PFSense chez Orange en gardant la téléphonie



  • Salut à tous,

    Après lecture de nombreux postes sur comment remplacer sa Livebox par un routeur PFSense, je me rend compte que l'inconnue de l'histoire reste toujours le téléphone. Limitation dû a Orange ne voulant pas pas que des client aient accès aux information de connexion, il faudra faire avec.

    J'aimerai pour ma part garder cette fonctionnalité. J'ai lu un article où le routeur PFSense était connecté directement à l'ONT, mais en bridgeant les VLAN qui vont bien, mais cette configuration était fait avec une routeur Ubiquity :
    http://www.homelabs.fr/solutions/routeur-livebox/

    On aurait donc :

    (Fibre) <–> ONT <--> pfSense <--> Livebox -> Téléphone / TV

    Je voulais savoir si cette configuration était plausible sur pfSense ou pas ? Car il nécessite une modification du serveur pppoe d'origine.



  • D'un point de vue faisabilité technique, j'ignore si cette configuration est plausible. Néanmoins, si la réponse est positive, l'architecture qui en résulte ne me parait pas de nature à garantir une situation maitrisée et satisfaisante d'un point de vue sécurité. Sans développer (je n'ai pas beaucoup de temps en ce moment) :
    1. Un équipement (Livebox) complètement non maitrisé est situé derrière le firewall.
    2. Des dizaines de personnes (des centaines ?) possède un accès root sur cette Livebox (comment croyez vous que fonctionne l'assistance ? ) qui se trouve à l’intérieur de votre réseau.
    3. Des flux vous sont imposés pour garantir le fonctionnement des services de la Livebox.
    4. Dans les bonnes pratiques sécurité réseaux, on privilégie la séparation des flux voix et data pour des raisons faciles à comprendre.

    En clair je ne vois aucun intérêt à cette configuration, d'un point de vue sécurité. Je ne vois pas comment mille feuilles d'élément maitrisés et non maitrisé pourrait être qualifié de sûr.



  • @ccnet:

    1. Un équipement (Livebox) complètement non maitrisé est situé derrière le firewall.
    2. Des dizaines de personnes (des centaines ?) possède un accès root sur cette Livebox (comment croyez vous que fonctionne l'assistance ? ) qui se trouve à l’intérieur de votre réseau.

    +1  c'est sûr que la pile "internet => FW => Livebox => LAN" n'est pas la plus intéressante d'un point de vue sécurité

    4. Dans les bonnes pratiques sécurité réseaux, on privilégie la séparation des flux voix et data pour des raisons faciles à comprendre.

    Par contre je veux bien que tu expliques un peu parce que j'ai du mal à comprendre en quoi la cohabitation de ces flux, si les règles sont bien construites, génère des risques en terme de sécurité.

    Le montage "internet => Livebox => FW => LAN" ne souffre pas des mêmes inconvénients.

    Dans l'idéal, il faudrait configurer la Livebox en mode bridge (comme le permet par exemple la Freebox) mais dans ce cas, je pense qu'on doit perdre les services SIP  :-
    mais même en mode routeur ça va fonctionner.



  • j'ai du mal à comprendre en quoi la cohabitation de ces flux, si les règles sont bien construites, génère des risques en terme de sécurité.

    La disponibilité fait partie des critères de sécurité(critères DICT). Concentrer sur un seul (ou une seule série) d’équipement tous les services de communication de l'entreprise n'est pas une bonne chose. Un seul être vous manque et tout est dépeuplé comme dit le poète. Ou encore comme dit le DG en pétard : c'est ce bordel, plus rien ne marche.
    J'ai d'autres motifs mais pas le temps d'expliquer.



  • Je suis d'accord avec le point de vue sécurité. L'intérêt d'avoir un pfSense serait d'avoir une meilleure maitrise de la sécurité et surtout d'avoir un routeur plus qualitatif qu'une simple Livebox.

    @chris4916:

    @ccnet:

    1. Un équipement (Livebox) complètement non maitrisé est situé derrière le firewall.
    2. Des dizaines de personnes (des centaines ?) possède un accès root sur cette Livebox (comment croyez vous que fonctionne l'assistance ? ) qui se trouve à l’intérieur de votre réseau.

    +1  c'est sûr que la pile "internet => FW => Livebox => LAN" n'est pas la plus intéressante d'un point de vue sécurité

    Non justement. dans le lien que j'ai mis, c'est justement pfSense qui s'occupe d'internet, mais la livebox reste là uniquement pour la téléphonie.

    (Fibre) <–> ONT <--> pfSense <--> Livebox -> Téléphone / TV
                                        pfSense <--> (LAN)

    Donc dans ce cas seul pfSense serait le point faible et ne dépendrais pas de le Livebox. Le LAN et la Livebox étant sur des interfaces différentes elle ne viendrais pas pourir mon LAN.
    D'un point de vue technique les flux sont dans des VLAN différents dans la fibre : 835 pour internet et 840 pour la téléphonie de mémoire. L'aiguillage serait donc fait dans pfSense, et seul la partie téléphonie serait rerouté sur la Livebox (Apparemment aucun besoin d'avoir accès au VLAN internet pour que la téléphonie fonctionne).



  • Non justement. dans le lien que j'ai mis, c'est justement pfSense qui s'occupe d'internet, mais la livebox reste là uniquement pour la téléphonie.

    (Fibre) <–> ONT <--> pfSense <--> Livebox -> Téléphone / TV
                                        pfSense <--> (LAN)

    Donc dans ce cas seul pfSense serait le point faible et ne dépendrais pas de le Livebox. Le LAN et la Livebox étant sur des interfaces différentes elle ne viendrais pas pourir mon LAN.
    D'un point de vue technique les flux sont dans des VLAN différents dans la fibre : 835 pour internet et 840 pour la téléphonie de mémoire. L'aiguillage serait donc fait dans pfSense, et seul la partie téléphonie serait rerouté sur la Livebox (Apparemment aucun besoin d'avoir accès au VLAN internet pour que la téléphonie fonctionne).

    Vous ne comprenez pas. Vous ne comprenez pas que placer un équipement non maitrisé (Livebox) derrière votre firewall (équipement sous votre contrôle) pose un problème majeur de sécurité. Ceci par ce qu'il existe sur les livebox des accès, des comptes (root) sur lesquels vous n'avez aucun contrôle. Orange (donc beaucoup de monde) a la main sur cet équipement.



  • Oui, une box est bourré de backdoor, pour leur histoire de prise en main a distance / update / ce qu'ils veulent bien faire. C'est bien pour ça que je ne veux pas laisser cette box en tant que porte d'entrée de mon réseau …
    Orange n'ayant pas ouvert son protocole SIP maison, ce que vous dite c'est autant rester avec une Livebox plutôt que de faire quoi que ce soit ?!

    C'est le principe des DMZ. Je sais que cette boite n'es pas sécure donc je construit une zone en dehors de mon réseau (Interface différente, network différents) pour laisser ceci dehors, et ceci sera fait via les VLAN séparés dans la connexion PPPOE : Chaque VLAN aura son interface.
    Sachant que pfSense ne se charge pas de router le traffic mais unqiuement de faire le pont entre externe et interne, la Livebox ne saura jamais que le LAN existe.
    Sécurité donc ?



  • J'abandonne.



  • Avec la box en DMZ, point auquel je n'avais pas fait attention au début du thread, je ne vois pas de gros effets de bord mais pas vraiment d'intérêt non plus à ce montage, sauf si tu supposes que ton FW perso aura un meilleur débit que ta box en mode bridge et que ça représente une limitation.

    Par exemple chez Free, la box en mode router plafonne à 600Mb/s alors qu'elle atteint potentiellement 1 Gb/s (c'est très théorique  ;D) en mode bridge.

    Si la téléphonie fonctionne avec la box en bridge, tu pourrais donc la laisser en frontal de ton FW. Je ne vois pas trop où es le problème où alors je ne comprends pas ton message initial.



  • J'ai oublié de préciser oui, mais la Bouse (pardon) Livebox n'a pas de mode Bridge … Oui il parait qu'en 2016 on es pas capable de faire ce genre de chose.
    Et en plus elle es tellement truffée de bug que le port qui permet l'authentification du VPN L2TP (le 500 en UDP) es considéré comme "port système d'Orange" et donc pas de NAT possible sur ce port là. Donc soit je met mon serveur VPN en DMZ, mais par magie le port n'est plus système puisque le trafique es routé vers celui-ci. Sans compter les reboot environs 1-2 fois par semaine.



  • ok, je comprends maintenant  ;D  merci.

    (je ne suis pas utilisateur des services d'Orange)

    et le lien décrit dans ton message (je n'avais regardé que le schéma) a plus de sens.  8)



  • Salut salut,

    Je confirme qu'avec orange nous ne pouvons pas passer en  mode bridge leur box sur la version V3 quelles soit pro ou grand public sans sortir la carte bleue avec un passage d'un technicien plus ou moins avenant qui écoutera vos demande.

    Je suis personnellement sur une conf en double box (orange/free) je n'ai pas de soucis de redirection vers mes machines ou services en arrière de mon cluster pfsense.
    en résumé que cela soit avec un cluster ou un simple pare feu PF.

    Pour la partie téléphonie orange, je préfère laisser ça devant mon pare feu et surtout pas en deçà de celui ci, je n'ai pas envie de laisser entrer le loup dans la bergerie.
    Pour la partie téléphonie free, il y a quelques tuto sur les vlan gérés et disponible dont le 100 pour la partie tv mais celui de la téléphonie je ne m'en souvient plus.

    Après libre à vous de faire du reverse ingénierie avec un outils d'analyse et écouté réseaux pour connaitre ces derniers derrière votre box orange, je suis persuadé qu'il doit y avoir un ou deux site qui traite du sujet.

    Mais ne faite pas la bêtise de mettre votre box backside votre Pf, cela revient à ne pas avoir de pare feu du tout.

    Cordialement.



  • @Tatave:

    Mais ne faite pas la bêtise de mettre votre box backside votre Pf, cela revient à ne pas avoir de pare feu du tout.

    Nous somme tous d'accord la dessus.
    Ce que se propose de faire Mouftik, c'est un peu plus fin puisqu'il veut mettre la box en DMZ.

    Un truc comme ça

    internet
          +
          |
          |
    +–----+-------+  DMZ      +------------+
    |  pfSense    +------------+ box orange |
    +------+-------+            +------------+
          |
          |
          |      LAN
          +--------------------+

    et pourquoi pas mais , maintenant que je comprends mieux les contraintes de l'exercice, je ne vois toujours pas l'intérêt, hormis quelques petits trucs comme éviter un double NAT.



  • salut salut

    Le schéma est intéressant, sauf qu'avec orange le montage n'est pas réalisable du fait de la spécificité de la LB.

    Il serait plus simple de monter un asterisk et connaitre la numérotation des vlan ainsi que que leur attribution (tv/voip/…)

    Ce n''est qu'en suite vous pourrez paramétrer le pf pour qu'il laisse passer les bonnes info à qui de droit.

    Pensez simple  == réalisez efficace.

    l'autre option serait d’avoir une deuxième ligne qui ne servira qu'a la téléphonie et au cas ou ligne de secours web sur le principe du fail over, mais dans les deux solutions les box sont en front du pare-feu.

    Cordialement.



  • Cette dernière option est le bon sens même.



  • @Tatave:

    l'autre option serait d’avoir une deuxième ligne qui ne servira qu'a la téléphonie et au cas ou ligne de secours web sur le principe du fail over, mais dans les deux solutions les box sont en front du pare-feu.

    Ce qui serait vraiment intéressant, dans le cadre du fil ouvert par Mouftik, c'est que tu (ou ccnet qui partage ton point de vue, à l'évidence), commentes en quoi la box en DMZ  présente des problèmes ?

    La ligne supplémentaire pour faire du failover, pourquoi pas mais c'est uniquement une notion de haute disponibilité qui, en ce qui concerne la téléphone, à perdu de sa criticité du fait que tout le monde ou presque dispose d'un smartphone ou un mobile.

    Et en dehors de cette aspect "HA", je ne vois pas vraiment de soucis à ce type de montage, ni vraiment d'avantage à part le double NAT je dois dire.



  • salut salut

    C'est pas parce que vous avez une grosse berline qui est capable de passer la barre de 200km/h que vous allez rouler comme cela en ville ?
    Le code de la route en franque et en Europe c'est un code de bonne conduite qui par après devenu une obligation de connaitre et maitriser pour passer son permis de conduire.

    En informatique c'est le concept des bonnes pratiques qui prévôts.
    Donc ce n'a pas parce que le montage physique est faisable que cela réalisable sur le plan de la sécurité.
    Il ne faut pas tout mélanger mais à parement cela échappe profondément à certain.

    J'ai parcouru les liens donnés par le poste de départ.
    J'en ai même discuter avec des relations travaillant en SII sur la sécurité et aussi dans l'intégration.

    Leurs réponses tournaient entre passer par l'ajout de ligne spé téléphonie avec un pabx qui la rebasculait sur réseau en front sur le pare-feu via une interface dédié en plus de l'interface wan.
    Dans ces deux interfaces il faut les considérées comme des interfaces extérieurs.
    La deuxième idée est monter deux réseaux intégralement distinct l'un de l'autre, l'un avec la box et le router, l'autre avec les lignes et un pabx, cela fait double câblage.

    Nous vous exposons des solutions viables et conformes avec la sécurité, car je rappel que pfsense est un pare-feu et fait aussi office de router, ne le perdez pas de vu.

    Après libre à vous de faire ce que vous voulez, mais ne venez pas pleurer si vous vous faites défoncer votre réseaux si vous persistez dans votre idée.
    Cela cout cher à une entreprise qui en prend conscience après un sinistre quand elle en prend conscience. Tout cela par une bêtise intellectuelle.

    Pour revenir sur le point que j'ai exposé sur mon architecture, c'est à titre d'exemple, qu'il y est un autre élément d'entré en backside d'un pare-feu c'est une backdoor probable voir certaine sur votre réseau.

    De manière générale dans les bonnes pratiques, moins il y de possibilité d'entrée sur un réseau mieux c'est. Cela est un fait réelle et sérieux à prendre à ne pas prendre à la légère.

    En résumé :
    deux options

    • 1 pf avec 2cartes réseau (1wan 1 téléphonie ) comme front et 1 carte réseau pour le lan, et plus selon la grandeur du réseau.
    • 1 pf wan/lan donc 1 ligne d'un coté  et x ligne téléphonique + 1 pabx de l'autre coté et isolé physiquement du réseau internet.

    Cordialement.



  • @Tatave:

    • 1 pf avec 2cartes réseau (1wan 1 téléphonie ) comme front et 1 carte réseau pour le lan, et plus selon la grandeur du réseau.
    • 1 pf wan/lan donc 1 ligne d'un coté  et x ligne téléphonique + 1 pabx de l'autre coté et isolé physiquement du réseau internet.

    La solution 1 es celle que j'avais pensée justement. Effectivement la Livebox n'a aucune raison de communiquer avec le LAN, car c'est PF qui se chargera de monter le PPPOE. A moins que j'ai mal compris.
    D'ailleurs la Livebox n'aura jamais accès a internet, car le VLAN utilisé par Orange pour ce service ne lui sera pas routé. Seul le seul VLAN de Téléphonie sera donc routé (car je n'ai pas l'option TV), elle servira donc de terminal SIP.
    Après je ne suis pas fermé mais j'aimerai comprendre en terme de sécurité, comment deux interfaces physiques considéré en tant que externe (WAN + DMZ) pourraient entrainer des backdoor. Mais une explication peux m'ouvrir les yeux.

    (Chez Orange, ils ont encore fait les choses bien, le protocole SIP es en fait une version modifié a la main et ne correspond que peu au standard, avec aucun accès aux identifiants de la ligne … je ne comprend pas pourquoi autant de mystère quand Free le propose sans problème).



  • La règle de base, en terme de bonne pratique est simple : pas d'équipement non maitrisé après le firewall de l'entreprise.
    La dmz n'est absolument pas une zone ouverte. C'est une zone du réseau de l'entreprise où l'on doit tout maitriser : flux, équipement, système, applicatif. Cette zone peut être ouverte, sous conditions, à certains flux.
    Il faut comprendre, ou admettre, que la présence, dans cette zone, d'un équipement non maitrisé représente un risque par construction, c'est à dire structurel.
    Comme dit Tatave : "Libre à vous".
    Libre à vous d'imaginer, par exemple, ce qui pourrait advenir si le trafic de la dmz était routé vers le lan … Le concept de défense en profondeur qui prévaut aujourd'hui pour tout le monde dans le domaine de la sécurité SI,  recommande que structurellement l'architecture soit défensive, que même certaines erreurs ou compromissions ne puissent mettre tout le réseau en péril.
    Mais c'est vous le maître à bord ...



  • Je suis d'accord sur le point de vue défensif de la sécurité, vu les actualités récentes (et moins récentes) le problème deviens épineux de nos jours avec la collection de toutes ces données sensibles sur nos réseaux.

    La question redeviens donc plus "large" : Comment garder tous les services que j'ai aujourd'hui (Internet + VoIP) en ayant un accès plus sécurisé et plus performant ? Enfin si il existe une solution …
    Sachant que l'idée de départ était de faire monter le PPPOE avec un équipement plus fiable et avec des performances plus importantes, comment pourrais-je donc rerouter uniquement le trafique VoIP sur la Livebox ? (qui es l'unique solution tant que Orange ne permet pas de se connecter avec le protocole SIP standard) sans ou avec peu de perte de sécurité ?

    Et pour mon coté curieux, est-il du coup possible de rerouter un VLAN d'une connexion PPPOE sur une autre interface grâce a PFSense ?



  • @Tatave:

    C'est pas parce que vous avez une grosse berline qui est capable de passer la barre de 200km/h que vous allez rouler comme cela en ville ?
    Le code de la route en franque et en Europe c'est un code de bonne conduite qui par après devenu une obligation de connaitre et maitriser pour passer son permis de conduire.

    En informatique c'est le concept des bonnes pratiques qui prévôts.
    Donc ce n'a pas parce que le montage physique est faisable que cela réalisable sur le plan de la sécurité.
    Il ne faut pas tout mélanger mais à parement cela échappe profondément à certain.

    Et en allant un peu plus loin que la parabole de la voiture, pour expliquer à ceux à qui ça échappe, tu peux expliquer en mots clairs quel est le risque en terme de sécurité ?

    Je comprends tout à fait qu'un composant comme une livebox sur le LAN, ça ne va pas le faire.
    Je comprends aussi tout à fait qu'en séparant tout, on limite les risques (encore que, au bout d'un moment, l'overhead d'administration finit par générer à lui tout seul des risques potentiels, mais c'est une autre histoire).
    Je ne comprends en revanche pas du tout le risque associé à une livebox qui serait sur une DMZ (et donc pas sur le LAN car isolée par des règles du FW)

    La livebox isolée du LAN par les règles du WAN -> LAN  = oui
    La livebox isolée du LAN par les règles de DMZ -> LAN = non

    ???

    Je veux bien que tu m'expliques  ;)
    mais si possible concrètement, pas avec des "moins on en met, moins il y a de risques, je vous avais prévenu !"  ;D ;D ;D

    Leurs réponses tournaient entre passer par l'ajout de ligne spé téléphonie avec un pabx qui la rebasculait sur réseau en front sur le pare-feu via une interface dédié en plus de l'interface wan.
    Dans ces deux interfaces il faut les considérées comme des interfaces extérieurs.

    Juste pour rire, demande leur comment Cisco propose de faire du VoIP chez ses clients.  :-X

    Plus sérieusement, le risque n'est pas la téléphonie  ::)  mais le fait que la Livebox est, par design, accessible depuis l'extérieur…



  • Je tiens à m'excuser par avance de répondre sur un topic qui n'a pas de réponse depuis près d'un mois, mais bien que ce n'est pas faute de voir ccnet et/ou jdh dire les mêmes choses en long, en large et en travers, je me devais à mon tour de livrer mes impressions.

    Il apparait évident que les gens qui viennent poser des questions ici (ce qui est à la fois la bonne démarche et le bon endroit pour se faire) ne (se) posent pas les bonnes questions. Ce topic en est un exemple :

    @Mouftik:

    On aurait donc :

    (Fibre) <–> ONT <--> pfSense <--> Livebox -> Téléphone / TV

    Je voulais savoir si cette configuration était plausible sur pfSense ou pas ?

    Ce n'est pas du tout la bonne question à se poser, ni la bonne méthode pour procéder.
    Il faut partir de ce que l'on cherche à faire, établir clairement son cahier des charges, et c'est à partir de là que l'on cherche la solution à adopter. Et non pas se dire "Oh si je faisais cette config, ça a l'air chouette. Vous en pensez quoi ?". Chaque configuration est différente pour une simple raison : les besoins de chaque infrastructure sont différents.

    Ensuite, il y a quelques bases à connaitre. Qu'est-ce que pfSense ? C'est un firewall. Qu'est-ce qu'un firewall ? C'est un équipement qui permet de sécuriser l'infrastructure d'un (ou plusieurs) réseau(x) interne(s), et de router les flux entre ce(s) réseau(x) interne(s) et internet.

    Et si on poursuit cette réflection en l'applicant à ce topic, on se pose une autre question : Qu'est-ce qu'une Livebox ? C'est un équipement bourré de failles de sécurité.
    Et voilà, avec quelques questions (simples), on s'aperçoit tout de suite pourquoi une LB n'a aucun intérêt à se situer derrière pfSense, quand bien même se soit situé sur OPT1, DMZ, dans un vlan ou ailleurs…

    D'ailleurs, on peut aussi simplement se poser la question : pourquoi mettre une LB derrière un pfSense ? La seule est unique réponse est d'éviter le double NAT, je trouve cette raison relativement faible d'intérêt.

    Je suis également chez Orange chez moi, et ne peut (hélas) pas me séparer de ma LB si je veux utiliser les services de téléphonie et de TV (ce qui semble aussi le cas de l'auteur de ce topic). Mon infrastructure ressemble à ceci :

    Internet <--> Livebox <--> pfSense <--> LAN
                        (tél / TV)
    (mon infra est un poil plus complète mais inutile pour mes propos)

    Celle-ci a l'avantage de correspondre à mon cahier des charges, et se veut aussi simple que possible.

    Pourquoi chercher à faire compliqué quand on peut faire simple ?
    Voilà également une bonne question à se poser.

    Se poser les bonnes questions me semble vraiment essentiel, et la sécurité informatique n'est pas vraiment le bon domaine pour jouer aux apprentis sorciers, ou "tester-des-solutions-qui-sont-jolies".

    Se poser les mauvaises questions amène également un autre point faible : on obtient généralement de mauvaises réponses.



  • Excellente réflexion Talwyn !

    Se poser les mauvaises questions amène également un autre point faible : on obtient généralement de mauvaises réponses.

    Il n'y a pas plus vrai !

    Quand on regarde le schéma :

    Internet <–> Livebox <--> pfSense <--> LAN
                        (tél / TV)

    On ne peut que se dire

    • c'est un schéma naturel et simple : c'est bien préférable : simple is beautifull, comme disent les anglophones !
    • il y aura un double NAT : et alors ? est ce un vrai problème ?


  • @Talwyn:

    Pourquoi chercher à faire compliqué quand on peut faire simple ?
    Voilà également une bonne question à se poser.

    Peut-être parce que il y a des gens qui ont, ou qui pensent avoir, un besoin différent du tien  ;)

    Je me demande bien pourquoi, dans ce fil, personne ne veut (ou ne peut ?) expliquer pourquoi la LiveBox sur la DMZ, c'est mal  ???



  • @chris4916:

    @Talwyn:

    Pourquoi chercher à faire compliqué quand on peut faire simple ?
    Voilà également une bonne question à se poser.

    Peut-être parce que il y a des gens qui ont, ou qui pensent avoir, un besoin différent du tien  ;)

    En l'occurence, il me semble pourtant que cela correspond au cahier des charges de l'auteur de ce topic

    @chris4916:

    Je me demande bien pourquoi, dans ce fil, personne ne veut (ou ne peut ?) expliquer pourquoi la LiveBox sur la DMZ, c'est mal  ???

    En fait, ccnet l'explique parfaitement juste un peu plus haut.



  • @Talwyn:

    En fait, ccnet l'explique parfaitement juste un peu plus haut.

    Très bien. Et donc que comprends-tu, techniquement, de cette description :

    La dmz n'est absolument pas une zone ouverte. C'est une zone du réseau de l'entreprise où l'on doit tout maitriser : flux, équipement, système, applicatif. Cette zone peut être ouverte, sous conditions, à certains flux.
    Il faut comprendre, ou admettre, que la présence, dans cette zone, d'un équipement non maitrisé représente un risque par construction, c'est à dire structurel.

    Pour parler de choses concrètes et non pas de généralités sur les "best practices", si tu mets ta livebox sur une DMZ vs. sur l'interface WAN, quel est l'impact par rapport à ton LAN ?
    Il est tout à fait possible de mettre en œuvre exactement les mêmes règles entre la DMZ et le LAN qu'entre Le WAN et le LAN.

    Le vrai risque, avec l'approche LiveBox en DMZ, ce n'est pas vis à vis du LAN mais vis à vis d'éventuelles autres machines sur cette même DMZ puisqu'elle ne seraient protégées. Par rebond, cela peut bien sûr faciliter des attaques sur le LAN et en tous cas compromettre des services.

    A partir de là, il suffit d'adopter un design en conséquence, avec des VLAN voire des DMZ différentes pour isoler complètement la LiveBox.

    Me tromperais-je dans la compréhension technique ?  ;)



  • J'abandonnne…



  • @Talwyn:

    J'abandonnne…

    Pourquoi ?

    Parce que je suis vraiment trop bête pour comprendre les arguments techniques que tu pourrais avancer ?

    N'hésite pas, je ne suis pas susceptible  ;D  et si donc tu sais expliquer pourquoi ma vision de la chose n'a pas de sens, fais moi en profiter je suis tout à fait ouvert à apprendre de nouvelles choses (je le fais quotidiennement, et souvent grâce à des erreurs que je commets).
    Accessoirement, ce sera utile pour les autres lecteurs du forum.



  • @chris4916:

    si donc tu sais expliquer pourquoi ma vision de la chose n'a pas de sens, fais moi en profiter

    Puisque tu insistes, c'est très simple :
    @Talwyn:

    Ce n'est pas du tout la bonne question à se poser, ni la bonne méthode pour procéder.

    En fait, le problème de ta réflexion n'est pas avant tout technique, tu sembles maîtriser suffisament et je doute avoir quelque chose à t'apprendre sur le sujet. C'est avant tout un problème méthodologique :
    @Talwyn:

    Il faut partir de ce que l'on cherche à faire, établir clairement son cahier des charges, et c'est à partir de là que l'on cherche la solution à adopter. Et non pas se dire "Oh si je faisais cette config, ça a l'air chouette. Vous en pensez quoi ?".

    Pour finir je t'invite à réfléchir à ceci :
    @Talwyn:

    Se poser les mauvaises questions amène également un autre point faible : on obtient généralement de mauvaises réponses.

    Nul doute que tu sais de quoi tu parles en matière de technique, en revenche j'ai plus de doute en matière de méthodologie.



  • Je n'aurais pensé qu'une telle question puisse amener a de telles polémiques.

    Pour le côté cahier des charges, le miens était bien défini aussi bien dans ce que je voulais faire que dans les points techniques de celui-ci. Je n'avais voulu les exposer car je pensais que ma question était assez simple pour ne pas s'encombrer l'esprit.

    Dans la méthodologie commençons par un postulat simple : Je ne suis pas content de ma Livebox.
    Ok jusque là rien de bien complexe, la réponse m'es venue naturellement : Monter mon propre routeur ! Techniquement ce n'es pas un souci. Pour le hardware non plus, j'ai de quoi tester et un routeur reste quelque chose d'assez simple d'un point de vue matériel. Le choix le plus dur es celui du Software, j'avais choisi PFSense par goût et après avoir testé plusieurs OS sur des VM.

    Le prochain step était donc de savoir si :

    1. L'OS pouvais se substituer d'un point de vue a ma Livebox
    2. Et qu'est-ce que j'allais y perdre ?

    Pour le premier point, je pense que nul ici ne me contradira en disant que d'un point de vue réseau, PFSense est des années lumières devant notre chère briquette orange.
    C'est en pensant au second point que j'ai eu un souci : Et le téléphone dans tout ceci ?

    Après avoir fait des dizaines de recherches en lisant les thread que j'ai link plus tôt, je me suis dit que : qui de mieux placé que des gens qui ont PFSense a la maison pouvait répondre a ma question. C'est donc pour cela que j'avais commencé mon fil.

    Pour la avantages, j'avais noté ceux-ci :

    • Puissance réseau largement supérieurs.
    • Possibilité de VLAN
    • Stabilité des débits WAN <-> LAN
    • Un routeur qui ne reboot pas tout les 3 jours
    • Possibilité de Reverse proxy
    • Possibilité de traffic shaping avec bloqueur de pub / Antivirus
    • Plus de sécurité
    • Toutes les fonctionnalités auxquelles je n'ai pas pensé (LDAP, DHCP, …)

    Et enfin pour les problèmes :

    • Et le téléphone dans tout ceci ?
    • Consommation électrique supérieure (en fonction de la solution choisie)

    Techniquement, pour ne pas avoir de souci de sécurité, pour moi la Livebox était seule dans la DMZ (ou tout autre espace dédié qu'on l'appelle DMZ ou "zone que je relai même pas internet dedans et qu'on peux pas sortir"), sans relai du VLAN d'Internet, et avec une rule droppant tout le traffique allant de DMZ vers LAN ou WAN.

    @jdh:

    Internet <–> Livebox <--> pfSense <--> LAN
                        (tél / TV)

    Pour moi ceci ne résoud pas mon problème car quand la Livebox redémarre il n'y a plus d'accès internet, et c'est justement ceci que je voudrais éviter.



  • d'un point de vue réseau, PFSense est des années lumières devant notre chère briquette orange

    Beh non !!

    Livebox et pfSense ne sont juste pas comparables fonctionnellement !

    L'une comporte des interfaces spécifiques (fibre, téléphone), l'autre pas.
    L'une comporte un firmware spécialisé, très peu paramétrable par l'utilisateur, l'autre pas

    Il parait assez clair que, pour profiter de la totalité des services offerts, la Livebox (remplacer par la box de votre fournisseur) est la plus adaptée : elle est conçue pour ça.

    Si, par contre, en milieu pro, avec une ligne ADSL pro, on vous fournit une box et que vous ne souhaitez que la fonction Internet,
    il est possible de la remplacer par un (ordinaire) modem ADSL/VDSL (type DLink DSL-320B) et vous gérerez parfaitement la ligne avec une interface (WAN) type PPPoE.

    Voyez que votre vision n'est pas aussi large que prévue.
    Bref, un cahier des charges bien clair au départ est largement mieux …



  • @jdh:

    d'un point de vue réseau, PFSense est des années lumières devant notre chère briquette orange

    Beh non !!

    Livebox et pfSense ne sont juste pas comparables fonctionnellement !

    L'une comporte des interfaces spécifiques (fibre, téléphone), l'autre pas.
    L'une comporte un firmware spécialisé, très peu paramétrable par l'utilisateur, l'autre pas

    Tout comme je pourrais faire de la base de données avec un IBM Série Z a la maison ! Mais je préfère faire ça avec une VM sous Linux. Tout est question de point de vue. Pour ma part comme je le dis depuis le début la Livebox n'es pas assez configurable et l'ajout de certaines fonctionnalités seraient un plus (En plus de la résolution de certains problèmes). Et c'est donc pour ça que j'ai dis que pour moi, PFSense répondais plus a mon besoin.

    L'idée de ce post, au delà de me demander si j'avais bien établi le cahier des charges et si j'y comprennais quelque chose en réseau et télécommunications, était plutôt de savoir dans cette situation si je pouvais avoir une solution valable. Biensûr, une solution pourrait être d'acheter une appliance avec PFSense, une ligne SIP chez OVH puis mettre un proxy Asterisk chez moi âr exemple, mais là n'es pas la question.

    Le débat était plus de savoir comment je pouvais mettre en oeuvre facilement une solution.
    Par exemple les trames en sortie de l'ONT sont surement en broadcast, serait-il possible donc avec un switch managé d'envoyer les VLAN de la téléphonie sur un port sur lequel serait connecté la Livebox et sur un autre port celui de l'accès PPPoE pour y coller un PFSense ?
    Ou juste de forwarder les trames via PFSense des VLAN de téléphonie sur un port spécifique (bridge ou autre) ?



  • @Mouftik:

    Le débat était plus de savoir comment je pouvais mettre en oeuvre facilement une solution.
    Par exemple les trames en sortie de l'ONT sont surement en broadcast…/...

    Ta question est assez claire et très légitime. Je suis également en train de remplacer une Livebox par un modem en mode bridge pour disposer d'une IP publique sur le port WAN du pfSense qui est derrière cet accès. Mais je n'ai pas besoin de téléphonie  :)

    Je n'ai cependant pas de Livebox moi-même et l’opération que je décris au dessus est faite en remote donc ma compréhension est assez vague mais :

    • si ta livebox est un modèle "ADSL", uniquement, je ne vois pas bien comment tu va pouvoir éviter de la connecter au RTC
    • si tu as un modèle "ADSL + FTTH", le boitier (type Livebox 3) vient avec une interface WAN en RJ45, c'est plus simple.

    D'après cette page (mais pas ce design n'est-ce pas), si j'intuite bien, même l'interface WAN de la Livebox a besoin d'un serveur PPPoE. Si tu actives la fonction PPPoE server de pfSense sur l'interface DZM de pfSense, le quel est par ailleurs connecté en PPPoE à ton accès internet, il te suffit  ;) de créer un VLAN 851 avec un bridge pour récupérer directement sur la Livebox les services de téléphonie sans que celle-ci soit connectée à ton LAN, et avec uniquement pfSense entre le LAN et internet.

    Tout ça vu d'un peu loin mais la solution, si elle existe, doit ressembler à ça  8)