Installer Pfsense dans un pc poste
-
Est ce que pouvez-vous me renseigner un (modem/routeur) qui pourra faire l'affaire ?
Il faut regarder dans la doc de ton modem. Il est très probable que celui-ci soit configurable en mode bridge.
S'il ne l'était pas, à peu près n'importe quel "modem/routeur ADSL" moderne sait faire ça.N.B: L'adresse IP publique est fournit par le fournisseur accès Internet et elle est dynamique , j'ai l’idée d'utiliser le DNS DYNAMIQUE ( NO-IP ) mais je ne sais pas vraiment comment l'exploiter
NO-IP (ou autre service de type DynDNS te permet d'enregistrer régulièrement ton adresse IP (dynamique) avec un fqdn qui lui est fixe, ce qui te permet d'accéder à tes services (ici par exemple le serveur VPN) en tapant un nom plutôt qu'une IP.
-Oui ce segment dispose d'une adresse IP Privée car c'est le modem qui joue le rôle du Serveur DHCP et il fournit l’accès à l'internet aux utilisateurs
-J'aurai pas besoin du DHCP provenant du modem car je vais mettre le Parefeu PFsense qui va separer les deux segements , jouera le role du serveur DHCP pour le LAN et utiliser le NAT pour permettre aux utilisateurs de LAN d'utiliser l'adresse IP Publique et accéder au net
-Est ce que grâce a la solution Bridged tous les utilisateurs auront accès Internet ?
-Le modem est connecté au réseau du FAI par un câble RJ11Oui bien sûr, derrière le pare-feu, et pour autant que tu les y autorises, les utilisateurs auront accès à internet.
Par rapport à ce que tu as aujourd’hui où ton modem/routeur rempli 2 fonctions distinctes :- modem (en quelque sorte bien qu'avec ADSL ce soit un peu différent)
- routage
en mode bridge, le modem se contente de fournir le service d'accès au réseau (modem) et toute la partie IP (et routage) est prise en charge par pfSense. ça ne change donc pas, fonctionnellement, par rapport à ce que tu as aujourd'hui, si ce n'est que pfSense va te permettre:
- des contrôles plus fins et plus précis
- des services complémentaires tel que le serveur VPN, ou comme tu l'as évoqué, DHCP, relais DNS etc…
-
Le réseau wifi est certes un problème. Surtout qu'il doit être déployé de la façon qui n'est pas la plus sécurisée.
Un pc utilisé comme firewall n'est pas la machine la plus sûre en terme de disponibilité pour faire du 24/7. Il est fort probable que celui ci tombe en panne assez vite. La disponibilité est aussi un des critères de la sécurité. Comme le boss à besoin de son vpn …Oui vous avez raison , donc je dois discuter avec le BOSS pour qu'il m'offre le budget et acheter l’équipement adéquat pour la disponibilité et la durée de vie de l’équipement
Bon pour la sécurité au niveau de LAN dans y aura un réseau WIFI , pour l'instant je suis débutant et je ne sais que le filtrage par Adresse MAC est ce que vous pouvez me renseigner d'autres solutions pour mieux sécuriser mon réseau local -
Le réseau wifi est certes un problème. Surtout qu'il doit être déployé de la façon qui n'est pas la plus sécurisée.
Un pc utilisé comme firewall n'est pas la machine la plus sûre en terme de disponibilité pour faire du 24/7. Il est fort probable que celui ci tombe en panne assez vite. La disponibilité est aussi un des critères de la sécurité. Comme le boss à besoin de son vpn …Vu comme ça pourquoi pas mais quelle est alors ta préconisation ?
- Un cluster avec CARP ?
- ou des solutions qui tomberaient moins en panne qu'un PC ?
Soyons clairs, la différence entre un serveur et un PC… ;D ;D ;D
- certes il y a des machines avec des alimentations redondante (ce qui est bien utile si on fait le pari que c'est l'alim qui va tomber en panne.
- la très grande majorité des cartes mères de PC supporte des contrôleurs disques qui offrent un RAID basique (à configurer au niveau du bios ;))
- on pourrait envisager d’agréger de cartes réseau 8)
mais tout ça ne relève pas de la différence entre un PC et un serveur.
Si c'est un problème de pièces en mouvement, pour avoir ouvert un Netgate il y a peu, je suis persuadé que son alimentation n'est pas plus solide que celle de mes PC :-\
Donc la solution "sécurisée", c'est CARP ?
-
Un serveur HP d'occasion , un dl 360G5, fera un excellent firewall avec Pfsense. On en trouve à 150 € et les pièces si besoin sont facile à trouver. Prenez en un avec alimentation redondante. Attention au niveau sonore et dégagement calorique toutefois.
Sur l'autre sujet (vaste) je n'ai pas le temps de développer. -
Oui vous avez raison , donc je dois discuter avec le BOSS pour qu'il m'offre le budget et acheter l’équipement adéquat pour la disponibilité et la durée de vie de l’équipement
Là est toute la question : quel est la préconisation de ce point de vue ?
Bon pour la sécurité au niveau de LAN dans y aura un réseau WIFI , pour l'instant je suis débutant et je ne sais que le filtrage par Adresse MAC est ce que vous pouvez me renseigner d'autres solutions pour mieux sécuriser mon réseau local
Le filtrage par adresse MAC n'est certainement pas un critère de sécurité car il est facile de changer celle-ci sur ta machine.
Tu pourrais envisager de mettre en œuvre "WPA2 enterprise" au niveau du wifi qui va demander une authentification Radius (mais ça veut dire une gestion de comptes, un serveur Radius…) bref, on sort largement du cadre d'un petit groupe de travail qui veut sécuriser la manière dont il accède à internet.Avec ce niveau de débat, il n'y a de toute façon pas de juste milieu :-X
-
Le réseau wifi est certes un problème. Surtout qu'il doit être déployé de la façon qui n'est pas la plus sécurisée.
Un pc utilisé comme firewall n'est pas la machine la plus sûre en terme de disponibilité pour faire du 24/7. Il est fort probable que celui ci tombe en panne assez vite. La disponibilité est aussi un des critères de la sécurité. Comme le boss à besoin de son vpn …Vu comme ça pourquoi pas mais quelle est alors ta préconisation ?
- Un cluster avec CARP ?
- ou des solutions qui tomberaient moins en panne qu'un PC ?
Soyons clairs, la différence entre un serveur et un PC… ;D ;D ;D
- certes il y a des machines avec des alimentations redondante (ce qui est bien utile si on fait le pari que c'est l'alim qui va tomber en panne.
- la très grande majorité des cartes mères de PC supporte des contrôleurs disques qui offrent un RAID basique (à configurer au niveau du bios ;))
- on pourrait envisager d’agréger de cartes réseau 8)
mais tout ça ne relève pas de la différence entre un PC et un serveur.
Si c'est un problème de pièces en mouvement, pour avoir ouvert un Netgate il y a peu, je suis persuadé que son alimentation n'est pas plus solide que celle de mes PC :-\
Donc la solution "sécurisée", c'est CARP ?
Du fait de mon expérience, je ne partage pas ces conclusions. Un cluster est une assurance supplémentaire en effet.
-
Quand on cherche "sagem fast 3304-v2", on arrive dès le premier lien sur 'Menara' ou 'Maroc Telecom'.
Dans le cadre de mon travail, je gère un site au Maroc, disposant de lignes ADSL, fournies par Maroc Telecom.
J'ai remplacé le matériel fourni par un (usuel) DLink DSL-320B, configuré en bridge. (Il existe une alternative en TpLink qui fonctionne tout aussi bien.)
Ces boitiers sont reliés à un pfSense (sur serveur Dell R210) en mode PPPoE, et donc avec ip publique directement au niveau firewall.Cela fonctionne bien, il suffit juste de bien avoir les identifiants PPPoE fournis par Maroc Telecom.
Comme d'habitude la phrase 'Le niveau de sécurité obtenu depuis votre configuration sera assez faible. Mais c'est un début.' n'appelait aucun commentaire mais l'a été …ce qui noie le débutant dans un discours totalement inutile !
Le niveau sera faible pour les raisons assez évidentes : matériel de type pc et non serveur ou appliance, admin débutant, ...
Mais 'c'est un début', qui est la phrase 'positive', n'est pas relevé : oui pour commencer comme ça, quand l'alim flanchera, on passe à une petite appliance, le tout sans commettre les erreurs d'ajouter un proxy ou un serveur de mail de la part de ceux qui écrivent 'je ne le fait pas mais ...' ! -
Quand on cherche "sagem fast 3304-v2", on arrive dès le premier lien sur 'Menara' ou 'Maroc Telecom'
Oui car l'entreprise est au Maroc et son fournisseur est Maroc Telecom
Cela fonctionne bien, il suffit juste de bien avoir les identifiants PPPoE fournis par Maroc Telecom.
J'ai les identifiants PPPoE
Bah tout a fait je suis débutant , et ce stage est pré-embauche j'aimerai bien montrer mes compétences pour atteindre ce poste la et prendre le maximum de l’expérience , je serai reconnaissant si vous m'aiderez par vos directives et vos propositions
on sort largement du cadre d'un petit groupe de travail qui veut sécuriser la manière dont il accède à internet.
Dans le réseau Local y aura un serveur dans je mettrai en place un active directory et sur le même serveur y aura un ERP pour gerer les processus de l'entreprise
-
@jdh:
Comme d'habitude la phrase 'Le niveau de sécurité obtenu depuis votre configuration sera assez faible. Mais c'est un début.' n'appelait aucun commentaire mais l'a été …ce qui noie le débutant dans un discours totalement inutile !
Si de ton point de vue c'est inutile, tu peux aussi t'abstenir d'y répondre.
Et, contrairement à toi (oui je sais, il n'y a rien de surprenant :P), cette phrase à propos de la faible sécurité de la solution m'a interpellé, d'où ma question.
Et j'ai bien fait puisqu'au final, en guise de sécurité, il est question de disponibilité du service.
Tu noteras bien sûr que je n'ai nullement l'intention d'aborder le débat de savoir si une interruption de service liée à une panne hardware était un problème de sécurité pour l'utilisateur. C'est à lui d'en décider mais au moins il sait à quoi s'en tenir.J'ai la prétention de croire que si je n'avais pas posé la question, seul ccnet, et toi bien sûr, avaient compris que la faiblesse évoquée était due à la potentielle indisponibilité de la machine.
Le niveau sera faible pour les raisons assez évidentes : matériel de type pc et non serveur ou appliance,
OK pour un serveur avec des composants redondants.
Pour ce qui est de l'appliance, comme je l'ai dit, j'ai ouvert un 4860. il n'y a aucune raison objectif pour que ce soit plus stable dans le temps qu'un PC moderne. Il 'y a qu'une seule alim, un ventilateur minuscule sur le dissipateur…
et si tu regardes un 2440, même petit dissipateur, pas de ventilateur et larges ouverture sur le capot, bien assez grosses pour y faire tomber sur la carte mère un trombone, une agrafe ou une rondelle en démontant un élément de rack.
Bref, l'appliance plus "solide" que le PC, certainement mais pas avec ces modèles ;)(Ce qui ne m'a pas empêché d'en acheter parce que, de mon point de vue, ce n'est pas un critère de sécurité mais uniquement de disponibilité du service)
Un gros serveur avec alim redondante, double NIC de partout etc... pourquoi pas, ça doit répondre à certains besoins.
Mais 'c'est un début', qui est la phrase 'positive', n'est pas relevé : oui pour commencer comme ça, quand l'alim flanchera, on passe à une petite appliance, le tout sans commettre les erreurs d'ajouter un proxy ou un serveur de mail de la part de ceux qui écrivent 'je ne le fait pas mais …' !
Contrairement à ce que ton esprit tordu imagine, je n'ai pas posé une question à propos d'un aspect négatif vs. le point positif que tu relèves mais parce que cette amorce de remarque sur la faiblesse relative de la solution sans plus de détail m’interpellait.
;D ;D ;D décidément, le proxy c'est ton cheval de bataille ::)
Il n'y a que toi pour en parler là :) -
@lamps8 :
Si j'interviens sur ce fil, c'est que je pense avoir une expérience pratique valable et correspondante au cas donné !
Ce que j'ai fait fonctionne et est une solution simple et efficace : un firewall pfSense (sur un vrai serveur) avec 2 lignes ADSL via des vrais modems fiables.
Ca fonctionne avec Maroc Telecom.Pour info, ce modem coute ~30€ en France mais est difficilement trouvable au Maroc : j'achète, je configure, j'envoie (et je facture).
-
@JDH :
on sort largement du cadre d'un petit groupe de travail qui veut sécuriser la manière dont il accède à internet.
J'aimerai que tu m'aides par ton expérience en implémentant cette solution surtout je suis débutant et je dois montrer au P.D.G que je peux faire du bon travail et ensuite avoir un budget pour financer les bons équipements
Pour info, ce modem coute ~30€ en France mais est difficilement trouvable au Maroc
Quelle est la référence du Modem , je pense qu'il sera disponible ici au Maroc
-
Et j'ai bien fait puisqu'au final, en guise de sécurité, il est question de disponibilité du service. Tu noteras bien sûr que je n'ai nullement l'intention d'aborder le débat de savoir si une interruption de service liée à une panne hardware était un problème de sécurité pour l'utilisateur. C'est à lui d'en décider mais au moins il sait à quoi s'en tenir.Tout le monde (iso 27000, divers méthodes, ANSSI, etc …), internationalement, est en ligne sur les critères de la sécurité du SI : DICT (Disponibilité, Intégrité, Confidentialité, Traçabilité). Une panne hardware (et les problématiques de disponibilité de service en général) fait bien partie des problèmes de sécurité. Il n'y a pas de débat à avoir sur ce point en effet. C'est comme cela que tout le monde travail. Toutes les grilles d'analyse de risques, d'impacts, d'évaluation du besoin de sécurité, de risques résiduels, etc comportent ce critère.
-
Tout le monde (iso 27000, divers méthodes, ANSSI, etc …), internationalement, est en ligne sur les critères de la sécurité du SI : DICT (Disponibilité, Intégrité, Confidentialité, Traçabilité). Une panne hardware (et les problématiques de disponibilité de service en général) fait bien partie des problèmes de sécurité. Il n'y a pas de débat à avoir sur ce point en effet. C'est comme cela que tout le monde travail. Toutes les grilles d'analyse de risques, d'impacts, d'évaluation du besoin de sécurité, de risques résiduels, etc comportent ce critère.
oui bien sûr 8)
Et donc la solution n'est pas un DL 360 mais au moins deux car sur ce type de machine, même en prenant une version avec alim redondante, il faut prendre soin de mettre les disques en RAID 1, tu te retrouves ensuite embêté avec uniquement 2 slots d'extension pour mettre des cartes réseaux supplémentaires et faire de l'agrégation (et encore à condition de ne pas vouloir gérer de DMZ) et final il n'y a qu'une seule carte mère.
Bref, en dehors du cluster, mais à des degrés divers j'en conviens, la solution aura des faiblesses de sécurité ;)
Mais bon, il n'y a pas de polémique. Je voulais juste comprendre ce que tu voulais dire avec
Le niveau de sécurité obtenu depuis votre configuration sera assez faible. Mais c'est un début.
maintenant c'est parfaitement clair.
-
Pour un modem ADSL(2) Ethernet, j'utilise des DLink DSL-320B (qui fait modem ou modem/routeur) avec lesquels j'ai mes habitudes depuis des années.
Un modèle TpLink TD-8616 (modem seul) ou TD-8816 (modem ou modem/routeur) doit faire aussi bien l'affaire.Dans le cas de DLink, on le configure via son adresse 192.168.1.1 avec VPI/VCI 8/35 comme en France, et en activant le bridge RFC1483 : c'est dans la FAQ du site !
Je rappelle que ce boitier agit comme modem, que pfSense gère directement le PPPoE avec les identifiants : le pfSense disposera donc directement de l'adresse ip publique.
Maroc Telecom fournit de base des ADSL avec ip dynamique avec changement d'ip environ 1 fois par jour. -
Bonjour tout le monde
Je viens de trouver que mon routeur/modem supporte le mode bridge , mais j'ai trouvé que y en a deux types ( LAN & WAN Bridge) qui sont présentés dans les images
Aprés que je mets le routeur/modem en mode bridge je dois configurer l'interface WAN pour qu'elle soit en PPPoE c'est sa ? si vous pouvez anticiper ce qui se passera apres merci de me guider vers les bonnes pratiques
Cordialement
-
J'observe que
- VPI/VCI n'est pas bon : 8/36 et non 8/35 comme normal au Maroc
- les bridge (linux) s'appuie sur des objets réels : LAN est un bridge entre la RJ 'LAN' et le wifi (ce qui est fréquent et simple mais pas forcément souhaitable)
- donc les bridge ici ne sont pas le bridge 'rfc1483' nécessaire.
Je parle d'expérience : j'ai retiré le boitier initial de ma première ligne ADSL car il fournissait du wifi et je ne pouvait pas le supprimer.
La récup oui, mais pas là : les boitiers Dlink me sécurisent. (Pour la 2ième ligne, j'ai directement indiqué à Marc Télécom qu'il n'avait pas à me fournir de boitier !)Je n'encourage pas à garder ce boitier, j'encourage à acquérir des boitiers neufs, dédié et sans wifi.