Installer Pfsense dans un pc poste
-
Quand on cherche "sagem fast 3304-v2", on arrive dès le premier lien sur 'Menara' ou 'Maroc Telecom'.
Dans le cadre de mon travail, je gère un site au Maroc, disposant de lignes ADSL, fournies par Maroc Telecom.
J'ai remplacé le matériel fourni par un (usuel) DLink DSL-320B, configuré en bridge. (Il existe une alternative en TpLink qui fonctionne tout aussi bien.)
Ces boitiers sont reliés à un pfSense (sur serveur Dell R210) en mode PPPoE, et donc avec ip publique directement au niveau firewall.Cela fonctionne bien, il suffit juste de bien avoir les identifiants PPPoE fournis par Maroc Telecom.
Comme d'habitude la phrase 'Le niveau de sécurité obtenu depuis votre configuration sera assez faible. Mais c'est un début.' n'appelait aucun commentaire mais l'a été …ce qui noie le débutant dans un discours totalement inutile !
Le niveau sera faible pour les raisons assez évidentes : matériel de type pc et non serveur ou appliance, admin débutant, ...
Mais 'c'est un début', qui est la phrase 'positive', n'est pas relevé : oui pour commencer comme ça, quand l'alim flanchera, on passe à une petite appliance, le tout sans commettre les erreurs d'ajouter un proxy ou un serveur de mail de la part de ceux qui écrivent 'je ne le fait pas mais ...' ! -
Quand on cherche "sagem fast 3304-v2", on arrive dès le premier lien sur 'Menara' ou 'Maroc Telecom'
Oui car l'entreprise est au Maroc et son fournisseur est Maroc Telecom
Cela fonctionne bien, il suffit juste de bien avoir les identifiants PPPoE fournis par Maroc Telecom.
J'ai les identifiants PPPoE
Bah tout a fait je suis débutant , et ce stage est pré-embauche j'aimerai bien montrer mes compétences pour atteindre ce poste la et prendre le maximum de l’expérience , je serai reconnaissant si vous m'aiderez par vos directives et vos propositions
on sort largement du cadre d'un petit groupe de travail qui veut sécuriser la manière dont il accède à internet.
Dans le réseau Local y aura un serveur dans je mettrai en place un active directory et sur le même serveur y aura un ERP pour gerer les processus de l'entreprise
-
@jdh:
Comme d'habitude la phrase 'Le niveau de sécurité obtenu depuis votre configuration sera assez faible. Mais c'est un début.' n'appelait aucun commentaire mais l'a été …ce qui noie le débutant dans un discours totalement inutile !
Si de ton point de vue c'est inutile, tu peux aussi t'abstenir d'y répondre.
Et, contrairement à toi (oui je sais, il n'y a rien de surprenant :P), cette phrase à propos de la faible sécurité de la solution m'a interpellé, d'où ma question.
Et j'ai bien fait puisqu'au final, en guise de sécurité, il est question de disponibilité du service.
Tu noteras bien sûr que je n'ai nullement l'intention d'aborder le débat de savoir si une interruption de service liée à une panne hardware était un problème de sécurité pour l'utilisateur. C'est à lui d'en décider mais au moins il sait à quoi s'en tenir.J'ai la prétention de croire que si je n'avais pas posé la question, seul ccnet, et toi bien sûr, avaient compris que la faiblesse évoquée était due à la potentielle indisponibilité de la machine.
Le niveau sera faible pour les raisons assez évidentes : matériel de type pc et non serveur ou appliance,
OK pour un serveur avec des composants redondants.
Pour ce qui est de l'appliance, comme je l'ai dit, j'ai ouvert un 4860. il n'y a aucune raison objectif pour que ce soit plus stable dans le temps qu'un PC moderne. Il 'y a qu'une seule alim, un ventilateur minuscule sur le dissipateur…
et si tu regardes un 2440, même petit dissipateur, pas de ventilateur et larges ouverture sur le capot, bien assez grosses pour y faire tomber sur la carte mère un trombone, une agrafe ou une rondelle en démontant un élément de rack.
Bref, l'appliance plus "solide" que le PC, certainement mais pas avec ces modèles ;)(Ce qui ne m'a pas empêché d'en acheter parce que, de mon point de vue, ce n'est pas un critère de sécurité mais uniquement de disponibilité du service)
Un gros serveur avec alim redondante, double NIC de partout etc... pourquoi pas, ça doit répondre à certains besoins.
Mais 'c'est un début', qui est la phrase 'positive', n'est pas relevé : oui pour commencer comme ça, quand l'alim flanchera, on passe à une petite appliance, le tout sans commettre les erreurs d'ajouter un proxy ou un serveur de mail de la part de ceux qui écrivent 'je ne le fait pas mais …' !
Contrairement à ce que ton esprit tordu imagine, je n'ai pas posé une question à propos d'un aspect négatif vs. le point positif que tu relèves mais parce que cette amorce de remarque sur la faiblesse relative de la solution sans plus de détail m’interpellait.
;D ;D ;D décidément, le proxy c'est ton cheval de bataille ::)
Il n'y a que toi pour en parler là :) -
@lamps8 :
Si j'interviens sur ce fil, c'est que je pense avoir une expérience pratique valable et correspondante au cas donné !
Ce que j'ai fait fonctionne et est une solution simple et efficace : un firewall pfSense (sur un vrai serveur) avec 2 lignes ADSL via des vrais modems fiables.
Ca fonctionne avec Maroc Telecom.Pour info, ce modem coute ~30€ en France mais est difficilement trouvable au Maroc : j'achète, je configure, j'envoie (et je facture).
-
@JDH :
on sort largement du cadre d'un petit groupe de travail qui veut sécuriser la manière dont il accède à internet.
J'aimerai que tu m'aides par ton expérience en implémentant cette solution surtout je suis débutant et je dois montrer au P.D.G que je peux faire du bon travail et ensuite avoir un budget pour financer les bons équipements
Pour info, ce modem coute ~30€ en France mais est difficilement trouvable au Maroc
Quelle est la référence du Modem , je pense qu'il sera disponible ici au Maroc
-
Et j'ai bien fait puisqu'au final, en guise de sécurité, il est question de disponibilité du service. Tu noteras bien sûr que je n'ai nullement l'intention d'aborder le débat de savoir si une interruption de service liée à une panne hardware était un problème de sécurité pour l'utilisateur. C'est à lui d'en décider mais au moins il sait à quoi s'en tenir.Tout le monde (iso 27000, divers méthodes, ANSSI, etc …), internationalement, est en ligne sur les critères de la sécurité du SI : DICT (Disponibilité, Intégrité, Confidentialité, Traçabilité). Une panne hardware (et les problématiques de disponibilité de service en général) fait bien partie des problèmes de sécurité. Il n'y a pas de débat à avoir sur ce point en effet. C'est comme cela que tout le monde travail. Toutes les grilles d'analyse de risques, d'impacts, d'évaluation du besoin de sécurité, de risques résiduels, etc comportent ce critère.
-
Tout le monde (iso 27000, divers méthodes, ANSSI, etc …), internationalement, est en ligne sur les critères de la sécurité du SI : DICT (Disponibilité, Intégrité, Confidentialité, Traçabilité). Une panne hardware (et les problématiques de disponibilité de service en général) fait bien partie des problèmes de sécurité. Il n'y a pas de débat à avoir sur ce point en effet. C'est comme cela que tout le monde travail. Toutes les grilles d'analyse de risques, d'impacts, d'évaluation du besoin de sécurité, de risques résiduels, etc comportent ce critère.
oui bien sûr 8)
Et donc la solution n'est pas un DL 360 mais au moins deux car sur ce type de machine, même en prenant une version avec alim redondante, il faut prendre soin de mettre les disques en RAID 1, tu te retrouves ensuite embêté avec uniquement 2 slots d'extension pour mettre des cartes réseaux supplémentaires et faire de l'agrégation (et encore à condition de ne pas vouloir gérer de DMZ) et final il n'y a qu'une seule carte mère.
Bref, en dehors du cluster, mais à des degrés divers j'en conviens, la solution aura des faiblesses de sécurité ;)
Mais bon, il n'y a pas de polémique. Je voulais juste comprendre ce que tu voulais dire avec
Le niveau de sécurité obtenu depuis votre configuration sera assez faible. Mais c'est un début.
maintenant c'est parfaitement clair.
-
Pour un modem ADSL(2) Ethernet, j'utilise des DLink DSL-320B (qui fait modem ou modem/routeur) avec lesquels j'ai mes habitudes depuis des années.
Un modèle TpLink TD-8616 (modem seul) ou TD-8816 (modem ou modem/routeur) doit faire aussi bien l'affaire.Dans le cas de DLink, on le configure via son adresse 192.168.1.1 avec VPI/VCI 8/35 comme en France, et en activant le bridge RFC1483 : c'est dans la FAQ du site !
Je rappelle que ce boitier agit comme modem, que pfSense gère directement le PPPoE avec les identifiants : le pfSense disposera donc directement de l'adresse ip publique.
Maroc Telecom fournit de base des ADSL avec ip dynamique avec changement d'ip environ 1 fois par jour. -
Bonjour tout le monde
Je viens de trouver que mon routeur/modem supporte le mode bridge , mais j'ai trouvé que y en a deux types ( LAN & WAN Bridge) qui sont présentés dans les images
Aprés que je mets le routeur/modem en mode bridge je dois configurer l'interface WAN pour qu'elle soit en PPPoE c'est sa ? si vous pouvez anticiper ce qui se passera apres merci de me guider vers les bonnes pratiques
Cordialement
-
J'observe que
- VPI/VCI n'est pas bon : 8/36 et non 8/35 comme normal au Maroc
- les bridge (linux) s'appuie sur des objets réels : LAN est un bridge entre la RJ 'LAN' et le wifi (ce qui est fréquent et simple mais pas forcément souhaitable)
- donc les bridge ici ne sont pas le bridge 'rfc1483' nécessaire.
Je parle d'expérience : j'ai retiré le boitier initial de ma première ligne ADSL car il fournissait du wifi et je ne pouvait pas le supprimer.
La récup oui, mais pas là : les boitiers Dlink me sécurisent. (Pour la 2ième ligne, j'ai directement indiqué à Marc Télécom qu'il n'avait pas à me fournir de boitier !)Je n'encourage pas à garder ce boitier, j'encourage à acquérir des boitiers neufs, dédié et sans wifi.