Besoin d'un conseil technique et d'un choix de techno
-
Bonjour à tous,
j'ai un pfsense qui permet le load balancing de 2 WAN (une en ADSL et une en 4G) et un LAN classique de l'autre côté (d'environ 25 device, entre les PC, smartphone, tablettes et TV) avec un VPN (openVPN) pour accéder depuis l'extérieur à différents services commeSamba, VNC….
La connexion 4G étant plus performante en débit (et légèrement moins bonne en temps de réponse) j'ai donné un poids plus important pour le côté 4G. J'ai ensuite des règles pour certains services dont j'ai besoin d'une unique connexion, SSH par exemple... Je suis passé par des alias et des règles sur le Firewall côté LAN en failover.
Après plusieurs réglages, tout fonctionne très bien.
Mon seul problème, c'est que ma connexion 4G est bridée en trafic mensuel 200Go par mois et forcément c'est vite limité (Au départ, elle ne devait pas l'être et finalement elle l'est bref, c'est un autre débat) Je voulais donc faire passer les services de streaming (FranceTV et TF1 par exemple) sur la connexion ADSL (et idéalement sur des plages horaires comme le midi pour que si une personne de mon équipe souhaite regarder, ça fonctionne mais que ça ne tape pas sur mon trafic 4G), j'ai voulu passer par les ports mais ça bouge pas mal même en restant sur la même chaîne et la plage semble vraiment large. J'ai voulu faire en fonction du domaine par exemple :
livefrancetv.akamaized.net., tf1livhdsstrike-lh.akamaihd.net., lagardere-gulli-hls-live-10641.scdn.arkena.com.:-) je ne fais pas travailler les enfants.... Gulli c'est pour mes enfants.
Mais ça ne fonctionne pas, idéalement s'il était possible de dire que tout les domaines contenant akamai, avec des expressions du type %akamai% ou autre.
J'ai l'impression qu'il faudrait que je passe par un proxy par exemple, mais je ne suis pas sûr. Attention, je ne suis pas nom plus admin système, donc si la solution est trop complexe, je ferai le choix de dire, pas de streaming le midi, c'est pas non plus primordial.
Merci d'avance pour vos pistes.
Cordialement,
Manu. -
Bonjour,
Je voie une méthode simple et radicale ; elle consiste à ajouter juste avant tes règles principales pour les flux http & https une ou des règles avec en GW le pool FO qui priorise l'adsl et ajouter à ces règles un schéduleur (lundi au vendredi de 12 à 14 exemple). Et pour être vraiment tranquille du ajoute au schéduleur les plages qui sont hors horaire standard/théorique de la boite (genre de 18 ou 19 à 7 ou 8 le lendemain matin)
J'utilise cette technique at home pour suspendre les services à certains et forcer le dodo car école le lendemain :o
(bouh le vilain dictateur qui joue à big brother >:( ) -
J'ai l'impression qu'il faudrait que je passe par un proxy
Impression correcte. Pour résumer d'un point de vue méthodo : Firewall traite les couches 3 et 4 principalement, donc réseau.
nom de domaine -> http/https (ou autre) -> couche 7 donc pas firewall mais mandataire (proxy). -
Merci pour vos retours,
@baalserv : effectivement je pourrai rerouter tout le trafic sur ces plages horaires, à l'exception de quelques IP dont j'ai besoin qu'ils restent H24 sur la connexion la plus rapide…. c'est draconien mais ça marcherait.... ça va sûrement finir comme ça.
Pour ce qui du Dodo... même méthode : ils sont forts, intelligents, il faut leur laisser des responsabilités.... c'est pas qu'on a pas confiance en eux.... mais en fait, en coupant automatiquement on montre qu'on veille sur eux :-)
@ccnet : ok pour l'explication des couches.... ça me rappelle mes cours de réseaux.... même si ça remonte à 20 ans, ça pique encore la tête :-) Avant de me résoudre utiliser la méthode de Baalserv, du coup pour le proxy, vous me conseilleriez quoi (de préférence embarqué dans pfsense) ? Quel package si y a plusieurs solutions ? Que je cherche un peu de doc là dessus.
-
salut salut
la vous avez avoir deux écoles pour la réponse sur le proxy :
- celle de j’intègre tout sur le pf avec les risques et conséquences que cela implique
- celle de je sépare les fonctions sur des machines distincte (physiques ou virtuelles)
pour ma part cela va dépendre de votre usage, perso/pro/mixte, du volume de personne qui devront passer par le proxy, et du niveau de sécurité et compétences dans ce domaine que vous voulez investir dans le projet.
c'est une réponse en demi teinte mais je m'expliquequand on commence a jouer au départ avec une solution comme pfsense ou leur cousin sous linux on aurait tendance à mettre tous les oeufs dans le meme panier pour une famine de quatre personnes cela pourrait être valable mais pour une petite ecole de 200/300 têtes blondes ou un pme/pmi cela n'est clairement plus le cas il faudra penser a voir plus grand.
bien que dans mon cas j'ai dégrouper les fonctions dans des vm sauf la partie pf qui elle reste physique.
- 1 vm pour le proxy
- 1 vm pour le vpn
- 1 vm …
tout va en faite dépendre de plusieurs facteur
- son implication propre
- la taille du la structure et sa nature
- la volumétrie des données/poste client...
- de son budget
- de sa maitrise compétences
- ...
vous l'aurez compris la réponse se sera pas simple à fournir, admettre.
je ne suis pas persuadé que sur le long terme la solution du tout en un soit le plus judicieux ne ce reste pour les gestion des mises à jour de pf et de leurs add on qui ne sont pas gérér par les mêmes équipe de dev ou de mainteneur.
l'éclatement des fonctions permets de diminuer l'impact des versions.
dans tous les cas de figure cela demande du temps avant, apres, pendant la mise en place. -
Merci pour ce détail, je comprends tout à fait la réponse, et justement vu que c'est pour gérer une équipe de moins de 10 personnes, et que très honnêtement le proxy ne serait que pour permettre de regarder la TV entre midi et quatorse heures, pour 2 personnes grand max, je ne vais pas y mettre une arme de guerre. Même si effectivement (et c'est pour ça que je demandais éventuellement des pistes d'extensions Pfsense) le fait de mettre un peu le nez dans les proxy pourrait me permettre de connaître de nouvelles possibilités.
Mais très honnêtement pour le cas présent de mettre en place une autre VM en plus je n'aurai jamais le temps à m'y consacrer.
Mais encore une fois je comprends très bien la réponse.
-
en multi-WAN, tu peux oublier le proxy "sur pfSense" puisque les règles de routage (policy routing) sont définies au niveau de l'interface entrante (ici le LAN) et qu'il n'y a pas d'interface 127.0.0.1 :P
Pour le reste, sur des petites infra, pfSense en UTM, ça marche très bien. La vraie limitation, pour moi, se situe plus au niveau de la gestion des comptes: tant qu'il n'y a que des services "anonymes" (y compris le proxy), c'est tout à fait acceptable. Si il faut commencer à gérer des comptes utilisateurs, pfSense n'est probablement pas le bon endroit.
La gestion des packages… ça me fait sourire.
Oui bien sûr le risque existe mais il est quand même assez faible en regard des service rendus par certains packages.
Comme souvent, c'est une histoire de contexte, de compréhension et de mesure/estimation du risque.J'ai des pfSense sur lesquels des packages comme net-snmp et pfblockerng (DNSBL) sont installés sans que ça pose de problème de mise à jour, même si le passage à 2.4 a été un peu délicat.
Pour un usage domestique, un seul WAN, sans authentification mais un besoin de filtrage du flux HTTP, un proxy embarqué sur pfSense est une solution tout à fait acceptable, à mon avis bien sûr, si ton hardware supportant pfSense est bien dimensionné.
Si il y a d'autres serveurs en interne, la réponse peu évoluer bien sûr. ça dépend du contexte ;) -
Bonjour Christophe,
là ça commence à être un peu technique pour moi, différence entre LAN et 127.0.0.1 (bien sûr je comprends les termes :-) mais pas l'explication. Très honnêtement c'est d'un niveau trop haut pour moi.
Ce j'en déduis c'est qu'effectivement mon besoin initial de rerouter certaines URL de destination, n'est pas faisable avec les moyens que j'ai mis en place et je ne vais pas me lancer dans une surcouche proxy sur mon réseau pour ça, donc pour le moment, j'ai tranché : la méthode de baalserv est retenue.
Merci à tous.