Conseils



  • Bonjour,

    Dans le cadre d'un déménagement professionnel, on m'a confié la refonte et l'installation du réseau. Comme cela fait longtemps que je n'ai pas pratiqué, j'ai fais quelques recherches des produits actuels sur mon besoin principal un portail captif + proxy et j'ai découvert pfsense donc je me pose quelques questions.

    Je monte le réseau dans le cadre d'un centre d'enseignement, composé de 6 permanents et d'une quarantaine d'élèves (2 sous-réseaux distincts). Il y aura une salle informatique de 24 postes (mais dans la salle on est sensé travaillé et pas aller sur facebook : donc proxy, filtrage url selon l'heure) et deux wifi distincts  (prof et élèves).

    Tout d'abord, mon architecture sera la suivante :
    Un routeur/firewall cisco 781
    un optibus (http://www.optibus.eu/)
    Puis mon proxy/portail captif
    Pas de DMZ

    J'envisage d'installer pfsense sur un fujitsu rx100 s5 : Intel® CoreTM 2 Duo E7300 (2.66GHz) avec au mini 2 Gb de RAM (je ne suis pas sur de la quantité exacte), 3 cartes réseaux

    J'ai lu beaucoup de choses à droite et à gauche et je cherche à affiner mes choix définitifs avant de passer à la mise en place. Donc je me pose quelques questions :

    1 : Au départ, je pensais mettre pfsense, en proxy transparent, mais j'ai lu qu'il y avait un meilleur mode (je ne sais plus le nom) mais qui utilise la détection automatique du proxy. Est-ce le meilleur choix, sachant que je voudrais que les élèves n'aient pas de configuration a faire sur leur portable ?
    2 : dois-je obligatoirement, place pfsense sur le lien entre le switch et le routeur pour obliger toutes les connexions à passé à travers lui, ou sur n'importe quel port du switch ?
    3 : J'utilise un Active Directory pour mes utilisateurs sur les réseaux (et donc sur le portail), j'ai donc un serveur DHCP à ma disposition. Quel est le meilleur choix : utilisé celui Windows ou celui de pfsense (je pense à la gestion des logs), ou peut importe ?
    4 : Pour le proxy, j'ai donc lu l'association de squid et squidguard. Nickel. Mais l'interface possède-t-elle une zone permettant de gérer des règles d'accès différentes selon les horaires ?

    Pour le moment, je n'ai pas d'autres questions, mais je ne me suis pas encore penché sur l'analyse du wifi :D, cela viendra donc peut être …

    De plus je suis preneur, de toutes autres remarques ou conseils.

    Merci pour votre aide



  • Je ne suis pas expert mais entre utilisateur je vais essayé de répondre à (certaines de) tes questions.

    Pour ma part j'utilise Pfsense pour ses fonctionnalités de portail captif avec gestion d'utilisateurs depuis FreeRadius et de filtrage d'URL par squidgard.

    1 : Au départ, je pensais mettre pfsense, en proxy transparent, mais j'ai lu qu'il y avait un meilleur mode (je ne sais plus le nom) mais qui utilise la détection automatique du proxy. Est-ce le meilleur choix, sachant que je voudrais que les élèves n'aient pas de configuration a faire sur leur portable ?

    Je pense que la première solution est la plus simple, mais cela dépend aussi de ce à quoi te sert ton proxy, si c'est juste enregistrer les logs de consultation et faire du filtrage d'url avec squidgard, le mode transparent fonctionne très bien (c'est ce que j'utilise).

    2 : dois-je obligatoirement, place pfsense sur le lien entre le switch et le routeur pour obliger toutes les connexions à passé à travers lui, ou sur n'importe quel port du switch ?

    Je me suis posé la question au début et je pense que oui, en tout cas les portails captifs sont faits pour êtres mis en coupures, tu peux surement le mettre sur n'importe quel port du switch si tu fais passer automatiquement tous les flux par ce port et t'occupe de rediriger tout le flux sortant du portail captif vers ton routeur. C'est beaucoup d'inconvénients pour quelque chose qui au final n'est pas si dérangeant que ça (et je ne garanti pas la réussite d'un tel montage).

    3 : J'utilise un Active Directory pour mes utilisateurs sur les réseaux (et donc sur le portail), j'ai donc un serveur DHCP à ma disposition. Quel est le meilleur choix : utilisé celui Windows ou celui de pfsense (je pense à la gestion des logs), ou peut importe ?

    Je ne suis pas du tout spécialiste là dessus, mais j'aurais envie de dire garde celui que tu as, je ne vois pas pourquoi cela poserais des problèmes pour les logs. Au pire il faut tester je pense que c'est la meilleur solution pour avoir ta réponse  :)

    4 : Pour le proxy, j'ai donc lu l'association de squid et squidguard. Nickel. Mais l'interface possède-t-elle une zone permettant de gérer des règles d'accès différentes selon les horaires ?

    Je n'utilise pas cette fonctionnalité mais elle est présente dans le menu de configuration de SquidGard (Services/Proxy filter) , je trouve les groupes d'acl pour gérer les utilisateurs vraiment sympa, cela permet de faire des filtrages d'url différents suivant les IP (très utile dans mon cas, car un certains nombre d'utilisateurs sont des VIP et travaillent en IP fixes, les autres ont les règles de filtrage de base).

    Un conseil, j'imagine que tu va utiliser Squid pour sauvegarder les logs de consultation (comme le demande la législation), fais attention au dimensionnement de ton cache et son emplacement ainsi qu'à la rotation des fichiers de logs si tu veux garder un semblant de traçabilité dans tes fichiers (la rotation se fait de base à minuit).

    J'espère avoir répondu à au moins certaines de tes questions.



  • bonjour,

    premièrement je te déconseille de faire sur une seul machine le proxy ET le portail captif qui pour moi doivent être sur 2 serveur différent, en effet je ne suis pas fan des serveur qui font tout et au final pose souvent plus de problème que d'avantage.

    pour squid et squidguard :

    oui tu peut très bien géré des plages horaires.

    placement du portail captif :

    cela dépend de l'architecture de ton réseau, tu doit de demander quel utilisateur vont devoir y passer. si il s'agit seulement des élèves par exemple tu peut relier ta borne wifi direct à l'interface lan de ton portail et la wan sur ton switch tu n'aura pas de problème.

    un schéma de ce que tu souhaite faire pourrait être intéressant pour que l'ont puisse t'aider.

    il est important (mais c'est que moi qui le dit^^) de bien poser sur papier ton schéma avant de faire quoi que ce soit.



  • Merci pour vos conseils, je vais reprendre tout cela, y réfléchir encore un peu, une fois le matériel bien listé.

    Le schéma logique est déjà bien dessiné, le physique en cours de finalisation.

    Mais par exemple, effectivement je me pose encore la question de faire passer le personnel administratif par le proxy ou pas.

    Mais ce que je doit faire est de permettre aux étudiants de se connecter sur le net aussi bien depuis la salle de TP (lan) qu'en wifi. Donc comme serveur possède 3 cartes réseaux je pensais 1 pour la borne wifi (2 réseaux diffusés). 1 pour le LAN étudiant (probablement vlan) et un pour le wan.



  • envoie ton schéma si tu veut plus d'aide ça serra plus simple.

    si tu utilise 1 carte pour t'est étudiant, 1 pour le wifi et une wan ou seront les personnes de l'administratif?



  • @mgrisel:

    Mais par exemple, effectivement je me pose encore la question de faire passer le personnel administratif par le proxy ou pas.

    Au regard de la législation la question ne se pose pas.



  • @ccnet:

    @mgrisel:

    Mais par exemple, effectivement je me pose encore la question de faire passer le personnel administratif par le proxy ou pas.

    Au regard de la législation la question ne se pose pas.

    Oui effectivement c'est vrai.

    Je dois faire un schéma, mais je suis beaucoup en déplacement en ce moment. Et au vu de la remarque précédente, je vais réfléchir à une nouvelle architecture.

    Merci


Locked