Pfsense dans un hotel

latitude

@Ahmed_F:

Ah ben je vois que latitude a bien résumé le besoin!! en incluant même un autre service qui sera mis en place mais pas pour tout de suite : la téléphonie, pour ma part ce sera freepbx.

Concernant, le hardware, c'est bien ce que je pensais faire, un bon gros serveur avec des VM….Proxy, freepbx (et peut être pfsense, j'hésites encore à acheter le boitier)
Pour le https, je pensais mettre mitmproxy! A mon avis ça fera l'affaire.

@latitude : tu sauras me dire la capacité disque stp pour les logs pendant un an?

Merci

alors, pour la place, je ne sais pas trop, en faite je ne me suis pas posé la question dans le sens où comme je fonctionne avec des vm, j'ai tendance à "charger" pour ne pas avoir à surveiller ces aspect là…surtout que sur le prolian tu peut mettre 8 disques, (j'ai 2 datastore de 1 TO en Raid 0, donc me reste encore 4 emplacements de libre).

mon serveur squid est une vm de 70go sous ubuntu 12.04LTS, dessus j'ai le serveur squid (1 an de log), un petit serveur web (intranet), et j'ai 14% d'occupation (system compris)

je peut pas aider pour la gestion du https par le portail captif, j'ai vraiment pas étudié la question, surtout que j'ai tendance à ne jamais trop toucher un truc qui marche bien ! (dernier reboot du serveur, donc de pfsense, il y a 247 jours à cause d'un coup de tracto-pelle sur un cable edf !)

attention pour la voip (elastix c'est du freepbx au faite), faire attention à la voie montant (l'idéal étant du xdsl symétrique) et l'autre truc, c'est que si tu perd la connexion adsl, tu perd le téléphone, (une coupure internet de 2h dans un hôtel c'est pas la mort, mais 2 h sans tél, c'est pas glop pour le boulot $$$)
pour cà que quant tu passe en voip, il faut pas hésiter sur les redondances (serveur, connex internet, alim électrique et garder une ligne analogique en dernier recours pour recevoir les appels si ton pbx est injoignable, c'est des redirection qui se réglent au niveau du fournisseur du trunk)

je radote, mais l'important c'est faire simple et solide, et éviter de faire des truc "pour se faire plaisir",  parce que quant tu va te faire dans les 6000 clients différents par an sur ton réseau, crois moi tu n'aura pas envie de te transformer en formateur pour tête à baffe !

pour le boitier, j'ai commencé avec un boitier alix avant de passer sur ma solution prolian, c'était pas mal au début, mais avec la monté en volume des co sur le réseau, je me suis retrouvé limité par le hard (en gros quant j'avais une vingtaine de personnes de co, régulièrement, le système s'écroulait et  je devais le rebooter)
en passant sur le prolian, j'ai pu le chager en ressources et depuis plus aucun prob

chris4916

La question que je (me) posais était relative à la difficulté potentielle de faire cohabiter un portail captif et un proxy en mode explicite telle qu'on la discute par ailleurs dans ce fil qui est au final proche tu tiens en terme de besoin.

Avec un proxy transparent, il n'y a pas d’authentification utilisateur, le portail intercepte la requête et génère les règles FW après authentification. Mais l'emplacement du proxy transparent en dehors de pfSense… ce n'est pas simple.

D'où ma question @latitude  ;)

MITM... c'est un autre débat. Je n'en vois pas l'intérêt sauf à vouloir faire tourner un antivirus y compris pour le contenu du flux encrypté mais si tu sais expliquer la valeur ajoutée, tu es le bienvenu  ;)
Oui, c'est un moyen de faire passer le flux HTTPS par le proxy en mode transparent  ;D  est-ce le but de ce choix ?

latitude

–-- edit --- séparation de la réponse en 2 pour suivre la chronologie

oups, j'avais pas vu le message entre temps, je ne sais pas si les question sont pour moi, mais je vais essayer de répondre quant même
alors, bien entendu je me rends compte des limites de mon installations, (et ces limites viennent de mes propres lacune technique)
j'ai mis un squid après le portail captif, ne pas oublier que les réseau sont physiquement séparé,  le "flux" sur la pate Lan où sont les bornes wifi est (de mémoire):

borne wifi------portail captif (lan wifi) -----règle du firwall pour envoyer tout le flux venant de la pate "wifi" vers le serveur squid(donc après l'authentification par voucher)-----serveur squid transparent --  retours vers pfsense (avec régle qui authorise le flux venant du server squid à sortir)---internet
voilà, c'est de mémoire, j'espère ne pas m'être mélangé  les pinceaux
en tout cas, j'ai bien mes logs sur le serveur squid

en réalité, vu que les logs sont juste une question réglementaire et que je ne les exploite jamais, le flux https....commetn dire....j'en m'en c.....un peu  ;D
par contre j'ai ce soucis d'accès au portail captif quant les utilisateurs (surtout avec les laptop, pas de soucis avec les téléphones qui eux ouvrent direct la page de login du portail captif) on comme page par défaut de leur navigateur une page en https (google par exemple), je leur dit juste d'enlever le "s" et là çà marche

bien entendu, il s'agit pour moi d'une solution qui est un compromis entre la simplicité, la stabilité et le respect d'un minimum de la réglementation et du niveau de mes compétences, il y a probablement mieux

Ahmed_F

Au fait @chris4916, il faut que j'arrive à avoir les logs même en https, du coup je t'avoue que je ne vois pas d'autre solution….
Personnellement j'ai utilisé une fois mitm sur Kali pour faire des test de sécurtié sinon implémenter mitmproxy je l'ai jamais fait....
Après si tu me dit qu'on mettant proxy sur pfsense ça fera l'affaire alors oui je suis pour en espérant que le pfsense puisse rester stable...!
@latitude : au fait je ne me suis pas du tout encore penché sur la question de la voip! je sais que elastix c'est du freepbx mais je pense qu'un freepbx simple fera l'affaire..à moins que tu puisse me donner la différence, sur google j'ai vu qu'elastix a du mal à évoluer...a voir..

chris4916

ce que je dis, c'est juste que pour collecter les logs HTTPS, il n'y a que 2 solutions:

• proxy transparent + MITM
• proxy explicite

c'est tout  8)

MITM est de mon point de vue une solution…  :o qui revient à casser le principe de HTTPS  ::)

EDIT: (pour compléter ma réponse)
la discussion n'est pas, à ce stade "faut-il faire tourner le proxy SUR pfSense ?"
La réponse est probablement non sauf que si tu veux un proxy transparent, il faut, en série:
un portail captif => un proxy transparent => un accès internet sécurisé, pas nécessairement que pour le flux HTTP(S)

Dans ces conditions, te faut-il un deuxième FW en série ?

latitude

@Ahmed_F:

Au fait @chris4916, il faut que j'arrive à avoir les logs même en https, du coup je t'avoue que je ne vois pas d'autre solution….
Personnellement j'ai utilisé une fois mitm sur Kali pour faire des test de sécurtié sinon implémenter mitmproxy je l'ai jamais fait....
Après si tu me dit qu'on mettant proxy sur pfsense ça fera l'affaire alors oui je suis pour en espérant que le pfsense puisse rester stable...!
@latitude : au fait je ne me suis pas du tout encore penché sur la question de la voip! je sais que elastix c'est du freepbx mais je pense qu'un freepbx simple fera l'affaire..à moins que tu puisse me donner la différence, sur google j'ai vu qu'elastix a du mal à évoluer...a voir..

j'ai eu des petit soucis de config sur les dernière version de freepbx avec ovh (freepbx/elastix/xivo..c'est des surcouche à asterisk en faite)
(mais pas avec ippi par exemple)
donc j'ai préféré rester sur elastix, de toute façons ,en prod je préfère un truc un peu ancien qui marche sans erreurs..surtout en voip, je veux pas prendre de risques
après sur elastix tu as quelques add on intéressants (roomX, notamment pour la gestion des reveils)
pense à qui va utiliser l'interface, si c'est la stagiaire à la réception, tu n'aura peut être pas envie qu'elle puisse tripatouiller dans le config de ton asterisk
(donc moi j'ai mis un user réception qui n'à accès qu'à la gestion des réveils sous roomx avec une interface graphique simple et conviviale)

je suis passé d'une solution numeris avec 2 T0 à une soluce voip trunk ovh 2 voies (illimités fixe et mobiles) …économie environs 100e/mois et en plus une gestion plus fine des dialplan (interdiction des 08, etc...)

chris4916

les schémas de ma description précédente.

• le proxy transparent doit être la gateway par défaut de la machine qui héberge le portail captif. Donc c'est une machine "traversée" par tous les flux réseau (même si elle n'a qu'une interface  ;))
• le proxy explicite se situe après le portail captif mais comme il est explicite, il ne voit que les flux HTTP et HTTPS

Ahmed_F

@Chris, et quelle est la config la plus adaptée selon toi pour un hôtel d'environ 70 logement on va dire? parce que dans les posts plus haut vous m'avez conseillé d'avoir un proxy sur une autre machines pour des questions de performances.

chris4916

@Ahmed_F:

@Chris, et quelle est la config la plus adaptée selon toi pour un hôtel d'environ 70 logement on va dire? parce que dans les posts plus haut vous m'avez conseillé d'avoir un proxy sur une autre machines pour des questions de performances.

je maintiens ce point de vue  ;)  une machine dédiée va te permettre de la dimensionner en fonction de la charge et surtout de ne pas impacter la performance de ton pare-feu en cas de surcharge du proxy. Sans parler des problématiques autour de l'administration, externalisation et rotation des logs etc…

Ceci dit, je ne comprends pas bien ta question : la config la plus adaptée, en terme de sizing hardware ?

Pour 70 utilisateurs, l'aspect CPU n'est pas très critique. l'équivalent d'un i5 sera très largement suffisant.
Il faut par contre faire attention à la consommation mémoire qui va être liée à la taille du cache et également aux I/O disque.
C'est une bonne idée de configurer cette machine avec des disques (axes) différents pour le système, les logs et le cache. Selon la manière dont tu administre et gère tes machines, rsyslog peut être la bonne solution pour collecter les logs du proxy.

Ahmed_F

Oui c'était en terme de sizing hardware.
Bon ben merci pour l'info, le squid ne log que les http / https ou je me trompe?