Présentation cstmarche



  • Bonjour,
    Je suis nouveau dans le forum et dans pfsense et je vais donc me présenter.
    Merci déjà à tous pour ce forum.

    mon infrastructure professionnel est virtualisée

    J'ai environs 250 postes physiques sur le réseau avec des VLAN pour divers usages.
    nous avons des serveurs dns, serveurs web, mail dans une DMZ
    des serveurs applicatifs dans le LAN

    Je met en place actuellement dans une infra de test  : un pfsense 2.1.4

    pfsense est une machine virtuelle dont les caractéristiques sont les suivantes :
    matériel virtuel : 4GB ram, 1 CPU, 50GB DD, 3 cartes réseaux de type E1000

    cette VM est placée sur un serveur physique dont les caractéristiques sont :
    Dell powerEdge T6100 avec 2CPU avec chacun 12 coeurs ce qui donne 24 coeurs disponible
    disque 10k de 500GB , 11 cartes réseaux physique

    J'ai 2 lignes internet :
    une ligne de prod avec 20MB symétrique
    une ligne de test et backup adsl classique

    mon but principal :
    installer pfsense dans une VM avec openvpn
    mettre en place de l'url filtering (proxyguard)

    Actuellement mon firewall pfsense de test tourne très bien dans sa vm. Toutes les règles sont configurées.
    Les interfaces sont ok avec un interface LAN qui est subdiviser en 10 VLAN.
    PFSENSE gère aussi tout les pool dhcp pour chaque VLAN.

    Voila pour la présentation :-)

    Voici mes premières questions:
    1 - pensez-vous que c'est viable de mettre le proxyguard sur le pfsense ?
    2 - pensez-vous que je devrais ajouter des ram et cpu à la VM pfsense ? J'en ai de disponibles.
    3 - avec la config ci-dessus, trouvez-vous normal que la VM rame quand j'active le proxy ?
    4 - pensez-vous que ce serait judicieux de mettre proxyguard dans une VM pfsense séparé de la VM qui fait firewall
      ou me conseillez-vous

    J'aurais peut-être du mettre une question par post.
    Si c'est préférable, je le ferai et je suis désolé de ma gaucherie ;-)

    Merci et belle journée



  • Salut salut

    J'ai peur de comprendre certaine choses dans votre explication et présentation.

    Pourriez vous nous faire un joli schéma de votre structure réseau car (je ne suis pas le seul) je n'arrive pas à modéliser  votre structure excepté du la partie dual wan.

    De plus je vous demande de respecter la charte première https://forum.pfsense.org/index.php?topic=79600.0
    Bien que vous ayez fait ce poste de présentation, il reste confus, vous verrez qu'avec le respect de la trame  pré cité vous organiserez mieux votre demande et par la même votre résolution.

    Autre chose que plusieurs soient sur le même poste n'est potentiellement pas gênant sauf dans le cas ci car vous n'avez pas à mon sens pris la mesure de certain fondement du fonctionnement de Pfsense, des vlan, ou alors votre exposé est trop décousu générant des incompréhensions de parte et d'autre.

    Cordialement.



  • Les points + : effort de se présenter, de présenter une infra
    Les points - : manque net d'expertise (mauvaise démarche, config mal adaptée)

    Quelques remarques :

    • Virtualiser un pfSense n'a de sens que pour test : en production, un firewall NE DOIT PAS être virtualisé !
        (Et il ne faut pas virtualiser sur le même hôte des VM de zones logiques différentes !)
    • pfSense : 4G = 2G devraient suffire, 1 core = OK, 50G = totalement superflu, 4G suffisent
    • pour 150 utilisateurs (et une ligne telle), il est EVIDENT que le proxy DOIT être dédié.

    Merci de ne pas nous faire perdre de temps avec un proxy sur pfsense !



  • Bonjour,

    Voici la présentation qui respecte mieux la charte :

    Contexte : milieu pro, débutant en pfsense, solution firewall en test pour futur production

    Besoin : installer un firewall pfsense avec filtrage URL et openvpn

    Schéma :
    infra production : WAN(ligne 20MBsym) –- FW linux ---- LAN + 10 VLAN
                                                                            |
                                                                          DMZ

    infra test :  WAN (adsl classique)  --- PFSENSE ---- LAN + 10 VLAN de test
                                                                    |
                                                              DMZ de test

    WAN (routeur) : 1,routeur, nombre d'ip publique 16, si multiwan NA, préciser loadbalancing/failover, adressage NA, ...

    LAN : nombre 1, vlan 10, dhcp fourni aux vlan par pfsense, dns local oui

    DMZ : adressage NA, dns local oui

    WIFI : non

    Autres interfaces : non

    Règles NAT :  1-to-1, manual en test/automatic en prod outbound, ...

    Règles Firewall :  j'ai des règles sur mes 10 vlan et ce serai difficile de les mettre ici.

    Packages ajoutés : proxy, proxyguard

    Autres fonctions assignées au pfSense : openVPN, proxyguard

    Question :

    Pistes imaginées

    Recherches :

    Logs et tests :



  • La seule question à laquelle n'a pas répondu JDH est la 3 :

    Je cite : 3 - avec la config ci-dessus, trouvez-vous normal que la VM rame quand j'active le proxy ?
    ==> vraisemblablement une mauvaise configuration du package Squid  (j'ai un pf de tests virtuel avec quid qui ne rame pas du tout^^ la VM est beaucoup moins puissante que la votre^^)

    Cordialement



  • Concernant vos adressages, nous n'avons rien à faire de vos IP publique que vous n'avez en aucune marnière besoin de nous donner !

    Quand aux règles des ''Lan/Vlan'' ce sont des adressages interne …
    En utilisant des Alias vous diminuer le nombre total de règles, elle sont plus ''lisible'' et masque les IP des éventuels serveurs...



  • Merci de votre réponse,

    Je vais vérifier ma config squid.

    Bàv