[TUTO] Débit optimisé avec fibre orange 1gb + QOTOM Q335G4 - PFSENSE 2.4.5p1
-
MISE À JOUR 02/04/2021 - ATTENTION !!! Ces modifications ne sont plus valables pour la version PFSENSE 2.5.0.
Bonjour à tous,
Voici mon premier poste et par la même occasion, le partage de mon expérience avec PFSENSE sur QOTOM.
Pour commencer, je peux simplement vous dire que pour l'instant après les nombreuses années que j'utilise PFSENSE, c'est pour moi l'un des meilleurs pare-feu que je connaisse.
J'ai donc décidé il y a 4 ans de monter mon propre PFSENSE à la maison sur un ordinateur de marque QOTOM, équipé de 4 LAN Intel I211AT.
Et comme beaucoup j'ai été confronté aux différents problèmes de débit.
Après des nuits blanches à tester l'ensemble des paramètres, j'ai enfin trouvé les réglages me permettant de profiter un maximum des performances du boitier avec une ligne ORANGE Fibre 1GB.
Voici les différentes étapes :
- Il faut désactiver ces 3 éléments, pour ce faire, aller dans le menu Web panel >> System >> Advanced >> Networking :
- Hardware checksum Offloading
- Hardware TCP Segmentation Offloading
- Hardware large Recieve Offloading
- Si vous avez la version PFSENSE 2.4.4+, aller dans Web panel >> System >> Advanced >> SystemTunables
- Modifiez ces 2 options :
net.inet6.ip6.redirect=0 net.inet.ip.redirect=0
- Aller ensuite dans le menu Diagnostics >> Edit File
- Cliquez sur Browse
- Puis cherchez le répertoire boot
- Une fois dans le répertoire nous allons créer le fichier loader.conf.local.
- Pour créer le fichier il vous suffit de vous placer dans la zone de saisi et de rentrer le nom du fichier, puis cliquez sur save
- Une fois le fichier créer, il suffit de cliquer dessus pour y avoir accès.
- Saisissez à l'intérieur du fichier les éléments suivants :
#Accepter la licence Intel legal.intel_igb.license_ack="1" #Autorise plusieurs processus à traiter le trafic entrant hw.igb.rx_process_limit="-1" hw.igb.tx_process_limit="-1"
- Sauvegarder le fichier en cliquant sur save
- Redémarrer PFSENSE
Après le redémarrage la magie opère, vous bénéficiez de vos 4 ports LAN à 1GB.
Pour Preuve :
Avant
Après
J'espère que ce petit tuto va vous aider.
Très bonne soirée à tous. -
Salut au grand Est et un grand merci pour ces infos!
Je lorgne également sur ce type de config pour mon réseau perso fibre
MAIS
pour un usage fibre, quelle config faudrait-il avec du matériel Qotom selon toi?ram, ssd, cpu?
J'ai pas trop besoin de squid ni de snort et on est pas non plus une tribu
Merci par avance pour tes conseils
PS: j'aimerai également mettre en place du wol pour réveiller un plex server. J'imaginais un logging de connexion via iptable et l'envoi d'un paquet WOL.
Par contre j'ai cru comprendre que ce n'était pas iptables sur pfsense, sais-tu si ce type de config est possible?Merci !
-
Bonjour,
Merci beaucoup pour ton retour, c'est avec plaisir
Pour répondre à tes questions, habituellement pour la fibre 1G, je prends chez QOTOM à minima du I5.
Niveau Ram sans SNORT ou SURICATA , 2GO ou 4GO devrait faire l'affaire.
Et pour l'espace disque dur, tout dépend si les logs sont actifs ou pas, mais de manière générale un 128go est largement suffisant.Pour le WOL, j'ai réalisé cela à mon domicile avec PFSENSE, tu as une fonction WOL dans PFSENSE que tu peux même déclencher avec une tâche CRON.
De cette manière la nuit mon pc se coupe à minuit via un simple batch et se rallume le matin à 8h00 grâce au CRON de PFSENSE.Si tu souhaites plus de détail, dis-le-moi et je ferais un tuto là-dessus.
Concernant IPTABLE tu peux effectivement mettre une distribution Linux à la place de PFSENSE et gérer avec IPTABLE à la place.
Maintenant, après plusieurs années à avoir testé plusieurs pare-feu, je peux te dire que PFSENSE ou OPENSENSE sont de loin pour moi les meilleurs en termes de possibilité de configuration.
Après ça, reste un choix personnel.Très bonne journée à toi.
-
@tueurdragon
Merci pour le tutoriel. Je suis en pleine réflexion pour faire de même. Avec une Freebox en adsl2+ en bridge.
Je le fais au travers d'une VM sous Unraid, mais je voudrais passer sur une instal bare metal et au lieu de prendre un SG Netgate, commander une appliance du style qotom.Tu dis:
Pour répondre à tes questions, habituellement pour la fibre 1G, je prends chez QOTOM à minima du I5.
Mais l'appliance en question, le Q335G4, c'est un i3, right ? Du coup les problèmes de débits pour lesquels tu préconises les settings en question, ne sont-ils pas résolus si on passe à un i5 ou plus ?
Merci d'avance et bonne année !
-
@pee_bear
Bonjour,
Merci pour ton retour.
Pour commencer, je te présente les meilleurs vœux pour la nouvelle année.Pour répondre à tes questions, chez QOTOM le Q335G4 est une gamme ayant plusieurs déclinaisons.
Tu peux donc avoir la gamme Q335G4 avec un core i3, i5 ou i7, pré-équipé d'un disque dur SSD et même de ram.
C'est totalement personnalisable à l'achat.Personnellement, je commande habituellement ces boitiers sur Ali express, le délai de livraison est d'environ 1 bon mois.
Concernant les settings, malheureusement ceci n'a rien à voir avec le matériel en question, c'est plutôt un paramétrage lié à la gestion de l'interface LAN Intel I211AT par FREEBSD.
Si tu n'appliques pas ces modifications même avec un i7, tu seras malheureusement bridé.J'espère avoir répondu à tes questions.
Je te souhaite une très bonne journée. -
Hello,
J'ai commandé un QOTOM i5 (8GB RAM 64GB SSD + Q355G4 i5-5200U) sur aliexpress.
Si j'ai besoin de + de place pour les logs, j'enverrai vers un syslog en docker sur mon serveur nas.
Avec DHL, ils disent 10 jours.As-tu déjà essayé opnsense ? J'ai lu ailleurs que netgate n'appréciait pas qu'on évoque QOTOM sur leur forum. Un thread dédié a été entièrement effacé (Ce qui me donne encore + envie d'essayer d'essayer, et qotom, et opnsense)
Je suis content de pfsense mais je trouve l'interface et les menus parfois fouillis. Et contrairement à opnsense, je n'ai pas trouvé comment faire nativement un alias de groupe d'url, et pouvoir les mettre à jour plus souvent qu'hebdomadaire. Sauf à installer un package pfblockerng-devel que je trouve usine à gaz, ce qui n'arrange rien à pfsense. Mais j'ai peut-être manqué quelque chose.
Je ferrai un retour dès que je le reçois. -
Hello,
Encore moi juste pour faire un retour comme promis.TL;DR: Très content de mon qotom, je te remercie pour ta recommandation !
Je l'avais commandé via DHL, le support m'avait annoncé 75 euros de frais de dédouanement. Mais pour finir ils l'ont envoyé via leur autre moyen de livraison (sans rien me demander), çà a été assez vite (15j) et je n'ai rien payé.
La mise en place est rapide, à partir du moment où on a une clé usb prête ! Je recommande de la faire au travers de la commande dd plutôt que par un outil graphique. D'abord pour une question de simplicité si on a la chance d'être sous Mac (ou linux), puisque l'application est à disposition directement, rien à télécharger. Et qu'elle ne consiste qu'à une simple ligne de commande qui ne doit rebuter personne. (En tout cas personne qui en est au stade de faire son propre firewall en installant un outil freeBSD sur une Appliance , me semble-t-il). Mais surtout parce que j'avais un outil unetbootin à disposition qui me faisait une clé usb qui n'a jamais été utilisable jusqu'à ce que je tombe sur un thread houleux sur le forum opnsense où plusieurs personnes n'arrivaient à rien, que ce soit avec rufus, Etcher ou autre jusqu'à ce qu'ils utilisent 'dd'.
Bref. J'ai donc d'abord fait tourner opnsense. Ce qui m'a permis de faire toutes mes règles plus facilement je pense. Le "live view" d'opnsense est indéniablement meilleur que celui de Pfsense: C'est vraiment du live, et çà m'a aidé à visualisé les requêtes de mes différents "serveurs" que j'ai mis en DMZ, et de les peaufiner. (je suis parti sur : je bloque tout, et puis j'ouvre au fur et à mesure).
Et récemment j'ai switch sur Pfsense. Je n'ai eu qu'à recréer les même règles.
Ce que j'aimais bien c'était le combo opnsense + serveur AdguardHome pour bloquer les pubs. Mais à force de regarder des vidéos ou des tutos sur pfblockerNG-dev, je me suis laisser séduire et j'ai apprivoisé ce que je considérais comme une usine à gaz. Ce qui m'a plu ce sont les rapports graphiques des requêtes, en fonction des listes et/ou des pays.
Du coup j'ai mis mon AdguardHome à la retraite.Je n'ai pas encore dû appliquer tes paramètres recommandés, comme je ne suis pas encore fibré (dans les mois qui viennent) mais je les garde sous le coude.
P'Bear
-
@pee_bear said in [TUTO] Débit optimisé avec fibre orange 1gb + QOTOM Q335G4:
Mais à force de regarder des vidéos ou des tutos sur pfblockerNG-dev, je me suis laisser séduire et j'ai apprivoisé ce que je considérais comme une usine à gaz. Ce qui m'a plu ce sont les rapports graphiques des requêtes, en fonction des listes et/ou des pays.
Du coup j'ai mis mon AdguardHome à la retraite.pfblockerNG-dev s'est beaucoup amélioré en termes de reporting depuis la release 3.0.0, mais reste un peu en deçà de Pi-hole.
99% du temps, je laisse pfblockerNG s'occuper de tout, mais temps en temps je démarre mon container Pi-hole pour améliorer mes feeds avec un setup simple (à défaut d'être parfait). DHCP Server pousse comme IP de DNS : Pi-hole en 1 et pFsense en 2 (le comportement dépend des OS mais globalement quand je démarre le container, Pi-hole récupère au bout d'un certain temps l'immense majorité des requêtes).
-
Hello,
Je n’ai pas (pas encore?) ressenti de différence au niveau pubs par rapport à avant, avec adguardhome.
Il faut dire que la grosse partie des pubs sont bloquées sur les mac par le bloqueur de pub installé dans le système , plus efficace encore que celui au niveau dns. C’est surtout sur les idevices qu’on pourrait voir une diff, mais jusqu’à présent non.
Si on renseigne la ou les meme listes/feeds, ça devrait être pareil avec unbound, pihole, ou adguardhome non ?
Au fait sur pfsense j’ai remis celle qui avait fini par remplacé toutes autres sur mon adHome: https://oisd.nl/
Je ne sais pas si tu la connaissais. Et l’auteur est réactif lorsqu’on lui signale un faux positif. Je n’ai eu 2 en deux ans d’utilisation. Il y a plus de 400000 domaines repris. -
@pee_bear said in [TUTO] Débit optimisé avec fibre orange 1gb + QOTOM Q335G4:
Au fait sur pfsense j’ai remis celle qui avait fini par remplacé toutes autres sur mon adHome: https://oisd.nl/
Je ne sais pas si tu la connaissais. Et l’auteur est réactif lorsqu’on lui signale un faux positif. Je n’ai eu 2 en deux ans d’utilisation. Il y a plus de 400000 domaines repris.J'avoue avoir un retour très mitigé sur cette liste, qui ne répond pas vraiment à mes besoins sur 2 points :
1/ J'utilise différentes catégories de feed afin de mieux "voir" ce qui se passe
- ADs ou je cherche à avoir une approche sans faux positif (pour ne jamais y aller voir les logs)
- Trackers ou je pourrais éventuellement en avoir (nouvelles listes).
C'est un usage un peu détourné des catégories, et pour l'instant, pas vraiment de raison d'en avoir 2
- Malicious : ou là je ne veux aucun hit, et pouvoir les retrouver facilement dans le cas contraire
- DoH : ou je n'espère pas de hit non plus
Les catégories sont importantes pour moi, tout mettre dans le même panier sans connaitre la recette ne me convient pas.
2/ Une efficacité relative aux ressources demandées :
- oisd.nl c'est environ 800k entrées
- Aujourd'hui chez moi ADs c'est 100k, Trackers 400k
Sur les dernières 24 heures :
- ADs : 80% des DNSBL
- Trackers : 14%
- OISD : 5%
Cette dernière liste est parsée à la fin, mais elle matche sur 5 ou 10 domaines. Le ratio ressources/bénéfices est extrêmement limité dans mon cas.
-
@Tueurdragon hello
Quand tu dis que ce n'est plus valable pour la version 2.5, çà veut donc dire que certaines étapes que tu détailles ne sont plus applicables ? Ou bien que ce n'est plus nécessaire ?Cordialement