Installation et configuration PFsense


  • Bonjour à tous,
    En reconversion professionnelle, je me forme au métier de technicien informatique, en distanciel avec le CNAM.

    Je suis en stage dans une association qui à un parc de 150 machines distantes et 30 en local.
    Il n'y a pas de serveurs et tout est géré à l 'ancienne....
    Il y une fuite de débit sur le réseau local de la boite.
    Je m'explique, il y à un débit très limité de 6 Mbit/s et presque une trentaine de pc qui tournent.
    Le WSUS est paramétré sur chaque postes ce qui évite de faire tomber le réseau.
    Mais malgré cela, fréquemment le réseau tombe et tout rame! D’où la fuite...
    Le FAI coloré (pour ne pas le citer) propose une intervention à 1500€
    J'ai donc été missionné pour trouver une méthode afin de savoir quel est ce pc gourmand.

    Je m'oriente donc naturellement vers pfsense et le configure en premier à la maison.

    Chez moi:
    -un pc fixe avec w10 pro, vmware workstation 15.
    Si j'installe pfsense avec une carte réseau, donc le wan, je peux me connecter à l'interface web et installer l'excellent paquet bandwidth et la j'ai accès à tout mon lan et à tous ses débits, donc parfait pour trouver la fuite dans l'asso.

    Mais vu que je prends gout à pfsense et que je veux en faire plus je veux donc connecter deux cartes réseau sous vmware, après avoir suivi plusieurs tutos, j'ai essayé de mettre les deux interfaces en bridge.
    L'install se passe sans que je n'ai rien à paramétrer et je me retrouve avec une adresse IP pour le wan et une autre pour le lan et je ne peux pas me connecter à l'interface web.

    J'ai aussi mis les cartes dans deux segments lan différents et j'ai connecté une autre vm w10 sur les segments lan et toujours pas d'interface web..

    Quelqu'un à une idée?


  • Il serait plus raisonnable de tester la machine 'finale' (qui devra avoir 2 cartes réseaux physiques). Gagnez du temps ...

    Le firewall devra être configuré avec des règles concrètes pour les protocoles réellement autorisés (par exemple, HTTP/HTTPS, SMTP, IMAP, ...). Je préconise de regarder le package ntopNG qui donne directement les proto par ip.

    Par ailleurs, il est essentiel de commencer par avoir des pc Windows le plus 'propres' possibles : utilisateurs non admin, nb de logiciels installés minimal, mise à jour windows active, antivirus actif, et ... outil de limitation de Windows tel 'O&O Shutup'. (Le dernier point est important : un ancien collègue technicien n'en a jamais compris l'utilité !).

    (Perso, j'ajouterais un proxy dédié ...)


  • @jdh
    Salut,
    vous avez entièrement raison pour l'install sur site directement.
    Ce sera mis en place dans 15 jours, puisque l'objectif de trouver la fuite grâce à bandwidth est atteint.
    Mais je veux configurer un pare-feu pfsense pour chez moi et je n'arrive pas à installer une interface en lan
    Si je l'ajoute des le début de l'install les 2 interface obtiennent une adresse ip chacune et je ne peux plus me connecter sur l interface web.
    Si j'installe une interface, le wan uniquement je peux me connecter à l interface web et dès que je rajoute une carte réseau a la vm et que j'y attribue une ip je perd l interface web...
    J'ai aussi crée des segments lan , puis créé une autre vm w10 et connecté cette dernier au même segment sans succès...
    Si vous avez une idée?
    Merci


  • pfSense a besoin de 2 interfaces (WAN et LAN).

    Si on veut éviter les difficultés, il est bien clair qu'il vaut mieux avoir

    • 2 interfaces physiques distinctes, chacune associée à son interface logique,
    • un matériel dédié même peu puissant, car il faut un minimum de ressources stables et indépendantes d'un Windows (qu'on peut éteindre à loisir).

    Si on ne dispose que d'une machine, on ne peut que tester/évaluer. Et encore sous réserves expresses de maitrise des concepts réseau de l'outil de virtualisation ... (le forum est plein de 'ceux qui ont essayé' ... ils ont eu des problèmes !)