Pfsense hardware hébergement ?
-
Contexte :
- milieu pro
- Etude pour mise en production de pfsense sur matériel physique
- Compétence firewall sur Fortinet mais débutant sur pfsense.
Besoin :
- J'ai actuellement une cinquantaine de serveurs web hébergés (+ 50 serveurs erp accessibles via ssh) sur une infra virtualisée. Cette dernière va évolué sur un cluster Vmware. Pour l'instant chaque serveur a sa propre IP publique et son firewall (Iptables + fail2ban). Cela fonctionne bien mais ce n'est vraiment pas souple à gérer.
Je veux donc faire évoluer mon infra pour avoir entre autre une gestion centralisée des mes règles.
Pour cela j'ai testé pfsense installé sur une VM. Tout fonctionne très bien. Il répond complètement à mes besoins.
L'hébergement est du mode SaaS pour de l'ERP. Les protocoles utilisé sont le HTTP, HTTPS, SSH et à venir RDP (via du RD Web access).
Sur cette infra hébergé il il n'y a aucun poste de travail, que des serveurs de Production (SaaS, zimbra et site web de la société).
Actuellement le nombre de connexion en moyenne est de 20 000.Il est possible que je monte plusieurs tunnel Ipsec pour des hébergements spécifiques pour certains clients.
Schéma de production à venir :
Prod :
- Pfsense en cluster HA sur un matériel dédié
- 2 switchs HP 2920-24g
- Cluster Vmware avec 3 noeuds en HA
Secours (PRA) :
- Pfsense virtualisé ou installé sur un ancien serveur (IP publiques routés via du BGP en cas de problème sur mon site de prod)
- un ESX
Questions :
- Est-ce que vous pensez qu'un cluster de SG-4860-1U est adapté pour mes besoins ? (SaaS, VPN) :
https://store.pfsense.org/HIGH-AVAILABILITY-SG-4860-1U-pfSense-Systems-P47.aspx
Sinon, quelles sont vos recommandations ?
- Comment gérer la réplication des règles de Pfsense du site de prod vers le site de secours ?
Merci d'avance.
-
Cela me semble très bien.
- Comment gérer la réplication des règles de Pfsense du site de prod vers le site de secours ?
Un cluster Pfsense est de type actif - actif. La synchronisation via l'interface pfsync est automatique. Les deux firewalls sont synchronisés dynamiquement.
-
- Comment gérer la réplication des règles de Pfsense du site de prod vers le site de secours ?
Un cluster Pfsense est de type actif - actif. La synchronisation via l'interface pfsync est automatique. Les deux firewalls sont synchronisés dynamiquement.
Je crois que ce que veux dire mamatov, c'est qu'il va configurer une paire de pfSense en local avec CARP pour la haute dispo mais qu'il voudrai également mettre en place un DRP donc avec un (2 ?) pfSense sur un autre site et à priori ne faisant pas partie du cluster initial.
-
Le matériel prévu semble bien adapté
- matériel physique et non VM (inadapté)
- processeur Atom quadcore avec instructions AES-NI (adapté à accélération VPN)
- 8 G de mémoire
NB : SURTOUT NE PAS installer Squid sur ce type de hardware ! (inadapté et surcharge)
Concernant la synchro des règles (entre le cluster de prod et le pfsense sur site de secours),
- essayer de mettre à jour à la fois les 2 sites
- à défaut, sauvegarde cluster de prod + récup des règles dans fichier .xml + recopie dans sauvegarde pfsense secours + restauration : non automatique
-
J'ai mal lu, trop vite, il n' y a pas d'autre solution que la sauvegarde manuelle / restauration manuelle aussi.
PS : Squid va "tuer" ce type de matériel.
-
Je n'ai pas l'impression qu'il y ait une quelconque velléité d'installer Squid mais peut-être me trompe-je ???
Ceci dit, un reverse proxy peut être un composant for utile dans ce type d'infrastructure et de service, surtout si la haute disponibilité est de mise. C'est un bon moyen d'offrir à la fois HA et répartition de charge si besoin est.
-
(J'ai oublié de dire bravo pour la présentation du post initial : il y a beaucoup d'infos, les questions sont claires, … continuez !)
D'autres fils de mamatov parle de reverse proxy ...
Il n'y a AUCUNE raison d'installer Squid sur ces matériels ! Même c'est tout le contraire : comment fonctionnerait Squid installé sur chaque firewall d'un cluster ?
De plus, avec un cluster d'hôtes VMware, il est sera aisé de créer un reverse proxy si nécessaire ! -
Tant mieux si mon post initial est clair c'était le but pour avoir des réponses constructives.
Ok merci beaucoup, je vais donc m'orienter sans doute vers ce modèle. Je ne compte activer Squid et faire du reverse proxy. J'avais ouvert un post il y a quelques temps et j'ai opté pour une autre solution.
Pour le moment je ne vais migrer mon infra et ensuite je verrai dans un second temps pour faire du reverse. Etape par étape pour assurer une stabilité de ma prod.Pour la synchro des règles, je pense aussi que le plus simple est de mettre à jour les 2 sites à la fois. Une fois la première implémentation, les changements ne seront pas nombreux. Je me demandais juste si j'avais un autre moyen. Le backup et la restauration manuel est aussi une alternative. Merci.
-
Bonjour,
Je reviens à la charge car mon projet avance et je vais devoir faire un choix sur la matériel.
La solution pfsense à été validé.J'hésite maintenant entre une appliance pfsense SG-4860 ou SG-8860 et un serveur type Dell R220 ou autre.
A votre avis, quelle est la meilleure solution ?
Quelles sont les avantages et les inconvénients ?Cf mon post initial pour toutes les infos sur l'environnement.
Merci.
-
Les différences entre appliance 'pfSense Store' et serveur traditionnel rackable type Dell R220 :
- les appliance sont multi ports réseaux nativement et en facade, alors que le serveur tradi ne sera que 2 ports et plus avec cartes extension multiport (broadcom ou intel)
- les proc des appliance sont plus légers (nettement) : Atom multicore vs Xeon xxxx
- regarder le support des instructions AES-NI si vpn (ipsec)
- alimentation : simple ou dual ?
- disque dur : carte raid ou non ? (raid1 préférable ?)
Bref, avantage au serveur tradi pour un très gros trafic (proc>, raid hardware, dble alim) et plus économique
Mais les solutions pfSense Store ou autre restent adapaté (car bien calibrées). -
@jdh:
Les différences entre appliance 'pfSense Store' et serveur traditionnel rackable type Dell R220 :
- les appliance sont multi ports réseaux nativement et en facade, alors que le serveur tradi ne sera que 2 ports et plus avec cartes extension multiport (broadcom ou intel)
- les proc des appliance sont plus légers (nettement) : Atom multicore vs Xeon xxxx
- regarder le support des instructions AES-NI si vpn (ipsec)
- alimentation : simple ou dual ?
- disque dur : carte raid ou non ? (raid1 préférable ?)
Bref, avantage au serveur tradi pour un très gros trafic (proc>, raid hardware, dble alim) et plus économique
Mais les solutions pfSense Store ou autre restent adapaté (car bien calibrées).Ok merci beaucoup pour cette réponse clair et précise.
-
Perso, je viens de monter mon nouveau cluster frontal:
- 2*HPE DL 160 Gen9 avec 4 interfaces 10GB (chipset intel) et 2 interfaces Giga. Proc
- 16G de RAM et processeur E5-2620 v3
- pfSense 2.3
- commutation : cluster IRF HPE 5900
niveau interfaces:
- deux LAGGs LACP de 2*10G
- une interface Gig pour le WAN
- une interface Gig de management
- une centaine de VLAN remontent dans les LAGGs.
Ca marche bien :)
-
Typiquement le type de configuration qui justifie des serveurs "traditionnels" pour lesquelles les boitiers dédiés ne sont pas suffisants.
-
Bonjour !
J'ai des difficultés à faire mon choix….
Tout d'abord, j'hésite entre Pfsense et Fortinet. Je beaucoup travaillé avec Fortinet et de continuer avec me rassure.
Chez fortinet on me propose un 100D tout en me disant qu'il pourrait être un peu juste et donc que je devrais partir sur un 200D. Mais le 200D est inaccessible pour nos finances....Donc c'est soit un fortinet 100D soit un Pfsense.
Pour le Pfsense, j'ai une proposition pour un cluster de SG-8860 avec en option un disque de 120GB intel 535 en SSD.
Mon problème c'est que j'ai du mal à me décider sur ce modèle. Je voudrai être certain qu'il tienne la charge. J'ai calculé un maximum de 250 utilisateurs en simultanés (connexion ssh ou httpd ou tse).Est-ce que ce modèle est assez costaud ?
Le modèle au dessus est le XG-2758 mais dans les specs je ne vois pas de grosses différences a part la mémoire et les interfaces en 10 Gb.
Merci pour votre aide et vos conseils.
-
Je ne comprends pas bien à quoi (te) servirait le disque dur sur le SG-8860, surtout si tu ne fais pas tourner de services autres que le strict FW :-X
Avec des interfaces 1 Gbps et seulement 250 connexions simultanées, sauf à avoir une quantité très importante de règles, un 4860 devrait s'en sortir sans problème mais j'avoue ne pas avoir une bonne compréhension de quel serait l'impact au niveau CPU en fonction de la longueur des clé des algorithmes coisis pour le VPN.
-
Je ne comprends pas bien à quoi (te) servirait le disque dur sur le SG-8860, surtout si tu ne fais pas tourner de services autres que le strict FW :-X
Avec des interfaces 1 Gbps et seulement 250 connexions simultanées, sauf à avoir une quantité très importante de règles, un 4860 devrait s'en sortir sans problème mais j'avoue ne pas avoir une bonne compréhension de quel serait l'impact au niveau CPU en fonction de la longueur des clé des algorithmes coisis pour le VPN.
Pour le disque dur c'est au cas où j'activerai par la suite d'autres fonctionnalités. D'ailleurs, quelles sont les features qui nécessitent un ssd ?
Mon budget pour mon cluster est d'environ 3000 euros. Je voudrai avoir une configuration robuste pour tenir la charge de mes services dans un premiers temps. Dans un second temps on devrait rentrer des nouveaux clients. Et enfin il est possible que j'active Snort pour améliorer la sécurité.Le poste de "Juve" est intéressant aussi sur le HP DL160 Gen9. Je peux avoir cette configuration :
*HPE ProLiant DL160 Gen9
- 1 x Xeon E5-2609V4 / 1.7 GHz
*RAM 16 Go
*2 interfaces Giga de base
*Ajout d'une carte 4 port Giga (HPE 331T) => comment savoir si elle est compatible ?
*Ajout disques SSD en Raid 1
*Garantie 3 ans
=> 1761 € (3522 le cluster)
- 1 x Xeon E5-2609V4 / 1.7 GHz