Compatibilité de pfSense 2.2



  • Bonjour à vous tous,

    Contexte: milieu perso (stagiaire en tant qu'administrateur réseau)

    Je suis débutant sur pfSense, et afin de mieux voir sur sa performance, je fais des tests sur un serveur de test (assez vieux) IBM x3550 type 7978.

    J'ai downloadé la version 2.2 (la dernière d'après les docs), et je l'ai installé.

    J'ai rencontré un problème que je vais essayer de vous détailler:

    Le serveur possède deux interfaces: bre0 et bre1

    • J'ai utilisé bre0 comme interface WAN, et en DHCP j'ai obtenu l'adresse: 192.168.0.254/24
    • bre1 est configuré en LAN avec l'adresse 10.10.10.10

    Cepandant, lors de l'affichage des interfaces, le LAN n'est pas affiché (l'IP que j'ai donné). J'ai interchangé les interfaces bre0 et bre1, mais celui du LAN ne

    s'affiche toujours pas.

    Ma solution (workaround  ::) ) : J'ai downloadé la version 2.1.5, je l'ai installé et c'est nickel. Puis sur l'interface WEB je l'ai upgradé et c'est OK.

    J'ai cherché la cause du problème sur l'installation de la version 2.2 sur l'IBM x3550 mais j'ai pas trouvé la solution. Sur un sois disant un forum, il est dit que

    IBM et FreeBSD n'est pas vraiment copain  (http://lists.freebsd.org/pipermail/freebsd-questions/2010-September.txt)

    Questions:

    -  Pouvez-vous m'élucider sur ce point entre IBM et FreeBSD et surtout la compatibilité en mode installation de la version 2.2 sur l'IBM x3550 type 7978?

    • Pouvez-vous me donner des liens sur une liste de compatibilité avec pfSense 2.2 et antérieur?

    Merci beaucoup pour vos futures réponses.



  • Je suis pas bon en anglais, mais j'ai trouvé le même problème je crois ici https://forum.pfsense.org/index.php?topic=60041.0



  • S'il vous plaît, quelqu'un peut-il m'aider?

    Merci beaucoup.



  • En bas de la page https://www.pfsense.org/hardware/ Hardware Compatibility List
    Rappelons que cette nouvelle version de Pfsense est basée sur FreeBSD 10.1 ce qui n'est pas le cas de la 2.1.5.



  • Merci pour votre réponse.

    Durant l'installation via console avec la version 2.2 à 38% il y avait des erreurs (je n'ai pas eu le printscreen).  J'ai outre passé ces erreurs, et là je n'arrive pas à configurer le LAN.

    Mais pourquoi sur l'interface WEB, j'ai upgradé le 2.1.5 en 2.2 et c'est OK?

    Sur ce forum en "en" , "sbehrendsohc" a mentionné le même problème je pense. Mais sur la solution obtenu, je ne comprends pas bien (https://forum.pfsense.org/index.php?topic=60041.0).

    Qu'en pensez-vous?

    Concernant le x3550 d'IBM, il tourne sur un processeur Xeon 3.0Ghz et 1 Go de RAM.

    Merci beaucoup pour les lumières.



  • Sans les messages d'erreur lors de l'installation comment voulez vous que nous puissions orienter un diagnostic ?

    Sur ce forum en "en" , "sbehrendsohc" a mentionné le même problème je pense.

    Difficile à dire vous ne précisez pas vos masques de sous réseau. Le problème rencontré fait mention de masques assez peu orthodoxes comme 192.168.0.0/16. A priori ce n'est pas votre problème.

    Mais sur la solution obtenu, je ne comprends pas bien (https://forum.pfsense.org/index.php?topic=60041.0).

    Il n'est pas question de solution. Le problème est pendant dans le fil mentionné.



  • Pour les messages d'erreur, ce n'est pas gagné car je n'ai pas eu l'occasion de faire un printscreen, vu que c'est en mode console :( .

    Pour le masquage j'utilise le /24 en WAN et en LAN. Ce qui est bizarre c'est qu'après l'assignation d'un IP au LAN  sur la version 2.2, l'adresse IP LAN ne s'affiche pas.

    Merci à vous de m'avoir aider.

    Cordialement.



  • Pourquoi 10.10.10.10\24 sur l'interface lan ?
    L'interface physique est visible sur la console de Pfsense ?



  • Bonjour,

    Le problème est résolu, c'était un défaut de package de la version 2.2 (package erroné). J'ai téléchargé un nouveau package 2.2 est c'est nickel. Pas d'erreur pendant l'installation.

    Merci beaucoup à vous pour les réponses car cela m'a aidé à cerner mon problème.

    Maintenant, je vais tester la performance (le débit et bande passante si cela bouffe ou pas) avec les outils à bord du pfsense (NAT, sans NAT, quelques règles activées …).

    Si je rencontre un problème majeur, je viens à vous.

    Cordialement.



  • Maintenant, je vais tester la performance (le débit et bande passante si cela bouffe ou pas) avec les outils à bord du pfsense (NAT, sans NAT, quelques règles activées …).

    Les performances dépendent essentiellement, en dehors des connexions vpn, de votre matériel, cpu, qualité des cartes réseaux et homogénéité de votre réseau. Sur une de mes configurations j'obtiens un débit soutenu en téléchargement de 400Mbits/sec. Cela sans être certain d'être au maximum.
    Les cartes réseau à privilégier sont les cartes Intel serveur ou base de chip Intel. En vpn les choix cryptographiques ont une importance considérable.



  • Bonjour,

    Donc, afin de pouvoir surveiller cette performance au niveau de pfSense, que me conseillez-vous d'utiliser ou d'installer?

    Certains propose Iperf, d'autre TTCP, mon but c'est de pouvoir surveiller le débit du réseau WAN et LAN au niveau de pfSense.

    Cordialement.



  • je ne comprend pas bien ce que vous pensez en tirer. Le besoin n'est pas assez précis. Le facteur limitant risque d'être votre ligne adsl. Comme vous êtes probablement sur un abonnement grand public, vous n'aurez pas de stat de trafic. Un monitoring réseau est possible avec des solutions basées sur ntop d'une façon générale.
    Les graphiques de bases fourni par Pfsense sont susceptibles de largement couvrir votre besoin qui ne semble pas aller au delà de la simple information.



  • Je vais vous détailler un peu en quelques lignes le but de mes recherches sur pfSense. Il s'agit de "tester le débit du réseau" en appliquant ces quelques lignes.

    • performances avec nat ;
    • performance sans nat activé;
    • performances avec 10 règles de pare-feu activées;
    • performance avec IPS activé;
    • tests IPS (utilisation Kali Linux avec Metasploit pour les tests d'intrusion à partir de l'extérieur et voir ce qui est bloqué et ce qui ne l'est pas);
    • tests du proxy cache et performance;
    • test Qos et priorisation.

    Voilà, c'est en gros ce que je vais faire. :-)



    • performances avec nat ;
    • performance sans nat activé;
    • performances avec 10 règles de pare-feu activées;

    Cela pourrait avoir un sens si les conditions de test n’étaient pas les vôtres. Vous êtes derrière une box qui translate. Vous avez probablement un débit opérateur qui ne permet pas d'aller au bout des capacités de pfsense. Vous êtes dans une situation de test non reproductible parce que le débit livré par un opérateur grand public et totalement non garantit et aléatoire. L'utilisation de 10,20 ou 30 règles ne changera probablement rien de très significatif.
    En clair les différences et ou limitations que vous pourriez constater ne seront pas imputables (ou très marginalement) à Pfsense.

    performance avec IPS activé

    • tests du proxy cache et performance;

    Il ne s'agit plus de Pfsense mais d'un addon. Dans la réalité ce n'est pas une fonctionnalité que l'on fait tourner sur un firewall. Valable pour l'ids et le proxy.

    tests IPS (utilisation Kali Linux avec Metasploit pour les tests d'intrusion à partir de l'extérieur et voir ce qui est bloqué et ce qui ne l'est pas)

    Pfsense est un firewall réseau. L'essentiel des tests disponibles avec Metasploit concerne les failles applicatives des OS et d'un certain nombre de produits. Un firewall réseau ne bloquera jamais l'exploitation d'un débordement de tampon par exemple. Ce test n'a aucun sens.

    test Qos et priorisation

    Potentiellement vous pourriez en vérifier le bon fonctionnement dans les limites de votre configuration réseau.



  • Je vous remercie pour vos réponses.

    Cependant, bien que c'est assez faible, nous avons ici 8Mbits/s guarantis (100Mbits/s en local), donc même avec cela vous pensez que le test ne vaut pas la peine?

    Il ne s'agit plus de Pfsense mais d'un addon. Dans la réalité ce n'est pas une fonctionnalité que l'on fait tourner sur un firewall. Valable pour l'ids et le proxy.

    Pfsense est un firewall réseau. L'essentiel des tests disponibles avec Metasploit concerne les failles applicatives des OS et d'un certain nombre de produits. Un firewall réseau ne bloquera jamais l'exploitation d'un débordement de tampon par exemple. Ce test n'a aucun sens.

    Oui, vous avez raison, mais du moins, c'est ce qu'on me demande de faire, donc il faut que j'arrive à faire les simulations de test avec image à l'appui (printscreen) pour faire un rapport :-).  Mais je suis encore sur la documentation de pfSense 2.2, et j'ai déjà pas mal de doc à ma portée (je serai très content si vous pouvez m'en donner plus sur la documentation car je les cherche moi même, et un déjà un grand merci).

    Cordialement. :-)



  • Pour un test significatif des limitations de Pfsense, il vous faudrait un réseau Full Gigabit. Dans votre cas le réseau est le facteur limitant. Pfsense sur un x3550 tient largement ce débit. C'est le réseau lui même (cartes, cablage, switchs, box de l'opérateur, etc …) qui vous limite. Ce que vous pourrez montrer c'est que Pfsense ne limite pas les performances possibles compte tenu de l’infrastructure. Mais rien en ce qui concerne ses performances propres.



  • :-) Ok.

    Merci beaucoup à vous.

    Pour les documentations free :-), vous en aviez à me proposer? Car je suis en quête sur la connaissance de pfSense et tout ce qui vient avec.

    Cordialement.