Débit réduit avec Règles de Pare-Feu LAN

LudoS4

Bonjour,
Merci pour vos reps, chris4916 oui tu as compris ma situation.

Pour les cartes INTEL quel chipset? Un modèle de carte à me conseiller?

Donc il faut que j'essaye de me mettre sur les 2 interfaces réseaux, que j'essaye en utilisant les alias et le bon ordre au niveau de mes règles LAN du Firewall et en épurant celles-ci, d'autres propositions?

Voici ma config:

Version 2.2.4-RELEASE (amd64)
built on Sat Jul 25 19:57:37 CDT 2015
FreeBSD 10.1-RELEASE-p15

You are on the latest version.
CPU Type Pentium(R) Dual-Core CPU E5200 @ 2.50GHz
2 CPUs: 1 package(s) x 2 core(s)

De plus mon FAI fibre est Completel

ccnet

Donc il faut que j'essaye de me mettre sur les 2 interfaces réseaux

Si je comprend bien vous utilisez une seule carte physique avec 2 ip pour Lan et Wan ?

Seul la carte LOGILINK est utilisé et configuré:

• 1 port pour la sortie WAN
• 1 port pour la sortie LAN.

Ou bien serait-ce une carte dual port ?

Quand cela sera éclairci …
Il n'est pas improbable que deux cartes physiques Intel type Pro 1000 changent significativement les performances.

LudoS4

Bonjour,
Oui 1 carte réseau LOGILINK avec une interface WAN et une LAN donc dual port

Pour la carte Intel PT GT OU CT?

C'est mieux d'avoir une dual pour le WAN et le LAN ou 2 séparés?

chris4916

Même si le choix d'un chip Intel pour la carte réseau est, dans l'absolu, un très bon conseil, (Realtek n'étant parfois pas très bien supporté) à mon avis il faut dissocier cet aspect "optimisation" du problème que tu rencontres.

En effet, si tu avais un problème de support de ta carte réseau, celui-ci existerait indépendamment des tes règles FW.

De même, ma proposition initiale qui est d'essayer en utilisant les 2 cartes pour s'assurer qu'il n'y a pas un souci de contention ou de mauvais support du hardware n'a pas beaucoup de sens, à la réflexion, si tout fonctionne bien avec une règle "allow any to any".

C'est pourquoi je pense plus utile, dans un premier temps, de ce consacrer aux règles.

Pour information, je viens de faire quelques essais de débit en m'appuyant sur le site que tu mets en lien et quelques essais avec speedtest.net

Les essais sont effectués depuis mon laptop en wifi via un point d'accès connecté à pfSense puis une liaison FTTH 100Mb/s
je n'ai changé aucun paramètre entre les différentes tests
je n'utilise pas de proxy pour les tests

• sur testdebit.info, j'ai un ping à 13ms, upload assez stable autour de 60 Mb/s et un download qui varie de 18 à 52Mb/s (18, 30 et 52 sur 3 tests à 5 minutes d'intervalle)
• sur speedtest.net, un ping à 6ms, upload autour de 60Mb/s également et un download qui varie entre 55Mb/s et 60Mb/s

ce que je veux illustrer par là, au delà des valeurs brutes qui n'ont pas un grand intérêt dans ces conditions de test, c'est la variabilité du résultat.

EDIT: pour compléter le test ci-dessus, je l'ai refais depuis une machine connectée sur le LAN (réseau 1 Gb/s).
toujours vers tesdebit.info, ping à 12ms, upload à 95Mb/s et download à 99,99Mb/s (ce qui me parait très bizarre quand même).
A préciser que dans les 2 cas, je me suis contenté de cliquer sur le lien par défaut pour lancer le test et que les 2 machines sont des Win7 avec Firefox.

ccnet

C'est mieux d'avoir une dual pour le WAN et le LAN ou 2 séparés?

Séparées.

jdh

Concernant les cartes réseau, (pour compléter ccnet) :

• les meilleurs chipset sont Intel, donc à privilégier les cartes Intel Pro 1000 (DT ou autres)

• l'idéal est N cartes simple port : chacune a son chipset

• une carte dual port (ou quad port) utilise une seul puce (au mieux 2 pour quad port) : la performance est inférieure à 2 ou 4 puces (2 ou 4 cartes simple port)

• la performance aurait pu être meilleure avec WAN et LAN sur LOGILINK et TPLink (plutôt que sur les 2 ports de la LOGILINK) : raison évoqué au dessus

• les cartes LOGILINK ou TPLink sont 'exotiques' et ne devraient pas être utilisé en contexte pro : j'ignore la qualité des drivers BSD pour ces cartes

NB : la référence indiquée (LOGILINK pc0075) indique bien dual port, ce qui colle avec le 'texte' ('seule carte est utilisée').

LudoS4

Vous pouvez rapidement m'expliquer comment se configure un alias? Ma manière est-elle correcte? J'ai fais un seul essai avec plusieurs ports saisis dans un alias et ALLOW.

Mais le net ne fonctionné pas.

Destination port range il faut renseigner les 2 onglets?

chris4916

Si tu saisis les "from" et "to", ta règle va couvrir un intervalle. Avec un alias de type port tu devrais (mais je n'en utilises pas) te contenter de "from", lequel contient (je suppose car tu ne le montres pas) des valeurs multiples.

baalserv

Bonjour,

Pour l'alias c'est bon comme tu à fait en le renseignant dans ''from'' et ''to''

Par contre pour la source il est nettement préférable de la préciser (ex: lan subnet) plutôt que ANY

Cdt

LudoS4

Merci,
Lansubnet n'est pas disponible comme option je remplace par quoi?

Si je créer une règle regroupant mes ports lan Ethernet et que l'active avec l'alias de tous les ports concernés ça devrait fonctionner?

chris4916

@LudoS4:

Lansubnet n'est pas disponible comme option je remplace par quoi?

Tu as montré dans une copie d'écran précédente que tu avais un "LAN net".
Celui-ci a disparu ?

@baalserv

si tu renseignes à la fois dans "from" et "to" une variable qui a plusieurs valeurs, comment l'alias fonctionne t-il ?
par exemple j'ai un alias qui regroupe les ports 21, 22, 25

Selon l'interface, si tu définis un port unique dans "from" ça fonctionne.

Specify the port or port range for the destination of the packet for this rule.
Hint: you can leave the 'to' field empty if you only want to filter a single port

mais à partir du moment ou tu mets une valeur également dans "to", est-ce que avec mon alias ci-dessus les ports 23 et 24 ne vont pas également être ouverts ?

Je vais faire le test  ;)

EDIT: et donc j'ai fait le test… avec un deny + log parce que c'était plus simple dans mon cas mais le fonctionnent reste le même.
un range peut-être défini dans un alias (en séparant les ports par une virgule) mais le fait d'utiliser un alias avec de multiples ports à la fois dans "from" et "to" ne génère pas d'intervalle. Pour aller au bout du test, j'ai configuré l'alias dans le champ "From" uniquement et ça fonctionne correctement ;-)

baalserv

@ LudoS4

Dans source, la ou est renseigner ''any'' c'est un menu déroulant et pf propose une liste en fonction des interfaces deffinie  ;)

@Chris4916

Quand on renseigne un alias dans ''from'' et que l'on ''tabule'' pf le renseigne d'office dans ''to''

LudoS4

Bonjour,

Je reviens vers vous après un premier test:

En noir ma config actuelle on utilise le PFSense pour le net avec DHCP & DNS EXTERNE 2 serveurs interne débit 90Mb/s symétrique

En rouge la config avec le DHCP du serveur qui pointe sur le DNS du PFSense qui est activé.

Dans le cas rouge j'ai de nouveau mon problème de débit, en gros des que je pointe sur le dns du pfsense j'ai un débit cacahuete de 25Mb/s (test éffectué avec testdebit.info)

Demain je teste DHCP + DNS sur pfsense sans passer par aucun serveur de mon réseau local.

La carte réseau vous pensez qui me fait défaut? Ca y ressemble de plus en plus en tout cas.

baalserv

Bonjour,

Dans le cas de la config ''noire'' vous n'avez pas de pb de débits avec DHCP&DNS sur serveur interne.

=> c'est pour moi la config idéale car c'est votre DC qui gère le DHCP & DNS (c'est le fonctionnement que je choisis dès lors que j'ai un DC sur site)

Config ''rouge'' :

=> Je comprend pas la baisse de débit MAIS surtout je ne comprend pas l'intéret de ce design en comparaison de la config ''noire'' ?

LudoS4

Dans le cas ROUGE c'est le serveur 192.168.1.100 qui distribue le DNS du pfsenses (après aucun intérêt c'est juste un test),

Ce que je vais tester demain c'est dhcp et dns sur pfsense test de débit,

Et dans la foulé si je peux séparé le WAN et le LAN un sur chaque carte réseau et non pas sur la même (logilink)

chris4916

Il faut faire la part des choses:

• DHCP est utilisé une seule fois (pour simplifier) à l'attribution de l'adresse IP ou le renouvèlement du bail.  Il n'y a pas d'impact en terme de performance sur le débit réseau. Même si le serveur DHCP s'arrête, ça ne présente pas de problème.
• Sur la base de ce que tu décris, il semble que l'utilisation du DNS de pfSense entraine une chute importante de débit, ce qui est assez surprenant car sauf a faire de nombreuses résolutions différentes, les caches aux différents niveaux devraient masquer les différences de performance intrinsèques de chaque DNS (cas où ton DNS Windows est par exemple plus performant que ton DNS pfSense)

Es-tu certain que ton DNS sur pfSense (resolver ou forwerder) est bien configuré ?

Je suis d'accord avec les choix de baalserv (et je fais généralement la même chose  ;) ). Le point qui me parait surtout important ici, c'est que, si tu dissocies DHCP et DNS (local), il faut t'assurer que les machines qui se voient attribuer une adresse IP par le serveur DHCP s'enregistrent bien (surtout si ce sont des serveurs) sur le DNS qui est utilisé pour résoudre les noms locaux, soit parce que c'est e serveur désigné pour cet usage soit par transfert de zone.

Juve

Etrange. DHCP et DNS n'ont aucun effet sur le débit.
A priori dans votre cas je partirai sur deux pistes :

• probleme de tso sur une des cartes
• routage asymetrique

Pour evacuer l'une ou l'autre pouvez vous fournir un schema avec chaque element de la chaine et leur adresse ip.

LudoS4

Bonjour voici la suite de mes tests:

Toujours sans règles pare-feu LAN

J'ai DNS et DHCP sur le pfsense débit –> DL 91Mb/s UP 93Mb/s

Demain ou vendredi

• J'essaye les règles pare-feu que j'ai scindé en 2 voir 3 alias.
• De séparé le WAN et le LAN sur les 2 cartes réseaux.