Filtrage firewall



  • Bonjour,
    Je suis en pleine installation d'un serveur pfSense pour la mise en place d'un portail captif dans mon entreprise.
    En regardant les logs du firewall, je m'aperçois que des trames provenant du WAN sont "bloquées" par le firewall.
    Or, les ordinateurs du WAN ne passent pas pas pfSense. Comment est-ce possible ?
    Merci



  • Je ne comprend pas votre problème et comme nous ne savons pas ce qu'est votre configuration … Ce mélange wan, portail captif, proxy qui bloque des trames ?? Tout cela est très confus.



  • WAN = 10.0.1.x/24 = réseau local de l'entreprise
    LAN = 192.168.1.x/24 = réseau clients
    Les deux interfaces sont IP Static :
    WAN IP = 10.0.1.207 + GW 10.0.1.254
    LAN IP = 192.168.1.1

    Le firewall :
    WAN : pour le moment, j'autorise le WAN subnet à se connecter aux ports 85 (HTTPS) et 22 (pour l'administration).
    Je bloque les ports 67 et 68 pour éviter que les utilisateurs du WAN prennent un IP distribuée par le DHCP de pfSense.
    LAN : j'autorise tous les ports standards en TCP/UDP.

    Ma question :
    A la lecture des logs du proxy, je vois que le firewall bloque des ports (137, 138, 17500…) alors que les utilisateurs du WAN ne sont pas sensés passer par là ?!

    block
    May 12 14:33:52	 WAN	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Add to Block List 10.0.1.50:17500	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Pass this traffic 255.255.255.255:17500	UDP
     block
    May 12 14:33:52	 WAN	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Add to Block List 10.0.1.50:17500	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Pass this traffic 255.255.255.255:17500	UDP
     block
    May 12 14:33:52	 WAN	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Add to Block List 10.0.1.50:17500	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Pass this traffic 10.0.1.255:17500	UDP
     block
    May 12 14:33:55	 WAN	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Add to Block List 10.0.1.70:59981	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Pass this traffic 10.0.1.255:1947	UDP
     block
    May 12 14:33:57	 WAN	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Add to Block List 10.0.1.16:60883	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Pass this traffic 224.0.0.252:5355	UDP
     block
    May 12 14:33:57	 WAN	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Add to Block List 10.0.1.38:50270	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Pass this traffic 224.0.0.252:5355	UDP
     block
    May 12 14:33:57	 WAN	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Add to Block List 10.0.1.42:61573	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Pass this traffic 224.0.0.252:5355	UDP
     block
    May 12 14:33:57	 WAN	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Add to Block List 10.0.1.50:64972	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Pass this traffic 224.0.0.252:5355	UDP
     block
    May 12 14:33:57	 WAN	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Add to Block List 10.0.1.55:56075	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Pass this traffic 224.0.0.252:5355	UDP
     block
    May 12 14:33:57	 WAN	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Add to Block List 10.0.1.66:60837	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Pass this traffic 224.0.0.252:5355	UDP
     block
    May 12 14:33:57	 WAN	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Add to Block List 10.0.1.37:59923	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Pass this traffic 224.0.0.252:5355	UDP
     block
    May 12 14:33:57	 WAN	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Add to Block List 10.0.1.16:60883	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Pass this traffic 224.0.0.252:5355	UDP
     block
    May 12 14:33:57	 WAN	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Add to Block List 10.0.1.16:137	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Pass this traffic 10.0.1.255:137	UDP
     block
    May 12 14:33:58	 WAN	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Add to Block List 10.0.1.16:137	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Pass this traffic 10.0.1.255:137	UDP
     block
    May 12 14:33:59	 WAN	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Add to Block List 10.0.1.16:137	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Pass this traffic 10.0.1.255:137	UDP
     block
    May 12 14:33:59	 WAN	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Add to Block List 10.0.1.41:55321	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Pass this traffic 224.0.0.252:5355	UDP
     block
    May 12 14:34:05	 WAN	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Add to Block List 10.0.1.53:137	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Pass this traffic 10.0.1.255:137	UDP
     block
    May 12 14:34:06	 WAN	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Add to Block List 10.0.1.53:137	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Pass this traffic 10.0.1.255:137	UDP
     block
    May 12 14:34:06	 WAN	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Add to Block List 10.0.1.45:55319	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Pass this traffic 255.255.255.255:1947	UDP
     block
    May 12 14:34:06	 WAN	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Add to Block List 10.0.1.53:137	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Pass this traffic 10.0.1.255:137	UDP
     block
    May 12 14:34:07	 WAN	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Add to Block List 10.0.1.16:137	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Pass this traffic 10.0.1.255:137	UDP
     block
    May 12 14:34:07	 WAN	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Add to Block List 10.0.1.16:137	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Pass this traffic 10.0.1.255:137	UDP
     block
    May 12 14:34:08	 WAN	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Add to Block List 10.0.1.16:137	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Pass this traffic 10.0.1.255:137	UDP
     block
    May 12 14:34:10	 WAN	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Add to Block List 10.0.1.45:55319	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Pass this traffic 10.0.1.255:1947	UDP
     block
    May 12 14:34:11	 WAN	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Add to Block List 10.0.1.51:17500	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Pass this traffic 255.255.255.255:17500	UDP
     block
    May 12 14:34:11	 WAN	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Add to Block List 10.0.1.51:17500	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Pass this traffic 255.255.255.255:17500	UDP
     block
    May 12 14:34:11	 WAN	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Add to Block List 10.0.1.51:17500	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Pass this traffic 255.255.255.255:17500	UDP
     block
    May 12 14:34:11	 WAN	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Add to Block List 10.0.1.51:17500	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Pass this traffic 255.255.255.255:17500	UDP
     block
    May 12 14:34:11	 WAN	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Add to Block List 10.0.1.51:17500	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Pass this traffic 10.0.1.255:17500	UDP
     block
    May 12 14:34:14	 WAN	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Add to Block List 10.0.1.18:17500	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Pass this traffic 255.255.255.255:17500	UDP
     block
    May 12 14:34:14	 WAN	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Add to Block List 10.0.1.18:17500	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Pass this traffic 255.255.255.255:17500	UDP
     block
    May 12 14:34:14	 WAN	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Add to Block List 10.0.1.18:17500	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Pass this traffic 255.255.255.255:17500	UDP
     block
    May 12 14:34:14	 WAN	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Add to Block List 10.0.1.18:17500	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Pass this traffic 10.0.1.255:17500	UDP
     block
    May 12 14:34:22	 WAN	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Add to Block List 10.0.1.50:17500	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Pass this traffic 255.255.255.255:17500	UDP
     block
    May 12 14:34:22	 WAN	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Add to Block List 10.0.1.50:17500	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Pass this traffic 255.255.255.255:17500	UDP
     block
    May 12 14:34:22	 WAN	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Add to Block List 10.0.1.50:17500	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Pass this traffic 10.0.1.255:17500	UDP
     block
    May 12 14:34:32	 WAN	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Add to Block List 10.0.1.70:59981	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Pass this traffic 255.255.255.255:1947	UDP
     block
    May 12 14:34:33	 WAN	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Add to Block List 10.0.1.68:138	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Pass this traffic 10.0.1.255:138	UDP
     block
    May 12 14:34:36	 WAN	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Add to Block List 10.0.1.70:59981	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Pass this traffic 10.0.1.255:1947	UDP
     block
    May 12 14:34:39	 WAN	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Add to Block List 10.0.1.212:1057	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Pass this traffic 10.0.1.255:138	UDP
     block
    May 12 14:34:39	 WAN	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Add to Block List 10.0.1.43:60904	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Pass this traffic 224.0.0.252:5355	UDP
     block
    May 12 14:34:39	 WAN	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Add to Block List 10.0.1.41:55334	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Pass this traffic 224.0.0.252:5355	UDP
     block
    May 12 14:34:39	 WAN	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Add to Block List 10.0.1.38:64716	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Pass this traffic 224.0.0.252:5355	UDP
     block
    May 12 14:34:39	 WAN	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Add to Block List 10.0.1.43:60904	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Pass this traffic 224.0.0.252:5355	UDP
     block
    May 12 14:34:40	 WAN	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Add to Block List 10.0.1.39:138	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Pass this traffic 10.0.1.255:138	UDP
     block
    May 12 14:34:42	 WAN	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Add to Block List 10.0.1.51:17500	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Pass this traffic 255.255.255.255:17500	UDP
     block
    May 12 14:34:42	 WAN	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Add to Block List 10.0.1.51:17500	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Pass this traffic 255.255.255.255:17500	UDP
     block
    May 12 14:34:42	 WAN	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Add to Block List 10.0.1.51:17500	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Pass this traffic 255.255.255.255:17500	UDP
     block
    May 12 14:34:42	 WAN	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Add to Block List 10.0.1.51:17500	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Pass this traffic 255.255.255.255:17500	UDP
     block
    May 12 14:34:42	 WAN	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Add to Block List 10.0.1.51:17500	 Icon Reverse Resolve with DNS  Icon Reverse Resolve with DNS  Icon Easy Rule: Pass this traffic 10.0.1.255:17500	UDP
    


  • Sans schéma votre configuration reste pour le moins exotique.

    WAN = 10.0.1.x/24 = réseau local de l'entreprise

    Pour le moins curieux. Ne pas perdre de vue que tous les flux de lan (et toutes autres interfaces qui existeraient) à destination d'une adresse autre que lan (ou autres) vont être translatés avec l'ip du wan.

    WAN IP = 10.0.1.207 + GW 10.0.1.254

    On en déduit que les réseau "Wan" possède probablement 2 gateways … encore que ??

    Je bloque les ports 67 et 68 pour éviter que les utilisateurs du WAN prennent un IP distribuée par le DHCP de pfSense.

    Ne pas activer dhcp sur l'interface wan résoudrait le problème.

    LAN : j'autorise tous les ports standards en TCP/UDP.

    Que sont pour vous les ports standards en TCP/UDP ? Il y en a plusieurs centaines, voire milliers …

    A la lecture des logs du proxy, je vois que le firewall bloque des ports (137, 138, 17500…)

    Je ne comprend pas comment on voit dans les logs d'un proxy ce que bloque un firewall !!
    Il est grand temps de décrire tout cela clairement avec une description fonctionnelle, un schéma et les fonctions de chaque machine.

    j'autorise le WAN subnet à se connecter aux ports 85 (HTTPS)

    85 https vraiment ?

    et 22 (pour l'administration).

    l'administration de quoi ?



  • Pour schéma du réseau, je ne sais pas ce que vous voulez exactement. Voilà ce que je peux vous donner :

    passerelle Internet : 10.0.1.254
        |
        |
    LAN entreprise (10.0.1.x/24)
        |
        |________________________(10.0.1.207/24)_pfSense _(192.168.1.1/24)_______AP Wifi____Clients Wifi (192.168.1.x/24)

    Fonction du serveur pfSense : portail captif, filtrage URL.

    Le WAN n'a qu'une seule passerelle.

    Le DHCP n'est activé que pour le LAN. J'avais dû l'activer accidentellement au moment de mes tests.

    Les ports que j'appelle "standards" sont ceux qui permettent de naviguer et de consulter ses mails. En l'occurrence, ce sont les ports 80, 443, 143, 993, 110, 995, 25, 587 et 465. Je laisse passer aussi 8000:8001 et 53. Est-ce logique pour vous ?

    A la lecture des logs du firewall évidemment, pas du proxy !

    Quant au port 85 qui est utilisé pour l'HTTPS, c'est une option prise dans la configuration pfSense de changer le port par défaut…
    Le port 22 est activé pour le SSH mais c'est vrai que l'esprit de pfSense est vraiment tournée vers son interface graphique.

    L'objectif final est de fournir à nos clients un accès Wifi via un portail captif + que ça ne coûte rien à l'entreprise. Par contre, si dans mon schéma, il y a des erreurs ou des problèmes de sécurité, je suis preneur.

    Merci encore



  • LAN entreprise (10.0.1.x/24)

    "Subnetter" une classe A est juste une source de confusions et ou d'ennuis. 101.0.0/8 ou 192.168.x.0/24

    Les ports que j'appelle "standards" sont ceux qui permettent de naviguer et de consulter ses mails. En l'occurrence, ce sont les ports 80, 443, 143, 993, 110, 995, 25, 587 et 465. Je laisse passer aussi 8000:8001 et 53. Est-ce logique pour vous ?

    Voir commentaire de JDH que je partage.

    Quant au port 85 qui est utilisé pour l'HTTPS, c'est une option prise dans la configuration pfSense de changer le port par défaut…

    Si vous imaginez un quelconque avantage sur le plan de la sécurité vous vous trompez. Restez sur les standards.

    Le port 22 est activé pour le SSH mais c'est vrai que l'esprit de pfSense est vraiment tournée vers son interface graphique.

    Danger !

    Enfin, le schéma retenu est inapproprié et dangereux. Les flux des invités traversent joyeusement le lan de l'entreprise. Une règle de base en sécurité réseau, c'est le cloisonnement des flux. De plux vous êtes contraint par ce schéma d'autoriser les flux retour à traverser votre lan. Suicidaire !
    Un schéma de base acceptable est joint. Sous réserve d'investigation plus poussées. Ce qui nous ramène encore et toujours à l'analyse fonctionnelle.
    Vos invités ne doivent en aucun vas traverser votre lan. Et inversement d'ailleurs. Tout cela doit être rigoureusement séparé. Je fais l'hypothèse que vous avez une exigence de sécurité limitée en confiant tout le trafic au même isp. C'est votre firewall qui fera le travail de cloisonnement. Attention au paramétrage !
    DHCP sera fourni au lan par un autre équipement que Pfsense.




  • Merci pour vos éclairages mais à votre schéma, je vois un problème majeur : le firewall n'est pas chez nous mais chez l'opérateur !
    Alors, dans ces conditions, quelles sont les alternatives pour sécuriser l'installation ?

    Concernant notre réseau, certes il est en classe A mais ce sont des tranches données par Oléane et nous y sommes contraint du fait de notre VPN. Quand il ne restera plus que ça… !



  • Un abonnement Free à 30 euros. Sinon c'est à Oleane qu'il faut poser la question. En attendant cela donne un bon exemple de ce que peut entrainer une externalisation, pour partie, de la sécurité du SI. Il y a bien un routeur chez vous ? Les solutions techniques ne manquent pas mais c'est Oleane qui va décider, selon ce qu'ils ont (ou pas ) au catalogue. Les connaissant, ce ne sera pas gratuit.
    A part la Freebox dans un coin (et c'est une autre architecture qu'il faut réfléchir), vous ne pouvez de toute façon rien faire sans Oleane. Du moins rien de sérieux.



  • D'accord. Merci.
    Nous changeons d'opérateur très prochainement et nous devrions avoir un firewall dédié watch guard. Cela sera l'occasion de revoir notre sécurité.



  • Je ne comprends guère : vous n'êtes pas capable de poser correctement votre problème : chaque post apporte un peu plus de précision … ce qu'il faudrait faire AU DEBUT !
    Ensuite, une fois les réseaux posés, il faut parler en terme de besoin : quel besoin ?

    Orange (Oleane), SFR ont tendance à proposer des lignes pour relier plusieurs sites et fournir "depuis le central", l'accès "sécurisé" à Internet.
    C'est une vaste fumisterie parce que vous ne pouvez plus avoir de firewall ou de proxy

    Lan1 <-> Rtr1
    Lan2 <-> Rtr2
    et lien Rtr1 <-> Rtr2 et Rtr1 <-> Internet et Internet <->  Rtr2

    Cela n'est pas pratique du tout !

    On arrive souvent à un schéma avec un LAN connecté à 1 firewall et accès à Internet + 1 routeur de lien vers un autre site équivalent.
    Si vous ne gérez pas correctement les routes cela devient l'enfer : ajout du routage pour chaque matériel : fourni par le dhcp en automatique ou inscrit manuellement (route -p sous W).



  • Je ne comprends guère : vous n'êtes pas capable de poser correctement votre problème : chaque post apporte un peu plus de précision … ce qu'il faudrait faire AU DEBUT !
    Ensuite, une fois les réseaux posés, il faut parler en terme de besoin : quel besoin ?

    Désolé de ne pas avoir été plus clair dès le début  :-\

    L'évolution de notre offre Internet se profile vers une interconnexion de chaque site via un VPN IP MPLS et une sortie en cœur de réseau avec son filtrage dédié Watchguard.

    Lan1 <-> Rtr1
    Lan2 <-> Rtr2
    et lien Rtr1 <-> Rtr2 et Rtr1 <-> Internet et Internet <->  Rtr2

    Cela n'est pas pratique du tout !

    Je suis désolé, je n'ai pas vos compétences techniques, c'est évident mais en quoi ce n'est pas pratique ?
    Quelle solution devrions-nous adopter alors ?

    Merci



  • MPLS et une sortie en cœur de réseau

    Le discours marketing habituel (et bien rodé) !

    Quelques minutes de réflexion :

    • comment récupérer un flux entrant avec ce schéma ? Je veux créer un serveur ftp interne, comment je fais ? Je veux un serveur de mail interne et recevoir directement les mails ?
    • puis-je avoir un firewall (sans perdre la connectivité réseau à réseau) ? seul un firewall en pont peut-être utilisé (avec les difficultés que cela pose).
    • comment filtrer les flux sortants ? idem
    • comment filtrer mon flux de navigation ? idem + proxy + règle d'autorisation du seul proxy
    • comment gérer la passerelle par défaut si j'ajoute un adsl privé ?
      (enfin, quid des stats d'utilisation des liens ?)

    En général, je préviens, dès le début, le commercial de l'opérateur qu'il n'est pas question qu'il me parle de cette solution …
    J'ai vu et revu, et maintenant je gère moi-même le vpn inter-sites (même si je perds en débit).



  • Et après le discours, on a l'ouverture de port à la demande facturée 100,00 € HT. A moins qu'ils aient changé le tarif.


Log in to reply