Pfsense en mode routeur sur plusieurs ports physiques



  • Bonjour,
    Je viens de faire l'acquisition de matériels pour monter un firewall/routeur en remplacement de mon précédent matériel qui était un Cisco RV220W qui n'est plus mis à jour depuis trop longtemps et ne m'inspire plus confiance compte tenu de la société derrière (merci à Edward Snowden pour avoir éclairer le monde). Il s'agit d'une solution pour chez moi.

    Plateforme Intel celeron J3455 avec 8Mo de ram - ssd 120Go - carte gigabyte avec deux ports RJ45 + une carte PCI supplémentaire avec deux autres ports RJ45.

    J'ai essayé opnsense mais visiblement la version de freebsd inclus n'aimait pas ma configuration matérielle. A l'inverse Pfsense est passé comme une lettre à la Poste. J'ai choisi la dernière version n°2.4.4-RELEASE-p2 (amd64).

    Mon niveau général en informatique n'est pas mauvais mais le domaine précis du réseau n'est pas mon fort.

    De la même façon que sur mes précédents routeurs/firewall, je veux pouvoir utiliser l'ensemble des ports disponibles comme si un switch était intégré.

    • Modem/routeur TG788VN_V2 d'OVH (accès adsl de base) en mode routeur (car je veux garder le téléphone dessus sans passer par un boutier externe, donc pas de mode bridge). J'utilise un seul port LAN dessus qui est paramétré en DMZ avec l'ip 192.168.1.254.

    • Pfsense 2.4.4-RELEASE-p2
      Interface n°1 : WAN (1er port intégré à la carte mère) avec l'ip 192.168.1.50 (même sous-réseau que le modem) et en passerelle l'ip lan du modem.
      Interface n°2 : LAN ((2ème port intégré à la carte mère) avec l'ip 10.100.10.50 (sur laquelle j'ai branché mon pc)
      Interface n°3 : OPT1 ((1er port de la carte PCI supplémentaire) sans ip défini pour l'instant
      Interface n°4 : OPT2 ((2ème port de la carte PCI supplémentaire) sans ip défini pour l'instant
      Pas de wifi

    Les règles du firewall sont d'origine pour le moment. Par défaut j'applique les régles suivantes :

    • je bloque tout le traffic entrant
    • je laisse ouvert uniquement le traffic sortant des services suivants : DNS:UDP, DNS:TCP, HTTP, HTTPS, IMAPS et SMTPS

    Pour le moment je n'ai pas touché au paramétrage à part l'ajout de shellcmd pour forcer la clavier azerty sur la console.

    Mon objectif est d'avoir sur les ports RJ45 physiques :
    1 : WAN venant du modem
    2 : LAN vers mon pc principal
    3 : LAN vers mon nas
    4 : LAN vers un petit switch Netgear GS108 (8 ports) qui pourra recevoir divers matériels supplémentaires
    Mais les ports LAN 2 à 4 doivent être sur un même réseau, pouvant communiquer ensemble facilement.

    J'ai regardé les groupes d'interface mais cela semble être uniquement utile à simplifier les règles de firewall.
    J'ai pensé bêtement mettre la même ip sur les ports LAN 2 à 4, mais évidemment cela m'est refusé.
    J'ai regardé cette histoire de "pont" (bridge) entre interface mais je n'y ai pas compris grand chose et je n'y vois pas OPT1 et OPT2.

    Je doute que cela soit impossible, alors je demande ici au cas où quelqu'un aurait une piste pour m'aider.

    Merci par avance



  • Faudrait il en fait renseigner par exemple les adresses ip 10.100.10.51 (pour OPT1) et 10.100.10.52 (pour OPT2) et faire quelque chose dans les règles NAT (menu pare-feu) pour router ces deux adresses vers l'ip 10.100.10.50 (qui correspond à LAN) ?
    Que l'on soit bien d'accord, du côté des clients je veux indiquer partout la passerelle 10.100.10.50. Normallement je préfère faire un adressage statique plutôt que le DHCP dynamique, cela me permet d'ajouter une sécurité en filtrant sur les adresses MAC, en tout c'est que je faisais sur mes précédents routeurs.



  • je veux pouvoir utiliser l'ensemble des ports disponibles comme si un switch était intégré.

    Pas possible avec votre équipement.

    cela me permet d'ajouter une sécurité en filtrant sur les adresses MAC

    Tout à fait illusoire.

    Le plus simple dans votre cas (et de très très loin) est d'acheter un switch 16 ports.



  • Donc les matériels que j'ai eu avant (cisco et netgear) intégraient ce système de switch au niveau matériel alors ...

    Je vais donc avoir une passerelle différente sur chaque interface, mais est ce que le DHCP sera accessible par les interfaces LAN, OPT1 et OPT2 en même temps ?

    Sinon, vous semblez dire qu'un adressage des clients en ip fixe avec un filtrage par MAC est inutile ?

    Pas besoin d'acheter un switch 16 ports, je n'ai jamais eu besoin de plus de 4 ports simultanés, même si là je mettrai peut être un point d'accès wifi en plus en cas de besoin absolu.

    Dernière petite question technique. Le switch dispose de 8 ports gbits, mais c'est le pfsense qui route les données, alors est ce que la bande passante est en réalité divisé par le nombre de port ?



  • @patic said in Pfsense en mode routeur sur plusieurs ports physiques:

    Mais les ports LAN 2 à 4 doivent être sur un même réseau

    Pourquoi se créer cette contrainte ?
    Dans ce cas là il est plus simple d'ajouter un simple switch sur le LAN 2 ou de permettre, via le FW, la communication entre les réseau du LAN 2 & 4. Je ne vois pas d'où vient cette nécessité d'être "sur le même réseau".

    Ce que tu veux faire pourrait peut-être fonctionner en faisant un trunk des 2 interfaces physiques mais c'est un détournement bizarre de cette fonctionnalité..

    Par ailleurs, pfSense peut efficacement fournir un service de "relais DNS": dans ce cas, il n'est pas utile de permettre au flux DNS de sortir.



  • @patic said in Pfsense en mode routeur sur plusieurs ports physiques:

    Dernière petite question technique. Le switch dispose de 8 ports gbits, mais c'est le pfsense qui route les données, alors est ce que la bande passante est en réalité divisé par le nombre de port ?

    C'est un peu plus compliqué que cela. Disons pour faire simple que le partage de la bande passante est dynamique. Avec 4 machines vous devriez n'avoir aucun problème. A votre niveau ce type de questionnement est d'ordre philosophique, voir mystique.

    Je vais donc avoir une passerelle différente sur chaque interface, mais est ce que le DHCP sera accessible par les interfaces LAN, OPT1 et OPT2 en même temps ?

    Je pense qu'il faut que vous preniez le temps de lire la documentation de base de Pfsense.



  • @chris4916
    D'abord, merci pour les informations.
    J'ai bêtement eu l'idée que mon système serait similaire à mes précédents matériels qui faisaient tout en un, routeur et firewall. Si j'avais su je n'aurai pas acheté une carte réseau dual lan en plus, et j'aurais pu trouver une carte mère avec un seul port RJ45 et ajouter une carte pour le deuxième port RJ45 (la carte aurait été moins cher).
    Ce qui est fait, est fait, donc je le saurai pour l'avenir. Au moins là je peux si un jour le besoin s'en fait ressentir créer un réseau complexe permettant plus de sécurité.

    J'ai entrevu il y a longtemps ces histoires de routes et de métrique, mais je ne maîtrise pas. Il faudrait que je me plonge dedans. Avoir un seul sous-réseau me permet de faire discuter tous les clients entre eux, sans me compliquer la vie (les fameuses routes et les tables de routage).
    Je ne connais pas le terme "trunk" et la procédure que cela implique.

    Il faut que je creuse l'idée du DNS, notamment pour outrepasser la censure d'internet et puis j'aimerai bien sécuriser cette partie DNS un jour.



  • @ccnet
    Il y a longtemps j'avais un routeur/firewall Netgear FVG318 avec des ports limités à 100mbits, et je me suis aperçu que le débit était trop faible pour pleinement profiter des performances de mon NAS lors des backup. C'est là que j'ai acquis le petit cisco RV220W avec des ports gbits. Il est probable que la fréquence et la mémoire du cisco était meilleur, je suis d'accord, mais j'ai observé en plus de cela une nette amélioration du débit lors des backup, il y avait bien saturation sur l'ancien routeur.
    Ce que je comprends, c'est que l'ajout de mon petit switch sur l'interface LAN n'abaissera pas les performances par rapport à mon ancien matériel.

    Je suis d'accord, le passage vers la documentation est obligatoire. Connaissez vous une version française par hasard, je n'ai rien vu en ce sens à part des tutos et autres trucs de ce genre ?

    Merci pour toutes vos infos



  • Il n'y a pas de version française à ma connaissance de la documentation de Pfsense. Il est très difficile de travailler sur ces sujets sans lire l'anglais.

    Il faut que je creuse l'idée du DNS, notamment pour outrepasser la censure d'internet et puis j'aimerai bien sécuriser cette partie DNS un jour.

    Je ne comprend pas ce que vous voulez dire.



  • Evidemment je me débrouille à lire l'anglais mais c'est une source de mauvaise compréhension et de prise de tête.

    J'ai lu des choses sur des failles qui consistent à intercepter les requêtes DNS (man-in-the-middle). A priori on peut aujourd'hui sécuriser cela, avec DNSSEC je crois (je n'en sais pas plus pour le moment).
    Sinon, le serveur DNS est la première source de censure utilisée, il est donc intéressant d'avoir son propre serveur DNS. Certains (dont des fournisseurs internet) vont même jusqu'à renvoyer la requête DNS vers un site tiers, donc les DNS de ces sociétés ne sont pas fiables et je n'y fais aucune confiance.



  • J'ai lu des choses sur des failles qui consistent à intercepter les requêtes DNS (man-in-the-middle)

    Aucune "faille". Le trafic dns est en clair. N'impote quel équipement réseau (ou presuqe) le permet.

    A priori on peut aujourd'hui sécuriser cela, avec DNSSEC je crois (je n'en sais pas plus pour le moment).

    Il faudrait commencer par comprendre sur quoi porte la sécurisation fournie par DNSSEC.

    il est donc intéressant d'avoir son propre serveur DNS

    Vous êtes vous demandé d'où vont provenir les information que votre dns va vous fournir ? Regardez de plus près le fonctionnement de dns, cela devrait calmer vos ardeurs. C'est certe interessant maos pas pour ce que vous croyez probablement.

    Sinon, le serveur DNS est la première source de censure utilisée,

    Source de censure ? Si tel était le cas on pourrait parler de méthode. Pour les pays où l'internet est censuré, c'est "légèrement" plus compliqué.

    les DNS de ces sociétés ne sont pas fiables et je n'y fais aucune confiance.

    Vous êtes un brin conspirationniste. Ils sont tout à fait fiables si ce n'est qu'ils font usage des requêtes dns. On peut dire qu'il ne garantisse pas la confidentialité des recherches.
    Dans ce registre je vous invite à réfléchir sur l'OS que vous utilisez, le navigateur que vous utilisez et sa configuration, votre messagerie et vos inscriptions éventuelles sur les réseaux sociaux, ou même simplement les pages comportant le bouton like de Facebook par exemple, ou encore un simple programme de fidélité auquel vous seriez inscrit. Et votre smartphone bien sûr.