durée ? je ne sais pas, c'est toi qui, en tant que fournisseur du service d'hébergement, sait quelles sont tes contraintes ;)
Si tu rentres dans le cadre de l'article 6‑I‑1 de la loi du 21 juin 2004 et du décret n° 2011-219 du 25 février 2011, la conservation des données, c'est 1 an ?
En plus ce domaine reste, dans ma compréhension, flou pour les cybercafés et hotspots (je pense que rentres dans ce cadre) car l’obligation est d'identifier les données de connexion mais pas les données liées au personnes.Bref, le débat est peut-être avant tout sur les aspects légaux à éclaircir avant de se lancer dans la solution techniques.
Dans tous les cas, si tu dois conserver des données, un proxy HTTP me semble indispensable.
EDIT: un article de la CNIL que tu connais peut-être déjà, qui traite du sujet.
-
Oui les délais sont de 1 an pour les logs, en tout cas en France.
J'aurai bien sur un proxy, mais je pense que je le mettrai sur un autre serveur comme vous me l'avez conseillé plus haut.
Concernant les logins, le but était de trouver une solution qui ne demande pas beaucoup d'effort à la réception :P mais qui permet tout de même d'avoir les vrais données des clients de l’hôtel
Sinon oui effectivement dans le logiciel de réservation, je peux voir qui était dans quel chambre à une date donnée et donc je pourrai fournir les logs nécessaires. -
si ça peut aider, j'ai mis en place une config pour un établissement de 40 chambres
en gros, l'idée c'est de faire très simple, vu qu'il y a une multitude de clients qui majoritairement n'a aucune idée de comment fonctionne un réseau, avec des équipement disparate (portable, tablette, pc, console de jeux etc..) et en plus le personnel n'est pas forcément qualifié, à autre chose à faire.j'utilise un portail captif avec une authentification par voucher
le serveur est un proliant dl380 sous esxi 5.5 (version gratuite) acheté d'occase chez ebay (avec une carte reseau de plus), attention, faut vraiment une pièce pour, ca fait un boucan d'enfer (dessus, j'ai ma vm pfsense, une vm elastix (voip), la vm du serveur squid)…le prix d'occase est tellement bas que j'ai prevus d'en acheter un 2° en "clone" en cas de panne hardware
2 box (orange et sfr)
voici en gros comment le réseau est fait
box orange ----------------- ----------------- Lan "administration" (192.168.1.XX via dhcp pfsense)
I -- pfsense----I
box sfr ---------------------- ----------------- Lan wifi client (portail captif 192.168.3.XX via dhcp pfsense)donc les réseaux client (les bornes wifi) et "administration" sont physiquement séparé et via pfsense je route chacun sur une box spécifique , il y a que le réseau "admin" qui a une régle en failover pour passer sur l'autre box en cas de coupure
l'idée est de faire en sorte que les clients ne sature jamais l'usage du lobby
un serveur squid sur une vm pour les logs, avec une petite gestion administrative des vouchers pour garder les traces n° du voucher/date/N°de chambre, juste un tableau en faite comme ca :
Code XXXXXXXXXX Code XXXXXXXXXXXXXX Date : Chambre :le 1er CodeXXXXXXXX est en coupon détachable , un coup de ciseau quoi, donc, le client vient, tu note la chambre la date et tu détache le voucher, (tu a donc gardé le double)..si un jours tu dois sortir des logs, tu aura les infos pour les retrouver et ca te prends 2s à la réception)..moi quant la page est finis, je la scan et la stock dans un dossier par semaine, comme ça je m’embête même pas à garder les papiers
quelques régles sur la boucle "wifi" (avec des limites de débits aussi)
je branche donc mes bornes wifi sur la boucle "wifi" tout est planqué dans les gaines techniques (pas hésiter à bien mailler le réseau) en mode point d'accès
j'ai séparé les SSID (wifi1, wifi2 etc..) mais là, plus par habitude (et surtout, si je met le même SSID sur mes bornes pour que les clients ne voient qu'un seul gros réseau, je ne suis pas certains de comment le roaming va être géré, hors dans un hôtel les gens se déplacent (terrasse/chambre/salon) et j'ai pas envie que la réception soit encombré par des gens qui viennent râler pour des questions de débits ou déconnexion etc..)
là mon système, c'est du fuck&forget ! tu file le voucher, 10s d'explication très simple et on ne revois plus le client.ça tourne sans soucis j'ai eu une pointe avec plus de 60 clients co en même temps cet été et tout à bien tenu
j'ai édité sur les 3 derniers mois pas loin de 1200 voucher (3 appareil / 4 jours par voucher) pour donner une idée du volume
ne pas hésiter à blinder la partie hardware (d'ou le serveur prolian, disque en raid0, etc..) en l'espace de 2 ans le nombre de connections a été doublé pour le même nombre de clients (et oui, il y a 2-3 ans, c'était juste le laptop, maintenant, c'est le téléphone, la tablette etc...donc je vois très souvent le clients utiliser les vouchers sur plusieurs appareils)le seul problème, c'est le portail captif quant les gens on une page https en défaut sur leur navigateur (mais ca, ce n'est pas de la faut de pfsense, mais du principe même du filtrage des adresses https par le portail captif si j'ai bien compris)...j'ai prévus de m'y pencher en 2016 ! (mais là, je suis sur autre chose qui me donne bien la migraine)
maintenant, j'attend plus que la fibre ! sniffff
-
la gestion par voucher simplifie la déclaration à la CNIL et certainement, comme tu le soulignes, l'administration à la réception.
La question qui me vient à l'esprit compte tenu de ce que nous avons discuté dans ce fil, c'est "où se trouve ton proxy HTTP" en terme de réseau et comment les utilisateurs (clients) en bénéficient-ils ?"
En fait, c'est un peu plus que "bénéficier": comment s'assurer que ton proxy est forcément utilisé car c'est, je pense, le seul moyen simple de générer des logs de connexion.
Si c'est un proxy transparent, as-tu déployé MITM ? dans le cas contraire, est-ce un problème de ne pas collecter les données de connexion HTTPS ?
Si c'est un proxy explicite (et donc WPAD ?) avant le portail captif, qu'est-ce qui empêche l'utilisateur d'accéder à internet si il a accès au proxy
Si c'est un proxy après le portail, comment as-tu résolu le fait que le client qui a chargé proxy.pac est intercepté par le portail captif alors qu'il essaie de se connecter sur un port qui n'est pas intercepté par ce dernier ?@Ahmed_F: Du coup, en écrivant ça, je ne comprends plus, il faut que je relise tes messages, pourquoi ça ne marche pas avec un proxy.pac derrière le portail captif. le navigateur cherche le proxy.pac/wpad.dat décrit dans DHCP/DNS. Si celui-ci est sur un réseau "externe", le client passe par le portail captif, charge le proxy.pac qui le pointe vers le proxy via le portail. à l’expiration du voucher, le portail ferme l'accès…
je vais faire un petit schéma ;)
EDIT: en dessinant le schéma, ça se clarifie un peu:
au démarrage, le browser va chercher le proxy.pac mais comme celui-ci est derrière le portail captif et que le portail n'a pas encore intercepté de requête "pour une page" sur le port 80, il ne peut pas rediriger vers une page d’authentification. -
Ah ben je vois que latitude a bien résumé le besoin!! en incluant même un autre service qui sera mis en place mais pas pour tout de suite : la téléphonie, pour ma part ce sera freepbx.
Concernant, le hardware, c'est bien ce que je pensais faire, un bon gros serveur avec des VM….Proxy, freepbx (et peut être pfsense, j'hésites encore à acheter le boitier)
Pour le https, je pensais mettre mitmproxy! A mon avis ça fera l'affaire.@latitude : tu sauras me dire la capacité disque stp pour les logs pendant un an?
Merci
PS : pout mitmproxy, je ne sais pas trop comment il s’intègre dans le lan pour le moment :P
-
Ah ben je vois que latitude a bien résumé le besoin!! en incluant même un autre service qui sera mis en place mais pas pour tout de suite : la téléphonie, pour ma part ce sera freepbx.
Concernant, le hardware, c'est bien ce que je pensais faire, un bon gros serveur avec des VM….Proxy, freepbx (et peut être pfsense, j'hésites encore à acheter le boitier)
Pour le https, je pensais mettre mitmproxy! A mon avis ça fera l'affaire.@latitude : tu sauras me dire la capacité disque stp pour les logs pendant un an?
Merci
alors, pour la place, je ne sais pas trop, en faite je ne me suis pas posé la question dans le sens où comme je fonctionne avec des vm, j'ai tendance à "charger" pour ne pas avoir à surveiller ces aspect là…surtout que sur le prolian tu peut mettre 8 disques, (j'ai 2 datastore de 1 TO en Raid 0, donc me reste encore 4 emplacements de libre).
mon serveur squid est une vm de 70go sous ubuntu 12.04LTS, dessus j'ai le serveur squid (1 an de log), un petit serveur web (intranet), et j'ai 14% d'occupation (system compris)
je peut pas aider pour la gestion du https par le portail captif, j'ai vraiment pas étudié la question, surtout que j'ai tendance à ne jamais trop toucher un truc qui marche bien ! (dernier reboot du serveur, donc de pfsense, il y a 247 jours à cause d'un coup de tracto-pelle sur un cable edf !)
attention pour la voip (elastix c'est du freepbx au faite), faire attention à la voie montant (l'idéal étant du xdsl symétrique) et l'autre truc, c'est que si tu perd la connexion adsl, tu perd le téléphone, (une coupure internet de 2h dans un hôtel c'est pas la mort, mais 2 h sans tél, c'est pas glop pour le boulot $$$)
pour cà que quant tu passe en voip, il faut pas hésiter sur les redondances (serveur, connex internet, alim électrique et garder une ligne analogique en dernier recours pour recevoir les appels si ton pbx est injoignable, c'est des redirection qui se réglent au niveau du fournisseur du trunk)je radote, mais l'important c'est faire simple et solide, et éviter de faire des truc "pour se faire plaisir", parce que quant tu va te faire dans les 6000 clients différents par an sur ton réseau, crois moi tu n'aura pas envie de te transformer en formateur pour tête à baffe !
pour le boitier, j'ai commencé avec un boitier alix avant de passer sur ma solution prolian, c'était pas mal au début, mais avec la monté en volume des co sur le réseau, je me suis retrouvé limité par le hard (en gros quant j'avais une vingtaine de personnes de co, régulièrement, le système s'écroulait et je devais le rebooter)
en passant sur le prolian, j'ai pu le chager en ressources et depuis plus aucun prob -
La question que je (me) posais était relative à la difficulté potentielle de faire cohabiter un portail captif et un proxy en mode explicite telle qu'on la discute par ailleurs dans ce fil qui est au final proche tu tiens en terme de besoin.
Avec un proxy transparent, il n'y a pas d’authentification utilisateur, le portail intercepte la requête et génère les règles FW après authentification. Mais l'emplacement du proxy transparent en dehors de pfSense… ce n'est pas simple.
D'où ma question @latitude ;)
MITM... c'est un autre débat. Je n'en vois pas l'intérêt sauf à vouloir faire tourner un antivirus y compris pour le contenu du flux encrypté mais si tu sais expliquer la valeur ajoutée, tu es le bienvenu ;)
Oui, c'est un moyen de faire passer le flux HTTPS par le proxy en mode transparent ;D est-ce le but de ce choix ? -
–-- edit --- séparation de la réponse en 2 pour suivre la chronologie
oups, j'avais pas vu le message entre temps, je ne sais pas si les question sont pour moi, mais je vais essayer de répondre quant même
alors, bien entendu je me rends compte des limites de mon installations, (et ces limites viennent de mes propres lacune technique)
j'ai mis un squid après le portail captif, ne pas oublier que les réseau sont physiquement séparé, le "flux" sur la pate Lan où sont les bornes wifi est (de mémoire):borne wifi------portail captif (lan wifi) -----règle du firwall pour envoyer tout le flux venant de la pate "wifi" vers le serveur squid(donc après l'authentification par voucher)-----serveur squid transparent -- retours vers pfsense (avec régle qui authorise le flux venant du server squid à sortir)---internet
voilà, c'est de mémoire, j'espère ne pas m'être mélangé les pinceaux
en tout cas, j'ai bien mes logs sur le serveur squiden réalité, vu que les logs sont juste une question réglementaire et que je ne les exploite jamais, le flux https....commetn dire....j'en m'en c.....un peu ;D
par contre j'ai ce soucis d'accès au portail captif quant les utilisateurs (surtout avec les laptop, pas de soucis avec les téléphones qui eux ouvrent direct la page de login du portail captif) on comme page par défaut de leur navigateur une page en https (google par exemple), je leur dit juste d'enlever le "s" et là çà marchebien entendu, il s'agit pour moi d'une solution qui est un compromis entre la simplicité, la stabilité et le respect d'un minimum de la réglementation et du niveau de mes compétences, il y a probablement mieux
-
Au fait @chris4916, il faut que j'arrive à avoir les logs même en https, du coup je t'avoue que je ne vois pas d'autre solution….
Personnellement j'ai utilisé une fois mitm sur Kali pour faire des test de sécurtié sinon implémenter mitmproxy je l'ai jamais fait....
Après si tu me dit qu'on mettant proxy sur pfsense ça fera l'affaire alors oui je suis pour en espérant que le pfsense puisse rester stable...!
@latitude : au fait je ne me suis pas du tout encore penché sur la question de la voip! je sais que elastix c'est du freepbx mais je pense qu'un freepbx simple fera l'affaire..à moins que tu puisse me donner la différence, sur google j'ai vu qu'elastix a du mal à évoluer...a voir.. -
ce que je dis, c'est juste que pour collecter les logs HTTPS, il n'y a que 2 solutions:
- proxy transparent + MITM
- proxy explicite
c'est tout 8)
MITM est de mon point de vue une solution… :o qui revient à casser le principe de HTTPS ::)
EDIT: (pour compléter ma réponse)
la discussion n'est pas, à ce stade "faut-il faire tourner le proxy SUR pfSense ?"
La réponse est probablement non sauf que si tu veux un proxy transparent, il faut, en série:
un portail captif => un proxy transparent => un accès internet sécurisé, pas nécessairement que pour le flux HTTP(S)Dans ces conditions, te faut-il un deuxième FW en série ?
-
Au fait @chris4916, il faut que j'arrive à avoir les logs même en https, du coup je t'avoue que je ne vois pas d'autre solution….
Personnellement j'ai utilisé une fois mitm sur Kali pour faire des test de sécurtié sinon implémenter mitmproxy je l'ai jamais fait....
Après si tu me dit qu'on mettant proxy sur pfsense ça fera l'affaire alors oui je suis pour en espérant que le pfsense puisse rester stable...!
@latitude : au fait je ne me suis pas du tout encore penché sur la question de la voip! je sais que elastix c'est du freepbx mais je pense qu'un freepbx simple fera l'affaire..à moins que tu puisse me donner la différence, sur google j'ai vu qu'elastix a du mal à évoluer...a voir..j'ai eu des petit soucis de config sur les dernière version de freepbx avec ovh (freepbx/elastix/xivo..c'est des surcouche à asterisk en faite)
(mais pas avec ippi par exemple)
donc j'ai préféré rester sur elastix, de toute façons ,en prod je préfère un truc un peu ancien qui marche sans erreurs..surtout en voip, je veux pas prendre de risques
après sur elastix tu as quelques add on intéressants (roomX, notamment pour la gestion des reveils)
pense à qui va utiliser l'interface, si c'est la stagiaire à la réception, tu n'aura peut être pas envie qu'elle puisse tripatouiller dans le config de ton asterisk
(donc moi j'ai mis un user réception qui n'à accès qu'à la gestion des réveils sous roomx avec une interface graphique simple et conviviale)je suis passé d'une solution numeris avec 2 T0 à une soluce voip trunk ovh 2 voies (illimités fixe et mobiles) …économie environs 100e/mois et en plus une gestion plus fine des dialplan (interdiction des 08, etc...)
-
les schémas de ma description précédente.
- le proxy transparent doit être la gateway par défaut de la machine qui héberge le portail captif. Donc c'est une machine "traversée" par tous les flux réseau (même si elle n'a qu'une interface ;))
- le proxy explicite se situe après le portail captif mais comme il est explicite, il ne voit que les flux HTTP et HTTPS
