3 wan adsl /pfsense et alix 2d13
-
Bonsoir
Nous sommes plusieurs asso dans un même bâtiment.
Chacun dispose de sa box (livebox et 2 fb)Tout le monde utilise le wifi
L idée est venue de mutualiser les box :
- debit
- tolerance aux pannes
- mutualiser un portail de connexion
- augmenter couverture réseau dans le bâtiment
Le tout à moindre coût
On pense donc acheter 1 a 2 alix 2d13 (3 ports et wifi)
On dispose aussi d ap wifi qui seront en relais pour la couverture.
Questions:
1/comment relier l ensemble?
Faut il un materiel supplelentaire comme un switch?Si on prend 1 alix 2d13 alors les 3 ports sont en wan et le wifi an lan donc pas de rj possible si besoin
Et si ke boitier est down plus de réseauSi on prend 2 boitiers comment pluger les wan, definir les lan rj et wifi
Peut etre faut il un switch pour pkuger kes 3 wan
Merci
-
Alooooors… Par où commencer?!?!
Oui, il vous faudra sûrement du matériel supplémentaire: au moins un switch configurable (support de VLAN,...).
Il vous faudra aussi sûrement du câblage pour relier les différents étages du bâtiment.
Par expérience, je déconseille vivement d'utiliser des access points en mode relais: la bande passante est alors partagée entre tout les devices connectés au wifi! Donc, on se retrouve avec - au mieux - 300Mb pour tout le monde… Et au pire, bien moins: comme le wifi est un medium partagé, la vitesse des devices est limitée à la vitesse la plus lente. Je veux dire par là: si un device est connecté en 11Mb (trop loin de l'AP, vieux device...), tout les autres seront en 11Mb.
Quels sont les AP dont vous disposez? Supportent-ils plusieurs SSID et donc les VLANs?
Dans tout les cas et pour des raisons de séparation des données, je conseille:
-
l'achat d'un switch configurable qui supporte les VLANs au minimum (HP par exemple)
-
un VLAN (ou deux si on choisit de scinder le WiFi du câblé) par association
-
un WiFi différent par association sur un VLAN différent du VLAN câblé ou non (*)
-
un WiFi guest global au bâtiment avec une limitation de BP sur le(s) pfSense(s)
Mettre le WiFi sur un VLAN séparé du VLAN filaire est plus sécuritaire mais aussi bien plus contraignant au niveau de la gestion journalière. C'est un choix à faire au début en connaissance de cause.
Hope this helps.
-
-
Tout le monde utilise le wifi
Pas idéal en terme de débit de de maintient d'un bon niveau de confidentialité.
L idée est venue de mutualiser les box :
- debit
Non probablement pas en autres pour es raisons expliquées au post précédent.
- tolerance aux pannes
Oui selon configuration et selon services.
- mutualiser un portail de connexion
Oui.
- augmenter couverture réseau dans le bâtiment
Possible mais pas gratuit.
Un certain nombre de bonnes pistes ont été donné par Psylo. Il faudra de toute façon investir dans des switchs gérant les Vlans pour tirer avantage de cette mutualisation sans trop compromettre la sécurité du réseau. Pour la redondance et la tolérance aux pannes il y des documentations sur le site Pfsense qui explique la configuration necessaire.
-
Merci pour vos reponses.
Pour le point du debit c'est de pouvoir utiliser les 3 connexions et pourquoi pas de l agregation de ligne car on a constaté une concentration sur une borne
Ok pour l achat de switch vlan
Par contre comment brancher les 3 box pour alimenter 2 alix 2d13 (3 ports et un wifi chacune)et assurer la dispo si un pfsense tombe. On peut se passer de lan
-
Bonsoir,
Par contre comment brancher les 3 box pour alimenter 2 alix 2d13 (3 ports et un wifi chacune)et assurer la dispo si un pfsense tombe. On peut se passer de lan
On ne peut pas et quand à ce passer de Lan, cela ne me semble pas une bonne idée du tout ^^
Le 2D13 est un excellent produit ! (j'en ai plein en prod depuis des années sans aucun pb) Mais, il n'est pas adapter à votre besoin (sous dimensionner).
En effet il ne comporte pas assez d'interfaces physique (manque 2 à minima) et manquera de Ram/puissance pour faire tourner le portail (surtout en V2.1 bien plus gourmande en ram).
Copie a revoir pour le matériels
Cordialement
P.S : http://www.osnet.eu/fr/content/bien-dimensionner-son-firewall-pfsense
-
Bonsoir,
Par contre comment brancher les 3 box pour alimenter 2 alix 2d13 (3 ports et un wifi chacune)et assurer la dispo si un pfsense tombe. On peut se passer de lan
On ne peut pas et quand à ce passer de Lan, cela ne me semble pas une bonne idée du tout ^^
Le 2D13 est un excellent produit ! (j'en ai plein en prod depuis des années sans aucun pb) Mais, il n'est pas adapter à votre besoin (sous dimensionner).
En effet il ne comporte pas assez d'interfaces physique (manque 2 à minima) et manquera de Ram/puissance pour faire tourner le portail (surtout en V2.1 bien plus gourmande en ram).
Copie a revoir pour le matériels
Cordialement
P.S : http://www.osnet.eu/fr/content/bien-dimensionner-son-firewall-pfsense
C'est faisable en utilisant des VLAN's autant pour l'interface WAN que pour l'interface LAN.
Donc, on aurait:
-
3 VLAN's pour le WAN
-
3 VLAN's pour le LAN
-
3 VLAN's pour le WiFi
Qu'entendez-vous par aggrégation de ligne?
-
-
Bonsoir
Vu comme ça, oui c'est réalisable :D mais est-ce judicieux ? avec 256 mb de ram et pf 2.1 qui préconise 512 ?
-
De fait…
-
Excusez moi mais je n arrive pas a imaginer le branchement des 3x3 vlan.
Basiquement j ai mes 3 box sur quoi je branche ..
Pour l agregation de ligne c est de permettre d utiliser les 3 lignes de facon transparente , pas d additionner les debits
-
Excusez moi mais je n arrive pas a imaginer le branchement des 3x3 vlan.
Basiquement j ai mes 3 box sur quoi je branche ..
Or donc:
-
un switch sur lequel on crée des VLANs de 2 à 11
-
VLAN 2: Box n°1
-
VLAN 3: Box n°2
-
VLAN 4: Box n°4
-
VLAN 5: LAN assoc n°1
-
VLAN 6: LAN assoc n°2
-
VLAN 7: LAN assoc n°3
-
VLAN 8: Wifi assoc n°1
-
VLAN 9: Wifi assoc n°2
-
VLAN 10: Wifi assoc n°3
-
VLAN 11: Wifi guest
Soit une alix (ou autre matériel plus puissant avec 3 interfaces réseau):
-
Interface 1: VLAN's 2 à 4
-
Interface 2: VLAN's 5 à 7
-
Interface 3: VLAN's 8 à 11
Voilàààà…
Pour ce que vous appelez de l'aggrégation de lien, moui pourquoi pas... Mais faut se renseigner au niveau légal...
-
-
Bonjour,
Alors, pour résumer :
-
VLAN 5: LAN assoc n°1
-
VLAN 6: LAN assoc n°2
-
VLAN 7: LAN assoc n°3
-
VLAN 8: Wifi assoc n°1
-
VLAN 9: Wifi assoc n°2
-
VLAN 10: Wifi assoc n°3
-
VLAN 11: Wifi guest
Oui pour les VLAN ''utilisateurs'' fortement conseiller pour la sécurité ;) (donc achat d'un switch Vlan)
Vous en étes encore à étudier la ''bonne'' topologie -> Non aux Vlan pour les Wan (complique la mise en place et le dépannage en cas de pb)
Psylo vous a expliquer comment séparer les flux des différentes entitées et je vous ai dis pourquoi les Alix 2d13 ne sont pas adapter
Utiliser 2 pfsense en ''cluster'' oui -> CARP pour être précis.
Pour l agregation de ligne c est de permettre d utiliser les 3 lignes de facon transparente , pas d additionner les debits
Il doit surrement s'agir de Load-balancing et/ou fail-over (parfaitement gérer par Pf); attention à vos règles car tous les protocoles ne se ''ballance'' pas !
Cordialement
-
-
Merci,
oui l'objectif est d'avoir un cluster car si pour une raison ou une autre un firewall tombe on ne bloquera pas les utilisateurs.
J'étais sur des alix2d13 mais il faut donc que je trouve autre chose (puissance et surtout nombre de port)
Mon pb de départ est surtout sur les 3 wan car je ne voyais pas comment les connecter.
Et c'est vrai que je n'ai jamais abordé les vlan juste du survol
je vais voir les doc que je trouve sur carp
-
La lecture de ce fil va vous éclairer sur : CARP+multi-wan+Vlan
Vous comprendrez mieu mon précedent post ;)
http://forum.pfsense.org/index.php/topic,70227.0.html
Vous avez pas mal de travail pour rendre tout cela fonctionnel, je vous conseille très fortement de faire une maquette (physique) avant de mettre en production .
Attention si vous faite un Wifi public car vous aurrai des obligations légale à respecter (conservation des données de connexions, cf : Cnil)
-
Merci je vais lire le fil
pour le guest c'est surtout pour les personnes de passage qui doivent avoir un accès ponctuel
-
pour le guest c'est surtout pour les personnes de passage qui doivent avoir un accès ponctuel
Ponctuel ou pas cela ne change pas les obligations légale mais va considérablement changer votre infra => proxy + conservations des logs !
Et forcement ce ne sera pas gratuit ^^
-
Merci,
oui l'objectif est d'avoir un cluster car si pour une raison ou une autre un firewall tombe on ne bloquera pas les utilisateurs.
J'étais sur des alix2d13 mais il faut donc que je trouve autre chose (puissance et surtout nombre de port)
Mon pb de départ est surtout sur les 3 wan car je ne voyais pas comment les connecter.
Et c'est vrai que je n'ai jamais abordé les vlan juste du survol
je vais voir les doc que je trouve sur carp
La solution vient peut-être d'une nouvelle carte miniPCI permettant d'augmenter de 2 ports réseaux Gigabit pour une Alix 2D13.
Il existe aussi le boitier.
http://store.calexium.com/en/344-minipci-2-ports-giga-pour-alix-2d3-2d13-2d2.html
-
Bonjour,
Bonne info :) ça peut servir de pouvoir étendre le nombre de carte d'un 2D13.
Mais cela ne réglera pas le problème de ram si le portail captif est activée sur 1 ou plusieurs interfaces …