Machine en tant que routeur (pfSense, m0n0wall, Zentyal) [Résolu] - Réseaux - Systèmes & Réseaux Pro
Marsh Posté le 05-05-2011 à 17:42:57
ReplyMarsh Posté le 05-05-2011 à 17:44:48
Je crois Zeroshell répond aux besoins :
http://www.zeroshell.net/eng/
Pour ma part je l'utilise en réel (multi-WAN) et aussi en virtuel pour simuler des environnements de test complets et j'en suis satisfait.
Marsh Posté le 05-05-2011 à 17:54:09
ShonGail a écrit : Smoothwall ne fait pas de multiwan et encore moins de loadbalancing du coup |
En effet : hop, éjecté !
dsy a écrit : Je crois Zeroshell répond aux besoins : |
J'étais tombé sur sur ZeroShell mais je n'ai vu que des version beta :S
Par contre la possibilité de virtualisation m'intéresse aussi (mais sur Xen)
Marsh Posté le 05-05-2011 à 20:34:05
J'avais un peu joué avec monowall / pfsense et l'interface graphique est vraiment chouette
Marsh Posté le 06-05-2011 à 06:49:00
cduv a écrit : J'étais tombé sur sur ZeroShell mais je n'ai vu que des version beta :S |
ZeroShell est toujours en beta depuis longtemps mais cela ne signifie plus grand chose. Il est en production depuis plusieurs années chez nous et je n'ai pas eu de problème de stabilité. ZeroShell continue a évoluer, doucement pour éviter les risques.
J'ai auparavant utilisé ou testé Untangle, m0n0wall, pfSense mais seul ZeroShell permettait le multi-wan et le bonding à l'époque.
Autre avantage de ZeroShell, le minimum de ressources consommées (RAM) par rapport à des solutions comme Untangle ou Vyatta.
Marsh Posté le 06-05-2011 à 08:22:45
Pour ce genre de besoin, a la place d'un PC, tu peux regarder du coté des boitiers Alix (2D3 ?) qui sont des sorte de micro appliance.
Tu peux y avoir pfsense intégré, auquel cas tu configures, et tu oublies.
Pour ton besoin assez limité, ca pourrait coller.
Marsh Posté le 06-05-2011 à 13:07:02
Zeroshell : testé chez moi, un vrai boulet à paramétrer. Mais une fois fait, parfaitement opérationnel.
pfSense et m0n0wall : impécables l'un comme l'autre, du nougat à paramétrer. Néanmoins m0n0wall a un peu de retard dans les améliorations demandés par les utilisateurs, qui sont reprises pour les plus importantes par l'équipe de dév de pfSense.
Si tu préfères la stabilité, pars sur m0n0.
Si tu as besoin d'une fonction que n'a pas m0n0, pars sur pfSense.
Pour les autres :
- SME Server n'est plus en développement officiel depuis 2008 repris depuis par une équipe de bénévoles, les mises à jour sont très espacée (7.4 novembre 2008, 7.5 mai 2010).
- Zentyal, anciennement appelé eBox, fonctionne essentiellement par modules. Le gros avantage étant que tu peux avoir une machine Zentyal qui fait firewall et une autre machine Zentyal qui fait serveur de fichiers. En contre il est basé effectivement sur Ubuntu, donc bon bof
Quand le développement était encore appelé eBox, cela fonctionnait parfaitement sur une Debian, donc à voir si toujours possible ou pas.
-IPFire : fork d'IPCop basé sur un Linux "from scratch". Tourneras impécablement mais j'ai des doutes sur le support matériel si tu pars sur une machine spécialisée (cf post de trictrac).
- Endian : dans les rares tests que j'ai pu lire, il est assez souvent fait mention que certaines attaques ne sont pas répercutées dans les logs (ici par exemple). De plus au vue des différences avec la version appliance, il est clairement fait mention que la version librement téléchargeable est très inférieure en sécurité à l'appliance. A mon avis à oublier aussi.
Marsh Posté le 06-05-2011 à 13:34:16
Je confirme, pfsense est niquel et me semble répondre à ton cahier des charges.
Ne cherche pas plus loin
Marsh Posté le 06-05-2011 à 13:37:56
bardiel a écrit : Zeroshell : testé chez moi, un vrai boulet à paramétrer. Mais une fois fait, parfaitement opérationnel. |
Quelles difficultés as-tu rencontré pour paramétrer ZeroShell ? Je suppose que tu as utilisé l'interface web.
Marsh Posté le 06-05-2011 à 18:27:42
C'était pour faire un portail captif tout bête, sans authentification, qui renvoyait juste sur un LAN : j'entrais des paramètres et il ne me les prenait pas en compte...
De plus le QOS (notamment pour limiter la bande passante par utilisateur) n'a jamais voulu fonctionner, alors j'ai préféré laissé tomber et repartir sur du m0n0wall.
Marsh Posté le 11-05-2011 à 17:29:56
Je confirme, je suis entrain de mettre en place une solution identique et pfSense réponds très bien au besoin (utiliser plutot la 2.0-RC1 que la dernière version 1.x par contre). La configuration me parait aussi plus ergonomique que ZeroShell (je n'ai pas essayé m0n0wall par contre), le must étant le système de package qui te permet d'installer d'un simple clics des outils très utiles (genre un squid en proxy transparent, du ntop, un module netflow, ... ca permet de voir un peu ce qui transite par tes liens).
Marsh Posté le 12-05-2011 à 14:44:35
Merci pour toutes ces réponses.
J'ai commencé à tester pfSense, mais la 1.2.3.
Je vais installer aussi la 2.0-RC1 pour voir les avancées.
Marsh Posté le 12-05-2011 à 15:43:31
cduv a écrit : Merci pour toutes ces réponses. |
Hello,
du coup, ca m'a donné envie de tester Pfsense
Pourquoi installer la 1.2.2 et pas directement la 2.0 ?
Marsh Posté le 12-05-2011 à 21:19:03
cduv a écrit : Je vais installer aussi la 2.0-RC1 pour voir les avancées. |
Peut être parce que la 2.0 est encore en Release Candidate ? donc en développement/version béta
Marsh Posté le 09-01-2016 à 22:24:47
avez vous des retours sur la solution je l'ai en prod sur un réseau dédié aux maquettes depuis pas mal d'années. Mais sur une vrai prod avec un reseau qui monte en charge ca donne quoi ?
avez vous vu des trucs bien et d'autre moins bien ? j'ai cru comprendre que la partie vpn etait un peu en retrait.
Marsh Posté le 10-01-2016 à 00:17:43
Les réglages du début pour éviter les déconnexions subies lors du surf web sur des sites qui n'aiment qu'on change d'adresse IP (nous fonctionnons en mode load-balancing) étaient un peu embêtant à mettre en place.
Et toujours "à cause" du multi-WAN j'ai du passer un peu de temps à régler les services pour qu'ils fonctionnent aussi bien quelque soit la connexion WAN utilisée (en sortie comme en entrée).
L'intégration LDAP fonctionne bien mais il semble que pfSense, au démarrage, se fixe sur une connexion particulière pour la liaison LDAP. Ce qui a tendance à poser problème lors de la coupure de cette connexion car alors l'interface web réponds très mal. L'option RADIUS (non testée) semble moins impactée car on peut configurer le timeout (ce qu'il n'y a pas dans la configuration LDAP).
Le VPN (IPSec) fonctionne bien (clients Windows et mobiles iOS).
Marsh Posté le 10-01-2016 à 08:55:24
ok donc l'aspect multi-wan necessite un peu de conf. J'ai pour projet d'utiliser justement pfsensz pour du multi-wan. la configuration specifique dont vous parlez touche quelle partie ?
Marsh Posté le 10-01-2016 à 15:11:56
Cette configuration particulière a été faite alors que pfSense était en v2.1 (cela a peut-être changé depuis) et était nécessaire pour que les services hébergés sur le pfSense :
Soient accessible depuis n'importe quelle WAN (trafic entrant) et puissent accéder à Internet via n'importe quel WAN (trafic sortant).
En ce qui concerne le respect des sessions, le temps perdu était surtout dû à la découverte de l'outil et de ces subtilités : le produit le gère mais il fallait trouver où le configurer.
Marsh Posté le 05-05-2011 à 17:01:28
Bonjour,
Nous disposons actuellement d'un routeur physique pour gérer la passerelle vers Internet (via 3 connexions Internet différentes).
J'envisage de passer à un ordinateur dédié à cette tâche sous GNU/Linux.
Raisons :
Voici le "cahier des charges" :
Environnement :
Après enquête j'ai trouvé les distributions linux suivantes :
SmoothWall Express(pas de multi-WAN)Auriez-vous des retours sur ce genre d'installation ? Sur les distribution existantes (citées ou non) ?
Message édité par cduv le 09-01-2016 à 17:07:43