Virtual ip (VIP) vs interfaces physiques



  • Bonjour tous et bonne année.

    J'ai besoin d'un Pfsense avec 1 wan et 8 réseaux Lan distincts et isolés.

    • Ya t-il un inconvénient majeur à créer 1 lan + 7 virtual IP (VIP) ?
    • Est-ce qu'un Pfsense comprenant 8 interfaces physiques Lan sera plus performant et produira un routage meilleur ?

    Merci à celle ou celui qui prendra cinq minutes pour me répondre ou m'orienter.
    Bien à vous tous, communauté Pfsense.
    Jean-Marc.



  • Il y a comme une incohérence entre "8 réseaux Lan distincts et isolés" et "1 lan + 7 virtual IP (VIP)".
    En effet, si les 8 réseaux sont distincts et isolés, il ne peut y avoir une machine connecté à chacun d'eux !

    Si on écrit "8 réseaux Lan distincts et isolés", cela veut dire 8 switchs distincts (réellement).
    Il serait alors logique de créer un pfSense avec 8 interfaces ethernet (2 cartes de 4 ports). Cela parait un peu onéreux mais c'est sécurisant.

    Il y a, sinon, possibilité d'utiliser des VLAN, ce qui suppose des switchs capables et une très rigoureuse gestion des branchements.
    (La plupart des postes utilisent des cartes où le VLAN est peut-être difficile à définir, d'où la définition au niveau du switchs.

    En tout état de cause, ces 2 méthodes font apparaitre autant d'interfaces  (LAN1, LAN2, …) que nécessaires.
    Et il faudra, surtout, créer les règles d'interdiction dans l'interface de gestion de pfSense ...



  • Même interrogation de mon côté. Dans la mesure où vous souhaitez disposer de 8 réseaux séparés et bien cloisonnés, il vous faut donc créer des vlans. Les VIP c'est autre chose.
    Sur la conception de cette architecture quelques remarques.
    La solution de jdh hors Vlan est bien sûr tout à fait recommandable.
    8 réseaux distincts nous sommes donc dans un environnement professionnel a priori. Le besoin de sécurité semble assez important d'après votre post initial. Travaillons donc de façon professionnelle. Ma recommandation serait donc la suivante : placer 3 interfaces physiques distinctes sur Pfsense. Une pour wan, une pour le lan sur lequel l'accès à l'interface de gestion est disponible et une troisième carte qui ne comportera aucun réseau connecté mais la définition des 8 Vlans. Dédier une interface à l’administration est souvent une sage précaution, le trafic étant chiffré sur ce réseau. Une authentification forte peut être souhaitable. La gestion des switchs est alors un point critique pour les raisons indiquées.
    Un point peu connu mais pourtant mentionné par l'ANSSI : les cartes ethernet multiports sont moins sûres que les cartes physiques individuelles.
    http://www.ssi.gouv.fr/IMG/pdf/2011_12_08_-Guide_3248_ANSSI_ACE-_Definition_d_une_architecture_de_passerelle_d_interconnexion_securisee.pdf
    Page 12 - 3.5 Je cite :

    En effet, les cartes disposant d'interfaces multiples ne comprennent bien souvent qu'un unique composant réseau connecté à toutes les  interfaces. Le cloisonnement physique n'est donc pas réellement assuré en cas d'utilisation de telles technologies car tous les flux sont mélangés au sein d'un même composant.

    Après c'est une question d'appréciation du niveau de risque que cela représente.



  • Re…
    Merci pour vos réponses très documentées.
    Veuillez m'excuser car je me suis mal exprimé.
    Pour l'exprimer autrement, j'ai besoin de:

    • 1 wan connecté à Internet (avec du nat 1:1)
    • 8 sous-réseaux lan indépendants (sous openwrt)

    Ma question était de savoir qu'elle était la meilleure solution:

    • Pfsense comptant 1 wan + 8 lans dotés chacun d'une interface physique.
    • Pfsense avec 1 wan + 1 interface physique configurée en 1 lan + 7 VIP

    Vous semblez indiquer qu'il vaut mieux en passer par les vlan.
    C'est à dire:

    • Pfsense avec 1 wan et 1 lan disposant de 8 vlans. (voire en + une interface indépendante pour définir les vlans)

    Ai-je bien compris ?
    Encore merci.
    jean-marc



    • Pfsense comptant 1 wan + 8 lans dotés chacun d'une interface physique.
    • Pfsense avec 1 wan + 1 interface physique configurée en 1 lan + 7 VIP

    La seconde solution telle qu’énoncée ici n'est pas bonne. Voire impossible. Je ne sais même pas si on peut monter des VIP et les utiliser sur la même interface physique dans des numéros de réseaux différents sur Pfsense. Mais de toute façon cette méthode, si elle était possible, irait à l'encontre de votre besoin de sécurité (Lan distincts et isolés). Il n'y aurait aucun cloisonnement et n'importe quel utilisateur pourrait passer d'un réseau à l'autre en changeant d'ip, voire écouter tous les réseaux avec un peu de méthode et d'astuce. Il reste les vlans et dans ce cas c'est une interface physique et 8 vlans dessus. La solution lan + 7 Vlans ne fonctionne pas correctement.

    Ma question était de savoir qu'elle était la meilleure solution:

    Difficile à dire. Nous avons le choix entre :

    1 - Pfsense comptant 1 wan + 8 lans dotés chacun d'une interface physique.
    2 - Pfsense avec 1 wan + 1 interface physique configurée en 8 Vlans.

    1 - Équipement nécessitant 2 cartes quadri ports. Possible, mais voir la réserve de l'ANSI. Et surtout derrière il faut un switch par réseau.
    2 - On mutualise le switch qui est derrière avec les vlans. Mais si le switch tombe, tous les réseaux sont morts. On peut aussi clusteriser deux switchs ….
    Quid des manip possibles des utilisateurs pour changer de réseau, ou de vlan ? Comment maintenir l'isolation ?

    Je pourrai multiplier les exemples. Pas le temps.

    Comme vous le voyez tout dépend de vos besoins de sécurité tels que vous les avez évalué (critères DICT), des facteurs de risque liés à votre contexte et de l'intensité de l'impact si le risque se matérialise.
    La facilité d'administration, sa complexité, donc risques d'erreurs, les compétences disponibles tout cela fait partie de l'analyse DICT.
    Il n'y a que cette réflexion qui permet d'orienter le choix avec pertinence. De plus il y a la contrainte budgétaire éventuelle.
    Encore une fois une interface d'administration dédiée semble nécessaire.
    Voilà pourquoi, avec les éléments disponibles, je ne sais pas répondre à votre demande. Il y a trop de choses que j'ignore.
    On dira que, peut être, la solution 1 est finalement plus simple. Sous toutes réserves.
    Attention au choix des cartes, prenez des Intels PRO/1000 les cartes bas de gamme (realtek) vont reporter une partie du travail (traitement des interruptions) sur votre processeur.



  • Merci à vous pour ces éclairantes réponses.
    Je vais digérer tout cela.

    A moins de me contenter d'un 1 wan et un lan et de 8 sous-réseaux.

    Bien à vous.
    Jean-Marc.


Log in to reply