Besoin d’évolution sur pfsense
-
Bonjour à tous,
Contexte : utilisation pro, niveau d’administration moyen (utilisateur pendant 5 ans environ) sur 2 agences Web sur 2 petits réseaux d’une dizaine d’utilisateurs. Les 2 agences ont un pfsense sur une VM dédiée.
Besoin : Tout fonctionne très bien, j’ai juste besoin de rajouter une fonctionnalité. Quand on travaille sur un site web et que le nom de domaine n’est pas encore déployé, tous les utilisateurs entrent l’ip du serveur et le futur nom de domaine dans leur fichier host (postes windows) Le problème c’est que pour certains c’est toujours un peu fastidieux de le faire et surtout on ne peut pas le faire sur iphone ou ipad (j’imagine que sur Android y a ce qu’il faut :-))
Schéma :
Agence 1 : Réseau (30 à 40 Devices) + 3 Bornes WiFi || pfsense 2 WANs + OpenVPN || Wan 1 & Wan 2
Agence 2 : Réseau (15 Devices) + 1 Bornes || pfsense 1 WAN + OpenVPN || Wan 1Je ne vais mettre que pour l’agence 1 qui est plus complète.
WAN (modem/routeur/box) : 2 Wans en Load BalancingLAN : Environ 35 Devices
DMZ : Pas de DMZ
WIFI : Bornes WiFi Plage DHCP par le pfsense
Autres interfaces :
Règles NAT : Règle de LoadBalancing + Plusieurs règles pour envoyer certains trafics sur une interface WAN ou l’autre.
Règles Firewall : Rien d’exceptionnel
Packages ajoutés : RAS
Autres fonctions assignées au pfSense : Open VPN
Question : Je pensais installer un proxy, type squid, pour que je puisse sur tout le réseau router tout le trafic type http://www.machin.com ou https://www.machin.com vers l’ip de mon choix, de même depuis un client FTP type Filezilla pour le host. Et surtout sur les tablettes en WiFi connectée sur les bornes. La cerise sur le gâteau serait de pouvoir utiliser ces fonctionnalités quand je suis à l’extérieur mais connecté depuis le VPN.
Pistes imaginées : Proxy Squid, mais ça semble un peu costaud pour une simple fonctionnalité. Je ne sais pas si la piste du proxy est là bonne et si oui quel proxy choisir vu mon besoin.
Recherches : J’avais naïvement pensé qu’avec des règles j’aurai pu le faire, mais ça ne fonctionne pas.
Logs et tests : Pour le moment je n’ai pas testé de Proxy.
-
Merci pour la présentation complète du contexte. A u moins nous n'avons pas besoin de vous poser 10 questions avant de pouvoir répondre.
Sur votre besoin :Tout fonctionne très bien, j’ai juste besoin de rajouter une fonctionnalité. Quand on travaille sur un site web et que le nom de domaine n’est pas encore déployé, tous les utilisateurs entrent l’ip du serveur et le futur nom de domaine dans leur fichier host (postes windows) Le problème c’est que pour certains c’est toujours un peu fastidieux de le faire et surtout on ne peut pas le faire sur iphone ou ipad (j’imagine que sur Android y a ce qu’il faut :-))
La première réponse est que ce besoin ne concerne pas le firewall au sens strict.
C'est finalement un problème dns et au lieu de recourir aux fichiers hosts vous pouvez travailler sur le résolution dns "locale". Avec des guillemets puisque cela signifie que vous pouvez envisager de surcharger la résolution dns. Reste à déterminer comme celle-ci est gérée. En clair quels dns sont indiqués dans les configurations réseaux des équipements. -
Bonjour ccnet,
j'ai essayé de détailler au mieux, c'est top si c'était assez détaillé.
Oui on peut voir ça comme une surcharge du serveur DNS, mais pour tout le réseau et pas poste par poste.
Les DNS je paramètre dans chaque poste ceux de Google 8.8.8.8 et 8.8.4.4. En général, ils se mettent plus souvent à jour que ceux de mon FAI. Maintenant, si je dois paramétrer chaque poste pour mettre en DNS l'ip de pfSense, c'est possible.
D'après vous un Proxy serait donc une bonne piste ?
-
Bonne présentation, je confirme.
Toutefois, il y a à côté, de mauvaises pratiques : les PC devraient être configuré en DHCP et ne devrait donc pas avoir une config particulière.
Le serveur DHCP va fournir l'ip, le masque, la passerelle (=le pfsense), et surtout le serveur DNS (ainsi que l'extension dns par défaut).
Il suffit alors de maitriser le serveur DNS pour y inscrire une définition locale : exemple www.xxxx.com = (A) 192.168.x.y
A partir d'une certaine taille d'entreprise, il y a un 'domaine Windows' avec un AD : laissez le contrôleur du domaine (=le DC) faire serveur DNS et DHCP.
-
Merci pour votre temps, attention je ne suis pas un expert réseau donc je peux dire des conneries sans aucun problème :-)
Pourquoi je suis en ip fixe comme ça, déjà effectivement ce réseau je le gère depuis 20 ans pour l’agence 1 et au départ, j’avais une LiveBox et j’ai pris pour mauvaise habitude de rester en ip fixe sur les postes. En revanche j’ai besoin de savoir quel PC à quelle IP, c’est pour me permettre d’avoir une identification simple pour moi par exemple en VNC sur le réseau local (ou via le VPN si je suis à l’extérieur) j’ai donc mon listing IP // PC // MDP VNC.
Après j’imagine que si je rentre en passerelle et dhcp l’ip de mon pfsense, je dois pouvoir fixer l’ip en fonction de l’adresse mac, et ce ne serait plus un problème.
Du coup, on est d’accord ainsi je pourrai faire via pfsense, dans le réglage DNS, la translation entre www.xxx.com (en type A) vers telle ip ? C’est dans DNS Forwarder, je vois un Domain Override ?
PS : pour l’Active Directory, j’ai déjà étudié un peu le truc, mais pour le moment je ne suis pas prêt, et je suppose que c’est un autre topic, compatibilité des os (uniquement des version pro ? verification des imprimantes réseaux....)obligation d’un serveur windows ? bref c’est un sujet que je préfère repousser et maîtriser un peu plus la bête :-)
-
Il est très délicat de configurer chaque micro avec des adresses statiques, car justement il faut configurer CHAQUE machine, et ce qui est facile pour 5 machines ne l'est plus pour 40 !!
De plus, cela pose un problème pour les portables : comment fait l'utilisateur qui veut brancher son portable, emporté depuis le bureau, chez lui ?
Il faut passer à du DHCP :
- chaque PC est configuré en DHCP, fixes ou portables.
- le serveur DHCP fournit adresse, masque, passerelle et dns.
Et il est possible de faire des réservations avec une ip fixée selon l'adresse MAC de la machine concernée.
Par ailleurs le service DNS de pfSense permet de définir des noms définis localement, ce qui évite à ajuster chaque fichier 'hosts'.
-
Hello jdh,
Merci pour ces précisions techniques, je vais pouvoir faire évoluer mon réseau dans ce sens, c'est top.
Bonne journée à vous.