Débit très lent avec IPCop

[Titounet]

Bonjour à vous tous !

J'ai besoin de votre aide experte, si je puis dire, dans le réglage d'IPCop.
Je vous explique la situation. L'entreprise où je me situe utilise deux routeurs ADSL et SDLS.
Le premier, ADSL, de plage 192.168.72.x, est utilisé pour les serveurs, les utilisateurs et le réseau local, avec VPN et un filtrage WEB, Websense (si je ne me trompe pas).
Le second, SDLS, de plage 192.168.200.x, est utilisé par nous, l'équipe informatique, qui n'a ni filtrage WEB, ni connecté au réseau local, pour pouvoir réaliser nos recherches avec un meilleur débit, etc.

Le taux de téléchargement, je me base là dessus, est d'environ 900 Ko/sec. Mon tuteur de stage, je ne suis que stagiaire, souhaite que j'installe un pare-feu simple pour protéger cet accès des attaques, car celui-ci n'étant pas protégé, sa laisse une grande porte ouverte au reste du réseau, malgré tout.

J'ai donc proposer de lui installé IPCop, qui est léger, et peu être utilisé sur de vieille machine. Il a donc récupérer un PC portable, commander une carte PCMCIA D-Link 10/100 Mbps pour avoir une seconde carte réseau. Le PC est déjà équipé d'une carte réseau Broadcom Tigon 10/100 Mbps.

Jusque là, je n'ai eu aucun soucis pour l'installation d'IPCop qui a très bien tout reconnu. Pour le moment, je l'ai installé entre le switch et mon PC, pour des tests locaux, sans perturber les autres utilisateurs de cette ligne. Après l'installation d'IPCop, j'ai installé BOT, que j'ai configurer en donnant seulement accès au http, https, ftp, dns, pop3, pop3s, smtp, smtps, imap, imaps, SSH et ceux que j'ai oubliés. J'ai aussi autoriser l'administration d'IPCop à mon tuteur et à moi-même, car il souhaite que je puisse m'occuper avec lui seul.

J'ai aussi installer AdvProxy et URLFilter, au cas où il souhaiterait vouloir s'en servir. Tout est configuré par défaut et désactivé. Je n'ai rien changé sur cette configuration.

Pour ce qui est des plages IP, IPCop récupère l'IP par le DHCP du routeur, il a donc une adresse comme 192.168.200.x. Pour des raisons de sécurité, j'ai mis les machines, seulement la mienne actuellement, sur une plage IP différente, de la forme 100.10.20.x, avec un masque de sous réseau 255.255.255.0 et les DNS du routeur qui sont ceux du FAI.

Depuis qu'IPCop est installé, mon débit de téléchargement étais descendu à 100 Ko/sec. J'ai vérifier ma configuration, est j'ai essayé d'enlever le nom de domaine (cf. celui du réseau local), et depuis mon débit monte au début à 500 Ko/sec et d'un coup redescend à 200 Ko/sec et stagne.

J'ai aussi essayé de désactiver BOT, pour vérification, rien n'y fais, je ne monte pas plus de 500 Ko/sec.

Le PC portable, à un Pentium 4, c'est vieux je sais, 2Ghz, avec 1Go de RAM et le disque dur un 20 Go. Le disque est très peu utilisé, la RAM maximum à 3% et le CPU maximum à 35%.

Donc, je ne pense pas que le ralentissement vienne du PC, malgré sa vieillesse, quoi que?

Je m'en remets donc à vous pour m'éclairer un peu sur ce que je pourrais faire et d'où pourrait venir le problème. La seul fois que nous avons vu IPCop dans ma formation, étais sur une machine aussi vieille que celle-ci, et le débit rester inchangé même avec le Proxy actif.

Merci d'avance pour vos réponses !

Cordialement

[jdh]

Bonjour,

Une description avec des informations, en veux-tu en voilà !

Mais il manque, quand même, certaines informations utiles (ou essentielles ?) :
- quelle vitesse (débit) ces lignes Internet ? C'est quand même la base !
- quelle organisation : réseau local versus adressage des box/routeur ?
- comment sont positionnés Ipcop et l'autre firewall ?
- comment sont configurés les postes ?

Un portable ne peut pas faire un bon firewall, allumé 24h/24 : c'est loin d'être idéal (carte pcmcia = pauvre performance)

[Titounet]

- Les lignes en chacune un débit de 4 Méga. Une en ADSL et l'autre en SDSL.
- Les deux box sont en fait sur deux réseaux différent. L'une sert pour le réseau serveur, et l'autre pour un réseau WAN, sans filtrages, pour une petite partie d'informaticien que nous sommes. Les serveurs sont sur la plage 192.168.72.x et l'autre Box sur la plage 192.168.200.x. Nos PC, on donc deux cartes réseaux où sont connecté les deux routeurs.
- IPCop et l'autre firewall, ne peuvent pas se voir. Car le firewall sur la plage 192.168.72.x et IPCop sur la plage 192.168.200.x.
- De quels postes parles-tu exactement ? Les postes utilisateurs sur la première plage (192.168.72.x) en DHCP, pour une authentification AD sur Server 2008 R2. Et nous, nous avons une carte pour la première plage, pour s'authentifier aussi sur AD, et une carte réseaux configurer en DHCP sur le deuxième routeur, pour un accès non-restreint sur Internet. De plus, nous supprimons la route du routeur avec le filtrage web, pour ne passer que par le routeur sans le filtrage, celui avec IPCop.

Pour le PC portable, je sais bien, mais nous n'avons que ça de disponible. Depuis que j'ai installer IPCop, j'en suis à ma troisième installation car je tâtonnais encore. Au début, aucun soucis avec le proxy, débit de 900 Ko/sec, maintenant, j'en suis à 200 Ko/sec. Donc, le PC le gère bien, car à la première installe tout allé bien.

Je pense à un formatage complet puis une réinstallation propre, non ? Ce que je n'ai pas fais avant la seconde installe.

Cdlt

[jdh]

4M ?
Pour mire adsl (mire.ipadsl.net), une ADSL 8M c'est 6500Kbps soit 812,5ko/sec. Et on atteint pas forcément cette valeur : dépend de la distance au NRA)
Avec 4M, obtenir un débit stable autour de 500k (sur un volume de 20Mo), cela peut sembler plus ou moins correct.
Espérer les 900k que l'on voit dans les 5-10 secondes initiales d'un téléchargement est une illusion.

Des PC (standard) avec 2 cartes réseaux ?
Je ne vois pas du tout les choses comme cela en terme de schéma réseaux.
C'est même le danger direct !

Un schéma simple (et sûr AMHA) consisterait à découper 3 zones
- une zone LAN : pc ordinaires, imprimantes,
- une zone SERVEUR : en bridge avec la zone LAN,
- une zone DMZ : avec 2 proxy.
Le firewall serait connecté à ces 3 zones et à la ligne ADSL (choix bizarre et surprenant : je ferais l'inverse)
Dans la DMZ, un proxy utiliserait une seule carte et ressortirait par la zone WAN soit l'ADSL (proxy utilisateurs).
Le 2ième proxy utiliserait 2 cartes réseaux : l'une dans la dmz, l'autre relié au routeur vers la SDSL (proxy informatique).
Une simple configuration de proxy pour chaque machine suffirait à choisir le "bon" proxy.

NB : Ipcop n'est pas capable de bridger 2 zones. pfSense le fait très aisément, même en version 1.2.3.

[Titounet]

Bon, c'est du SDSL pas de l'ADSL, donc sa ne sert à rien de regarder sur le site qui parle d'ADSL.

Sinon, je ne suis qu'un simple stagiaire, qui a des missions à effectués. Et comme le parc serveurs, et conséquent, 9 serveurs, avec une 30 de commerciaux, plus une 20 de personnes en interne, seulement à l'endroit où je me situe, donc sans compter les autres emplacement de l'entreprise en France et dans le monde, je ne peux pas me permettre de modifier un réseaux en place.

Sinon voici un schéma, très simplifier du réseaux actuel :



Et ici le but de ma mission actuel :



IPCop, servira seulement de simple pare-feu pour empêcher une attaque, rien de bien trenscandent certes, mais c'est ce que l'on me demande simplement de faire.

Cdlt

[jdh]

Bon, c'est du SDSL pas de l'ADSL, donc sa ne sert à rien de regarder sur le site qui parle d'ADSL.

BEH NON ! La performance est identique et juste fonction du débit nominal. (Même si SDSL a la réputation d'être plus stable et offre un canal montant à débit plus important)

Etre stagiaire, ne vous dispense pas de dire la "norme" (si vous la connaissez).
Parce que, si vous ne le faites pas en étant stagiaire, vous ne le ferez jamais !

Il faut dire que ce schéma actuel, avec des doubles cartes, est juste totalement insecure.


Je suggère un schéma plus sûr, mais cela a-t-il de l'intérêt ?
Je ne sais pas à quoi cela sert de vous expliquer des fondamentaux.


NB : A titre perso, j'ai été aussi stagiaire durant mes études (il y a déjà bien longtemps).
J'ai eu l'occasion de vérifier qu'il n'est pas agréable d'avoir raison contre le chef.
Néanmoins cela m'a valu de retourner dans l'entreprise ensuite ... (même si cela n'a pas duré).
Le directeur est même venu me chercher après mon service !
J'aimerais qu'un stagiaire m'apprenne quelque chose ...

[Titounet]

Bon, j'avais mal compris le principe SDLS ADSL, ce n'est rien de grave. Bref, moi il m'a dit, mot pour mot, que c'était du 4Méga, et moi je vois que j'ai un download à 900 Ko/sec. Après, il se trompe peut-être, je ne sais pas, je n'ai aucun privilège pour pouvoir le vérifier.

Enfin, je viens de vérifier le schéma de son réseau, il possède deux serveurs dédié ISA 2004 pour tout le réseaux local. Il m'a montré, il filtre tout le contenu, l'un intérieur/extérieur et l'autre extérieur/intérieur. Je ne sais pas comment il se débrouille exactement, mes connaissances sont limités...

Oui, je suis une formation professionnel sur 6 mois dont 2 mois en stage. C'est pour dire que c'est court. Nous avons surtout vu tout ce qui est Server 2003/2008, mais peu de mise en place de réseau. Je ne dit pas, que nous ne l'avons pas vu, mais comme tout nos "tests" s'effectua en virtuel pour la plupart, ce fût limité.

Donc, ce qu'il souhaite exactement, ce n'est que juste une protection "gratuite", si je puis dire, pour protéger l'accès, filtrer en quelque sorte, la deuxième ligne.

Pour en revenir à mon problème, je suis actuellement brancher sans passer par IPCop et mon débit monte tranquillement à 900 Ko/sec.

Pour finir, j'ai totalement formater le disque dur avec GParted, et j'ai vu que c'était complètement le bazar. J'ai refais une installation propre, et quand j'aurais finis de m'occuper de la configuration d'un pc du marketing, je retenterais.

PS : jdh, je comprend tout à fais ton point de vue, c'est normal. Pour l'instant, je leur ai installé un serveur WEB local seulement, car il utilise un script PHP/MySQL pour les conges. Il est entièrement sécurisé, sous Mandriva (il m'avait donné carte blanche), il a regardé, il a trouvé mon travail super.
Et ma prochaine mission, sera d'y installer dessus OCSInventory avec GLPI. Il m'a là aussi donné carte blanche, de plus il ne sera pas là.

[ccnet]

Pour l'instant, je leur ai installé un serveur WEB local seulement, car il utilise un script PHP/MySQL pour les conges. Il est entièrement sécurisé, sous Mandriva

Avec le schéma que je viens de voir l'expression "local seulement" n'a pas beaucoup de sens. Comme rien n'est clair sur le fonctionnement des serveurs ISA je considère qu'ils sont inexistants.
L'expression entièrement sécurisé devrait disparaitre de votre langage. La sécurité totale n'existe pas. C'est le premier slide des formations sécurité que j'anime.

[Titounet]

Certes, le schéma peut porter à confusion, car les serveurs sont connecté au WAN. Ceci est normal, car ils utilisent un réseau VPN pour les commerciaux. Il faut bien que c'est dernier puissent avoir accès aux informations.

Oui, erreur de langage, c'est tout à fais impossible la sécurité totale, je suis d'accord.

Mais on s'éloigne du sujet, non ?

EDIT : J'ai remis en place IPCop sur mon poste, le débit ne bouge pas. J'ai fais un test avant et après, le débit est le même. Je vais tester en installant BOT. Mais je souhaiterais savoir avant, s'il y a possibilité de faire une sauvegarde avant, et si en la remettant, cela va me revenir comme si BOT n'avait pas été installé.

[Alfarion]

Petite parenthèse pour le débit.

4Méga, et moi je vois que j'ai un download à 900 Ko/sec

J'ai aussi essayé de désactiver BOT, pour vérification, rien n'y fais, je ne monte pas plus de 500 Ko/sec.

Les offres opérateurs sont exprimés en bits et non en octet.
1 Octet = 8 Bit

Donc pour une offre 4M, un download à 500Ko est normal et tu devrais pas avoir plus. C'est le 900ko qui parait étrange, mais sûrement lié à un mauvais calcul aux premières secondes du téléchargement.