Routeur fait maison
-
Bonsoir @ tous,
Je cherche à me fabriquer un routeur. je suis un adepte du Do It Yourself car cela me permet avant tout chose d'apprendre tout en construisant/fabriquant exactement ce dont j'ai besoin.
Et comme beaucoup de monde j'hésite entre PfSence (FreeBSD) et IpCop (linux). Mes connaissances dans les routeurs sont limitées, cependant j'avoue que je préfère PfSence car sous freebsd qui est me semble t il un vrai gage de sécurité. Malheureusement son interface est en anglais.
Mais quitte à faire sois même son routeur j'aimerai qu'il soit évolutif et capable de prendre en charge plusieurs tâches comme par exemple : serveur VPN, DNS, proxy, antivirus, firewall, routeur, ssh
Par exemple avoir autant d'interfaces réseaux que je souhaite (naturellement sans démesure et dans la limite de la capacité de traitement du matériel), travailler qu'en gigabit et puisque cet ordinateur/routeur va rester allumer en permanence lui confier des tâches annexes histoire de "rentabiliser" sa conso électrique.
D’où mon souhait de lui confier des services "annexes". Cependant, cela fait maintenant plusieurs jours que je cherche des tutos et autres pdf simples à propos de PF, ses paramétrages et surtout ses extensions mais je ne trouve rien. J'avoue aussi que je suis très limité en anglais et c'est pour cela que l'interface en anglais de PF m'embête un peu…. Mais j'essaie de m'y mettre !
-- Auriez-vous des sources d'info à me faire partager pour m'aider dans mon aventure ?
-- Où puis je trouver et identifier la listes des extensions me permettant de remplir les tâches qui m’intéressent ainsi que toute celles qui existent ?--> Est il possible d'y mettre un antivirus pour vérifier à "la volé" tout ce qui transit par le routeur ?
Je connais la solution Tomato, mais c'est pas assez DIY pour moi car je ne peux pas choisir le matériel.
Merci à tous de votre aide.
Christophe. -
Pour l'anglais, ce n'est quand même pas la mer à boire (the channel ?). Mais c'est INDISPENSABLE de lire l'anglais !
Ipcop versus pfSense, il n'y a guère photo : la richesse et le sens naturel de pfSense sont évidents sans aller même chercher les addons.
Si quelqu'un conseille Ipcop, c'est qu'il n'a jamais essayé pfSense !Mais Ipcop, pfSense, Tomato ou autres ne sont que des firewalls : ils ne seront JAMAIS là pour filtrer les virus, et c'est une mauvaise idée que de vouloir faire cela.
Il est nécessaire de disposer de solutions anti-virus adaptées pour les PC du réseau interne.
L'explication est assez simple : un firewall autorise ou non un protocole mais ne fait pas d'analyses à l'intérieur du protocole, c'est le rôle des 'proxy(ies) applicatifs'.
De plus, si vous voulez un firewall 'maison', un hardware peu puissant est tout à fait suffisant mais ne le sera plus si vous tentiez d'ajouter des packages de type 'applicatif'. -
J'adhère pleinement aux remarques qui précédent. J'ajoute que si le but est diy pour le plaisir, cela n'a rien à voir avec les problématiques de sécurité. Il faut donc choisir.
-
Christophe,
Tu trouveras plus d'informations auprès de solutions initialement prévues pour ce type d'usage qui consiste à regrouper sur la même machine, située en bordure du réseau, les différents services que tu cites.
Regarde par exemple NethServer, Zeroshell et quelques autres solutions de ce type ;) -
Je suis étonné qu'avec cette question, ne soit pas mentionné le hardware prévu !
Pour la maison, pour un firewall, un matériel tel Alix suffit largement (et fait tourner très correctement pfSense).
Une tour classique dédiée firewall semble excessive niveau conso électrique !Il existe, en effet, des firewall légers comme Zeroshell mais la couverture n'est pas aussi étendue que pfSense.
-
Ce n'est probablement pas le bon endroit (forum pfSense) pour discuter de Zeroshell ;D ;D mais la raison pour laquelle je le proposais ici en alternative, c'est que Zeroshell, loin d'être "léger", contient nativement les fonctionnalités évoquées au début de ce sujet. Celles-ci ne sont pas optionnellement présentes sous forme de packages additionnels peu ou pas maintenus.
Mais c'est clair que c'est une solution différente puisque Zeroshell ne se décrit pas lui même comme un pur firewall mais comme :
"Zeroshell is a Linux distribution for servers and embedded devices aimed at providing the main network services a LAN requires."et dans les "main network services", il y a proxy et anti-virus ;)
J'en profite pour rebondir sur ce point:
- un anti-virus sur les postes de travail est bien sûr indispensable.
- celui-ci ne dispense pas d'en installer également sur les équipements qui offrent des services de communication avec internet (proxy HTTP, MTA, FTP)
-
Je vois que Chris4916 n'a toujours pas compris qu'il NE FAUT PAS mettre un proxy sur un firewall (malgré ce qui a été maintes et maintes fois expliqué … et ça devient usant).
Ceci est une hérésie !Au moins avec pfSense, le proxy est un 'package', et donc clairement non supporté.
Les distributions style ZeroShell ou Ipcop amènent la confusion en indiquant sur leur sites que l'on peut le faire : c'est juste inconscient ! -
Bonjour et merci @ tous pour vos observations.
Aux vues de vos réponses je vais apporter un complément d'information.
Je n'ai pas fait mention de configuration matériel car dans mon raisonnement je pars de mes "besoins", des solutions susceptibles d'être misent en oeuvre pour y répondre et ensuite dimensionner le matériel. Tout en prenant soin de veiller à obtenir une conso électrique la plus maitrisée et raisonnable possible. Même si pour cela je suis obliger de revoir la liste de mes besoins…..
Comme je l'ai dit, si j'opte pour le DIY c'est pour essentiellement des raisons pédagogiques. En effet en bon passionné que je suis j'aime apprendre de nouvelles choses.
L'utilisation est effectivement pour un usage personnelle. Mais cela n' empêchement pas de prendre en considération certaines problématiques de sécurité. La sécurité de nos chers, très chers données n'est pas l'apanage des entreprises. En effet, perdre les souvenirs de famille ou toute les vidéos, photos et autres rapports de stages et cours des membres de la famille est tout aussi dramatique pour la cellule familiale que la comptabilité d'une entreprise. Et puis quitte à mettre en place un peu de sécurité autant le faire correctement, même pour un réseau perso !
Notre réseau informatique familiale prend des proportions impressionnantes et bien naturellement j'en suis très humblement l'administrateur.
Voici un bref descriptif de notre réseaux familiale que j'ai réalisé entièrement par le DIY :
1 NAS (freenas) de 30 To avec serveur FTP et cloud perso, 8 ordinateurs (portable et bureau) 2 windows et 6 linux, 1 serveur web hébergent 3 sites, 1 réseau indépendant pour la domotique, 1 switch administrable N2 48 ports en gigabit, 1 ADSL chez Free.
Projet en cours de réalisation ou trés court terme :
Création d'un serveur vidéo et télévision par IP avec 4 tuners et enregistrement, mise en place d'un serveur de messagerie POSTFIX, changer le fonctionnement du NAS pour se rapprocher de celui d'un SAN : dédier un réseau uniquement pour les flux d'accès au données. Une fois terminé migrer l'ensemble du réseau en IPv6.
Comme vous pouvez le voir ca commence à faire. Je souhaite donc repenser l'architecture du réseau afin d'en assurer une meilleur sécurité ainsi qu'optimiser le fonctionnement. Par exemple création d'une DMZ.
Je souhaite donc profiter de la création d'un routeur pour lui confier également un certains nombres de tâches liée à la sécurité de notre réseau et de nos données.
Je sais, ou plutôt je me doute, que Pfsense peut faire tout ce j'ai décrit sauf pour ce qui est l'antivirus. D'ou ma question :
Est il possible de mettre un antivirus dans Pfsense pour lui demander d'analyser à la volé toutes les informations qui passe par le routeur ?
Voilà donc la situation dans laquelle je suis et les raisons de mon projet. Pour ce qui est de la lecture de l'anglais, je m'y mets petit à petit. Mais c'est d'autant plus difficile que cela se passe dans un contexte technique que je ne connais pas bien.
Qu'en pensez vous ? quels seraient vos conseils ?
PS : Même si j'ai une petit préférence pour Pfsense, je vais chercher des infos sur les solutions que vous m'avez données.
Merci @ tous pour votre aide dans mon aventure.
-
Est il possible de mettre un antivirus dans Pfsense pour lui demander d'analyser à la volé toutes les informations qui passe par le routeur ?
La réponse est clairement NON (et ce quel que soit le firewall) !
L'analyse anti-virale est à réaliser sur chaque protocole via un proxy applicatif : la place de ces proxies n'est pas sur le firewall (n'en déplaise aux marketeux qui font la promotion des 'appliance UTM' !) sous peine de surcharge matérielle.
Le firewall est à mettre en place pour définir les politiques de flux autorisés entre zones (LAN -> net, net -> DMZ, …).
Mais il n'y a pas besoin d'une grande puissance pour ce contrôle.
Exemple de config chez OSNET.EU : Alix Apu1D ou Fwa-3025. -
@jdh:
Je vois que Chris4916 n'a toujours pas compris qu'il NE FAUT PAS mettre un proxy sur un firewall (malgré ce qui a été maintes et maintes fois expliqué … et ça devient usant). Ceci est une hérésie !
Si je peux nuancer un peu ;)
non je ne l'ai pas compris sans doute faut d'argument qui explique clairement pourquoi il ne faudrait absolument jamais le faire.
Pour ce qui est de l’implémentation pfSense, nous somme d'accord, c'est un package, donc peu ou mal maintenu, ce qui présente un risque évident.
Mais comme tu l'as certainement remarqué, ma réponse était d'aller voir d'autres solutions qui elles supportent nativement ces fonctionnalités.
Sur cette base, si tu as des arguments pour expliquer en quoi ce design est si hérétique que ça, je suis ouvert à la discussion technique. Pas à la propagande:
"ce n'est pas bien, il ne faut pas, etc…."Comme je l'ai déjà écrit, un design idéal va faire tourner la fonction de firewall sur un environnement dédié. Mais il faut dans ce cas également refuser d'autres fonctionnalités comme par exemple le serveur VPN, le DNS, DHCP qui font partie de pfSense. Bref, un pare-feu qui ne fait que pare-feu :)
Et, au risque de me répéter, la solution all-in-one est souvent plus stable et plus sécurisée car mieux maîtrisée lorsque déployée dans un environnement où les compétences à même de gérer la solution idéale mais complexe manquent.
Les distributions style ZeroShell ou Ipcop amènent la confusion en indiquant sur leur sites que l'on peut le faire : c'est juste inconscient !
Peux-tu expliquer pourquoi, si tu as plus d'arguments que ce qui a déjà été débattu ici ? ;)
-
Est il possible de mettre un antivirus dans Pfsense pour lui demander d'analyser à la volé toutes les informations qui passe par le routeur ?
non si l'idée est d'analyser ce qui passe sur le réseau pour détecter un virus.
Un anti-virus ne va fonctionner que en analysant des objets (généralement des fichiers), donc bien après la phase réseau.
Il doit donc être déployé en association avec des services qui traitent ces objets (proxy HTTP, mail, FTP, NAS etc…) -
Bonsoir @ tous,
Je me doutais bien qu'un antivirus sur un routeur ça me paraissait bizarre, puisqu'un routeur travail au niveau de la couche 3 du modèle.
A la lecture de vos nombreuses réponses et je vous en remercie, un doute s'empare de moi.
Pfsense est avant tout un firewall, ça j'ai bien compris, mais puis je faire du routage avec ? Car mon projet c'est avant tout de créer un routeur !
Comme vous pouvez vous en rendre compte je n'ai pas la prétention d'être un expert dans le domaine des réseaux….
Je vais essayé de répondre à cette question seul et vous me direz si c'est exact :
je dirais que oui, car tout ordinateur possède une table de routage. Pour qu'il se comporte comme tel il faut "juste" lui activer la fonction routeur.
Est ce que j'ai bon ?
Mais au delà de cette question, pour peu que j'ai effectivement une bonne réponse, ma demande est de savoir si cette fonction de routeur ainsi que tous les paramètres qui vont avec peu être configurer directement par l'interface graphique de pfsense ?
-
Pas de problème pour utiliser les fonction de routage de pfSense en les configurant via l'interface graphique pour le type de réseau que tu décris.
pfSense n'est cependant pas un "pur" routeur dans ce sens ou les protocoles de routage tels que BGP ou OSPF ne sont pas pris en compte car il faudrait pour cela installer un package, lequel n'est pas supporté ;)
-
@chris4916 : le fil (justement) cité avance LES arguments techniques pour lesquels il ne faut pas mettre un proxy sur un firewall. Il est très regrettable que tu t'obstines à insérer partout TES doutes (et ton incompréhension) et notamment sur des fils de non spécialistes. Il faut arrêter ce point de vue : tu prends une Debian, tu installes Squid + SquidGuard, et tu observes le besoin mémoire en fonction de la taille de cache !
Il y a un incohérence entre un petit matériel qui fait firewall (simplement et efficacement) et un firewall avec proxy qui exigerait d'importantes ressources mémoire pour faire les 2 boulots correctement.
Je critique ces petites distributions qui prétendent que l'on peut tout faire sans rien dire sur les ressources hardware nécessaires ! Marre !
-
Je vais justement répondre sur ce fil afin de ne pas polluer celui-ci ;)
-
Hello,
Pour le DNS si tu débute, je te conseille de t'installer un petit debian que tu place dans le LAN de ton pfSense sur lequel tu installe un Bind9, ça sera surement plus documenté sur debian que FreeBSD (OS pfsense) (Debian a la même base que ubuntu, au cas ou :D)Le SSH est dispo de base sur pfSense tu peux l'activer/Désactiver facilement.
Pour le VPN tu as le choix OpenVPN et IPSEC, tu as de quoi t'amuser un peut de se côté la, c'est intégré au pfsense donc pas besoins d'installer un package ou autre.
Pour l'aspect firewall / Routeur j'ai envie de dire le FW c'est le service de base de pfSense et ce pourquoi il a été fait si je ne m'abuse et routeur, forcément vu que le flux passe a travers lui si il est autorisé.
Tu peux lui ajouter des interface a volonté tant que tu as des carte réseau dispo donc plsieur réseau avec des filtrage propre a chacun.Pour le proxy je vais pas trop m'avancer si non je vais me faire taper sur les doigts, mais si je devais résumé le fil sur lequel il a un débat je dirais pour une installation home made ou simplement découvrir ces outils tu peux y aller, si non le sujet mérite d'être étudié.
Je t'invite quand même a aller lire le fil de discussion qui explique plus en détail le pourquoi du comment, je reste très vague a ce niveau car je pense qu'il faut se forger son propre avis en fonction de se que l'on veut faire.Après tu peux toujours le mettre en place sur un débian aussi a côté de ton Bind9 (DNS), je crois que j'avais mis en place un HAProxy en cours et mon professeur en disais beaucoup de bien.
Si tu te lance sur tout ces projets que tu ne connais pas, tu devrais apprendre beaucoup ;)
Bon courage -
Bonsoir Lolight,
Mon projet est autant à but pédagogique que pour optimiser mon réseau familiale, qui comme tu l'as vu est tout de même conséquent sans parler des projets en cours.
Effectivement il vaut mieux ne pas faire tourner un proxy sur un firewall, cependant je ne souhaite pas ajouter un serveur physique de plus à notre réseau…. La conso électrique actuelle est elle aussi conséquente.....
Je vais donc opter, dans un premier temps pour un serveur physique de plus avec tous les services sus-nommés dessus.
Cependant, pour la partie routeur je suis ennuyé de savoir que les protocoles de routage BGP ou OSPF ne soient pas supporté par pfsense.
Y a t il un moyen pour les installer ?
-
Si tu pars avec pfSense, il est effectivement préférable de ne pas utiliser de package. Ce qui fonctionne aujourd'hui pourrait ne pas fonctionner demain.
Et donc le proxy sur une autre machine, c'est bien ;)Pour ce qui est du non support de BGP et OSPF, c'est pareil. L'un ou l'autre sont disponibles via des packages :-\
Mais le point qui me titille est: "as-tu vraiment besoin de protocole de routage dans le cadre d'un réseau familial ?"
Je gère une configuration probablement assez proche de la tienne sur mon réseau familial, avec pfSense, des serveurs d'infra pour les autres services (DNS, DHCP, VPN, Samba, mail, syslog), plusieurs NAS, également des edge routers (pfSense n'a pas d'IP publique), quelques wifi…. une usine à gaz qui n'a rien de familial au final ;D ;D ;D et je n'ai pas le moindre besoin de protocole de routage spécifique:
- BGP n'aurait pas de sens (tout est localement dans la RFC1918
- OSPF ne me sert à rien car il y a peu de changements dans ma topologie et celle-ci est malgré tout simple en terme de réseau .
Si c'est de jouer avec ces protocoles dans un but didacticiel, une maquette est certainement préférable à une implémentation "at home" qui ne serait probablement pas représentative.
Je suis assez curieux sur le coup ;)
-
Bonjour Chris,
Oui tu as raison pour les protocoles de routage.
En revanche, mon soucis étant de maitriser ma conso électrique, je m'orienterais vers une seule machine.
Peux tu m'en dire un peu plus sur l' architecture et l'organisation de ton réseau familiale ? Combien machines, serveurs physiques, combien serveurs virtuels …..
merci
-
Je ne suis pas certain que mon infrastructure familiale doive être prise en exemple car du point de vue consommation électrique, on peut faire beaucoup mieux :-[ :
- mon FW (pfSense) est une [i]énorme machine à base de N2930 (excellent Celeron 4 cores) avec une carte d'extension 4 LAN Intel. C'est clairement trop gros mais extrêmement confortable. reboot très rapide grâce au disque mSATA. pfSense s'appuie sur FreeBSD, ce qui limite un peu le choix hardware. En ciblant une autre plate-forme, la carte banana pi BPI-R1 Open-source smart router est un excellent candidat "green" (à condition bien sûr de ne faire que du routage + FW, ce que je fais :) OpenWRT par exemple ;)
- j'ai, sur une DMZ, une machine de services d'infrastructure (encore un Celeron 1073U) pour faire tourner DNS, DHCP, MTA, Samba, poxy HTTP, et donc un anti-virus, web server, un peu, rarement, de VPN). Les 6 GB de mémoire sont largement suffisants.
- 3 NAS : un petit ReadyNAS (Netgear) pour faire du backup et 2 Microserver HP N40L avec plusieurs To de disque servis par OpenMediaVault (que je recommande vraiment). Principalement du CIFS, un peu de NFS et iSCSI à des fins de test.
- enfin, une machine "back-end" basée sur un vieux VIA C7-D recyclé, fait office de RSYSLOG pour toutes les machines.
Pas de virtualisation sur ces machines. Lorsque je veux faire des tests, ce n'est pas sur les machines de prod ;) J'utilise pour ça un quelques PC dormants, éventuellement avec des VM (Virtualbox) une ribambelle de Raspberry PI (le 2 est :o) et un Banana Pi (surprenant également)
C'est assez simple finalement, avec beaucoup de clients si on considère que c'est un usage familial car il y a beaucoup de machines clientes connectées, entre les consoles de jeu, les PC des uns et des autres, les différents tuner TV.
Le choix de la virtualisation :C'est une question intéressante mais qui peut donner lieu à de long débats tant les avis peuvent diverger.
En entreprise, c'est indéniablement une bonne solution mais qui reste malgré tout potentiellement complexe. Il s'agit de bien définir ce qu'on souhaite couvrir avec ces fonctionnalités.
En usage domestique ou pour des PME/SOHO, je suis beaucoup plus réticent car je ne comprends pas la logique.Tout mettre sur une seule machine physique avec plusieurs VM, c'est prendre le risque de voir tous les services s'arrêter d'un seul coup si le hardware a une panne. Du coup, il faut au moins 2 machines physiques capables de supporter (même si une dégradation de performance est acceptable le plus souvent dans ces environnements) l'ensemble de l'infra. Ceci inclus également les aspects data. Donc soit un SAN ou NAS (qui doit être lui même sécurisé, donc redondant, ce qui n'est jamais très simple en terme de stockage) ou des techniques type DRDB. Bref ce n'est jamais très simple et la complexité induite par la solution technique est souvent dans ces environnements, plus un risque supplémentaire, à mon sens, qu'une vraie valeur ajoutée.
Virtualiser, c'est ajouter une couche supplémentaire, et donc un niveau de complexité. Qui opère la plate-forme ? Lorsque je suis en déplacement par exemple…L'approche pfSense avec CARP est ici une bonne solution (car relativement simple) si on accepte de regrouper sur pfSense une grande partie des services d'infra. Malheureusement, beaucoup de ces services sont des packages, donc potentiellement instables. Il faut vraiment qualifier dans le détail sa configuration et surtout ne jamais en changer, ni faire d'upgrade :-\