Question en prévision de l’évolution de mon infrastructure



  • bonjour,

    j'ai fait un plan de mon réseau actuel, qui est fonctionnel, et comme vous pouvez le constater, fonctionne  au tour d'un boitier alix.

    si tout fonctionne correctement, j'ai de temps en temps des petits soucis de stabilité dont j'ai du mal à identifier l'origine..
    les symptômes, sur le portail captif, quant de nouveaux arrivant se connectes sur les borne wifi  et tapent un adresse, au lieu de tomber sur le portail, et bien, ca mouline dans le vide.
    je reboot le boitier et tout rentre dans l'ordre,
    ça ne m'arrive que rarement (une fois par mois en gros) et uniquement dans des périodes où il y a pas mal de monde sur le portail (genre 20-30 co)

    j'ai tendance a me dire qu'il s'agit d'un souci de dimensionnement…peut être que mon boitier alix est trop juste.
    de plus, ma connexion internet est vraiment juste quant il y a du monde (8meg, j'ai beau mettre une limite dans le portail captif, avec 30 guguss dessus ca doit coincer)

    donc, je commence a réfléchir à divers solutions pour faire évoluer mon installation.

    1 - Pour ma connection, 8meg c'est le max que je peut avoir, existe il y moyen d'aggréger 2 connections adsl avec pfsense ? (multi-wan / load balancing ? ..concept que je ne maîtrise pas bien évidement..).
    2 - Est il possible de déporter mon portail sur serveur différent que mon pfense (alix) ..dans l'idée je pensais mettre une VM pfsense sur mon serveur mais qui ne fasse que je rôle de routeur sur les 2 interface du serveur (LAN/OPT1) donc sur brancherai ma boucle wifi OPT1 pour hébergé le portail)

    j'ai plusieurs fois entendu dire qu'il n'était pas conseillé d'installer pfsense sur une VM, pour quel raison ?

    voilà, quelques question, j'espère avoir été suffisamment claire, ...en ce moment je défriche avant de me lancer

    merci



  • j'ai plusieurs fois entendu dire qu'il n'était pas conseillé d'installer pfsense sur une VM, pour quel raison ?

    Bien que ce point ai fait l'objet de réponses à plusieurs reprises, j'y reviens.
    Quelques éléments de base :
    Le firewall reste un élément relativement central dans la défense périmétrique du réseau et dans la mise en œuvre de la segmentation réseau indispensable.
    On attend donc de ce composant le niveau maximum sur les critères DICT.
    On sait par ailleurs que plus un système est complexe, plus il y a de lignes de codes mise en œuvre, moins le dit système sera fiable. C'est statistique et inéluctable quelque soit la bonne volonté et l'expertise des concepteurs, des développeurs. Je ne parle même pas du niveau de compétence nécessaire pour exploiter et maintenir, de la multiplicité des interactions entre les composants, etc … bref d'un grand nombre de facteurs humains ceux là.  En clair tout cela conduit à une augmentation du niveau de risque. Or c'est le contraire que nous recherchons avec ces dispositifs (les firewalls entre autres)
    Voilà pour les généralités dont on comprend bien qu'elles s’appliquent à nos firewalls.

    Examinons rapidement les risques encourus en cas, par exemple, de contournement de la politique de sécurité. Notre réseau n'est plus cloisonné et il devient facile d'y pénétrer, de l’intérieur comme de l'extérieur.

    Il devrait être clair que ce n'est pas ce que nous voulons. Or ajouter la complexité réelle de la couche de virtualisation, la complexité de la perception du réseau, la complexité des flux réseaux réels (pas ceux qui sont dans le beau schéma du marketing de Vmware par exemple), ne fait qu'augmenter le niveau de risque.
    Si je met en face le niveau d'impact en cas de contournement de la politique de filtragel (par exemple et pour une quelconque raison), croyez vous que cela soit bien raisonnable ?

    C'est donc une position de principe basée sur l'évaluation du niveau d'impact en cas de matérialisation du risque. Dit plus simplement : je ne vais pas augmenter les risques là où je souhaite les diminuer. Cette lapalissade est loin d'être comprise partagée. Je précise que cette courte réflexion ne concerne que la virtualisation d'un firewall. L'analyse n'est pas la même pour d'autres systèmes.

    Agrégation de liens dans votre cas non, load balancing wan possible. Après il faudrait voir les statistiques de votre Alix, la consommation de la bande passante et l'usage qui en est fait.



  • Salut salut

    @latitude

    J'ai pu noter aussi ce type de problématique d'ap qui mouline dans le vide en période de forte affluence sur les diverses réseaux sur lesquels je suis intervenue.

    Les sources en étaient multiples mais principalement dû au cache des AP eux mêmes qui ne se vidaient pas correctement (libération de mémoire).

    Les solutions vont suivant les models et les marques,

    • général pour les produits grand public un simple redémarrage suffit mais causera la perte du signal pour les users qui y seront reliés le temps du reboot, ce qui pourrait préjudiciable pour des applications ni ne tolèrent pas ce type de désagrément,
    • pour les produits plus professionnels une mise à jour des firmware ( le microcode) permet de palier le soucis s il a bien été identifié par le constructeur et si la masse de user que peut encaisser l'AP n'est pas dépassé non plus.

    Solutions communes aux deux cas doubler les AP et penser maillage par un redéploiement des AP en fonction des charges possible et des minima acceptable.

    Ceci ne sont que des solutions matériels parallèle à l'usage de Pfsense, je ne suis pas sûr que cela vienne expressément du boitier alix.

    Cordialement.



  • merci pour les réponses.

    pour le coté "moulinage", je n'avais pas pensé au AP, et effectivement, j'ai des modèle grand public…mais je ne suis pas certains que celà vienne de là, (vu que je ne touche pas aux AP, je reboot mon alix et tout rentre dans l'ordre)
    c'est pour çà que je pensais à déporter mon portail hors de mon boitier
    ce qui d'ailleurs me permettrai de liberer le port OPT1 de mon boitier alix, pour le cas où je me décide à faire du multi-Wan
    en faite je pensais à un truc comme ça, mais je ne sais pas si c'est possible

    pour agréger 2 lignes adsl, oui, j'ai trouvé quelques explication pour faire du load balancing…( https://www.youtube.com/watch?v=Uiiy8YuWHcY ).
    je pense comprendre pour les question de sécurité dans le cadre d'une virtualisation, effectivement, j'avais tendance à imaginer que les choses était beaucoup plus "etanche"

    je continue !

    ++



  • Salut salut

    Oui effectivement, ils le sont isolés, mais que logiciellement, la nuance est importante à mon sens.
    Comme le fait remarqué a juste titre la virtualisation d'un pare feu ou d'une distribution faisant office de, l'est pas bonne car il n'y a pas de meilleur isolation que le matériel en un mot un câble par zone de réseaux.

    Pour revenir a votre volonté de multiplexer des connexions internet, je ne serais que vous conseiller de passer par un boitier aillant plus de ports ou voir comme d'autre par une machine montée avec le nombre de ports voulus.

    Dans ce cas là, conserver votre petit boitier alix dans sont usage de filtre wifi.

    En utilisant les deux solution l'alix pour le wifi et un autre boitier (ou machine) pour le reste de votre réseau, vous conservez une isolation physique de vos réseaux, et avez une meilleur modularité futur en cas ou vous rajouter d'autres segments dans votre architecture.

    Cordialement.



  • oui,

    pour être honnête, les solutions que j'envisage tournent autour de la même contrainte, : " comment faire mieux sans investir dans mon infrastructure" , pour ça que je pensais à une solution qui utilise des éléments que j'ai déjà …

    au final, comme souvent, faire avec des bout de chandelles pour créer une solution bricolé et bancale, ...ce n'est que des économies illusoires.

    je vais budgétiser un remplaçant à mon boitier alix, c'est effectivement la meilleur solution

    ++



  • je vais budgétiser un remplaçant à mon boitier alix,

    Un DL360 G4 ou G5 d'occasion pour 200 euros maximum ça se trouve. Et c'est une autre puissance processeur qu'un Alix.



  • Concernant le wifi, j'ai observé (comme Tatave) que les points d'accès sont prévus pour un certain nombre d'utilisateurs, voire, pire, avec un certain nombre d'adresses MAC (cas d'un routeur converti en point d'accès).

    Je préconise, pour 30 et + utilisateurs Wifi, d'augmenter le nombre de point d'accès et d'utiliser des points d'accès de "qualité".

    (Mon exemple perso : en milieu pro, avec ~200 ip actives, j'ai remplacé les Netgear WNR1000 par des Netgear WNAP210 permettant au passage le multi SSID et un Wifi "invité")

    Par ailleurs, un boitier Alix est un boitier petit, peu consommateur et limité à 3 interfaces ethernet.
    Il est adapté à un trafic raisonnable jusqu'à 50 utilisateurs peut-être.
    (Il n'est pas adapté à Squid !!!)
    Si vous voulez faire du multi-wan, le faible nombre d'interfaces semble un inconvénient !
    Inversement, dans un (excellent) DL360, proposé par ccnet, disposer de multiples cartes réseau peut finir par être couteux …



  • Salut salut

    Nous pouvons aussi passer par l'ajout de carte multiport (2 ou 4) en pci-e x4 gigabit chose que je vais faire sur l'evolution de mon cluster pf (autre sujet et donc autre post)

    Cordialement.



  • @ccnet:

    je vais budgétiser un remplaçant à mon boitier alix,

    Un DL360 G4 ou G5 d'occasion pour 200 euros maximum ça se trouve. Et c'est une autre puissance processeur qu'un Alix.

    oui, c'est ce que j'ai déjà (un DL380G5) pour mon serveur esxi….d'où mes question à propos des VM...

    d'ailleurs.... http://www.ebay.fr/itm/Serveurs-Proliant-DL360-G5-3-00Mhz-5160-416566-421-Dual-Core-2-processeurs-/251615422107?pt=FR_Informatique_Reseaux_Serveurs&hash=item3a9572a69b

    heureusement que j'ai de la place dans les caves, car niveau bruit, c'est quelque chose les proliant !



  • Sur l'alix 2D13, j'ai rajouté une carte pour deux ports giga: http://store.calexium.com/fr/344-minipci-2-ports-giga-pour-alix-2d3-2d13-2d2.html
    Ils sont reconnus par pfsense, mais je ne les ais pas testé en prod.
    Par contre il faut racheter un boitier.



  • Salut salut

    L'idée pourrait être bonne si le modèle du boitier peut upgradé, sauf que dans les faits l'usage du module squid en plus est plus problématique par le manque de puissance effective du cpu de la carte elle même, sans compté que personnellement je trouve que c'est l'hérésie de l'usage de ce module intégré dans un pare feu.(je rejoins ccnet et jdh qui se sont longuement et plusieurs fois expliquer sur le sujet).

    Si dans le cas ou la carte peut être rajoutée, la solution pourrait être de déplacer squid au sien d'une vm ou d'une machine physique dans le réseau ainsi que radius s il est implémenté dans la sécurité.

    Quoi qu'il en soit, cela ne règle pas le soucis ou plutôt le projet de refonte du cœur de réseau de notre "latitude".

    Cordialement.



  • @Tatave:

    Salut salut

    L'idée pourrait être bonne si le modèle du boitier peut upgradé, sauf que dans les faits l'usage du module squid en plus est plus problématique par le manque de puissance effective du cpu de la carte elle même, sans compté que personnellement je trouve que c'est l'hérésie de l'usage de ce module intégré dans un pare feu.(je rejoins ccnet et jdh qui se sont longuement et plusieurs fois expliquer sur le sujet).

    Si dans le cas ou la carte peut être rajoutée, la solution pourrait être de déplacer squid au sien d'une vm ou d'une machine physique dans le réseau ainsi que radius s il est implémenté dans la sécurité.

    Quoi qu'il en soit, cela ne règle pas le soucis ou plutôt le projet de refonte du cœur de réseau de notre "latitude".

    Cordialement.

    mon squid est déjà déplacé sur un vm, (je ne l'avais pas précisé , mais c'était sur mon plan du réseau,avec la règle de routage)

    j'ai fait une petite Evaluations sur de l'occaz, un DL360G5 2go RAM, + 2 carte reseau pour proliant (soit 6 port ethernet gigabite en tout)+1 DD de 250 Go qui traine dans mes tiroirs, je m'en sort effectivement pour moins de 200 euro maxi avec le port
    et l'avantage de ne pas changer la structure de mon reseaux (puisque je remplace physiquement le boitier alix par une machine plus puissante), et en plus 3 port ethernet libre pour évolutions.

    mais je vais quant même étudier la possibilité de déplacer aussi le portail captif sur une autre machine…(ne serai ce qu'à titre d'apprentissage).
    j'ai un peu regardé les stats, et effectivement je suis à la limite de mon installation (en moyenne 40 co au portail, et régulièrement je suis au max de mon abonnement internet) , bon, c'est ponctuelle avec les vacances, mais il est certains qu'avec l'augmentation des besoins, les choses n'iront pas en s'améliorant...au début, quant je pensais "connections au réseau wifi", je pensais "ordinateur"....maintenant, c'est l'ordi+le téléphone+la tablette, avec ce que çà implique en connections en tache de fond..
    quant je regarde un peut mes log squid, j'ai des pages de "android.clients.google.com" ou de "phobos.apple.com" sans compter les serveur de pub pour portable.

    je n'ose imaginé dans quelques années avec la 4G



  • mais je vais quant même étudier la possibilité de déplacer aussi le portail captif sur une autre machine…(ne serai ce qu'à titre d'apprentissage).

    Je pense que c'est une bonne idée à creuser. Idem pour le proxy.



  • et bien, j'ai installé un 2° pfsense dans une vm sur mon reseau
    avec 2 interface , 1 wan (192.168.1.2) avec comme gateway l'adresse de mon boitier alix (192.168.1.1)
    et le lan qui reçoit le portail captif

    ca marche nickel, (niveau perf, c'est autre chose, vindieu !)

    ca va me permettre d’alléger la charge sur le boitier alix.



  • Salut salut

    @latitude

    Pourriez vous nous faire un joli schéma de votre nouvelle infra que nous puissions nous faire une idée visuelle du rendu ?

    Car j'avoue que personnellement je n'arrive pas à la matérialiser intellectuellement dans mon petit cerveau embrumé du matin. (pas encore pris ma dose de café par intraveineuse, ceci expliquant cela).

    Deuxième chose comme vous le savez certain d'entre nous ne sont pas partisan de la virtualisation de la solution en mode production (maintes et maintes fois débattus sur ce forum).

    Que vous réaffectiez votre boitier alix c'est bien, cependant étant donné la volumétrie que vous nous donnez il n'y a pas d'erreur vous allez devoir investir, comme proposer soit sur un deuxième alix ou une machine avec plusieurs cartes réseaux ou ayant du multi ports.

    Après c'est a vous de voir quoi, comment, surtout en fonction de votre budget.

    Cordialement



  • @Tatave:

    Salut salut

    @latitude

    Pourriez vous nous faire un joli schéma de votre nouvelle infra que nous puissions nous faire une idée visuelle du rendu ?

    Car j'avoue que personnellement je n'arrive pas à la matérialiser intellectuellement dans mon petit cerveau embrumé du matin. (pas encore pris ma dose de café par intraveineuse, ceci expliquant cela).

    Deuxième chose comme vous le savez certain d'entre nous ne sont pas partisan de la virtualisation de la solution en mode production (maintes et maintes fois débattus sur ce forum).

    Que vous réaffectiez votre boitier alix c'est bien, cependant étant donné la volumétrie que vous nous donnez il n'y a pas d'erreur vous allez devoir investir, comme proposer soit sur un deuxième alix ou une machine avec plusieurs cartes réseaux ou ayant du multi ports.

    Après c'est a vous de voir quoi, comment, surtout en fonction de votre budget.

    Cordialement

    je vous fais un schema tout propre cette apres midi

    j'ai planifié un investissement pour le changement du boitier alix, là, il s'agit principalement de test dans une optique "didacticiel" afin d'augmenter mon expérience sur ce type de système, je ne touche pas à mon réseau "production"….

    edit :
    voilà le plan ..(en réalité je n'ai pas encore branché ma boucle avec les borne wifi sur l'OPT1 du pfsense de la vm comme sur le plan, j'ai juste mis une borne pour les tests..)

    c'est sur l’aspect authentification du portail captif que je vais devoir travailler.....
    ++