Questions déploiement pfSense



  • Bonjour à tous.  :)

    J'ai découvert il y a peu pfSense, qui je l'avoue m'a bien séduit !

    J'envisage donc de le déployer, mais je me pose un certain nombre de questions malgré de nombreux sujets lus sur ce forum (et sur d'autre sites).

    Avant toute chose, je précise que j'ai de bonne notions en réseaux informatique, mais certainement pas autant qu'un professionnel, car je ne bosse pas dans ce domaine.

    Contexte :
    Je dispose actuellement de plusieurs serveurs privés virtuels hébergeant des sites web, messagerie, serveur vocaux (teamspeak), serveur de jeux.
    Dans mon nouveau logement, je dispose d'une bonne connexion par fibre optique et souhaite donc arrêter la location de mes serveurs virtuels afin de les héberger directement chez moi.
    C'est aussi l'occasion pour moi de m'auto-former.

    L'architecture du réseau que j'ai pensé est la suivante :

    [ Livebox ] <–-> [ pfsense ] <–-> [ LAN ]   
                                                <–-> [ DMZ ]

    Infos complémentaires :

    • Livebox (sans ONT): en amont de pfSense, histoire d'isoler cette passoire du réseau local. Le décodeur TV serait connecté à la box directement.
    • LAN : ensemble de mes ordinateurs / TV / tablettes / etc.
              + point d'accès Wifi
              Il y aura certainement plusieurs VLAN, mais je ne me suis pas encore penché sur l'adressage (certains postes en IP fixe, pour le reste en DHCP).
    • DMZ : un serveur debian + un serveur ESXi (Tout en IP fixe)
              Sous ESXi, plusieurs VM : Serveur Apache, Serveur Mail, Serveur Teamspeak, …

    1 - J'ai vu qu'il était possible d'installer pfSense sur une machine virtuelle ESX. Cette solution est elle réellement optimale et équivalente a une installation sur une machine dédiée? Quels sont les pour/contre une installation sous ESX?
    Cette question en entraine une autre : le serveur ESX en lui même n'est il pas vulnérable, étant donné que le trafic passera avant tout par lui avant d'être reçu par la VM pfsense (si je ne me trompe pas)?

    2 - Ma deuxième question porte sur le couple Livebox/pfsense. J'ai lu deux ou trois topics sur ce forum traitant de cela, mais au final je n'arrive pas a savoir si cela est réalisable d'installer un firewall pfsense entre la Livebox et le LAN.
    Avec l'architecture que je pense réaliser, est ce que les services TV et téléphone seraient toujours fonctionnels? (je penses que oui)

    3 - Ce troisième point découle directement du deuxième. Il est impossible de passer la Livebox en mode bridge (merci Orange). Comment faut il donc procéder d'un point de vue configuration de la box et de pfsense?
    J'ai vu sur un topic qu'une solution serait de gérer deux NAT (Livebox & pfSense). Si c'est bien le cas, comment procède t'on d'un point de vue configuration sur ces deux périphériques (par exemple pour l'accès à un serveur web sur le port 80)?

    J'espère avoir été assez clair, mais s'il manque des infos, je préciserai!

    Merci d'avance à tous pour vos réponses.  ;)



  • salut salut

    merci pour cet exposé de projet personnel intégrant pfsense

    Pour le -1-

    Oui cela est faisable, est ce vraiment le plus sécure, j'en doute, dans le cas d'une compromission de votre virtualiseur vous ouvrez votre lan vers l'extérieur, comme si vous laissiez votre box avec tous les ports en open bar.
    Ll est préférable de l'intégrer en physique, la conf la plus courrante est celle que vous évoqué wan/lan/dmz, ou wan/lan+dmz/wifi
    Le lan+dmz est juste une redirection de vos ports entrant vers un ou pluiseurs serveur cela revient à quelques chose pres au meme que lan/dmz.

    Pour le -2-
    Que vous ayez un box X ou Y cela revient au meme, elles fournissent un accès web avec A ou B services (tv/téléphonie/wifi)
    Vous auriez aussi un modem non box fai cela fonctionne tout aussi bien, les services ajouter en moins, quoi que dans certain cas mieux.

    Pour le -3-
    La réponse en deux temps est plus simple faire, et pourtant pas toujours aussi simple a mettre en oeuvre, c'est celon ces compétences et connaissances dans le Réseaux avec un grand R.

    Au plus simple c'est de mettre ne place des vlans et les bons pour avoir les services tv et telephonie en arrière du pfsense.
    Le plus complexes est la comprehension de la mise en oeuvre des vlan.

    La base est le transfert/routage de ports ou services (dans le sens ports) de l'extérieur vers l'intérieur (lan ou dmz) mais dans le cas de lan/dmz , il faut aussi penser au routage lan < > dmz, tout ne doit pas passer sur le lan via la dmz et inversement.

    faites vous un bon plan des flux d'information et réseau , qui fait quoi ? qui va ou ? qui ne vas pas ou ? … dans quel cadre.

    PS il y a de nombreux tuto sur la mise en place de projet identique.

    Un bémol a noter, que faites vous en cas de coupure de services (internet, electricté, switch, pf, box ...)
    si vos services doivent etre h24 365j dispo, faites le calcule des couts, et des besoins annexes dont on oublie souvent l'impact sur nos finances.
    si vous etes dans un cas comme celui que j'évoque, vous finirez par faire un cluster HA (box, coeur de réseau, pf, virtualisation...) la on sort du petit projet perso des familles, on commence a taper sur du SI responsable.
    Cordialement.



  • 1 - J'ai vu qu'il était possible d'installer pfSense sur une machine virtuelle ESX. Cette solution est elle réellement optimale et équivalente a une installation sur une machine dédiée?

    Optimale, cela dépend du critère d'évaluation. Équivalente, si on parle de sécurité la réponse est non

    Quels sont les pour/contre une installation sous ESX?

    Complexité de la perception du réseau. Il suffit de voir ici le nombre de messages d'utilisateurs débordés par les problématiques réseaux induites.

    Cette question en entraine une autre : le serveur ESX en lui même n'est il pas vulnérable, étant donné que le trafic passera avant tout par lui avant d'être reçu par la VM pfsense (si je ne me trompe pas)?

    C'est totalement exact. Plus il y a de lignes de codes en jeux plus il y a de risques. C'est statistique. Si l’hyperviseur saute il y a fort à parier que "tout saute".
    Plus sérieusement, la compromission de l’hyperviseur est de nature à entrainer la compromission de tout le reste, ce qui est contraire au principe de défense en profondeur. celui-ci stipule que les systèmes de défenses sont indépendant et que la défaillance de l'un n’empêche pas le fonctionnement des autres. C'est tout le contraire ici. Tous les systèmes de défense installés sur l’hyperviseur dépende de celui-ci.

    D'une façon générale on ne fait pas confiance à un équipement dit non maitrisé, c'est à dire fourni par un tiers et dont on ne possède pas le total contrôle. L'histoire récente à montré que même si on en possède le contrôle total, cela peut n'être qu'une illusion (cf Juniper et Cisco notamment il y a un an) C'est bien le cas de n'importe quelle box. Le principe de base est donc que la box n'est pas sûre (et en effet elles ne le sont pas) donc elle reste dehors.

    Il est impossible de passer la Livebox en mode bridge

    C'est donc du domestique et c'est bien le cas. Donc double nat inévitable. Là ce n'est plus mon domaine, on rentre dans le bancale pour moi.



  • Merci à tous les deux pour vos réponses qui confirment ce que je pensais.

    Je prends note concernant l'utilisation de pfsense via un hyperviseur. Dans un premier temps, je ne pense pas acheter de hardware afin d'installer pfsense, faute de budget. Je vais donc voir si j'arrive a faire ce projet via ESXi (et apprendre par la même occasion), puis dans un second temps je ferai ca directement sous une machine dédiée après achat.

    Mais par contre, sous certaines réserves.

    @ccnet:

    Optimale, cela dépend du critère d'évaluation. Équivalente, si on parle de sécurité la réponse est non

    On est d'accord, il y a une plus-value a faire ça sur une machine dédiée (non virtuelle). Cependant, y a t'il tout de même un gain de sécurité a installer pfsense sur un hyperviseur par rapport a une architecture réseau sans pfsense (Livebox seule)? ou est-ce qu'au contraire, en voulant faire quelque chose de plus sécure, on introduit beaucoup plus de failles?
    Est ce que l'on peut classer dans cet ordre, du plus au moins sécure, les architectures suivantes (ou alors, est ce que je me trompe) ? :

    1. Livebox <–> pfsense (machine dédiée) <--> LAN | DMZ (contenant notamment le serveur ESXi)
    2. Livebox <--> pfsense (sous ESXi) <--> LAN | DMZ (contenant les serveurs virtualisés sous ESXi)
    3. Livebox <--> LAN | DMZ (contenant les serveurs virtualisés sous ESXi)

    Concernant le 3ème point que j'ai soulevé (pas de mode bridge - double NAT)
    @Tatave:

    La réponse en deux temps est plus simple faire, et pourtant pas toujours aussi simple a mettre en oeuvre, c'est celon ces compétences et connaissances dans le Réseaux avec un grand R.

    Si le double NAT n'est pas la seule solution, quelles sont les autres alternatives?

    Dans le cadre du double NAT, je me pose certaines questions concernant le fonctionnement et la mise en œuvre. Est ce que les affirmations suivantes sont bonnes (si on se base sous un pfsense virtualisé sous ESXi):
    a) Pour chaque redirection de port, nous aurons donc bien deux règles a créer (une sur la box, une sur pfsense)
    b) Dans le cadre d'un service web, nous aurions donc
      sur la box : redirection depuis WAN sur le port 80 vers première interface (WAN) de pfsense port 80
      sur pfsense : redirection vers l'IP du serveur concerné
    c) Si il faut procéder comme dans le point (b), ça me fait soulever une autre question. Si problème avec la box (défaillance, faille, sécurité), du coup on ne passera jamais par pfsense?
    d) qu'en est il dans ce cas pour un port qui devrait être bloqué (car aucune règle ne l'autorisant sur la box), qui pour je ne sais quelle raison de sécurité, passerai tout de même? est ce que l'on passerai bien par pfsense qui bloquerait?
    e) D'un point de vue adressage des différentes machines/serveurs, la passerelle par défaut ne serait plus la box, mais le serveur pfsense?

    J'espère ne pas avoir trop dit de bêtises!

    @Tatave:

    faites vous un bon plan des flux d'information et réseau , qui fait quoi ? qui va ou ? qui ne vas pas ou ? … dans quel cadre.

    J'avais déjà commencé à modéliser ces informations, mais en effet je vais boucler ça dans un premier temps

    @Tatave:

    Un bémol a noter, que faites vous en cas de coupure de services (internet, electricté, switch, pf, box …)
    si vos services doivent être h24 365j dispo, faites le calcule des couts, et des besoins annexes dont on oublie souvent l'impact sur nos finances.
    si vous etes dans un cas comme celui que j'évoque, vous finirez par faire un cluster HA (box, coeur de réseau, pf, virtualisation...) la on sort du petit projet perso des familles, on commence a taper sur du SI responsable.
    Cordialement.

    Les sites hébergés ainsi que les autres services sont purement personnels. Une interruption de service, même si je préfèrerai l'éviter, présenterai peu d'impact. Je suis d'accord avec vous, je n'hébergerai pas chez moi des sites "à usage professionnel" ou d'autres service ayant une criticité moyenne/élevée.

    @ccnet:

    D'une façon générale on ne fait pas confiance à un équipement dit non maitrisé, c'est à dire fourni par un tiers et dont on ne possède pas le total contrôle. L'histoire récente à montré que même si on en possède le contrôle total, cela peut n'être qu'une illusion (cf Juniper et Cisco notamment il y a un an) C'est bien le cas de n'importe quelle box. Le principe de base est donc que la box n'est pas sûre (et en effet elles ne le sont pas) donc elle reste dehors.

    Là, on est tout à fait d'accord, c'est justement pour verrouiller cette passoire de Livebox que je souhaite mettre un pfsense derrière.



  • je ne pense pas acheter de hardware afin d'installer pfsense, faute de budget

    HP DL360 G4 d'occasion dans les 120/150 euros. Attention ca chauffe, çà fait du bruit et çà consomme. Mais potentiellement perfs au top.
    Watchguard Firebox ancien modèle : https://www.youtube.com/watch?v=Gu1s0nnGgLI Pas plus cher (en charchant un peu et avec un peu de persévérance) et beaucoup plus discret.

    On est d'accord, il y a une plus-value a faire ça sur une machine dédiée (non virtuelle). Cependant, y a t'il tout de même un gain de sécurité a installer pfsense sur un hyperviseur par rapport a une architecture réseau sans pfsense (Livebox seule)? ou est-ce qu'au contraire, en voulant faire quelque chose de plus sécure, on introduit beaucoup plus de failles?
    Est ce que l'on peut classer dans cet ordre, du plus au moins sécure, les architectures suivantes (ou alors, est ce que je me trompe) ? :

    1. Livebox <–> pfsense (machine dédiée) <--> LAN | DMZ (contenant notamment le serveur ESXi)
    2. Livebox <--> pfsense (sous ESXi) <--> LAN | DMZ (contenant les serveurs virtualisés sous ESXi)
    3. Livebox <--> LAN | DMZ (contenant les serveurs virtualisés sous ESXi)

    C'est à peu près cela.

    a) Pour chaque redirection de port, nous aurons donc bien deux règles a créer (une sur la box, une sur pfsense)

    Ils ont un concept foireux de configuration dmz. On redirige tout vers une interface. Vous travaillez ensuite sur Pfsense en oubliant la box.

    e) D'un point de vue adressage des différentes machines/serveurs, la passerelle par défaut ne serait plus la box, mais le serveur pfsense?

    Oui



  • Bonjour à tous,

    Je reviens à la charge et déterre mon topic car j'ai enfin eu le temps de passer à l'action.

    Pas de problème au niveau de l'installation de pfsense, et j'ai fait un début de configuration.

    Pour rappel, voici un petit schéma.

    [Internet] <–-> [ Box ] <–-> [ WAN ] [ pfsense ]  <–-> [ LAN ] 
                                                        <–-> [ DMZ ] <–-> [Serveur Debian]

    Adressage :

    • Livebox 192.168.1.1/24
    • WAN pfsense : 192.168.1.254/24
    • LAN pfsense : 10.10.10.254/24
    • DMZ pfsense : 10.10.0.254/24
    • Serveur : 10.10.0.20

    Ce que je souhaite faire :
            - WAN : interdire le traffic vers LAN
                        autoriser vers DMZ
            - DMZ : interdire le traffic vers LAN
                        autoriser vers WAN
            - LAN : autoriser traffic vers DMZ / WAN

    J'ai voulu dans un premier temps tester l'accès au serveur apache (en écoute sur le port 80) :

    • Un PC relié à l'interface LAN arrive à le contacter, la page s'affiche
    • Un PC relié à l'interface DMZ arrive à le contacter, la page s'affiche
    • Un PC relié à l'interface WAN arrive à le contacter, la page s'affiche
    • Par contre, impossible à contacter depuis l’extérieur

    Les PCs connectés via le LAN ou la DMZ ont bien accès à internet.

    J'ai effectué un traceroute sur le nom de domaine associé à mon IP publique. La dernière occurrence correspond à mon adresse publique, j'en déduis donc que ma requête HTTP arrive au moins jusqu'à la Box.

    La box est en mode routeur (pas de mode bridge), je sais que c'est bancal, mais pas d'autre solution. J'ai donc paramétré sur la Box une "DMZ" vers la patte WAN de pfsense (192.168.1.254). Ma patte Wan est bien détecté sur la box, car elle détecte bien un périphérique connecté avec cette IP.

    J'en déduis donc que j'ai un soucis de configuration au niveau de pfsense?

    J'ai une règle NAT sous pfsense :
    Interface Protocol      Sources Address      Source Ports      Dest Address    Dest Ports    NAT IP    NAT Ports
    WAN           TCP                      *                      80                WAN address          80      10.10.0.20        80

    J'ai testé pas mal de choses au niveau des Rules, du coup je commence à être perdu… Que devrais-je avoir?

    Merci d'avance  :)



  • salut salut

    j'ai lu en diagonale

    mais et le port http sur la box vers la dz est il bien routé  ?

    Cordialement.



  • source port = 80 ?

    ce que tu veux rediriger c'est probablement tout de qui est à destination du port 80, quel que soit le port source non ?

    J'ai testé pas mal de choses au niveau des Rules, du coup je commence à être perdu… Que devrais-je avoir?

    que ton serveur http écoute sur un port donné (ici 80 ou 443) mais ne fait pas, et fort heureusement, de supposition sur le port source du client.

    Note que c'est très souvent le cas pour beaucoup de protocoles.



  • @chris4916:

    source port = 80 ?

    ce que tu veux rediriger c'est probablement tout de qui est à destination du port 80, quel que soit le port source non ?

    J'ai testé pas mal de choses au niveau des Rules, du coup je commence à être perdu… Que devrais-je avoir?

    que ton serveur http écoute sur un port donné (ici 80 ou 443) mais ne fait pas, et fort heureusement, de supposition sur le port source du client.

    Note que c'est très souvent le cas pour beaucoup de protocoles.

    En effet, j'ai fini par trouver hier avant de voir ton message, mais merci ! C'était tellement gros que je ne voyais pas l'erreur…

    Du coup, voici ce que j'ai en règles pour l'instant sur mon interface WAN :

    Block  Interface  Protocol      Sources Address      Source Ports      Dest Address    Dest Ports   
                WAN        TCP4+6                  *                      *                  DMZ Net                80     
      x        WAN        TCP4+6                  *                      *                  DMZ Net                *                  --> Interdire traffic vers DMZ (sauf 80 du coup)
      x        WAN        TCP4+6                  *                      *                  LAN Net                *                  --> Interdire traffic vers LAN

    Est ce OK?

    Et pour le NAT :

    Interface  Protocol      Sources Address      Source Ports      Dest Address    Dest Ports    NAT IP    NAT Ports
    WAN              TCP                      *                      *                WAN address          80      10.10.0.20        80

    Par contre, j'ai du mal a saisir la différence entre LAN Net et LAN Address. J'ai regardé sur la doc, mais ça reste encore flou.



  • LAN Net, c'est le subnet auquel est attachée l'interface LAN de pfSense (par exemple 182.168.5.0/24) alors que LAN address, c'est l'adresse de l'interface LAN (par exemple 192.168.5.254)


Log in to reply