Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Routeur fait maison

    Français
    5
    22
    5.8k
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • C
      chris4916
      last edited by

      Pas de problème pour utiliser les fonction de routage de pfSense en les configurant via l'interface graphique pour le type de réseau que tu décris.

      pfSense n'est cependant pas un "pur" routeur dans ce sens ou les protocoles de routage tels que BGP ou OSPF ne sont pas pris en compte car il faudrait pour cela installer un package, lequel n'est pas supporté  ;)

      Jah Olela Wembo: Les mots se muent en maux quand ils indisposent, agressent ou blessent.

      1 Reply Last reply Reply Quote 0
      • J
        jdh
        last edited by

        @chris4916 : le fil (justement) cité avance LES arguments techniques pour lesquels il ne faut pas mettre un proxy sur un firewall. Il est très regrettable que tu t'obstines à insérer partout TES doutes (et ton incompréhension) et notamment sur des fils de non spécialistes. Il faut arrêter ce point de vue : tu prends une Debian, tu installes Squid + SquidGuard, et tu observes le besoin mémoire en fonction de la taille de cache !

        Il y a un incohérence entre un petit matériel qui fait firewall (simplement et efficacement) et un firewall avec proxy qui exigerait d'importantes ressources mémoire pour faire les 2 boulots correctement.

        Je critique ces petites distributions qui prétendent que l'on peut tout faire sans rien dire sur les ressources hardware nécessaires ! Marre !

        Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

        1 Reply Last reply Reply Quote 0
        • C
          chris4916
          last edited by

          Je vais justement répondre sur ce fil afin de ne pas polluer celui-ci  ;)

          Jah Olela Wembo: Les mots se muent en maux quand ils indisposent, agressent ou blessent.

          1 Reply Last reply Reply Quote 0
          • L
            Lolight
            last edited by

            Hello,
            Pour le DNS si tu débute, je te conseille de t'installer un petit debian que tu place dans le LAN de ton pfSense sur lequel tu installe un Bind9, ça sera surement plus documenté sur debian que FreeBSD (OS pfsense) (Debian a la même base que ubuntu, au cas ou :D)

            Le SSH est dispo de base sur pfSense tu peux l'activer/Désactiver facilement.

            Pour le VPN tu as le choix OpenVPN et IPSEC, tu as de quoi t'amuser un peut de se côté la, c'est intégré au pfsense donc pas besoins d'installer un package ou autre.

            Pour l'aspect firewall / Routeur j'ai envie de dire le FW c'est le service de base de pfSense et ce pourquoi il a été fait si je ne m'abuse et routeur, forcément vu que le flux passe a travers lui si il est autorisé.
            Tu peux lui ajouter des interface a volonté tant que tu as des carte réseau dispo donc plsieur réseau avec des filtrage propre a chacun.

            Pour le proxy je vais pas trop m'avancer si non je vais me faire taper sur les doigts, mais si je devais résumé le fil sur lequel il a un débat je dirais pour une installation home made ou simplement découvrir ces outils tu peux y aller, si non le sujet mérite d'être étudié.
            Je t'invite quand même a aller lire le fil de discussion qui explique plus en détail le pourquoi du comment, je reste très vague a ce niveau car je pense qu'il faut se forger son propre avis en fonction de se que l'on veut faire.

            Après tu peux toujours le mettre en place sur un débian aussi a côté de ton Bind9 (DNS), je crois que j'avais mis en place un HAProxy en cours et mon professeur en disais beaucoup de bien.

            Si tu te lance sur tout ces projets que tu ne connais pas, tu devrais apprendre beaucoup ;)
            Bon courage

            1 Reply Last reply Reply Quote 0
            • C
              christophefrotignan
              last edited by

              Bonsoir Lolight,

              Mon projet est autant à but pédagogique que  pour optimiser mon réseau familiale, qui comme tu l'as vu est tout de même conséquent sans parler des projets en cours.

              Effectivement il vaut mieux ne pas faire tourner un proxy sur un firewall, cependant je ne souhaite pas ajouter un serveur physique de plus à notre réseau…. La conso électrique actuelle est elle aussi conséquente.....

              Je vais donc opter, dans un premier temps pour un serveur physique de plus avec tous les services sus-nommés dessus.

              Cependant, pour la partie routeur je suis ennuyé de savoir que les protocoles de routage BGP ou OSPF ne soient pas supporté par pfsense.

              Y a t il un moyen pour les installer ?

              1 Reply Last reply Reply Quote 0
              • C
                chris4916
                last edited by

                Si tu pars avec pfSense, il est effectivement préférable de ne pas utiliser de package. Ce qui fonctionne aujourd'hui pourrait ne pas fonctionner demain.
                Et donc le proxy sur une autre machine, c'est bien  ;)

                Pour ce qui est du non support de BGP et OSPF, c'est pareil. L'un ou l'autre sont disponibles via des packages  :-\

                Mais le point qui me titille est: "as-tu vraiment besoin de protocole de routage dans le cadre d'un réseau familial ?"

                Je gère une configuration probablement assez proche de la tienne sur mon réseau familial, avec pfSense, des serveurs d'infra pour les autres services (DNS, DHCP, VPN, Samba, mail, syslog), plusieurs NAS, également des edge routers (pfSense n'a pas d'IP publique), quelques wifi…. une usine à gaz qui n'a rien de familial au final  ;D ;D ;D et je n'ai pas le moindre besoin de protocole de routage spécifique:

                • BGP n'aurait pas de sens (tout est localement dans la RFC1918
                • OSPF ne me sert à rien car il y a peu de changements dans ma topologie et celle-ci est malgré tout simple en terme de réseau .

                Si c'est de jouer avec ces protocoles dans un but didacticiel, une maquette est certainement préférable à une implémentation "at home" qui ne serait probablement pas représentative.

                Je suis assez curieux sur le coup  ;)

                Jah Olela Wembo: Les mots se muent en maux quand ils indisposent, agressent ou blessent.

                1 Reply Last reply Reply Quote 0
                • C
                  christophefrotignan
                  last edited by

                  Bonjour Chris,

                  Oui tu as raison pour les protocoles de routage.

                  En revanche, mon soucis étant de maitriser ma conso électrique, je m'orienterais vers une seule machine.

                  Peux tu m'en dire un peu plus sur l' architecture et l'organisation de ton réseau familiale ?  Combien machines, serveurs physiques, combien serveurs virtuels …..

                  merci

                  1 Reply Last reply Reply Quote 0
                  • C
                    chris4916
                    last edited by

                    Je ne suis pas certain que mon infrastructure familiale doive être prise en exemple car du point de vue consommation électrique, on peut faire beaucoup mieux  :-[ :

                    • mon FW (pfSense) est une [i]énorme machine à base de N2930 (excellent Celeron 4 cores) avec une carte d'extension 4 LAN Intel. C'est clairement trop gros mais extrêmement confortable. reboot très rapide grâce au disque mSATA. pfSense s'appuie sur FreeBSD, ce qui limite un peu le choix hardware. En ciblant une autre plate-forme, la carte banana pi BPI-R1 Open-source smart router est un excellent candidat "green" (à condition bien sûr de ne faire que du routage + FW, ce que je fais  :)  OpenWRT par exemple  ;)
                    • j'ai, sur une DMZ, une machine de services d'infrastructure (encore un Celeron 1073U) pour faire tourner DNS, DHCP, MTA, Samba, poxy HTTP, et donc un anti-virus, web server, un peu, rarement, de VPN). Les 6 GB de mémoire sont largement suffisants.
                    • 3 NAS : un petit ReadyNAS (Netgear) pour faire du backup et 2 Microserver HP N40L avec plusieurs To de disque servis par OpenMediaVault (que je recommande vraiment). Principalement du CIFS, un peu de NFS et iSCSI à des fins de test.
                    • enfin, une machine "back-end" basée sur un vieux VIA C7-D recyclé, fait office de RSYSLOG pour toutes les machines.

                    Pas de virtualisation sur ces machines. Lorsque je veux faire des tests, ce n'est pas sur les machines de prod  ;)  J'utilise pour ça un quelques PC dormants, éventuellement avec des VM (Virtualbox) une ribambelle de Raspberry PI (le 2 est  :o) et un Banana Pi (surprenant également)

                    C'est assez simple finalement, avec beaucoup de clients si on considère que c'est un usage familial car il y a beaucoup de machines clientes connectées, entre les consoles de jeu, les PC des uns et des autres, les différents tuner TV.
                    Le choix de la virtualisation :

                    C'est une question intéressante mais qui peut donner lieu à de long débats tant les avis peuvent diverger.
                    En entreprise, c'est indéniablement une bonne solution mais qui reste malgré tout potentiellement complexe. Il s'agit de bien définir ce qu'on souhaite couvrir avec ces fonctionnalités.
                    En usage domestique ou pour des PME/SOHO, je suis beaucoup plus réticent car je ne comprends pas la logique.

                    Tout mettre sur une seule machine physique avec plusieurs VM, c'est prendre le risque de voir tous les services s'arrêter d'un seul coup si le hardware a une panne. Du coup, il faut au moins 2 machines physiques capables de supporter (même si une dégradation de performance est acceptable le plus souvent dans ces environnements) l'ensemble de l'infra. Ceci inclus également les aspects data. Donc soit un SAN ou NAS (qui doit être lui même sécurisé, donc redondant, ce qui n'est jamais très simple en terme de stockage) ou des techniques type DRDB. Bref ce n'est jamais très simple et la complexité induite par la solution technique est souvent dans ces environnements, plus un risque supplémentaire, à mon sens, qu'une vraie valeur ajoutée.
                    Virtualiser, c'est ajouter une couche supplémentaire, et donc un niveau de complexité. Qui opère la plate-forme ? Lorsque je suis en déplacement par exemple…

                    L'approche pfSense avec CARP est ici une bonne solution (car relativement simple) si on accepte de regrouper sur pfSense une grande partie des services d'infra. Malheureusement, beaucoup de ces services sont des packages, donc potentiellement instables. Il faut vraiment qualifier dans le détail sa configuration et surtout ne jamais en changer, ni faire d'upgrade  :-\

                    Jah Olela Wembo: Les mots se muent en maux quand ils indisposent, agressent ou blessent.

                    1 Reply Last reply Reply Quote 0
                    • L
                      Lolight
                      last edited by

                      Je ne peux qu'appuyer l'utilisation de RPI surtout le nouveau model B+ qui en a sous la pédale et qui consomme pas.
                      4 ports USB :D 1 port HDMI et un port Rj45.

                      La virtualisation niveau 1 peut être une solution aussi mais faut une machine qui a un minimum de patate pour gérer le nombre de VM que tu veut installer

                      1 Reply Last reply Reply Quote 0
                      • C
                        christophefrotignan
                        last edited by

                        bonsoir,

                        merci pour vos éclaircissements.

                        Aux vus de vos informations je vais m'accorder un délai de réflexion supplémentaire pour murir mon projet.

                        1 Reply Last reply Reply Quote 0
                        • First post
                          Last post
                        Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.