Pfsense hardware hébergement ?

ccnet

Cela me semble très bien.

• Comment gérer la réplication des règles de Pfsense du site de prod vers le site de secours ?

Un cluster Pfsense est de type actif - actif. La synchronisation via l'interface pfsync est automatique. Les deux firewalls sont synchronisés dynamiquement.

chris4916

@ccnet:

• Comment gérer la réplication des règles de Pfsense du site de prod vers le site de secours ?

Un cluster Pfsense est de type actif - actif. La synchronisation via l'interface pfsync est automatique. Les deux firewalls sont synchronisés dynamiquement.

Je crois que ce que veux dire mamatov, c'est qu'il va configurer une paire de pfSense en local avec CARP pour la haute dispo mais qu'il voudrai également mettre en place un DRP donc avec un (2 ?) pfSense sur un autre site et à priori ne faisant pas partie du cluster initial.

jdh

Le matériel prévu semble bien adapté

• matériel physique et non VM (inadapté)
• processeur Atom quadcore avec instructions AES-NI (adapté à accélération VPN)
• 8 G de mémoire
  NB : SURTOUT NE PAS installer Squid sur ce type de hardware ! (inadapté et surcharge)

Concernant la synchro des règles (entre le cluster de prod et le pfsense sur site de secours),

• essayer de mettre à jour à la fois les 2 sites
• à défaut, sauvegarde cluster de prod + récup des règles dans fichier .xml + recopie dans sauvegarde pfsense secours + restauration : non automatique

ccnet

J'ai mal lu, trop vite, il n' y a pas d'autre solution que la sauvegarde manuelle / restauration manuelle aussi.

PS : Squid va "tuer" ce type de matériel.

chris4916

Je n'ai pas l'impression qu'il y ait une quelconque velléité d'installer Squid mais peut-être me trompe-je  ???

Ceci dit, un reverse proxy peut être un composant for utile dans ce type d'infrastructure et de service, surtout si la haute disponibilité est de mise. C'est un bon moyen d'offrir à la  fois HA et répartition de charge si besoin est.

jdh

(J'ai oublié de dire bravo pour la présentation du post initial : il y a beaucoup d'infos, les questions sont claires, … continuez !)

D'autres fils de mamatov parle de reverse proxy ...
Il n'y a AUCUNE raison d'installer Squid sur ces matériels ! Même c'est tout le contraire : comment fonctionnerait Squid installé sur chaque firewall d'un cluster ?
De plus, avec un cluster d'hôtes VMware, il est sera aisé de créer un reverse proxy si nécessaire !

mamatov

Tant mieux si mon post initial est clair c'était le but pour avoir des réponses constructives.

Ok merci beaucoup, je vais donc m'orienter sans doute vers ce modèle. Je ne compte activer Squid et faire du reverse proxy. J'avais ouvert un post il y a quelques temps et j'ai opté pour une autre solution.
Pour le moment je ne vais migrer mon infra et ensuite je verrai dans un second temps pour faire du reverse. Etape par étape pour assurer une stabilité de ma prod.

Pour la synchro des règles, je pense aussi que le plus simple est de mettre à jour les 2 sites à la fois. Une fois la première implémentation, les changements ne seront pas nombreux. Je me demandais juste si j'avais un autre moyen. Le backup et la restauration manuel est aussi une alternative. Merci.

mamatov

Bonjour,

Je reviens à la charge car mon projet avance et je vais devoir faire un choix sur la matériel.
La solution pfsense à été validé.

J'hésite maintenant entre une appliance pfsense SG-4860 ou SG-8860 et un serveur type Dell R220 ou autre.

A votre avis, quelle est la meilleure solution ?
Quelles sont les avantages et les inconvénients ?

Cf mon post initial pour toutes les infos sur l'environnement.

Merci.

jdh

Les différences entre appliance 'pfSense Store' et serveur traditionnel rackable type Dell R220 :

• les appliance sont multi ports réseaux nativement et en facade, alors que le serveur tradi ne sera que 2 ports et plus avec cartes extension multiport (broadcom ou intel)
• les proc des appliance sont plus légers (nettement) : Atom multicore vs Xeon xxxx
• regarder le support des instructions AES-NI si vpn (ipsec)
• alimentation : simple ou dual ?
• disque dur : carte raid ou non ? (raid1 préférable ?)

Bref, avantage au serveur tradi pour un très gros trafic (proc>, raid hardware, dble alim) et plus économique
Mais les solutions pfSense Store ou autre restent adapaté (car bien calibrées).

mamatov

@jdh:

Les différences entre appliance 'pfSense Store' et serveur traditionnel rackable type Dell R220 :

• les appliance sont multi ports réseaux nativement et en facade, alors que le serveur tradi ne sera que 2 ports et plus avec cartes extension multiport (broadcom ou intel)
• les proc des appliance sont plus légers (nettement) : Atom multicore vs Xeon xxxx
• regarder le support des instructions AES-NI si vpn (ipsec)
• alimentation : simple ou dual ?
• disque dur : carte raid ou non ? (raid1 préférable ?)

Bref, avantage au serveur tradi pour un très gros trafic (proc>, raid hardware, dble alim) et plus économique
Mais les solutions pfSense Store ou autre restent adapaté (car bien calibrées).

Ok merci beaucoup pour cette réponse clair et précise.

Juve

Perso, je viens de monter mon nouveau cluster frontal:

• 2*HPE DL 160 Gen9 avec 4 interfaces 10GB (chipset intel) et 2 interfaces Giga. Proc
• 16G de RAM et processeur E5-2620 v3
• pfSense 2.3
• commutation : cluster IRF HPE 5900

niveau interfaces:

• deux LAGGs LACP de  2*10G
• une interface Gig pour le WAN
• une interface Gig de management
• une centaine de VLAN remontent dans les LAGGs.

Ca marche bien  :)

ccnet

Typiquement le type de configuration qui justifie des serveurs "traditionnels" pour lesquelles les boitiers dédiés ne sont pas suffisants.

mamatov

Bonjour !

J'ai des difficultés à faire mon choix….

Tout d'abord, j'hésite entre Pfsense et Fortinet. Je beaucoup travaillé avec Fortinet et de continuer avec me rassure.
Chez fortinet on me propose un 100D tout en me disant qu'il pourrait être un peu juste et donc que je devrais partir sur un 200D. Mais le 200D est inaccessible pour nos finances....

Donc c'est soit un fortinet 100D soit un Pfsense.

Pour le Pfsense, j'ai une proposition pour un cluster de SG-8860 avec en option un disque de 120GB intel 535 en SSD.
Mon problème c'est que j'ai du mal à me décider sur ce modèle. Je voudrai être certain qu'il tienne la charge. J'ai calculé un maximum de 250 utilisateurs en simultanés (connexion ssh ou httpd ou tse).

Est-ce que ce modèle est assez costaud ?

Le modèle au dessus est le XG-2758 mais dans les specs je ne vois pas de grosses différences a part la mémoire et les interfaces en 10 Gb.

Merci pour votre aide et vos conseils.

chris4916

Je ne comprends pas bien à quoi (te) servirait le disque dur sur le SG-8860, surtout si tu ne fais pas tourner de services autres que le strict FW  :-X

Avec des interfaces 1 Gbps et seulement 250 connexions simultanées, sauf à avoir une quantité très importante de règles, un 4860 devrait s'en sortir sans problème mais j'avoue ne pas avoir une bonne compréhension de quel serait l'impact au niveau CPU en fonction de la longueur des clé des algorithmes coisis pour le VPN.

mamatov

@chris4916:

Je ne comprends pas bien à quoi (te) servirait le disque dur sur le SG-8860, surtout si tu ne fais pas tourner de services autres que le strict FW  :-X

Avec des interfaces 1 Gbps et seulement 250 connexions simultanées, sauf à avoir une quantité très importante de règles, un 4860 devrait s'en sortir sans problème mais j'avoue ne pas avoir une bonne compréhension de quel serait l'impact au niveau CPU en fonction de la longueur des clé des algorithmes coisis pour le VPN.

Pour le disque dur c'est au cas où j'activerai par la suite d'autres fonctionnalités. D'ailleurs, quelles sont les features qui nécessitent un ssd ?
Mon budget pour mon cluster est d'environ 3000 euros. Je voudrai avoir une configuration robuste pour tenir la charge de mes services dans un premiers temps. Dans un second temps on devrait rentrer des nouveaux clients. Et enfin il est possible que j'active Snort pour améliorer la sécurité.

Le poste de "Juve" est intéressant aussi sur le HP DL160 Gen9. Je peux avoir cette configuration :

*HPE ProLiant DL160 Gen9

• 1 x Xeon E5-2609V4 / 1.7 GHz
  *RAM 16 Go
  *2 interfaces Giga de base
  *Ajout d'une carte 4 port Giga (HPE 331T) => comment savoir si elle est compatible ?
  *Ajout disques SSD en Raid 1
  *Garantie 3 ans

=> 1761 € (3522 le cluster)