PFSense chez Orange en gardant la téléphonie
-
l'autre option serait d’avoir une deuxième ligne qui ne servira qu'a la téléphonie et au cas ou ligne de secours web sur le principe du fail over, mais dans les deux solutions les box sont en front du pare-feu.
Ce qui serait vraiment intéressant, dans le cadre du fil ouvert par Mouftik, c'est que tu (ou ccnet qui partage ton point de vue, à l'évidence), commentes en quoi la box en DMZ présente des problèmes ?
La ligne supplémentaire pour faire du failover, pourquoi pas mais c'est uniquement une notion de haute disponibilité qui, en ce qui concerne la téléphone, à perdu de sa criticité du fait que tout le monde ou presque dispose d'un smartphone ou un mobile.
Et en dehors de cette aspect "HA", je ne vois pas vraiment de soucis à ce type de montage, ni vraiment d'avantage à part le double NAT je dois dire.
-
salut salut
C'est pas parce que vous avez une grosse berline qui est capable de passer la barre de 200km/h que vous allez rouler comme cela en ville ?
Le code de la route en franque et en Europe c'est un code de bonne conduite qui par après devenu une obligation de connaitre et maitriser pour passer son permis de conduire.En informatique c'est le concept des bonnes pratiques qui prévôts.
Donc ce n'a pas parce que le montage physique est faisable que cela réalisable sur le plan de la sécurité.
Il ne faut pas tout mélanger mais à parement cela échappe profondément à certain.J'ai parcouru les liens donnés par le poste de départ.
J'en ai même discuter avec des relations travaillant en SII sur la sécurité et aussi dans l'intégration.Leurs réponses tournaient entre passer par l'ajout de ligne spé téléphonie avec un pabx qui la rebasculait sur réseau en front sur le pare-feu via une interface dédié en plus de l'interface wan.
Dans ces deux interfaces il faut les considérées comme des interfaces extérieurs.
La deuxième idée est monter deux réseaux intégralement distinct l'un de l'autre, l'un avec la box et le router, l'autre avec les lignes et un pabx, cela fait double câblage.Nous vous exposons des solutions viables et conformes avec la sécurité, car je rappel que pfsense est un pare-feu et fait aussi office de router, ne le perdez pas de vu.
Après libre à vous de faire ce que vous voulez, mais ne venez pas pleurer si vous vous faites défoncer votre réseaux si vous persistez dans votre idée.
Cela cout cher à une entreprise qui en prend conscience après un sinistre quand elle en prend conscience. Tout cela par une bêtise intellectuelle.Pour revenir sur le point que j'ai exposé sur mon architecture, c'est à titre d'exemple, qu'il y est un autre élément d'entré en backside d'un pare-feu c'est une backdoor probable voir certaine sur votre réseau.
De manière générale dans les bonnes pratiques, moins il y de possibilité d'entrée sur un réseau mieux c'est. Cela est un fait réelle et sérieux à prendre à ne pas prendre à la légère.
En résumé :
deux options- 1 pf avec 2cartes réseau (1wan 1 téléphonie ) comme front et 1 carte réseau pour le lan, et plus selon la grandeur du réseau.
- 1 pf wan/lan donc 1 ligne d'un coté et x ligne téléphonique + 1 pabx de l'autre coté et isolé physiquement du réseau internet.
Cordialement.
-
- 1 pf avec 2cartes réseau (1wan 1 téléphonie ) comme front et 1 carte réseau pour le lan, et plus selon la grandeur du réseau.
- 1 pf wan/lan donc 1 ligne d'un coté et x ligne téléphonique + 1 pabx de l'autre coté et isolé physiquement du réseau internet.
La solution 1 es celle que j'avais pensée justement. Effectivement la Livebox n'a aucune raison de communiquer avec le LAN, car c'est PF qui se chargera de monter le PPPOE. A moins que j'ai mal compris.
D'ailleurs la Livebox n'aura jamais accès a internet, car le VLAN utilisé par Orange pour ce service ne lui sera pas routé. Seul le seul VLAN de Téléphonie sera donc routé (car je n'ai pas l'option TV), elle servira donc de terminal SIP.
Après je ne suis pas fermé mais j'aimerai comprendre en terme de sécurité, comment deux interfaces physiques considéré en tant que externe (WAN + DMZ) pourraient entrainer des backdoor. Mais une explication peux m'ouvrir les yeux.(Chez Orange, ils ont encore fait les choses bien, le protocole SIP es en fait une version modifié a la main et ne correspond que peu au standard, avec aucun accès aux identifiants de la ligne … je ne comprend pas pourquoi autant de mystère quand Free le propose sans problème).
-
La règle de base, en terme de bonne pratique est simple : pas d'équipement non maitrisé après le firewall de l'entreprise.
La dmz n'est absolument pas une zone ouverte. C'est une zone du réseau de l'entreprise où l'on doit tout maitriser : flux, équipement, système, applicatif. Cette zone peut être ouverte, sous conditions, à certains flux.
Il faut comprendre, ou admettre, que la présence, dans cette zone, d'un équipement non maitrisé représente un risque par construction, c'est à dire structurel.
Comme dit Tatave : "Libre à vous".
Libre à vous d'imaginer, par exemple, ce qui pourrait advenir si le trafic de la dmz était routé vers le lan … Le concept de défense en profondeur qui prévaut aujourd'hui pour tout le monde dans le domaine de la sécurité SI, recommande que structurellement l'architecture soit défensive, que même certaines erreurs ou compromissions ne puissent mettre tout le réseau en péril.
Mais c'est vous le maître à bord ... -
Je suis d'accord sur le point de vue défensif de la sécurité, vu les actualités récentes (et moins récentes) le problème deviens épineux de nos jours avec la collection de toutes ces données sensibles sur nos réseaux.
La question redeviens donc plus "large" : Comment garder tous les services que j'ai aujourd'hui (Internet + VoIP) en ayant un accès plus sécurisé et plus performant ? Enfin si il existe une solution …
Sachant que l'idée de départ était de faire monter le PPPOE avec un équipement plus fiable et avec des performances plus importantes, comment pourrais-je donc rerouter uniquement le trafique VoIP sur la Livebox ? (qui es l'unique solution tant que Orange ne permet pas de se connecter avec le protocole SIP standard) sans ou avec peu de perte de sécurité ?Et pour mon coté curieux, est-il du coup possible de rerouter un VLAN d'une connexion PPPOE sur une autre interface grâce a PFSense ?
-
C'est pas parce que vous avez une grosse berline qui est capable de passer la barre de 200km/h que vous allez rouler comme cela en ville ?
Le code de la route en franque et en Europe c'est un code de bonne conduite qui par après devenu une obligation de connaitre et maitriser pour passer son permis de conduire.En informatique c'est le concept des bonnes pratiques qui prévôts.
Donc ce n'a pas parce que le montage physique est faisable que cela réalisable sur le plan de la sécurité.
Il ne faut pas tout mélanger mais à parement cela échappe profondément à certain.Et en allant un peu plus loin que la parabole de la voiture, pour expliquer à ceux à qui ça échappe, tu peux expliquer en mots clairs quel est le risque en terme de sécurité ?
Je comprends tout à fait qu'un composant comme une livebox sur le LAN, ça ne va pas le faire.
Je comprends aussi tout à fait qu'en séparant tout, on limite les risques (encore que, au bout d'un moment, l'overhead d'administration finit par générer à lui tout seul des risques potentiels, mais c'est une autre histoire).
Je ne comprends en revanche pas du tout le risque associé à une livebox qui serait sur une DMZ (et donc pas sur le LAN car isolée par des règles du FW)La livebox isolée du LAN par les règles du WAN -> LAN = oui
La livebox isolée du LAN par les règles de DMZ -> LAN = non???
Je veux bien que tu m'expliques ;)
mais si possible concrètement, pas avec des "moins on en met, moins il y a de risques, je vous avais prévenu !" ;D ;D ;DLeurs réponses tournaient entre passer par l'ajout de ligne spé téléphonie avec un pabx qui la rebasculait sur réseau en front sur le pare-feu via une interface dédié en plus de l'interface wan.
Dans ces deux interfaces il faut les considérées comme des interfaces extérieurs.Juste pour rire, demande leur comment Cisco propose de faire du VoIP chez ses clients. :-X
Plus sérieusement, le risque n'est pas la téléphonie ::) mais le fait que la Livebox est, par design, accessible depuis l'extérieur…
-
Je tiens à m'excuser par avance de répondre sur un topic qui n'a pas de réponse depuis près d'un mois, mais bien que ce n'est pas faute de voir ccnet et/ou jdh dire les mêmes choses en long, en large et en travers, je me devais à mon tour de livrer mes impressions.
Il apparait évident que les gens qui viennent poser des questions ici (ce qui est à la fois la bonne démarche et le bon endroit pour se faire) ne (se) posent pas les bonnes questions. Ce topic en est un exemple :
On aurait donc :
(Fibre) <–> ONT <--> pfSense <--> Livebox -> Téléphone / TV
Je voulais savoir si cette configuration était plausible sur pfSense ou pas ?
Ce n'est pas du tout la bonne question à se poser, ni la bonne méthode pour procéder.
Il faut partir de ce que l'on cherche à faire, établir clairement son cahier des charges, et c'est à partir de là que l'on cherche la solution à adopter. Et non pas se dire "Oh si je faisais cette config, ça a l'air chouette. Vous en pensez quoi ?". Chaque configuration est différente pour une simple raison : les besoins de chaque infrastructure sont différents.Ensuite, il y a quelques bases à connaitre. Qu'est-ce que pfSense ? C'est un firewall. Qu'est-ce qu'un firewall ? C'est un équipement qui permet de sécuriser l'infrastructure d'un (ou plusieurs) réseau(x) interne(s), et de router les flux entre ce(s) réseau(x) interne(s) et internet.
Et si on poursuit cette réflection en l'applicant à ce topic, on se pose une autre question : Qu'est-ce qu'une Livebox ? C'est un équipement bourré de failles de sécurité.
Et voilà, avec quelques questions (simples), on s'aperçoit tout de suite pourquoi une LB n'a aucun intérêt à se situer derrière pfSense, quand bien même se soit situé sur OPT1, DMZ, dans un vlan ou ailleurs…D'ailleurs, on peut aussi simplement se poser la question : pourquoi mettre une LB derrière un pfSense ? La seule est unique réponse est d'éviter le double NAT, je trouve cette raison relativement faible d'intérêt.
Je suis également chez Orange chez moi, et ne peut (hélas) pas me séparer de ma LB si je veux utiliser les services de téléphonie et de TV (ce qui semble aussi le cas de l'auteur de ce topic). Mon infrastructure ressemble à ceci :
Internet <--> Livebox <--> pfSense <--> LAN
(tél / TV)
(mon infra est un poil plus complète mais inutile pour mes propos)Celle-ci a l'avantage de correspondre à mon cahier des charges, et se veut aussi simple que possible.
Pourquoi chercher à faire compliqué quand on peut faire simple ?
Voilà également une bonne question à se poser.Se poser les bonnes questions me semble vraiment essentiel, et la sécurité informatique n'est pas vraiment le bon domaine pour jouer aux apprentis sorciers, ou "tester-des-solutions-qui-sont-jolies".
Se poser les mauvaises questions amène également un autre point faible : on obtient généralement de mauvaises réponses.
-
Excellente réflexion Talwyn !
Se poser les mauvaises questions amène également un autre point faible : on obtient généralement de mauvaises réponses.
Il n'y a pas plus vrai !
Quand on regarde le schéma :
Internet <–> Livebox <--> pfSense <--> LAN
(tél / TV)On ne peut que se dire
- c'est un schéma naturel et simple : c'est bien préférable : simple is beautifull, comme disent les anglophones !
- il y aura un double NAT : et alors ? est ce un vrai problème ?
-
Pourquoi chercher à faire compliqué quand on peut faire simple ?
Voilà également une bonne question à se poser.Peut-être parce que il y a des gens qui ont, ou qui pensent avoir, un besoin différent du tien ;)
Je me demande bien pourquoi, dans ce fil, personne ne veut (ou ne peut ?) expliquer pourquoi la LiveBox sur la DMZ, c'est mal ???
-
Pourquoi chercher à faire compliqué quand on peut faire simple ?
Voilà également une bonne question à se poser.Peut-être parce que il y a des gens qui ont, ou qui pensent avoir, un besoin différent du tien ;)
En l'occurence, il me semble pourtant que cela correspond au cahier des charges de l'auteur de ce topic
Je me demande bien pourquoi, dans ce fil, personne ne veut (ou ne peut ?) expliquer pourquoi la LiveBox sur la DMZ, c'est mal ???
En fait, ccnet l'explique parfaitement juste un peu plus haut.
-
En fait, ccnet l'explique parfaitement juste un peu plus haut.
Très bien. Et donc que comprends-tu, techniquement, de cette description :
La dmz n'est absolument pas une zone ouverte. C'est une zone du réseau de l'entreprise où l'on doit tout maitriser : flux, équipement, système, applicatif. Cette zone peut être ouverte, sous conditions, à certains flux.
Il faut comprendre, ou admettre, que la présence, dans cette zone, d'un équipement non maitrisé représente un risque par construction, c'est à dire structurel.Pour parler de choses concrètes et non pas de généralités sur les "best practices", si tu mets ta livebox sur une DMZ vs. sur l'interface WAN, quel est l'impact par rapport à ton LAN ?
Il est tout à fait possible de mettre en œuvre exactement les mêmes règles entre la DMZ et le LAN qu'entre Le WAN et le LAN.Le vrai risque, avec l'approche LiveBox en DMZ, ce n'est pas vis à vis du LAN mais vis à vis d'éventuelles autres machines sur cette même DMZ puisqu'elle ne seraient protégées. Par rebond, cela peut bien sûr faciliter des attaques sur le LAN et en tous cas compromettre des services.
A partir de là, il suffit d'adopter un design en conséquence, avec des VLAN voire des DMZ différentes pour isoler complètement la LiveBox.
Me tromperais-je dans la compréhension technique ? ;)
-
J'abandonnne…
-
J'abandonnne…
Pourquoi ?
Parce que je suis vraiment trop bête pour comprendre les arguments techniques que tu pourrais avancer ?
N'hésite pas, je ne suis pas susceptible ;D et si donc tu sais expliquer pourquoi ma vision de la chose n'a pas de sens, fais moi en profiter je suis tout à fait ouvert à apprendre de nouvelles choses (je le fais quotidiennement, et souvent grâce à des erreurs que je commets).
Accessoirement, ce sera utile pour les autres lecteurs du forum. -
si donc tu sais expliquer pourquoi ma vision de la chose n'a pas de sens, fais moi en profiter
Puisque tu insistes, c'est très simple :
@Talwyn:Ce n'est pas du tout la bonne question à se poser, ni la bonne méthode pour procéder.
En fait, le problème de ta réflexion n'est pas avant tout technique, tu sembles maîtriser suffisament et je doute avoir quelque chose à t'apprendre sur le sujet. C'est avant tout un problème méthodologique :
@Talwyn:Il faut partir de ce que l'on cherche à faire, établir clairement son cahier des charges, et c'est à partir de là que l'on cherche la solution à adopter. Et non pas se dire "Oh si je faisais cette config, ça a l'air chouette. Vous en pensez quoi ?".
Pour finir je t'invite à réfléchir à ceci :
@Talwyn:Se poser les mauvaises questions amène également un autre point faible : on obtient généralement de mauvaises réponses.
Nul doute que tu sais de quoi tu parles en matière de technique, en revenche j'ai plus de doute en matière de méthodologie.
-
Je n'aurais pensé qu'une telle question puisse amener a de telles polémiques.
Pour le côté cahier des charges, le miens était bien défini aussi bien dans ce que je voulais faire que dans les points techniques de celui-ci. Je n'avais voulu les exposer car je pensais que ma question était assez simple pour ne pas s'encombrer l'esprit.
Dans la méthodologie commençons par un postulat simple : Je ne suis pas content de ma Livebox.
Ok jusque là rien de bien complexe, la réponse m'es venue naturellement : Monter mon propre routeur ! Techniquement ce n'es pas un souci. Pour le hardware non plus, j'ai de quoi tester et un routeur reste quelque chose d'assez simple d'un point de vue matériel. Le choix le plus dur es celui du Software, j'avais choisi PFSense par goût et après avoir testé plusieurs OS sur des VM.Le prochain step était donc de savoir si :
- L'OS pouvais se substituer d'un point de vue a ma Livebox
- Et qu'est-ce que j'allais y perdre ?
Pour le premier point, je pense que nul ici ne me contradira en disant que d'un point de vue réseau, PFSense est des années lumières devant notre chère briquette orange.
C'est en pensant au second point que j'ai eu un souci : Et le téléphone dans tout ceci ?Après avoir fait des dizaines de recherches en lisant les thread que j'ai link plus tôt, je me suis dit que : qui de mieux placé que des gens qui ont PFSense a la maison pouvait répondre a ma question. C'est donc pour cela que j'avais commencé mon fil.
Pour la avantages, j'avais noté ceux-ci :
- Puissance réseau largement supérieurs.
- Possibilité de VLAN
- Stabilité des débits WAN <-> LAN
- Un routeur qui ne reboot pas tout les 3 jours
- Possibilité de Reverse proxy
- Possibilité de traffic shaping avec bloqueur de pub / Antivirus
- Plus de sécurité
- Toutes les fonctionnalités auxquelles je n'ai pas pensé (LDAP, DHCP, …)
Et enfin pour les problèmes :
- Et le téléphone dans tout ceci ?
- Consommation électrique supérieure (en fonction de la solution choisie)
Techniquement, pour ne pas avoir de souci de sécurité, pour moi la Livebox était seule dans la DMZ (ou tout autre espace dédié qu'on l'appelle DMZ ou "zone que je relai même pas internet dedans et qu'on peux pas sortir"), sans relai du VLAN d'Internet, et avec une rule droppant tout le traffique allant de DMZ vers LAN ou WAN.
@jdh:
Internet <–> Livebox <--> pfSense <--> LAN
(tél / TV)Pour moi ceci ne résoud pas mon problème car quand la Livebox redémarre il n'y a plus d'accès internet, et c'est justement ceci que je voudrais éviter.
-
d'un point de vue réseau, PFSense est des années lumières devant notre chère briquette orange
Beh non !!
Livebox et pfSense ne sont juste pas comparables fonctionnellement !
L'une comporte des interfaces spécifiques (fibre, téléphone), l'autre pas.
L'une comporte un firmware spécialisé, très peu paramétrable par l'utilisateur, l'autre pasIl parait assez clair que, pour profiter de la totalité des services offerts, la Livebox (remplacer par la box de votre fournisseur) est la plus adaptée : elle est conçue pour ça.
Si, par contre, en milieu pro, avec une ligne ADSL pro, on vous fournit une box et que vous ne souhaitez que la fonction Internet,
il est possible de la remplacer par un (ordinaire) modem ADSL/VDSL (type DLink DSL-320B) et vous gérerez parfaitement la ligne avec une interface (WAN) type PPPoE.Voyez que votre vision n'est pas aussi large que prévue.
Bref, un cahier des charges bien clair au départ est largement mieux … -
@jdh:
d'un point de vue réseau, PFSense est des années lumières devant notre chère briquette orange
Beh non !!
Livebox et pfSense ne sont juste pas comparables fonctionnellement !
L'une comporte des interfaces spécifiques (fibre, téléphone), l'autre pas.
L'une comporte un firmware spécialisé, très peu paramétrable par l'utilisateur, l'autre pasTout comme je pourrais faire de la base de données avec un IBM Série Z a la maison ! Mais je préfère faire ça avec une VM sous Linux. Tout est question de point de vue. Pour ma part comme je le dis depuis le début la Livebox n'es pas assez configurable et l'ajout de certaines fonctionnalités seraient un plus (En plus de la résolution de certains problèmes). Et c'est donc pour ça que j'ai dis que pour moi, PFSense répondais plus a mon besoin.
L'idée de ce post, au delà de me demander si j'avais bien établi le cahier des charges et si j'y comprennais quelque chose en réseau et télécommunications, était plutôt de savoir dans cette situation si je pouvais avoir une solution valable. Biensûr, une solution pourrait être d'acheter une appliance avec PFSense, une ligne SIP chez OVH puis mettre un proxy Asterisk chez moi âr exemple, mais là n'es pas la question.
Le débat était plus de savoir comment je pouvais mettre en oeuvre facilement une solution.
Par exemple les trames en sortie de l'ONT sont surement en broadcast, serait-il possible donc avec un switch managé d'envoyer les VLAN de la téléphonie sur un port sur lequel serait connecté la Livebox et sur un autre port celui de l'accès PPPoE pour y coller un PFSense ?
Ou juste de forwarder les trames via PFSense des VLAN de téléphonie sur un port spécifique (bridge ou autre) ? -
Le débat était plus de savoir comment je pouvais mettre en oeuvre facilement une solution.
Par exemple les trames en sortie de l'ONT sont surement en broadcast…/...Ta question est assez claire et très légitime. Je suis également en train de remplacer une Livebox par un modem en mode bridge pour disposer d'une IP publique sur le port WAN du pfSense qui est derrière cet accès. Mais je n'ai pas besoin de téléphonie :)
Je n'ai cependant pas de Livebox moi-même et l’opération que je décris au dessus est faite en remote donc ma compréhension est assez vague mais :
- si ta livebox est un modèle "ADSL", uniquement, je ne vois pas bien comment tu va pouvoir éviter de la connecter au RTC
- si tu as un modèle "ADSL + FTTH", le boitier (type Livebox 3) vient avec une interface WAN en RJ45, c'est plus simple.
D'après cette page (mais pas ce design n'est-ce pas), si j'intuite bien, même l'interface WAN de la Livebox a besoin d'un serveur PPPoE. Si tu actives la fonction PPPoE server de pfSense sur l'interface DZM de pfSense, le quel est par ailleurs connecté en PPPoE à ton accès internet, il te suffit ;) de créer un VLAN 851 avec un bridge pour récupérer directement sur la Livebox les services de téléphonie sans que celle-ci soit connectée à ton LAN, et avec uniquement pfSense entre le LAN et internet.
Tout ça vu d'un peu loin mais la solution, si elle existe, doit ressembler à ça 8)