Conseils pour internet lent



  • Contexte : Bonjour, je suis en train de mettre en place un pfSense SG-8860 1U (version 2.3.2) pour un campus à Lomé au Togo.

    Pour l'instant je fais la configuration depuis le Québec en mode test où l'Internet est rapide. Cependant, au Togo, l'Internet est extrêmement lent ! (1024 Ko quand tout va bien). Pour améliorer le débit, nous avons (au Togo) deux abonnements ADSL avec deux fournisseurs différents. Donc 2 WAN.

    Je suis débutant en configuration de ce type (programmeur à la base).

    Schéma :

    2 WAN (2 modem ADSL) : pour le multiwan on m'a dit que loadbalancing ne fonctionne pas bien mais qu'il faut seulement utiliser failover ? Mettre les étudiant sur un Wan et le Staff sur un autre?

    LAN : 1 LAN (192.168.20.0/24) avec switch (avec entre autre un serveur Ubuntu local pour le catalogue de la bibliothèque), 2 Vlan pour deux réseaux WIFI (staff et étudiants) avec deux plages DHCP (192.168.25.0/24 et 192.168.30.0/24).

    Pour le DNS, comme l'internet est lent, je pense que je dois utiliser le DNS du provider, ou en local? (mais je ne sais pas comment)

    DMZ : ?

    WIFI : Wifi avec OPEN MESH et deux SSID pour les deux VLAN (ça marche !)

    Autres interfaces : Captive portal avec user/password pour le staff et voucher pour les étudiants. J'hésite à utiliser Squidguard qui pourrait ralentir le tout, non? Pourtant un filtre serait le bienvenu pour ce campus.

    Question : étant donné que la connection Internet est très lente et même souvent interrompu, quelle devrait être la meilleure configuration pour avoir un réseau local solide même si l'internet est absent et optimisé pour éviter de ralentir inutilement les accès au Web ?

    merci pour vos conseils



  • salut salut

    Malheureusement que vous utilisiez un pf ou un autre matériel cela ne changera pas grand chose pour votre problématique de lenteur d'accès internet.
    C'est du coté vos opérateur internet que cela vient, plus exactement de leur infrastructure qui doit avoir un soucis donc les causes peuvent être diverses et variées.

    Vous ne pourrez gérer que les lenteurs de réseau derrière (lan/wifi) votre pf pas vraiment en frontal.
    En faisant la chasse au machine et utilisateur qui télécharge a outrance par exemple, …

    Cordialement.



  • J'ai entrepris exactement la même démarche, à savoir configurer des pfSense pour une entreprise déployée dans plusieurs pays de la sous-région (Côte d'Ivoire, Togo, Mali etc…) avec une configuration locale puis expédition pour déploiement. C'est un exercice assez intéressant  ;)

    Tout d'abord, à mon avis, ton 8860 est beaucoup trop gros pour l'usage que tu en as si le campus n'a pas l'intention de faire u upgrade de son accès internet.
    En effet, le principal aspect à prendre en compte avec ce type d'équipement, c'est le débit internet qu'il va falloir gérer. Si tu as 2000 client mais un lien à 1 Mb/s, le facteur limitant, c'est le lien internet et il ne sert à rien d'avoir un FW très puissant.

    Le load-balancing est, contrairement à ce que tu as pu lire, efficace mais il faut comprendre comment celui-ci fonctionne.
    J'ai cette conf mise en œuvre sur un site à Abidjan avec 3 liens WAN, 2 en load-balancing et un 3ème en fail-over (lien 4G) et ça marche plutôt bien.

    Ce qui ne fonctionne pas, c'est du load-balancing avec le proxy en local sur pfSense  8)

    Par contre, compte tenu de ton environnent, un proxy HTTP est absolument obligatoire !

    • un peu pour le cache (mais pas tant que ça car il y a beaucoup de HTTPS
    • énormément pour le filtrage  ;D  j'ai mis ça en place sur un site au Burkina. 2 liens ADSL 1Mb/s complètement saturés => déploiement pfSense avec en amont un proxy filtrant => l'usage d'internet est redevenu professionnel avec une performance "acceptable"

    Pas de miracle non plus: 2 fois 1 Mb/s en load-balancing n'est pas égal à 2 Mb/s
    Il existe des mécanismes d’agrégation de ligne mais c'est un autre aspect.

    Dans ton cas, mon design serait:

    • un proxy en DMZ sur une machine dédiée
    • la mise en œuvre d'un mécanisme d’authentification (à coupler avec le portail captif ? il faut étudier ça) car comme tu as 2 population différentes, tu vas avoir très rapidement des demandes pour du filtrage "personnalisé" que tu ne pourras pas obtenir sans authentification
    • ce mécanisme d’authentification te servira par  ailleurs pour faire du WPA2-enterprise pour ceux qui accèdent au wifi "secure"  ;)

    mais il y a certainement d'autres design et d'autres solutions plus avisée en fonction des expériences des uns et des autres  ;D



  • merci


Log in to reply