Alors voilà dans un soucis d’optimiser mon infrastructure réseau, surtout au niveau sécurité.
j’ai donc un nas, sur lequel tourne en vm jeedom.
d’après ce que j’ai compris PfSense est une solution de firewall intéressante et facile a mettre en place.
par contre je dois avouer être une buse en réseaux.
je ne comprend pas trop sur quoi installer pfsense ?
si je comprend certain l’installe en vm, mais a ce moment là il es nécessaire d’avoir deux carte réseau ?
Si je fait en vm, jeedom sera sous le pare-feu ?
j’ai d’ailleurs cru comprendre qu’il faut passer le modem en bridge malheureusement je suis chez orange BE et le mode bridge n’est pas disponible pour le moment…
et changer d’opérateur n’est pas vraiment une solution car l’ip fixe m’arrange, et financièrement le regroupement d’abonnement
Donc ma question est surtout de savoir si c’est mieux de faire
modem => pfsens => switch => nas, pc, etc…
si c’est cette solution la plus favorable qu’elle matériel me conseiller vous pour installer pfsens, entre nous cette solution me semble plus cohérente.
ou
modem => nas vm pfsense => switch => reste des périphériques…
si cette solution comment faire pour que le nas, et jeedom soit protéger par le pare-feu ?
pour ce qui es du switch, je vois des switch administrable d’autre non lequel est le mieux ? dans ce projet ?
et en quoi veux dire administrable ? je présume que je pourrais choisir l’adresse ip local de chacun, ainsi que l’ouverture de port ou cela se fait via pfsense ?
Comme tu semble ne pas avoir de routeur(tu utilises celui de ta box orange),le plus simple et le plus fiable est d’installer pfSense sur un hardware dédié.
En plus, ça t’isole de la box et rendra ton installation indépendante.
Il y a des petits serveur dédiés pour pfSense, avec 2 ou 3 cartes réseaux, et même du wifi. Je peux te retrouver la ref du mien si tu veux.
PS: pour le wifi, je préfère une solution indépendante, mais tu pourras toujours l’ajouter par la suite.
Pour le problème du mode bridge, tu n’as plus qu’a gérer ça en double nat. C’est a dire ouvrir le port de la box, et celui de pfSense.
Le Switch mangeable te sert principalement a gérer des réseaux virtuels vLan. Intéressant, mais pas indispensable au départ. Et un peu plus compliqué à mettre en œuvre (les vlan).
C’est un q355g4 de marque qotom acheté au constructeur sur Aliexpress (je ne crois pas que je puisse mettre le lien ici) pour environ 300$ (mais j’ai pris large.
Ça fait 6 mois qu’il tourne chez moi, pour l’instant sans soucis. Dirait encore attendre quelques années pour parler de fiabilité, mais bon.
Il est évidemment sur onduleur avec le reste de la domotique.
Bonsoir
J’ai un pFsense installé sur un Netgate SG1100 acheté preinstallé chez Viatitude pour 214 € TTC (avec 3 cartes reseaux) qui tourne impeccable depuis 1 an deja
Pour ta box Orange pas de probleme tu mais ton port LAN en DMZ comme ca TOUS les ports sont nattés (plus aucune manip a faire !!)
Hello,
La meilleure des solution est de partir sur du Hardware a savoir une machine en dur.
Il te faut au minimum deux interface réseau de préférence Intel (supportées officielement par Pfsense) mais les chipet Broadcom fonctionnent très bien je tourne avec depuis 1 an.
Coté Hardware je tourne sur ça: https://www.asrockind.com/overview.asp?Model=IMB-150
Avec 4Go de Ram et un SSD de 32Go cela me suffit parfaitement.
Si tu ne veux pas changer d’opérateur tu peux passer ton parefeu dans la DMZ de la box mais attention il faut absolument que ta TV reste sur la box et qu’elle ne passe pas par le parefeu. tu peux aussi faire du Double NAT sur la box.
Tu peux aussi acheter des appliance déja faites chez netgate (Pfsense) comme le dit @leon-99.
Donc ca te fais partir sur la solution NET => Box => PFsense sur DMZ ou NAT => Switch
Hello, pour information je n’ai pas d’abonnement TV .
L’idée de savoir que je paye pour avoir 30 minutes de pubs sur un film de 1h30 m’horripile
En tout cas merci pour les pistes je vais me mettre a l’oeuvre
Bonjour à tous
J’avais moi même regardé fût un temps pour pfsense. Hormis le fait qu’il faille absolument un processeur AESNI, j’avais été bloqué sur l’absorption des trames quand on est en fibre.
J’ai en interne un réseau giga, qui tourne à environ 900Mb/s, mais choisir le mauvais matos, avec malgré tout des cartes réseaux giga, peut faire dégringoler à 500Mb/s le trarfic LAN.
du coup je me suis arrêté là et je n’ai pas investi n’ayant pas de certitudes.
Enfin il faut savoir, pour ceux qui possèdent des cam chinoise, que malgré les réglages et les fermetures via leur interface, on voit malgré tout bcp de trafic vers des serveurs chinois sur des ports qui ne figurent même pas sur l’interface (c’est le cas pour wanscam) donc un firewall s’impose.
Bonjour à tous, je remonte ce sujet trouvé sur le web car je désire acquérir la hardware Netgate1100 de Viatitude dont parle Léon-99 et je voulais lui demandé comment il faut le brancher derrière une livebox pro V4 en fibre optique. Pour mon réseau actuel je ne suis pas en règle car je ne peux pas tracer le trafic, j’ai simplement branché en étoile 6 PA TPLINK derrière la box qui fait le routage et le DHCP du réseau local mais je ne trouve pas de tuto pour intégrer à cela le Netgate. Il y a un port Wan et 2 ports Lan à l’arrière, faut il le relier à la box avec 1 port Lan et repartir vers les PA du réseau local par le second port Lan comme je le fais pour le réseau actuel?
Dans la description du fabriquant il est indiqué qu’il peut être utilisé comme routeur, fait il dans ce cas le DHCP pour le réseau?
Merci de vos infos.
Bonjour
Tout d’abord , si tu es en fibre 1 G , oublie la Netgate 1100 , ton debit internet va etre bloqué a 400 Gb en environ ,et il n’y a rien a faire si ce n’est changer de modele (le modele ad hac chez Netgate est a + de 700 € )
Moi j’ai trouvé grace au forum netgate un modele sur Amazon : Micro Firewall Appliance Mokrotik a 350 € environ avec pfsense prechargé et qui fonctionne parfaitement depuis presque 1 an.
Question fonctionnement la box Netgate (ou autre) doit etre branchée entre la livebox et ton reseau local: port Wan vers la Livebox, port Lan vers reseau local1 (et eventuellement port Lan2 vers reseau local2) , elle sert de routeur (NAT et PAT ) entre la livebox et ton réseau local
La livebox doit etre en mode DMZ (cad qu’elle laisse passer TOUT le traffic entrant/sortant depuis/vers le reseau local/la fibre Ethernet
C’est la box Netgate qui controle (gere ) tout le traffic (attention par defaut tout est bloqué) donc il faut creer en premier une regle qui autorise tout le traffic sortant (tu affineras par la suite…)
La box netgate peut servir de serveur DHCP, DNS pour le reseau local, mais ce n’est pas une obligation, il est plus sage de ne pas trop la surcharger… chez moi DHCP et DNS sont fait par un NAS
Aller courage , c’est pas si compliqué
Merci Léon-99 et pctetra pour votre réactivité, vous êtes plus calés que moi en réseau, je connais que le minimum, j’ai fait ce réseau il y a au moins 15 ans sur la bases de routeurs linksys (wrt54G)que je mettais en point d’accès uniquement car il balançais plus en wifi que de simple PA. Puis je suis passé au fur et à mesure des années à des routeurs TPlink (wr1043ND-Ac1200) toujours en PA qui sont très stables pour mon usage, clientèle de tourisme. C’est sans doute une aberration pour les pro des réseaux de mettre ça en PA mais bon les prix sont très bas, alors…
Pour ma fibre, non hélas, en campagne, elle donne autour de 240mb, bien loin du Giga. C’est un réseau uniquement pour les clients derrière une box Nordnet une sagem qui plante jamais depuis 2 ans mais vous allez pas le croire on peut même pas changer le mot de pass pour entrer dans l’interface de gestion, incroyable, elles sont toutes comme ça, mais c’était à l’époque le seul prestataire de fibre. Donc je n’ai pas besoin de le diviser aucun risque pour moi je suis sur un autre réseau avec une livebox pro V6, offre professionnel. Je n’ai même pas limité le débit sur chaque routeur car je n’ai pas de remonté de lenteur des clients. La box route et distribue les IP locales; je ne pense pas avoir plus de 30/40 connexions simultanées mais je n’ai pas installé de log qui surveille pour avoir les pics exactes.
Si je te suis bien Leon-99, je mets le NG1100 derrière la box en le reliant d’un des ports Lan vers le port wan du NG, comme je le fais pour mes routeurs (point d’accès) actuellement, je mets la live box en DMZ et donc j’attribue une ip locale au NG1100 pour la DMZ. Je me souviens plus bien , je faisait cela il y a une dizaine d’année sur une IP locale dédiée type 192.168.1.50 pour que les clients qui en avaient besoin pour communiquer avec le serveur de leur boite puisse le faire en VNP, mais cela fait des années que l’on ne me le demande plus.
Je crois aussi comprendre que c’est pfsense qui peu gèrer le DHCP, c’est cela? Donc il faudra arrêter cette fonction sur la Sagem?
Est ce que je suis sur le bon montage, naturellement après il faudra que je potasse le paramétrage de pfsense.
J’ai vu également que TPlink propose sa propre solution avec le 0c200 et son logiciel OMADA, mais je crois comprendre que cela ne fonctionne que si l’on s’équipe de PA conçu pour leur logiciel, je crois pas que ça fonctionnerait avec mes routeurs actuels et en plus on n’est plus autonome.
Bonjour
J’ai pas bien compris la façon dont tu voulais construire ton reseau derriere la Livebox.
Aussi je vais prendre un exemple ce sera plus simple et plus clair que de long discours.
De base ta LBox est en 192.168.1.1 /24 ,donc la sortie Wan de la Netgate peut être en 192.168.1.2 /24 (par ex)
La sortie Lan de la Netgate peut être en 192.168.2.1/24 ce qui implique que ton réseau interne soit en 192.168.2.x
Il y a donc 2 réseaux différents : soit tu modifies les periph Lan interne en 192.168.2.x (ce qui est facile si tout est en DHCP ) , sinon si tu veux garder la plage d’ip interne en 192.168.1 tu modifies l’ip de ta Lbox en 192.168.2.1 (c’est ce que j’ai fait chez moi )
Attention la Livebox ne sera plus serveur DHCP ,car le protocole DHCP n’étant pas routable, ne passera pas a travers la NG, mais tu peux utiliser la NG en serveur DHCP .
Quand je parle de DMZ, c’est le paramétrage de la LBox qui doit etre configuré en DMZ, Sur la Netgate on ne peut pas parler de DMZ, mais éventuellement utiliser la sortie LAN OPT1 pour avoir un autre réseau indépendant si nécessaire. (chez moi j’y ai mis un serveur Web )
Sur ta Netgate après la config du premier démarrage (ip, passwd,etc ) dans un premier temps travaille surtout sur les menus : Interfaces, parefeu (Alias et regles ) Services (serveur DHCP) et Etat (journaux systems) pour voir ce qui se passe… Tu découvriras le reste au fur et a mesure .
Il y a beaucoup de menus et de paramètres et parfois on s’y perd un peu !!!
Voila, j’espère avoir été assez clair…
Une précision … sur un reseau il ne doit y avoir QU’UN serveur DHCP , que tu mets sur la machine que tu voudras, a condition qu’elle soit sur le réseau
Tes explications me semble claires et je vais essayé d’être plus précis sur mon réseau.
En fait mon réseau actuel est simple, il part d’un des ports Lan de la sagem Nordnet en 192.168.0.1 qui fait le DHCP vers un premier routeur TPlink paramétré en simple PA, puis de ce routeur repart 3 RJ45 reliant 3 autres TPlink paramétré en simple PA et enfin 2 de ces 3 routeurs sont de nouveau raccordés chacun à un dernier routeur qui sert de PA. Donc 6 TPlink qui servent de PA au total et la box qui sert de passerelle et attribue les IP locales.
Lorsque tu dis que la Netgate peut être en 192.168.2.1 cela signifie que c’est l’adresse qui lui est attribuée d’origine ou tu la paramètres volontairement pour qu’elle soit différente de celle de la box (sagem Nordnet dans mon cas qui est en 192.168.1.1 mais que je peux changer) ?
Je comprends également que la box sagem ne doit plus gérer le DHCP mais qu’il faudra le configurer sur la Netgate, c’est cela?
Pour la DMZ, je vais regarder l’interface de la box sagem pour voir comment je peux paramétrer ça. Si je me souviens bien sur la box orange pour faire ça il fallait donner une adresse locale à l’equipement que l’on voulait mettre derrière la box puis lui attribuer un bail statique dans le DHCP et enfin allez dans la DMZ pour sélectionner l’équipement pour l’intégrer.
Ok, je pense que j’ai a peu près compris, je me remémore en même temps que j’écris des manipes que je n’ai pas faites depuis longtemps, ça va revenir.
Merci à toi, je vais pouvoir commander le Netgate 1100.
Lorsque tu dis que la Netgate peut être en 192.168.2.1 cela signifie que c’est l’adresse qui lui est attribuée d’origine ou tu la paramètres volontairement pour qu’elle soit différente de celle de la box (sagem Nordnet dans mon cas qui est en 192.168.1.1 mais que je peux changer) ? Citation
Aucune IP n’est attribuée d’origine a la Netgate… c’est toi qui choisit .
Le Protocol DHCP passera par des PA (qui sont dans le même réseau )
Je n’ai pas trop compris ou se trouve la Box Nordnet et la Livebox ?
La procédure pour mettre la Livebox en DMZ c’est a peu pres ce que tu decrit (sur la LB4 les menus ont un peu changés mais le principe est le meme
Un petit detail :certain routeur si ma mémoire est bonne meme configuré en PA peuvent faire serveur DHCP, donc tu pourrais utiliser le routeur de tete si tu preferes a la netgate !!!
En fait j’ai 2 abonnements fibre, un chez Nordnet et le second chez Orange. Le réseau pour la clientèle est sur la box Sagem de Nordnet et mon réseau privé entreprise sur la livebox Orange. Comme cela il n’y a pas de risque d’intrusion sur Orange tous les PC sont en filaire, pas de wifi.
J’ai déjà reçu une réponse de viatitude, ils sont réactifs et il m’indique la même chose que toi pour l’infrastructure du réseau: Interne fibre sur la box puis partir d’un port Lan de la box vers le port Wan du Netgate puis du port Lan de celui-ci vers un port Lan du premier PA du réseau.
Ils soulèvent tout de même un problème supplémentaire, pour être conforme à la loi il faut stocker un an de données et donc me conseillent soit de prendre le modèle NG2100 max ou de rester sur le NG1100 mais en installant un serveur syslog sur un pc dédié à ce réseau. J’ai bien un pc sous wind 7 qui ne me sert plus sur lequel je pourrais installer un logiciel open source permettant de stocker ces données mais c’est une prise de tête supplémentaire car je n’ai jamais fait ça.
Tu en penses quoi, le NG2100 est 2 fois plus cher mais si il permet de stocker plus d’1 an de données en autonomie sans être obliger d’installer un serveur pour cela, ne serait ce pas une meilleur option.
cdt
Bonsoir
Effectivement pour un reseau d’entreprise il faut stocker les Logs … ca ne m’a même pas effleuré l’esprit n’étant pas concerné par ce genre de problème.
L’avantage de la NG2100 c’est que le stockage est évolutif …(SSD M2 ) donc tu peux rajouter de la capacité, et puis ne pas avoir a gérer une autre machine c’est peut être aussi bien .
Maintenant tout logger va aussi charger un peu la bete !!! ( je n’ai jamais travaillé sur des serveurs Logs … mais ce ne doit pas etre bien compliqué …)
Perso j’opterai pour le NG2100 , simplifions un peu.
Bonjour
Attention les logs stocké par ton netgate seront limités au firewall. C’est à dire les packets désirés ou non avec les adresses IP d’origines et de destinations avec les ports d’origines et destinations
Ils n’y a pas d’utilité de les stocker pendant 1 ans
Dans le cas de réseaux d’entreprise sécurisé il faut stocker les accès internet avec un proxy
Pfsense peut le faire avec des extensions mais il faut les paramétrer
Comme tout firewall, tu peux envoyer des logs vers un serveur externe (syslog) qui enlève tout problème de stockage sur ton firewall
Le choix de ton netgate doit se faire en fonction de la bande passante que tu as et le nombre de connexion que tu peux avoir
Pour les adresses IP, tu peux les paramétrer comme tu veux (dhcp, fixe ou ppoe). Tu peux utiliser des VLAN pour « multiplier » le nombre d’interface
Les réseaux doivent être différent sur chaque interface afin que le routage puisse se faire dans les deux sens
Cordialement
