VPN inter-site Pfsense Netgear



  • Bonjour à tous

    J'ai besoin d' interconnecter notre site principal avec un petit bureau isolé

    Sur le site principal j'ai déjà un pfsense qui tourne et sur le site distant un routeur 4G huawei B593 ( pas IP fixe ) qui serra à terme remplacé par une livebox

    Quel routeur me conseillez vous pour ce bureau ?

    Sachant que ce routeur sera client VPN avec des débits max de 10Mbits/s et que le budget est restreint

    Merci par avance



  • @kiwoody:

    Quel routeur me conseillez vous pour ce bureau ?
    Sachant que ce routeur sera client VPN avec des débits max de 10Mbits/s et que le budget est restreint

    Ce qui n'est pas clair, c'est le nombre de clients que tu as sur le site distant.
    Si tu as un seul client et que tu n'envisages pas la mise en place d'un FW local, un simple client OpenVPN sur le poste client suffit. Mais dans ce cas, tu ne contrôles que ce que ta LiveBox te permet de contrôler.

    Si tu as plusieurs clients, un équipement permettant d'établir un lien OpenVPN "site-à-site" est probablement une meilleure idée.
    un vieux WRT54GL ou équivalent avec un firmware genre DD-WRT fera ça très bien, y compris avec des fonction de filtrage et contrôle des flux réseau.

    Mais pourquoi ne pas installer un pare-feu avec pfSense pour te faciliter la vie ?



  • Effectivement j'ai pas précisé le nombre client : max 5

    Je mets pas de pfsense tout simplement parce que je n'ai pas de serveur sur le site en question
    L'idée est d'installer un simple petit routeur a 100 euros que je mettrais derrière le routeur huewai pour offrir l'accès VPN.
    Je veux simplement être sur d'acheter du matériel compatible avec OpenVPN



  • un WRT54 avec DD-WRT convient mais tu peux également acheter un  Linksys E1200 pour moins de 40€  :) ou, pour de meilleures performances mais 2 fois plus cher, un Netgear WNDR3700.

    DD-WRT te permettra à la fois de définir des règles de filtrage et de mettre un place un client OpenVPN pour faire du site-à-site avec pfSense.



  • Super, je n'avais pas pensé a DD-WRT, je vais regarder cela

    J'avais suivi ce projet il y a quelque année mais cela m'était sorti de la tête, c'est un super projet DD-WRT, je vais regarder pour acheter un linksys 2500 qui me semblent plus adapté



  • le E1200 et WRT54G devraient avoir des performances sensiblement identiques avec des CPU entre 200 (*) de 300 MHz, ce qui devrait te permettre un débit autour de 2 Mb/s

    Si ton accès est en ADSL, ce n'est pas du 10 Mb/s symétrique et donc, dans l'absolu, un CPU plus rapide ne te fera pas gagner beaucoup en performance. Mais ces références sont quand même limites. Le critère intéressant étant le prix.

    Comme je te l'ai écrit plus haut, en y mettant un peu plus d'argent, un WNDR3700 est sensiblement plus rapide.
    Et tu trouveras, autour de 100€, des routeurs encore plus rapides. Attention cependant aux caractéristiques (surtout en terme de mémoire) en fonction des packages DD-WRT que tu veux déployer.

    Tout est largement documenté sur le web, que ce soit les comptabilité DD-WRT avec les modèles ou les caractéristiques des routeurs.

    Le vrai problème est que tu ne peux pas gagner sur tous les tableaux:

    • si ton critère est le prix => WRT54G ou E1200
    • si tu veux un niveau de performance correct, il faut y mettre plus d'argent  :P
    • tu ne pourras jamais aller plus vite que la liaison de ton FAI.

    (*) selon les versions



  • Oui c'est logique, en effet on trouve énormément de doc sur le web. ( 2h que je parcours le site de DD-wrt )

    Je pense m'orienter vers le linksys 2500

    Merci beaucoup de ton aide Chris



  • Pour ceux que ça intéresse, j'ai réussit a installer DD-WRT sur un E2500 V3 via ce sujet http://www.dd-wrt.com/phpBB2/viewtopic.php?t=257957&postdays=0&postorder=asc&highlight=e2500&start=60&sid=51c10894f9819f1b6ce585378b01e4d7

    Et surtout cette procédure :

    power on
    unplug ethernet
    30-30-30
    wait 30 sec. more after power light stops flashing
    plug ethernet
    log in for flash
    flash dd-wrt.v24-23569_NEWD-2_K2.6_mini-e2500V3.bin
    wait 60 sec.
    check web gui while waiting 60
    unplug ethernet
    30-30-30
    wait 30 sec. more
    plug ethernet
    log in for flash
    check wifi SSID broadcast with android wifi analyzer (NO SSID FROM ROUTER but all settings appear correct under basic and advanced wifi)
    flash dd-wrt.v24-26947_NEWD-2_K3.x_mega-e2500.bin (choose to reset to default settings after flash)
    watch countdown timer on gui. power lights flash about 7 sets of 3 flashes then router resets.
    power light flashes and router resets again.
    wifi appears shortly after on wifi analyzer. no more power light flash.
    wait for gui to appear
    wait 30 sec more.
    unplug ethernet
    30-30-30
    waited 30 more sec.
    but power led flashed twice at 30
    wait another 30 sec.
    check wifi SSID broadcast
    plug ethernet
    check gui
    changed password and logged in and all appears good!



  • Ton retour en terme de performance pour 5 utilisateurs derrière un accès ADSL sera intéressant  ;)
    Surtout si tu arrives à dissocier la partie montante et descendante des flux.



  • Bonjour,

    Un Vpn c'est bien, c'est à la mode ; savoir qu'il sera utilisé par 5 postes client est un début MAIS savoir à quoi il va servir c'est encore mieu ! Surtout pour savoir de quelle bande passante on aurra besoin  :o

    Il est facile de saturer un SDSL 8mo avec 1 seul user, à contrario j'ai des sites ou ~10 personnes travailles au travers d'un Vpn utilisant un ADSL basic avec seulement 500 ko d'upload.

    => Analyse des besoins AVANT de choisir une solution technique !

    Cdt

    @Chris4916

    @chris4916:

    Ton retour en terme de performance pour 5 utilisateurs derrière un accès ADSL sera intéressant  ;)
    Surtout si tu arrives à dissocier la partie montante et descendante des flux.

    Le retour sur les perf dépend plus de ce que l'on fait transiter ou de comment on se sert du Vpn  que du nombres d'utilisateurs  ;)



  • @chris4916:

    Ton retour en terme de performance pour 5 utilisateurs derrière un accès ADSL sera intéressant  ;)
    Surtout si tu arrives à dissocier la partie montante et descendante des flux.

    Pour le moment la ligne support serra un accès 4G Orange pro avec des débits fluctuant beaucoup. Mais je ferrais un test charge cpu / débits sur de l'échange SMB ça donnera un ordre d'idée



  • @baalserv:

    Le retour sur les perf dépend plus de ce que l'on fait transiter ou de comment on se sert du Vpn  que du nombres d'utilisateurs  ;)

    C'est bien évident. De même qu'il y a des utilisateurs très satisfaits de leur accès ADSL à 2Mb/s
    ça dépend de l'usage de chacun.

    Ceci étant, un retour un minimum commenté (entre autres sur l'usage qui est fait de la liaison) reste intéressant, du moins de mon point de vue  ;)

    Si tu as bien suivi le débat (ce dont je ne doute pas), la vraie question n'est pas ici la saturation de la ligne mais la capacité d'un CPU à 300 MHz à supporter les connexions VPN de 5 utilisateurs.
    A mon avis, le bottleneck est la capacité montante de la ligne puisque nous sommes en ADSL et c'est le retour qui m'intéresse.



  • Pour le moment je galère a configurer le VPN sur DD-WRT :

    https://forum.pfsense.org/index.php?topic=102955.0



  • Petit retour :

    Actuellement je n'ai qu'une connexion a 2Mbits/s mais ce routeur est amplement suffisant, lors d'un transfert SMB le routeur consomme 20/25% de CPU (pour rappel c'est un CPU de 300Mhz )



  • Merci pour le retour.  ;)

    Petit commentaire à propos de la performance et de sa mesure:

    il faut prêter attention au protocole utilisé lorsque tu mesures le débit.
    SMB (CIFS) est un protocole bavard prévu pour fonctionner sur du LAN et son débit chute sensiblement sur le WAN ou dès que la latence augmente (raison pour laquelle il existe des équipements "accélérateurs" qui simulent un "ACK" local).
    Pour avoir une bonne idée du débit, il est préférable d'utiliser des protocoles style FTP (bien que ce ne soit ensuite pas le meilleur choix en prod) ou HTTP.


Log in to reply