Compatibilité de pfSense 2.2

ccnet

Sans les messages d'erreur lors de l'installation comment voulez vous que nous puissions orienter un diagnostic ?

Sur ce forum en "en" , "sbehrendsohc" a mentionné le même problème je pense.

Difficile à dire vous ne précisez pas vos masques de sous réseau. Le problème rencontré fait mention de masques assez peu orthodoxes comme 192.168.0.0/16. A priori ce n'est pas votre problème.

Mais sur la solution obtenu, je ne comprends pas bien (https://forum.pfsense.org/index.php?topic=60041.0).

Il n'est pas question de solution. Le problème est pendant dans le fil mentionné.

thecat

Pour les messages d'erreur, ce n'est pas gagné car je n'ai pas eu l'occasion de faire un printscreen, vu que c'est en mode console :( .

Pour le masquage j'utilise le /24 en WAN et en LAN. Ce qui est bizarre c'est qu'après l'assignation d'un IP au LAN  sur la version 2.2, l'adresse IP LAN ne s'affiche pas.

Merci à vous de m'avoir aider.

Cordialement.

ccnet

Pourquoi 10.10.10.10\24 sur l'interface lan ?
L'interface physique est visible sur la console de Pfsense ?

thecat

Bonjour,

Le problème est résolu, c'était un défaut de package de la version 2.2 (package erroné). J'ai téléchargé un nouveau package 2.2 est c'est nickel. Pas d'erreur pendant l'installation.

Merci beaucoup à vous pour les réponses car cela m'a aidé à cerner mon problème.

Maintenant, je vais tester la performance (le débit et bande passante si cela bouffe ou pas) avec les outils à bord du pfsense (NAT, sans NAT, quelques règles activées …).

Si je rencontre un problème majeur, je viens à vous.

Cordialement.

ccnet

Maintenant, je vais tester la performance (le débit et bande passante si cela bouffe ou pas) avec les outils à bord du pfsense (NAT, sans NAT, quelques règles activées …).

Les performances dépendent essentiellement, en dehors des connexions vpn, de votre matériel, cpu, qualité des cartes réseaux et homogénéité de votre réseau. Sur une de mes configurations j'obtiens un débit soutenu en téléchargement de 400Mbits/sec. Cela sans être certain d'être au maximum.
Les cartes réseau à privilégier sont les cartes Intel serveur ou base de chip Intel. En vpn les choix cryptographiques ont une importance considérable.

thecat

Bonjour,

Donc, afin de pouvoir surveiller cette performance au niveau de pfSense, que me conseillez-vous d'utiliser ou d'installer?

Certains propose Iperf, d'autre TTCP, mon but c'est de pouvoir surveiller le débit du réseau WAN et LAN au niveau de pfSense.

Cordialement.

ccnet

je ne comprend pas bien ce que vous pensez en tirer. Le besoin n'est pas assez précis. Le facteur limitant risque d'être votre ligne adsl. Comme vous êtes probablement sur un abonnement grand public, vous n'aurez pas de stat de trafic. Un monitoring réseau est possible avec des solutions basées sur ntop d'une façon générale.
Les graphiques de bases fourni par Pfsense sont susceptibles de largement couvrir votre besoin qui ne semble pas aller au delà de la simple information.

thecat

Je vais vous détailler un peu en quelques lignes le but de mes recherches sur pfSense. Il s'agit de "tester le débit du réseau" en appliquant ces quelques lignes.

• performances avec nat ;
• performance sans nat activé;
• performances avec 10 règles de pare-feu activées;
• performance avec IPS activé;
• tests IPS (utilisation Kali Linux avec Metasploit pour les tests d'intrusion à partir de l'extérieur et voir ce qui est bloqué et ce qui ne l'est pas);
• tests du proxy cache et performance;
• test Qos et priorisation.

Voilà, c'est en gros ce que je vais faire. :-)

ccnet

• performances avec nat ;
• performance sans nat activé;
• performances avec 10 règles de pare-feu activées;

Cela pourrait avoir un sens si les conditions de test n’étaient pas les vôtres. Vous êtes derrière une box qui translate. Vous avez probablement un débit opérateur qui ne permet pas d'aller au bout des capacités de pfsense. Vous êtes dans une situation de test non reproductible parce que le débit livré par un opérateur grand public et totalement non garantit et aléatoire. L'utilisation de 10,20 ou 30 règles ne changera probablement rien de très significatif.
En clair les différences et ou limitations que vous pourriez constater ne seront pas imputables (ou très marginalement) à Pfsense.

performance avec IPS activé

• tests du proxy cache et performance;

Il ne s'agit plus de Pfsense mais d'un addon. Dans la réalité ce n'est pas une fonctionnalité que l'on fait tourner sur un firewall. Valable pour l'ids et le proxy.

tests IPS (utilisation Kali Linux avec Metasploit pour les tests d'intrusion à partir de l'extérieur et voir ce qui est bloqué et ce qui ne l'est pas)

Pfsense est un firewall réseau. L'essentiel des tests disponibles avec Metasploit concerne les failles applicatives des OS et d'un certain nombre de produits. Un firewall réseau ne bloquera jamais l'exploitation d'un débordement de tampon par exemple. Ce test n'a aucun sens.

test Qos et priorisation

Potentiellement vous pourriez en vérifier le bon fonctionnement dans les limites de votre configuration réseau.

thecat

Je vous remercie pour vos réponses.

Cependant, bien que c'est assez faible, nous avons ici 8Mbits/s guarantis (100Mbits/s en local), donc même avec cela vous pensez que le test ne vaut pas la peine?

Il ne s'agit plus de Pfsense mais d'un addon. Dans la réalité ce n'est pas une fonctionnalité que l'on fait tourner sur un firewall. Valable pour l'ids et le proxy.

Pfsense est un firewall réseau. L'essentiel des tests disponibles avec Metasploit concerne les failles applicatives des OS et d'un certain nombre de produits. Un firewall réseau ne bloquera jamais l'exploitation d'un débordement de tampon par exemple. Ce test n'a aucun sens.

Oui, vous avez raison, mais du moins, c'est ce qu'on me demande de faire, donc il faut que j'arrive à faire les simulations de test avec image à l'appui (printscreen) pour faire un rapport :-).  Mais je suis encore sur la documentation de pfSense 2.2, et j'ai déjà pas mal de doc à ma portée (je serai très content si vous pouvez m'en donner plus sur la documentation car je les cherche moi même, et un déjà un grand merci).

Cordialement. :-)

ccnet

Pour un test significatif des limitations de Pfsense, il vous faudrait un réseau Full Gigabit. Dans votre cas le réseau est le facteur limitant. Pfsense sur un x3550 tient largement ce débit. C'est le réseau lui même (cartes, cablage, switchs, box de l'opérateur, etc …) qui vous limite. Ce que vous pourrez montrer c'est que Pfsense ne limite pas les performances possibles compte tenu de l’infrastructure. Mais rien en ce qui concerne ses performances propres.

thecat

:-) Ok.

Merci beaucoup à vous.

Pour les documentations free :-), vous en aviez à me proposer? Car je suis en quête sur la connaissance de pfSense et tout ce qui vient avec.

Cordialement.