[Débutant] Besoin de conseil



  • Bonjour,

    Je débute dans le monde de pfsense et je souhaite avoir vos conseils sur la mise en place de mon "boitier" (4 ports).
    Mon but serait de séparer ma partie "privée" (PC, tablettes, smartphone, ….) de ma partie Iot (alarme, caméra, prise connectée ...) et mettant mon serveur dans une DMZ. Un plus serait de pouvoir avec un point d'accès "GUEST".
    Comment me conseillerez vous de débuter mon projet ?
    Merci d'avance de votre aide.



  • De quel type de conseil as-tu besoin ?
    Il me semble que tu as déjà identifié, dans les grandes lignes comment organiser ton réseau. vu de loin, ça a l'air cohérent. ce qu'il faut regarder de plus près, c'est les flux que tu vas devoir gérer entre ta DMZ et ton LAN si jamais il y en a.

    Pour le wifi dédié aux guests, tu peux soit déployer un point d'accès spécifique que tu connectes sur un port dédié de pfSense mais tu peux également, si ton point d'accès wifi te permet de diffuser plusieurs SSID avec quelques réglages avancés (mais assez courants sur la plupart des point d'accés wifi), tu peux connecter ton WAP sur LAN en dédiant un VLAN à ton réseau wifi guest.



  • Merci @chris4916 pour ta réponse…
    Les conseils que je recherche sont sur la mise en forme de mon projet. Est ce que ma façon de penser est bonne... Y a t il des choses auquel je ne pense pas et qui peut être intéressant à mette en place. Je compte passer ma freebox en Bridge avec la mise en place du clan 100 pour la TV (si j'y arrive)
    j'aimerai aussi savoir comment vous avez débuter avec pfsense (conseil, tuto) car je suis un débutant de chez débutant sur cet OS et vu qu'il s'agit de sécurité je ne veux pas mettre cette solution en place sans être certain de le faire correctement.

    Encore merci



  • Oui ton approche me semble cohérente. Est-ce que ça suffit pour te lancer dans l'installation ? Probablement pas mais au moins tu es dans la bonne direction.

    Ne t’inquiète pas avec l'OS: beaucoup de ceux qui déploiement pfSense ne connaissent pas BSD. Le fait que pratiquement tout soit réalisable au travers d'une interface graphique  permet de s'affranchir de la compréhension fine du fonctionnement de l'OS. En revanche, ça ne permet pas de s'affranchir de la compréhension du principe d'un FW SPI (Stateful Packet Inspection) ainsi que la compréhension au moins basique des protocoles que tu veux filtrer. ce qui implique de comprendre un minimum de différence entre IP et ICMP, TCP et UDP.

    Si j'avais un seul avis à partager, ce serait de commencer par lire un peu de documentation vulgarisatrice sur le fonctionnement du réseau en général et ensuite de regarder les quelques services de base qui seront indispensables à ton utilisation d'internet, en commençant par DNS et HTTP(S)
    La seconde étape consiste à faire un cahier des charges: quels services dans quel sens ? C'est ce qui va déterminer tes règles.

    Tu peux sans problème faire une maquette d'un pfSense dont l'interface WAN se connecter à ton LAN actuel pour t'assurer que tout fonctionne correctement. Au détail près du double NAT, tout va fonctionner exactement de la même manière et au moment où tu vas passer en mode bridge, il te suffira de connecter tous tes équipements au LAN de pfSense (sauf pour la partie Free TV que tu as déjà identifié  ;) )

    Bien sûr, cela implique de ne pas (plus) utiliser le point d'accès wifi de ta Freebox  8)

    Sur cette base, si tu déploies pfSense avec les valeurs par défaut en mettant ta Freebox en mode bridge, tu vas avoir un comportement assez similaire à celui de la Freebox, à savoir que tous les flux sortants seront autorisés et tous les flux entrants bloqués.
    Il faut (je ne me souviens pas si c'est la conf par défaut de pfSense) que le serveur DHCP soit configuré pour le LAN et idéalement, que pfSense soit le serveur DNS des équipements sur le LAN.

    Avec ça, l'accès internet fonctionne.

    A partir de là, il faut te poser la question de quels flux sortant tu as besoin, l'idée étant, idéalement, de ne pas autoriser ce qui n'est pas nécessaire.

    • par exemple, tu n'as pas besoin de laisser passer DNS puisque pfSense fait office de serveur DNS. Idem pour NTP
    • HTTP/HTTPS va dépendre de l'utilisation ou pas d'un proxy
    • quid du mail ? Tes utilisateurs utilisent un "vrai" client de mail (ce qui nécessite de contrôler les ports IMAPS, SMTP SUBMISSION…) où bien se contentent-ils d'un webmail ?
    • et il faut ainsi de suite, identifier les flux: Skype ? P2P... ?


  • Merci @chris4916 de cette réponse très détaillée …

    Sur le fonctionnement de l'OS ainsi que de l'étude des différents protocoles et services réseaux, je pense avoir quelques bases. En effet, le fait que je travaille sous Linux va m'être utile et j'ai déjà mis en place un firewall IDS ... Je pense que c'est un bon début mais j'ai encore pleins de choses à apprendre !!!!!
    J'ai commencé par noter tous les périphériques réseaux que j'ai dans ma maison pour les séparer de façon la plus "intelligente" possible :)
    La partie bridge avec l'utilisation de VLAN me fait un peu peur mais c'est ça que j'aime ^^
    Sinon si je souhaite mettre en place un accès "GUEST" il faudra que je passe par un point d'accès relié directement à un port de mon pfsense ? Je vais aussi me renseigner un peu plus sur la partie DMZ pour mon serveur accessible depuis l'extérieur.
    J'ai pu lire deux trois trucs sur squid et snort qui me semble intéressant mais n'allons pas trop vite !!!
    Connais tu un livre sur pfsense qui est "bien" et en français (ou penses tu que cela n'a pas vraiment d'utilité).
    Autre question (peut être bête mais je me lance). J'ai un compte chez un fournisseur de VPN, est ce que je peux l'utiliser pour "chiffrer"  une partie ou la totalité de mes échanges.

    En tout cas merci pour tes précieux conseils.



  • @gudbes:

    Sinon si je souhaite mettre en place un accès "GUEST" il faudra que je passe par un point d'accès relié directement à un port de mon pfsense ?

    Dès lors que tu veux que ce soit un réseau "isolé", le seul moyen de le faire est que les flux du wifi guest soient séparés du LAN. Donc soit une connexion sur un port dédié du FW soit sur un VLAN, ce qui revient à peu près au même.

    Si tes switchs te permettent de configurer des VLAN, ton point d'accès peut être n'importe où sur le réseau à condition que les ports des switchs et les trunk soient bien configurés.

    Je vais aussi me renseigner un peu plus sur la partie DMZ pour mon serveur accessible depuis l'extérieur.

    C'est on ne peut plus simple: une interface dédiée (ou un VLAN ?) pour un segment qui héberge les services accessibles depuis l'extérieur. Certains flux depuis internet sont redirigés vers ces services qui, avec, lorsque c'est nécessaire, relaient vers le LAN.
    La DMZ peut également héberger les services permettant de "sortir" depuis le LAN vers Internet: par exemple pour héberger un proxy HTTP, un MTA.
    C'est le FW au milieu qui te permet de gérer les règles décrivant quels flux sont autorisés.

    Connais tu un livre sur pfsense qui est "bien" et en français (ou penses tu que cela n'a pas vraiment d'utilité).

    non  :( ni en anglais d'ailleurs, je n'ai pas encore eu l'occasion de lire le "livre" de pfSense

    Autre question (peut être bête mais je me lance). J'ai un compte chez un fournisseur de VPN, est ce que je peux l'utiliser pour "chiffrer"  une partie ou la totalité de mes échanges.

    oui tu peux configurer pfSense en tant que client VPN. Si le but est de vivre "caché", il faut bien garder à l'esprit que si le flux est encrypté, ton ISP sait en revanche vers quelle IP tu te connectes et sais donc que tu te cache dans un tunnel  ;)
    Ce n'est pas le cas avec IPSec  8)



  • Hello, Si je peux me permettre, j'ai une nouvelle "petite" question.
    Je me demandais qu'elle était l'intérêt de mettre ma freebox en bridge ? car j'ai lui beaucoup d'article sur le passage en bridge pour une utilisation avec pfsense mais sans trop d'explication sur le pourquoi du comment ?

    Merci d'avance.



  • J'aurais tendance à formuler la question d'une manière un peu différente : " quel est l'inconvénient à ne pas mettre ta Freebox en bridge ?"

    Je dirais assez peu en fait, sauf si le double NAT qu'impose ce design te pose des problèmes.

    Ipsec est un peu (mais à peine) moins simple à configurer.
    Il y a quelques jeux je pense qui ne s'accommodent pas très bien du double NAT.

    Mais ça fonctionne très bien en mode routeur. Tu définis tes redirections de port sur la box, ou tu définis une IP en mode dmz et voilà…

    D'un autre côté, en mode bridge, ça t'oblige à faire du PPPoE, qui n'est pas très bien supporté par quelques trucs comme OpenVPN qui dans ce cas, n'utilise qu'un cœur de ton CPU (ce qui n'est pas nécessairement un vrai problème selon ta configuration)



  • Merci chris4916 de ta réponse mais je n'ai pas très bien compris…. Le fait que tu es inversé ma question me perturbe  :-\ (je sais il m'en faut peu  ::)) mais du coup je ne sais pas s'il faut que je m'embête à la passer en Bridge (avec les problèmes de vlan pour la TV) ou si je la laisse en routeur.
    Excuse moi de mon ignorance... Mais je préfère est franc que de dire oui à un sujet que je ne metrise pas du tout.

    En tout cas Merci



  • Bonjour,

    Je suis chez free aussi et ne voit que des inconvénients à passer la box en bridge.

    Je la garde en mode routeur, le réseau lan de la freebox est mon réseau WAN, y sont raccorder les playeurs freebox, la patte wan de mon pf et un nas qui diffuse du contenu multimédias en upnp à destination des playeurs; (qui sont incapable de lire un partage smb).
    Pour gérer sans prise de tête les flux entrant, j'ai simplement activé la pseudo DMZ vers l'ip de mon pf dans ce réseau.
    Je ne me sert pas du hdd de la box pour autre chose que enregistrer des flux TV ; je n'apporte que 2 modifications à la config par défaut de la box : 1/ j’arrête son wifi 2/ j'active la dmz.

    L'énorme avantage d'une configuration aussi simple se fait sentir lorsque la box tombe en panne  ;) Il suffis alors de simplement connecter la neuve et l'allumer, elle recupère les 2 modif de config automatiquement et à son 2ème reboot tout est parfaitement fonctionnel, rien à faire.  ;D

    Clic-clac, merci Kodak



  • Je suis chez free aussi et ne voit que des inconvénients à passer la box en bridge.

    Et moi que des avantages. Comme quoi ….



  • @ CCNET

    Dans un cadre perso, en ayant besoin des services TV + tel ? Je veut bien stp que tu développe ton point de vue.



  • Dans un contexte domestique je comprend bien ton choix et il me semble adapté. Je me place dans un contexte presque intégralement professionnel (pas de télé, pas de wifi sur la box, pas d'upnp, pas de téléphonie un peu spécifique, …). Le boitier free player n'est pas connecté. Tout ce que je demande à l'équipement c'est d'être le plus proche possible d'un routeur, bien que ce ne soit pas le cas puisque pas 'ip public sur la box elle même. Chaque contexte justifiant de ses solutions.



  • La, je te rejoins totalement  ;)



  • J'ai exactement la config et l'usage de baalserv pour mon accès internet domestique, à ceci près que mon pfSense est en multi-WAN avec la Freebox en VDSL (et 2 players) en failover d'un accès FTTH chez un autre ISP.

    Je n'ai pas activé le mode DMZ mais je fais du port forwarding pour les quelques services susceptibles d'utiliser le lien Free pour des sessions entrantes (mail, webmail, vpn sur pfSense)
    Zéro stockage sur le LAN Free  ;)  et à part les players et les stations de jeu d'un de mes enfants, il n'y a rien.
    C'est effectivement la solution de facilité  8)

    La surface d'exposition est limitée aux machines de jeu et aux player (sur lesquels ils n'y a "rien")

    Pour les box que j'ai déployé en milieu pro, les critères sont différents. Assez souvent je remplace la box de l'ISP par un boitier de mon choix, soit en mode bridge lorsqu'il s'agit d'un accès "simple" (peu de clients et services sur le LAN et donc peu de charge sur l'accès WAN) soit en mode routeur sur les config où du multi-WAN avec du CARP est requis… car je ne sais pas faire autrement  ;D
    Lorsque je suis en mode routeur, j'utilise le mode "DMZ" (vers la VIP) pour ne pas avoir à configurer les services et ports sur le routeur.

    Le double NAT ne m'a jamais, dans ce mode, posé de problèmes insurmontables.



  • Je n'ai pas activé le mode DMZ mais je fais du port forwarding pour les quelques services susceptibles d'utiliser le lien Free pour des sessions entrantes (mail, webmail, vpn sur pfSense)

    Excusez moi de mon ignorance sur certains points mais j'aime comprendre ce que je lis  ;)

    Soit on configure une dmz à partir de la freebox sur le réseau connecté à pfsense
    soit on laisse tel quel mais on ouvre les ports dont on a besoin (NAT)

    Est ce bien cela ?

    Merci



  • Il ne faut pas s'excuser de ne pas savoir mais plutôt s'excuser lorsqu'on pense tout savoir et avoir LA réponse  ;)

    Le mode DMZ redirige tous les flux entrants vers l'adresse IP désignée comme étant "l'adresse de DMZ"
    dès lors, il n'est plus nécessaire, dans ce cas, de configurer du forward puisque tout va vers cette IP.

    La différence entre ces 2 approches, c'est qu'en mode "forward", seuls les ports configurés vont être redirigés vers l'IP de ton choix: c'est un mode explicite, alors qu'en mode DMZ, tous les flux entrants, pour les nouvelles connexions, vont aller vers l'IP définie dans la conf comme DMZ. C'est un mode implicite.



  • Merci chris4916 de ta patience et de ton partage  ;)

    J'ai une nouvelle interrogation … dans quel cas concret peut on avoir besoin de faire du mode explicite ? car le mode implicite semble "plus simple" à gérer car tout se fait au travers du pf.

    Encore un grand merci à tout le monde pour votre partage d'expérience.



  • Dans le cas où tu veux que ton routeur (edge router) ne transmette qu'un nombre limité et contrôlé de flux.

    Dans mon cas, du mail (SMTP, IMAP), du HTTP, OpenVPN et IPSec. Tout le reste n'est simplement pas retransmis.

    ça peut bien sûr être considéré comme redondant avec ce que sait faire le FW, d'autant qu'il faut maintenir également les règles relatives à ces flux au niveau du FW mais ça présente l'avantage de rendre la gestion de ces règles et la lecture des flux sur le FW beaucoup plus simple, les routeurs à la frontière du réseau publique se chargeant d'ignorer les flux qui ne sont pas "attendus".



  • @chris4916:

    Dans le cas où tu veux que ton routeur (edge router) ne transmette qu'un nombre limité et contrôlé de flux.

    Dans mon cas, du mail (SMTP, IMAP), du HTTP, OpenVPN et IPSec. Tout le reste n'est simplement pas retransmis.

    ça peut bien sûr être considéré comme redondant avec ce que sait faire le FW, d'autant qu'il faut maintenir également les règles relatives à ces flux au niveau du FW mais ça présente l'avantage de rendre la gestion de ces règles et la lecture des flux sur le FW beaucoup plus simple, les routeurs à la frontière du réseau publique se chargeant d'ignorer les flux qui ne sont pas "attendus".

    Merci pour les explications … je m'interroge sur l'utilisation de l'un ou l'autre des modes .... la gestion des flux au niveau du pf est peut être plus simple car il n'y a pas de redondance à faire (bien que c'est pas tous les jours que l'on modifie cela) sur le box. Y a t il plus de sécurité dans l'une ou l'autre des méthodes ?



  • Dans l'absolu, oui c'est mieux de multiplier les lignes de défense et de ne pas laisser tout faire par le pare-feu.
    Dans les faits, pour un particulier, je ne pense pas que la différence soit significative.



  • Merci pour ton explication.

    Je pense que je vais pouvoir commencer à me lancer dans la mise en place de mon pf.
    je vais donc garder ma box en mode routeur (dans un premier temps)  en y désactivant le WiFi et en créant une dmz. La TV continura donc à passer par ma box. Je vais connecté un point d'accès sur l'un des ports de mon pf pour pouvoir le gérer au mieux et séparer le réseaux iot du reste du réseau dit fiable (pc, tablette maison).

    Je me permets de revenir pour demander des conseils au besoin.

    Encore un grand merci à vous.



  • Garde à l'esprit que si tu utilises un point d'accès wifi un tant soit peu évolué (comme par exemple les modèles d'Ubiquiti : https://unifi-shd.ubnt.com/), ce point d'accès wifi unique te permet de diffuser plusieurs SSDI et de gérer des réseaux wifi dans des VLAN séparés, ce qui te permet ensuite, au niveau de pfSense , d'autoriser le wifi "sécurisé" (par exemple en WPA2) à accéder au réseau local tandis que le wifi "sans authentification" ne disposera que d'un accès internet isolé.

    Beaucoup d'autres points d'accès wifi offrent ce type de fonctionnalité, chez Linksys/Cisco, Asus ou autre.



  • Je possède actuellement un Asus RT-AC68U et il semble posséder un ssd guest. Mon soucis est que mes équipements iot étaient connectés au réseau WiFi de ma box car elle est branché sur un onduleur. Je n'ai donc que la solution de brancher un nouveau point d'accès au niveau de la box branché sur le pf


Log in to reply