Pfsense en mode routeur sur plusieurs ports physiques

patic

Faudrait il en fait renseigner par exemple les adresses ip 10.100.10.51 (pour OPT1) et 10.100.10.52 (pour OPT2) et faire quelque chose dans les règles NAT (menu pare-feu) pour router ces deux adresses vers l'ip 10.100.10.50 (qui correspond à LAN) ?
Que l'on soit bien d'accord, du côté des clients je veux indiquer partout la passerelle 10.100.10.50. Normallement je préfère faire un adressage statique plutôt que le DHCP dynamique, cela me permet d'ajouter une sécurité en filtrant sur les adresses MAC, en tout c'est que je faisais sur mes précédents routeurs.

ccnet

je veux pouvoir utiliser l'ensemble des ports disponibles comme si un switch était intégré.

Pas possible avec votre équipement.

cela me permet d'ajouter une sécurité en filtrant sur les adresses MAC

Tout à fait illusoire.

Le plus simple dans votre cas (et de très très loin) est d'acheter un switch 16 ports.

patic

Donc les matériels que j'ai eu avant (cisco et netgear) intégraient ce système de switch au niveau matériel alors ...

Je vais donc avoir une passerelle différente sur chaque interface, mais est ce que le DHCP sera accessible par les interfaces LAN, OPT1 et OPT2 en même temps ?

Sinon, vous semblez dire qu'un adressage des clients en ip fixe avec un filtrage par MAC est inutile ?

Pas besoin d'acheter un switch 16 ports, je n'ai jamais eu besoin de plus de 4 ports simultanés, même si là je mettrai peut être un point d'accès wifi en plus en cas de besoin absolu.

Dernière petite question technique. Le switch dispose de 8 ports gbits, mais c'est le pfsense qui route les données, alors est ce que la bande passante est en réalité divisé par le nombre de port ?

chris4916

@patic said in Pfsense en mode routeur sur plusieurs ports physiques:

Mais les ports LAN 2 à 4 doivent être sur un même réseau

Pourquoi se créer cette contrainte ?
Dans ce cas là il est plus simple d'ajouter un simple switch sur le LAN 2 ou de permettre, via le FW, la communication entre les réseau du LAN 2 & 4. Je ne vois pas d'où vient cette nécessité d'être "sur le même réseau".

Ce que tu veux faire pourrait peut-être fonctionner en faisant un trunk des 2 interfaces physiques mais c'est un détournement bizarre de cette fonctionnalité..

Par ailleurs, pfSense peut efficacement fournir un service de "relais DNS": dans ce cas, il n'est pas utile de permettre au flux DNS de sortir.

ccnet

@patic said in Pfsense en mode routeur sur plusieurs ports physiques:

Dernière petite question technique. Le switch dispose de 8 ports gbits, mais c'est le pfsense qui route les données, alors est ce que la bande passante est en réalité divisé par le nombre de port ?

C'est un peu plus compliqué que cela. Disons pour faire simple que le partage de la bande passante est dynamique. Avec 4 machines vous devriez n'avoir aucun problème. A votre niveau ce type de questionnement est d'ordre philosophique, voir mystique.

Je vais donc avoir une passerelle différente sur chaque interface, mais est ce que le DHCP sera accessible par les interfaces LAN, OPT1 et OPT2 en même temps ?

Je pense qu'il faut que vous preniez le temps de lire la documentation de base de Pfsense.

patic

@chris4916
D'abord, merci pour les informations.
J'ai bêtement eu l'idée que mon système serait similaire à mes précédents matériels qui faisaient tout en un, routeur et firewall. Si j'avais su je n'aurai pas acheté une carte réseau dual lan en plus, et j'aurais pu trouver une carte mère avec un seul port RJ45 et ajouter une carte pour le deuxième port RJ45 (la carte aurait été moins cher).
Ce qui est fait, est fait, donc je le saurai pour l'avenir. Au moins là je peux si un jour le besoin s'en fait ressentir créer un réseau complexe permettant plus de sécurité.

J'ai entrevu il y a longtemps ces histoires de routes et de métrique, mais je ne maîtrise pas. Il faudrait que je me plonge dedans. Avoir un seul sous-réseau me permet de faire discuter tous les clients entre eux, sans me compliquer la vie (les fameuses routes et les tables de routage).
Je ne connais pas le terme "trunk" et la procédure que cela implique.

Il faut que je creuse l'idée du DNS, notamment pour outrepasser la censure d'internet et puis j'aimerai bien sécuriser cette partie DNS un jour.

patic

@ccnet
Il y a longtemps j'avais un routeur/firewall Netgear FVG318 avec des ports limités à 100mbits, et je me suis aperçu que le débit était trop faible pour pleinement profiter des performances de mon NAS lors des backup. C'est là que j'ai acquis le petit cisco RV220W avec des ports gbits. Il est probable que la fréquence et la mémoire du cisco était meilleur, je suis d'accord, mais j'ai observé en plus de cela une nette amélioration du débit lors des backup, il y avait bien saturation sur l'ancien routeur.
Ce que je comprends, c'est que l'ajout de mon petit switch sur l'interface LAN n'abaissera pas les performances par rapport à mon ancien matériel.

Je suis d'accord, le passage vers la documentation est obligatoire. Connaissez vous une version française par hasard, je n'ai rien vu en ce sens à part des tutos et autres trucs de ce genre ?

Merci pour toutes vos infos

ccnet

Il n'y a pas de version française à ma connaissance de la documentation de Pfsense. Il est très difficile de travailler sur ces sujets sans lire l'anglais.

Il faut que je creuse l'idée du DNS, notamment pour outrepasser la censure d'internet et puis j'aimerai bien sécuriser cette partie DNS un jour.

Je ne comprend pas ce que vous voulez dire.

patic

Evidemment je me débrouille à lire l'anglais mais c'est une source de mauvaise compréhension et de prise de tête.

J'ai lu des choses sur des failles qui consistent à intercepter les requêtes DNS (man-in-the-middle). A priori on peut aujourd'hui sécuriser cela, avec DNSSEC je crois (je n'en sais pas plus pour le moment).
Sinon, le serveur DNS est la première source de censure utilisée, il est donc intéressant d'avoir son propre serveur DNS. Certains (dont des fournisseurs internet) vont même jusqu'à renvoyer la requête DNS vers un site tiers, donc les DNS de ces sociétés ne sont pas fiables et je n'y fais aucune confiance.

ccnet

J'ai lu des choses sur des failles qui consistent à intercepter les requêtes DNS (man-in-the-middle)

Aucune "faille". Le trafic dns est en clair. N'impote quel équipement réseau (ou presuqe) le permet.

A priori on peut aujourd'hui sécuriser cela, avec DNSSEC je crois (je n'en sais pas plus pour le moment).

Il faudrait commencer par comprendre sur quoi porte la sécurisation fournie par DNSSEC.

il est donc intéressant d'avoir son propre serveur DNS

Vous êtes vous demandé d'où vont provenir les information que votre dns va vous fournir ? Regardez de plus près le fonctionnement de dns, cela devrait calmer vos ardeurs. C'est certe interessant maos pas pour ce que vous croyez probablement.

Sinon, le serveur DNS est la première source de censure utilisée,

Source de censure ? Si tel était le cas on pourrait parler de méthode. Pour les pays où l'internet est censuré, c'est "légèrement" plus compliqué.

les DNS de ces sociétés ne sont pas fiables et je n'y fais aucune confiance.

Vous êtes un brin conspirationniste. Ils sont tout à fait fiables si ce n'est qu'ils font usage des requêtes dns. On peut dire qu'il ne garantisse pas la confidentialité des recherches.
Dans ce registre je vous invite à réfléchir sur l'OS que vous utilisez, le navigateur que vous utilisez et sa configuration, votre messagerie et vos inscriptions éventuelles sur les réseaux sociaux, ou même simplement les pages comportant le bouton like de Facebook par exemple, ou encore un simple programme de fidélité auquel vous seriez inscrit. Et votre smartphone bien sûr.