Config



  • Bonjour,

    Je voulais avoir quelques conseils, je voulais monter une config pfSense, j'avais pesné à un R210, mais j'aurais des problèmes avec la mise à jour 2.5, donc j'ai pensé à une autre config, mais je me posais plusieurs questions,

    Est-ce que la config de base est meilleure qu'un routeur de FAI, niveau pare feu ?
    Pour la carte réseau, je mets le port wan directement sur le switch ou routeur ?



  • Salut salut.

    Cruel dilemme effectivement avec la mise à jour prochaine en 2-5, il va y avoir pas mal de matériel qui ne seront plus supportés pour une installation ou mise à jour.

    Ayant des machines à faire évoluer aussi pour le futur passage vers cette version supérieur, je me pose aussi la question.
    Deux options s'offrent à nous faire un upgrade matériel sans connaitre les vrai futur pré-requit matériels compatible ou attendre que cette liste soit dispo et upgrader la plateforme.

    Autre chose quand vous dites que vous désirez un matériel meilleurs qu'un router de FAI, je reste septique et pas qu'un peu. En général c'est une box basique pour les particuliers ou box pro qui sont fournie du moins en France car je ne connais pas plus que cela sur les autres nations francophone.

    Ce que je sais est qu'à première vue, mettre en place un router netgeate (pf) ou un serveur monté avec pf, ou un autre router d'une des grandes marques bien connue (hp, cisco, huawei... par exemple et pour ne pas plus les citer) permettrait d'avoir de meilleur performance réseaux coté débit, avec des inconvénients comme le non support de l'opérateur pour certain service à moins que cela ne soit fournis (le matériel réseau). c'est du vécu pour le support avec un opérateur français.

    En fonction de votre type d'abonnement (adsl xdsl, ou fibre) que vous aurez souscrit, il va vous falloir vous équiper en conséquence. Entre les cartes adsl, xdsl (si elles existent) ou les cartes fibre avec l'adaptateur, si vous n'avez pas les bonnes notions dans le réseau et de surcroit dans les réseaux de FAI, cela etre compliquer pour vous.

    D'autre part, pour la partie réseau derrière le routeur, je ne serais que trop vous conseiller de prendre un model prenant en charge les vlan, dans la cas où vous désiriez bénéficier de service comme la vod, la téléphonie ... de votre opérateur. Personnellement j'évite fortement les marques et models aux noms exotiques, sans pour autant partir dans l'excès du full haut de gamme, il y a là un juste milieu à trouver en fonction de votre budget.

    En résumer, je partirais à l'envers en commençant par étape :

    • mon réseau local de bonne facture jusqu'au routeur.
    • monter un pf temporaire avec un serveur d'occasion ou une machine de récupération avec à minima deux cartes réseaux en rj45 gigabit (1 wan 1 lan) sans chipset autre de l'intel ou du hp par exemple, les realteck sont eux à proscrire car ils gèrent très mal les vlan et les agrégats de liens.
    • en parallèle j'attendrais un peu que la version suivante et les spécifications soient disponible et faire l'acquisition de votre nouveau Pf. le plus gros soucis est sur les types de cpu qui seront pris en charge.

    J'ai une question qui me turlupine, c'est pour un usage personnel ou pour un usage professionnel ?
    Au final cela va être une question de finance.

    Cordialement



  • @tatave Alors si je remplace la box de mon FAI par pfsense, je vais perdre le téléphone gratuit (la TV je ne m'en sers pas)
    Si j'utilise un modem en PCI ce sera une prise RJ11, que je brancherais comme si c'était une box, c'est ça ?

    Sinon je peux mettre la box de mon FAI et pfSense, mais il faut que je connecte le WAN sur le switch ou directement sur le routeur du FAI ?

    C'est pour un usage personnel, pfSense est bien meilleur que le firewall du routeur FAI ou pas spécialement ?



  • Salut salut

    Non , pas vraiment

    Vous avez deux options

    • mettre votre pf entre votre box et votre réseaux local
    • lettre votre pf en lieu et place de votre box, et la cela se complexifie suivant de votre niveau de maitrise des réseaux et de pfsense.

    Mais attention tout de même, je vous invite fortement si vous débuter avec pf d'intercaler cet élément réseaux entre la box et le lan.
    Dans la deuxième option il est important de prendre en compte que les connexions adsl (cuivre fourni par orange ex francetelecom si vous êtes en dans l'hexagone) sont voués à disparaitre du paysage. A contrario si vous êtes sur un abonnement en fibre optique le montage d'un Pf en lieu et place de la box est moins problématique.
    Je ne traite pas volontairement de la problématique téléphonie que je ne maitrise pas, mais il doit être possible de résoudre et mettre en place ce point en s'appuyant sur les montages des vlan.

    Je n'en ai pas plus fait de recherche de ce coté là, pour l'instant, comme toi je suis un particulier.
    Nonobstant de ces informations, je suis sûre qu'il y a des solutions ou des tutoriels qui permettent de en place ce la téléphonie en substituant la box par un router Pf, compliquer mais pas insurmontable.

    Pour un particulier mettre un pare-feu entre sa box et son réseau local est une très bonne idée.
    Cela sécurise mieux votre réseaux informatique personne du moment que vous le maitrisez, pas de navigation sur des sites farfelus, un peu de jugeote et de bon sens, le faite de poser des questions comme les vôtres permet d'entrevoir un terrain favorable, reste après la mise en œuvre et la compréhension.
    Je ne dis pas que cela sera facile et simple non plus, mais c'est aussi en se plantant que l'on apprend, nous avons tous commencer un jour, nous avons appris.

    Bon courage



  • @tatave Merci pour ton aide, alors pour le moment on est en VDSL, la fibre est prévue donc effectivement,

    Lorsque tu dis : le faite de poser des questions comme les vôtres permet d'entrevoir un terrain favorable, c'est à dire ?

    Donc j'ai vu qu'il y a des cartes VDSL en pci-express, il est possible de faire un mode bridge, donc ça veut dire que pfsense ne sers plus à rien et qu'il laissera tout passer, je me trompes ?

    Pour le téléphone j'ai vu des guides du côtés des VLANS, mais il est indiqué que l'on perd le téléphone donc je ne sais plus trop quoi suivre, dans mon cas je pensais utiliser un autre serveur DHCP que celui de la box, mais ça veut dire que lorsque je configurerais le gateway je ne mettrais plus l'ip de la box, mais celle de pfSense ?



  • @ewiko said in Config:

    Est-ce que la config de base est meilleure qu'un routeur de FAI, niveau pare feu ?

    C'est effectivement LA bonne question qu'il faut se poser. Et la réponse est clairement non.
    Je veux dire par là que à règles équivalentes, la différence entre un pare-feu pfSense et un pare-feu Orange, Free ou autre est assez marginale.

    En revanche, là où il y a une énorme différence, c'est que dans le cas de pfSense, c'est toi qui gère et contrôle ces règles. Dans le cas d'une box, tu n'as accès, et que partiellement, qu'à quelques règles, ce qui laisse à ton ISP toute latitude pour avoir, de fait, le contrôle.

    Par ailleurs, si tu n'as pas de services "entrants, tu noteras peu de différence, ce qui est bien dommage car l'avantage d'un pfSense, c'est justement d'avoir un contrôle fin des flux sortants.

    Et pour conclure sur le sujet, si tu n'y connais rien et que tu ne fais pas assez attention, alors les règles de ton ISP sont définitivement bien meilleurs que celle de pfSense, mais cen 'est pas la faute de la solution :-)

    La différence en terme de débit entre un box et un équipement perso est probablement marginale également.



  • Si on parle de sécurité, je laisse de côté les discussions sur les performances supposées, très clairement la différence est entre un équipement maitrisé (Pfsense) et un équipement non maitrisé (box). Le choix est donc simple. La box, équipement non maitrisé, est à l'extérieur du SI et ne comportera aucune fonctionnalité liée à la gestion de la sécurité du SI. La sécurisation du SI devant reposer sur des équipements maitrisés.



  • Je laisse l'idée de remplacer une box par pfsense à ceux qui ont du temps à perdre ...

    Outre la réponse de ccnet, qui touche juste (toujours, et forcément !), s'imaginer être capable de remplacer une box suppose un certain nombre de compétences établies ...

    Dans un contexte pro, le FAI fourni une box, un ou des routeurs pour les lignes qu'il apporte (ADSL, SDSL, fibre). Il m'est arrivé de remplacer la box ADSL par un modem type Dlink DSL-320B et de gérer la PPPoE depuis pfSense, mais cela s'est arrêté là.

    Ne pas oublier que, pour le contexte particulier, l'intérêt du FAI est de fournir une box 'multi-services' (téléphone, télévision, nas/enregistreur, borne dect, ...) ce qui , de facto, limite les possibilités de remplacement (puisque rien d'autre que l'accès Internet est possible !).



  • Mais ce qu'une box ne fait pas, en tous cas pas celles que je connais, c'est le contrôle des flux sortants. Ce qui peut être, dans certains cas, une raison pour soit la remplacer soit mettre en série in pare-feu.



  • Salut salut

    au final il y a deux écoles ou plutôt deux courants

    • ceux qui mettent des pf derrière des box ou routeur de FAI et on la pleine gestion de leur réseaux à partir du PF
    • ceux qui mettent des pf en lieu et place des box ou routeur de FAI et c'est à partir de ce point qu'ils ont la pleine gestion de leurs réseaux.

    Pour débuter il conseiller de commencer par le premier point, les embûches sont moindre et facilement surmontables.
    A contrario, le deuxième point est plus conseiller pour des utilisateurs avertis et expérimenté dans les en général et de solide compétence dans les réseaux type FAI.

    Pour avoir vu les deux montages avec des liaison fibre, j'ai vu effectivement des différences notable coté débit mais coté technique la mise en œuvre cela à été bien velu et hors de mon niveau actuel je le reconnais bien volontiers. De plus cela demande aussi l'acquisition de matériels en plus et donc de penser au budget qui y est associé, comme des téléphone IP par exemple et monter une machine pour la gestion de la téléphonie IP physique ou virtuelle, donc des compétences en plus.
    Au final cela des compétences du niveau d'un gars ayant suivit les formations cisco en téléphonie, FAI, réseaux, et aussi sécurité. perso c'est du très haut niveau pour un particulier qui n'est pas forcement de la partie, même là s'il est de la partie l'investissement peu en rebuter et refroidir certain.

    Bon courage


 

© Copyright 2002 - 2018 Rubicon Communications, LLC | Privacy Policy