Recommendation matériel / conf pfsense + proxy + vpn



  • Bonjour,

    Pour mon domicile et le cabinet d'avocats ou travaille ma femme (5 pers max) que je gère d'un point de vue informatique, je souhaite mettre en place un proxy squid/squidguard/squidclamav + service openvpn et du coup, j'en suis arrivé à pfsense que je pourrais utiliser en remplacement ou complément des WRT54G(L).

    Pour le moment, au cabinet de ma femme, j'utilise un linutop pour offrir le service VPN. Cela marche très bien sauf que je dois anticiper la fin de vie de la clé usb (même si a priori, j'ai configuré la slackware tournant dessus pour minimiser les écritures).

    Je souhaite donc mettre un petit boitier qui fait pas de bruit et qui consomme peu. J'en suis arrivé pour le moment aux cartes alix 2D2/3/13 auxquelles je brancherais un disque dur en lieu et place de la carte flash (surtout pour les activités de proxy) pour ne pas retomber dans le problème de nombre d'écritures.

    Mes questions portent du coup sur les 256 Mo de RAM ; seront-ils suffisant à votre avis ? Avez-vous une autre conf matérielle à me conseiller sachant que je voudrais idéalement rester dans les 200/250 € de budget pour chaque machine au max.

    J'avais trouvé les soekris mais je suis vite hors budget.

    Merci d'avance,
    Nicolas



  • Il me contradictoire de penser à des boitiers embarqués (avec généralement une compact-flash en guise de disque dur) et faire proxy.

    Le proxy, par sa nature et par ses compléments, est (gros) consommateur de mémoire et de disque dur.

    Soit on utilise un boitier soekris, alix ou minitx (?) avec 256 Mo, une compactflash et on gère le firewall + le vpn mais pas le proxy (avec pfSense c'est parfait et c'est mieux qu'OpenWrt !).

    Soit on passe à un pc en boitier traditionnel (type sempron/2G mémoire/80G disque), et là on peut faire du Squid/SquidGuard (pour ce nombre d'utilisateurs).
    (mais on consomme de l'électricité "en veux tu en voilà" !)

    NB : ne pas oublier que le vpn restera lent car 800kb montant, c'est au mieux 50ko/s pour une session (compte tenu du cryptage, du bit de start/stop, …). De toute façon, un proc même basic sera pour 3 vpn simultanés.

    NB : un PC cela ne doit pas couter plus que 200-250e



  • Je confirme l'aspect contradictoire de votre "cahier des charges". Un vrai serveur s'impose mais son bruit risque de na pas vous plaire. Pour l prix pas de problème :
    http://cgi.ebay.fr/DL360-G3-337054-421-2-3-06GHZ-1GO-RAM-36GO-HD_W0QQitemZ290370354632QQcmdZViewItemQQptZFR_GH_Informatique_Réseau_Wi_Fi_Serveurs_Stations?hash=item439b6bfdc8

    J'utilise très régulièrement des DL360 pour installer pfsense.

    Pour ce que vous souhaitez faire 256Mo de ram sont insuffisants et le processeur trop juste (vpn).



  • @jdh : je ne compte pas utiliser de CF mais bien un disque dur 2.5" comme indiqué.
    @ccnet : c'est presque la conf qu'on a au bureau pour chacun de nos 2 proxys (mais avec plus 3 Go de RAM) et on est nettement plus…  ???

    Pour le VPN, il est utilisé très ponctuellement (en gros quand ma femme bosse de la maison le soir et idem pour une de ses collègues).
    Pour le proxy, on parle de max 3 utilisateurs en simultané et ce ne sont pas de gros consommateurs. Sur la journée, si on a l'équivalent d'un utilisateur connecté en permanence, c'est un max.

    Je conçois bien que le proxy soit limite par rapport à mon cas d'utilisation (et d'où mon questionnement sur le forum) mais d'ici à sortir un serveur DL360 G3 et peut-être est-ce par méconnaissance mais il me semble qu'il y a un gouffre abyssal…



  • Pour 100 euros quel est le problème ?



  • Je peux comprendre que pour "si petit" on puisse souhaiter quelque chose de "petit".

    Mais je veux faire comprendre la différence entre "firewall+vpn" et "squid+…" : les besoins sont très différents, le temps de réponse est différent, la charge cpu/disque très différente, ...

    Autant un firewall+3 sessions vpn pourrait très bien se satisfaire de 256M, autant un squid même pour 5 utilisateurs y sera très à l'étroit surtout si on s'avise de dépasser les 500M de cache !

    Bien penser à disposer tout de suite de 3 interfaces réseaux (soit pour faire une dmz soit pour séparer wifi de lan, par exemple).
    Bien pensez que le besoin mémoire est proportionnelle au nombre d'objets et de facto à la taille du cache !

    NB : Il est clair que ce Compaq est superbe et, à ce prix, c'est surement une machine idéale pour faire un firewall ou un proxy, encore faut-il disposer d'un rack assez profond ...



  • @ccnet:

    Pour 100 euros quel est le problème ?

    Ce n'est pas tant une histoire de cout que de place / bruit ; ça suppose que j'achète une "baie" pour y racker ce serveur. J'ai pas vraiment la place sous mon bureau à la maison et au bureau de ma femme, au vu de l'organisation des locaux, c'est pas possible non plus.

    @jdh : je comprends bien que squid est consommateur de CPU/RAM (je pensais surtout à la RAM en fait), je l'imagine bien de part l'essence même du logiciel et de son utilité.

    Vais essayer de trouver une machine un peu plus conséquente du coup pour pouvoir faire tourner squid. Faut que je vise le Go de RAM si je comprends bien ?



  • C'est ce que je craignais. Il est vrai que le "domestique" n'est pas mon créneau.



  • Dans la série "je m'entête avec mon idée" de base, est-ce que cette configuration (1 Ghz / 512 Mo RAM) serait jouable ?

    http://www.norhtec.com/products/mcjrdx/index.html



  • 512 Mo me semble très court pour le proxy et 1Ghz court pour le vpn.
    Je ne vois pas ce matériel assurer du 24/7/365. C'est peut être un peu de la déformation ISO and Co.


Log in to reply