Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    VPN inter-site Pfsense Netgear

    Scheduled Pinned Locked Moved Français
    15 Posts 3 Posters 2.1k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • K
      kiwoody
      last edited by

      Bonjour à tous

      J'ai besoin d' interconnecter notre site principal avec un petit bureau isolé

      Sur le site principal j'ai déjà un pfsense qui tourne et sur le site distant un routeur 4G huawei B593 ( pas IP fixe ) qui serra à terme remplacé par une livebox

      Quel routeur me conseillez vous pour ce bureau ?

      Sachant que ce routeur sera client VPN avec des débits max de 10Mbits/s et que le budget est restreint

      Merci par avance

      1 Reply Last reply Reply Quote 0
      • C
        chris4916
        last edited by

        @kiwoody:

        Quel routeur me conseillez vous pour ce bureau ?
        Sachant que ce routeur sera client VPN avec des débits max de 10Mbits/s et que le budget est restreint

        Ce qui n'est pas clair, c'est le nombre de clients que tu as sur le site distant.
        Si tu as un seul client et que tu n'envisages pas la mise en place d'un FW local, un simple client OpenVPN sur le poste client suffit. Mais dans ce cas, tu ne contrôles que ce que ta LiveBox te permet de contrôler.

        Si tu as plusieurs clients, un équipement permettant d'établir un lien OpenVPN "site-à-site" est probablement une meilleure idée.
        un vieux WRT54GL ou équivalent avec un firmware genre DD-WRT fera ça très bien, y compris avec des fonction de filtrage et contrôle des flux réseau.

        Mais pourquoi ne pas installer un pare-feu avec pfSense pour te faciliter la vie ?

        Jah Olela Wembo: Les mots se muent en maux quand ils indisposent, agressent ou blessent.

        1 Reply Last reply Reply Quote 0
        • K
          kiwoody
          last edited by

          Effectivement j'ai pas précisé le nombre client : max 5

          Je mets pas de pfsense tout simplement parce que je n'ai pas de serveur sur le site en question
          L'idée est d'installer un simple petit routeur a 100 euros que je mettrais derrière le routeur huewai pour offrir l'accès VPN.
          Je veux simplement être sur d'acheter du matériel compatible avec OpenVPN

          1 Reply Last reply Reply Quote 0
          • C
            chris4916
            last edited by

            un WRT54 avec DD-WRT convient mais tu peux également acheter un  Linksys E1200 pour moins de 40€  :) ou, pour de meilleures performances mais 2 fois plus cher, un Netgear WNDR3700.

            DD-WRT te permettra à la fois de définir des règles de filtrage et de mettre un place un client OpenVPN pour faire du site-à-site avec pfSense.

            Jah Olela Wembo: Les mots se muent en maux quand ils indisposent, agressent ou blessent.

            1 Reply Last reply Reply Quote 0
            • K
              kiwoody
              last edited by

              Super, je n'avais pas pensé a DD-WRT, je vais regarder cela

              J'avais suivi ce projet il y a quelque année mais cela m'était sorti de la tête, c'est un super projet DD-WRT, je vais regarder pour acheter un linksys 2500 qui me semblent plus adapté

              1 Reply Last reply Reply Quote 0
              • C
                chris4916
                last edited by

                le E1200 et WRT54G devraient avoir des performances sensiblement identiques avec des CPU entre 200 (*) de 300 MHz, ce qui devrait te permettre un débit autour de 2 Mb/s

                Si ton accès est en ADSL, ce n'est pas du 10 Mb/s symétrique et donc, dans l'absolu, un CPU plus rapide ne te fera pas gagner beaucoup en performance. Mais ces références sont quand même limites. Le critère intéressant étant le prix.

                Comme je te l'ai écrit plus haut, en y mettant un peu plus d'argent, un WNDR3700 est sensiblement plus rapide.
                Et tu trouveras, autour de 100€, des routeurs encore plus rapides. Attention cependant aux caractéristiques (surtout en terme de mémoire) en fonction des packages DD-WRT que tu veux déployer.

                Tout est largement documenté sur le web, que ce soit les comptabilité DD-WRT avec les modèles ou les caractéristiques des routeurs.

                Le vrai problème est que tu ne peux pas gagner sur tous les tableaux:

                • si ton critère est le prix => WRT54G ou E1200
                • si tu veux un niveau de performance correct, il faut y mettre plus d'argent  :P
                • tu ne pourras jamais aller plus vite que la liaison de ton FAI.

                (*) selon les versions

                Jah Olela Wembo: Les mots se muent en maux quand ils indisposent, agressent ou blessent.

                1 Reply Last reply Reply Quote 0
                • K
                  kiwoody
                  last edited by

                  Oui c'est logique, en effet on trouve énormément de doc sur le web. ( 2h que je parcours le site de DD-wrt )

                  Je pense m'orienter vers le linksys 2500

                  Merci beaucoup de ton aide Chris

                  1 Reply Last reply Reply Quote 0
                  • K
                    kiwoody
                    last edited by

                    Pour ceux que ça intéresse, j'ai réussit a installer DD-WRT sur un E2500 V3 via ce sujet http://www.dd-wrt.com/phpBB2/viewtopic.php?t=257957&postdays=0&postorder=asc&highlight=e2500&start=60&sid=51c10894f9819f1b6ce585378b01e4d7

                    Et surtout cette procédure :

                    power on
                    unplug ethernet
                    30-30-30
                    wait 30 sec. more after power light stops flashing
                    plug ethernet
                    log in for flash
                    flash dd-wrt.v24-23569_NEWD-2_K2.6_mini-e2500V3.bin
                    wait 60 sec.
                    check web gui while waiting 60
                    unplug ethernet
                    30-30-30
                    wait 30 sec. more
                    plug ethernet
                    log in for flash
                    check wifi SSID broadcast with android wifi analyzer (NO SSID FROM ROUTER but all settings appear correct under basic and advanced wifi)
                    flash dd-wrt.v24-26947_NEWD-2_K3.x_mega-e2500.bin (choose to reset to default settings after flash)
                    watch countdown timer on gui. power lights flash about 7 sets of 3 flashes then router resets.
                    power light flashes and router resets again.
                    wifi appears shortly after on wifi analyzer. no more power light flash.
                    wait for gui to appear
                    wait 30 sec more.
                    unplug ethernet
                    30-30-30
                    waited 30 more sec.
                    but power led flashed twice at 30
                    wait another 30 sec.
                    check wifi SSID broadcast
                    plug ethernet
                    check gui
                    changed password and logged in and all appears good!

                    1 Reply Last reply Reply Quote 0
                    • C
                      chris4916
                      last edited by

                      Ton retour en terme de performance pour 5 utilisateurs derrière un accès ADSL sera intéressant  ;)
                      Surtout si tu arrives à dissocier la partie montante et descendante des flux.

                      Jah Olela Wembo: Les mots se muent en maux quand ils indisposent, agressent ou blessent.

                      1 Reply Last reply Reply Quote 0
                      • B
                        baalserv
                        last edited by

                        Bonjour,

                        Un Vpn c'est bien, c'est à la mode ; savoir qu'il sera utilisé par 5 postes client est un début MAIS savoir à quoi il va servir c'est encore mieu ! Surtout pour savoir de quelle bande passante on aurra besoin  :o

                        Il est facile de saturer un SDSL 8mo avec 1 seul user, à contrario j'ai des sites ou ~10 personnes travailles au travers d'un Vpn utilisant un ADSL basic avec seulement 500 ko d'upload.

                        => Analyse des besoins AVANT de choisir une solution technique !

                        Cdt

                        @Chris4916

                        @chris4916:

                        Ton retour en terme de performance pour 5 utilisateurs derrière un accès ADSL sera intéressant  ;)
                        Surtout si tu arrives à dissocier la partie montante et descendante des flux.

                        Le retour sur les perf dépend plus de ce que l'on fait transiter ou de comment on se sert du Vpn  que du nombres d'utilisateurs  ;)

                        Si la connerie humaine fournissait de l'énergie, la Terre serait sauvée …

                        1 Reply Last reply Reply Quote 0
                        • K
                          kiwoody
                          last edited by

                          @chris4916:

                          Ton retour en terme de performance pour 5 utilisateurs derrière un accès ADSL sera intéressant  ;)
                          Surtout si tu arrives à dissocier la partie montante et descendante des flux.

                          Pour le moment la ligne support serra un accès 4G Orange pro avec des débits fluctuant beaucoup. Mais je ferrais un test charge cpu / débits sur de l'échange SMB ça donnera un ordre d'idée

                          1 Reply Last reply Reply Quote 0
                          • C
                            chris4916
                            last edited by

                            @baalserv:

                            Le retour sur les perf dépend plus de ce que l'on fait transiter ou de comment on se sert du Vpn  que du nombres d'utilisateurs  ;)

                            C'est bien évident. De même qu'il y a des utilisateurs très satisfaits de leur accès ADSL à 2Mb/s
                            ça dépend de l'usage de chacun.

                            Ceci étant, un retour un minimum commenté (entre autres sur l'usage qui est fait de la liaison) reste intéressant, du moins de mon point de vue  ;)

                            Si tu as bien suivi le débat (ce dont je ne doute pas), la vraie question n'est pas ici la saturation de la ligne mais la capacité d'un CPU à 300 MHz à supporter les connexions VPN de 5 utilisateurs.
                            A mon avis, le bottleneck est la capacité montante de la ligne puisque nous sommes en ADSL et c'est le retour qui m'intéresse.

                            Jah Olela Wembo: Les mots se muent en maux quand ils indisposent, agressent ou blessent.

                            1 Reply Last reply Reply Quote 0
                            • K
                              kiwoody
                              last edited by

                              Pour le moment je galère a configurer le VPN sur DD-WRT :

                              https://forum.pfsense.org/index.php?topic=102955.0

                              1 Reply Last reply Reply Quote 0
                              • K
                                kiwoody
                                last edited by

                                Petit retour :

                                Actuellement je n'ai qu'une connexion a 2Mbits/s mais ce routeur est amplement suffisant, lors d'un transfert SMB le routeur consomme 20/25% de CPU (pour rappel c'est un CPU de 300Mhz )

                                1 Reply Last reply Reply Quote 0
                                • C
                                  chris4916
                                  last edited by

                                  Merci pour le retour.  ;)

                                  Petit commentaire à propos de la performance et de sa mesure:

                                  il faut prêter attention au protocole utilisé lorsque tu mesures le débit.
                                  SMB (CIFS) est un protocole bavard prévu pour fonctionner sur du LAN et son débit chute sensiblement sur le WAN ou dès que la latence augmente (raison pour laquelle il existe des équipements "accélérateurs" qui simulent un "ACK" local).
                                  Pour avoir une bonne idée du débit, il est préférable d'utiliser des protocoles style FTP (bien que ce ne soit ensuite pas le meilleur choix en prod) ou HTTP.

                                  Jah Olela Wembo: Les mots se muent en maux quand ils indisposent, agressent ou blessent.

                                  1 Reply Last reply Reply Quote 0
                                  • First post
                                    Last post
                                  Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.