Débutant en PfSense

Ce forum est dédié à PF Sense, une distribution open-source, basée sur FreeBSD et destinée à la mise en place d'un routeur firewall

Modérateur: modos Ixus

Débutant en PfSense

Messagepar tekken-iii » 14 Avr 2011 12:22

Bonjour tous le monde,

Je vient d'installer un serveur PfSense version 2.0-RC1(i386) dans mon entreprise ,pour information j'avais un serveur Ipcop configurer comme suite( AdvProxy en mode transparent+UrlFilre+...)
bon mon problème avec Ipcop c'est que j'ai plus que 40 postes dans le réseau alors la connexion se coupe après un certain temps .J'ai posé mon problème dans ce forum et les réponses me conseil d'utilisé PfSense .

Mon contexte :
- PME, 40-45 postes clients
- 1 Firewall Pfsense fraichement installé .

La configuration que j'ai fait :
Interface WAN :192.168.1.6
Interface LAN :192.168.2.2
DNS SERVERS :Adresses du fournisseur FAI :
Gateway :192.168.1.1 (Mon routeur Sagem Fast)

Les questions :
- Je parviens pas à me connecter avec un poste client configurer (192.168.2.7 /Passerelle par défaut :192.168.2.2) est ce que j'ai loupé une étape
- Est ce que ca va marcher si j'active le proxy sur le firewall ?
- Est ce que PfSense gère l'équivalent de UrlFilre en Ipcope ?


Merci d'avance pour vos réponses et conseils.
tekken-iii
Matelot
Matelot
 
Messages: 7
Inscrit le: 21 Mars 2011 12:37

Re: Débutant en PfSense

Messagepar ccnet » 14 Avr 2011 13:09

Ce message appelle de nombreux commentaires et réponses.

Je vient d'installer un serveur PfSense version 2.0-RC1(i386) dans mon entreprise

Attention la V2 est RC, c'est à dire release candidate et non finale. Donc il y a encore de nombreux tickets ouverts. Déconseillé en production dans votre cas.

( AdvProxy en mode transparent+UrlFilre+...) bon mon problème avec Ipcop c'est que j'ai plus que 40 postes dans le réseau

Proxy fortement déconseillé sur le firewall pour une quarantaine d'utilisateur. Sinon Squid +Squiguard donne des fonctionnalités analogues à url filter je pense.
La configuration que j'ai fait :
Interface WAN :192.168.1.6
Interface LAN :192.168.2.2
DNS SERVERS :Adresses du fournisseur FAI :
Gateway :192.168.1.1 (Mon routeur Sagem Fast)

Semble ok. 192.168.1.1 est bien la gateway pour Wan ?
Sur votre config, vu l'adressage il faut désactiver l'option "Block private networks"sur Wan.

Je parviens pas à me connecter avec un poste client configurer (192.168.2.7 /Passerelle par défaut :192.168.2.2) est ce que j'ai loupé une étape

Vous connecter à quoi ?
Vous ne parlez pas des règles qui ont été ajouté sur les interfaces de Pfsense. Sans règle, par défaut rien en ne passe.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Re: Débutant en PfSense

Messagepar tekken-iii » 14 Avr 2011 17:32

Merci Mr CCNET pour votre aide et votre réactivité

Selon ta réponse même avec PfSense c'est déconseillé d'installer le proxy dans la même machine que le firewall .
Alors ma migration de Ipcop vers PfSense n'est plus nécessaire car je trouve que Ipcop est plus souple que PfSense !!!!

Pour être claire mon vrai besoin c'est d'avoir un Proxy ,mais d'avoir la main sur un Adon tel que UrlFilre qui va me permettre de contrôler les sites visités par les utilisateurs.
Je pose la question alors si Squid +Squiguard peut me donner l'accès à UrlFilre je vais réinstaller Ipcop et ajouter l'Adon Squid .

Merci encors une fois pour vos aides
tekken-iii
Matelot
Matelot
 
Messages: 7
Inscrit le: 21 Mars 2011 12:37

Re: Débutant en PfSense

Messagepar jdh » 14 Avr 2011 17:51

A partir de, disons, 10 utilisateurs, il est à conseiller de séparer firewall et proxy.
(Du fait de la nature différente de l'utilisation des ressources cpu, disque, mémoire de chaque matériel ...).

C'est donc à prendre en considération quelque soit le firewall.

Il m'étonnerait fort qu'Ipcop soit plus souple que pfSense, ou alors, on a pas les mêmes besoins ni fait les mêmes tests !

Par ailleurs Squid est installé de base avec Ipcop (non actif), urlfilter utilise SquidGuard comme les blacklists.
Je peux me tromper mais c'est comme si urlfilter et les blacklists était des réglages complémentaires de SquidGuard addons naturel de Squid.

Ccnet suggère que pfSense 2.0RC peut fonctionner seul comme un excellent proxy (ce qui n'est pas le cas avec 1.2.3).
Je préfèrerai plutôt l'utilisation d'outils tel Artica, ou équivalent ...
Le meilleur étant, sans doute, sûrement, une Debian avec des réglages manuels liés à l'expérience (mais cela n'existe pas "tout fait" !).
L'intelligence artificielle n'est rien à côté de la stupidité naturelle.
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Re: Débutant en PfSense

Messagepar ccnet » 14 Avr 2011 18:08

Alors ma migration de Ipcop vers PfSense n'est plus nécessaire car je trouve que Ipcop est plus souple que PfSense !!!!

C'est juste le contraire. Quelques exemples.
Pour contrôler le trafic sortant il faut un addon sur Ipcop.
Pour gérer les vlans il faut tout faire manuellement et hors des spécifications de pfsense.
Les interfaces d'ipcop ont des rôles prédéfinis précis, ce qui ne permet pas d'avoir le choix de l'architecture. Par exemple deux dmz : pas possible avec ipcop, deux réseaux wifi (in pour l'entreprise, un pour les invités) : pas possible.
Pour le vpn il faut aussi un addon sur Ipcop.
Je pourrai continuer longtemps la liste.

Pour être claire mon vrai besoin c'est d'avoir un Proxy

Alors installez un proxy. Pas un firewall. Soit vous mettez les mains "dedans" et vous installez tout ce qui va bien sur une Debian ou une Unbuntu LTS. Flexibilité maximum mais il faut des connaisances. Ou bien une solution packagée ; Pfsense V2 (avec une seule interface), Artica, ...
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Re: Débutant en PfSense

Messagepar tekken-iii » 14 Avr 2011 18:58

Merci jdh et ccnet pour tous ces éclaircissements [-o<
tekken-iii
Matelot
Matelot
 
Messages: 7
Inscrit le: 21 Mars 2011 12:37


Retour vers pfSense

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 0 invité(s)

cron