PFSense multi-wan et schema réseau

[nicolas21]

Bonjour,

J'ai l'intention de mettre en place Pfsense en mode multi-wan dans le cadre de la sécurisation des liens internet (une freebox et une livebox) pour ma société. J'ai lu plusieurs docs / posts sur internet et ça semble correspondre à ce que je veux. Par contre j'ai un doute pour la configuration des postes clients windows XP qui sont en ip fixe au niveau de la GW et des DNS.

Pour vous me dire si mon schéma réseau vous semble correct ou si il a y des grosses erreurs. Si il faut plus d'informations ou si ce n'est pas clair, dites le moi.
Autre question: y'a t'il une contre indication pour la freebox ou la livebox pro(inventel) ??
Par avance merci!


Nicolas

Schéma réseau:

LAN (192.168.10.XX) --- eth0 192.168.10.254 PFSENSE
PFSENSE eth1 192.168.20.250 --- FREEBOX 192.168.20.254 --- internet
PFSENSE eth2 192.168.30.250 --- LIVEBOX 192.168.30.254 --- internet


SRV_DNS-BIND interne
IP: 192.168.10.250
GW 192.168.10.254

Config poste client Windows XP.
IP-FIXE: 192.168.10.10
GW: 192.168.10.254
DNS1 : 192.168.10.254
DNS2 : 192.168.1.250
ou juste DNS1 (pour l'accès internet).

[ccnet]

Pas de problème pour la configuration des postes clients.J'imagine que le dns interne et Pfsense vont prendre les informations dns au même endroit. Vous avez sans doute une raison spécifique pour avoir un dns en interne. Pour l'accès à internet cela ne change rien.

Autre question: y'a t'il une contre indication pour la freebox ou la livebox pro(inventel)

La livebox Pro est juste "agaçante" parce qu'il n'est pas possible de la mettre en pont, elle fonctionne obligatoirement en routeur NAT. La freebox ne pose pas de difficulté en pont. C'est d'ailleurs la configuration la plus souhaitable dans votre cas.

[nicolas21]

Je vous remercie de votre réponse rapide !
J'avais un doute concernant le bon fonctionnement du DNS avec des postes windows en IP fixe (du style timout http).

Pour le DNS, PFSense prendra la config DNS via les *BOX en mode DHCP. D'ailleurs est-il possible de configurer un bind local sur PFSense (pour résoudre des noms locaux) ?? Ce qui éviterai l'utilisation d'une machine supplémentaire comme DNS. Mon but étant d'avoir sur les postes clients XP 1 passerelle et 1 DNS qui soit (sont) l'ip LAN du serveur PFSense.
Je crois que je me pose bcp bcp de question et qu'il faut surtout que je me lance ! Fini la thérorie, place à la pratique !

Je prendre note aussi pour la livebox.

Nicolas

[ccnet]

Si il ne s'agit que de résoudre des noms locaux, alors dans Pfsense : Services: DNS forwarder et dans cette page vous pouvez ajouter des noms locaux pour obtenir leur résolution.

Mon but étant d'avoir sur les postes clients XP 1 passerelle et 1 DNS qui soit (sont) l'ip LAN du serveur PFSense.

Vous pouvez aussi bien mettre tout ce petit monde en dhcp pour obtenir aussi ce résultat.

[nicolas21]

Bonjour,

Je viens de paramétrer PFSense 1.2 avec une freebox et une livebox en mode dual wan, j'ai suivi la documentation :
http://doc.pfsense.org/index.php/MultiWanVersion1.2


J'ai par contre un problème avec ma livebox inventel (mode routeur avec une DMZ sur OPT1) sur OPT1 (WAN2). Quoi que je fasse, OPT1 reste offline au niveau de loadbalancer. En testant via "diagnostics : ping et OPT1" je ne ping pas internet. ping de la livebox ok. ping des DNS orange ko. Les interfaces sont toutes UP.

Je ne vois pas ce que j'ai oublié, il faut créer une route pour OPT1 ?

J'ai pensé à un problème de carte réseau mais depuis mon pc j'arrive à me connecter à l'interface de la livebox. donc je pense pas que ce soit ça.


Au tout début je précise que j'ai connecté sur le WAN, la livebox est ça fonctionné... et pas la freebox qui était sur OPT1 (WAN2). Après j'ai fais un reset factory et inversé les box.


J'ai essayé en cochant/décochant "Allow DNS server list to be overridden by DHCP/PPP on WAN" mais ça influe que sur WAN et pas sur OPT1.

Si quelqu'un a une idée... je suis preneur.

Nicolas

[nicolas21]

Je me répond à moi même. si ça peux aider d'autre personne.

J'ai modifier les différents pool "LoadBalance", "Wan1Fails-ToWan2" et "Wan2Fails-ToWan1" au niveau du DNS de WAN2.
Avant j'avais le DNS de orange et là j'ai remplacer par un DNS SERVER qui correspond à ma livebox. et ça fonctionne... tout est online.


Par contre, le ping via OPT1 ne fonctionne toujours pas sur une simple ip internet (serveur ovh).

Nicolas

[ccnet]

Je me répond à moi même. si ça peux aider d'autre personne.

Avant j'avais le DNS de orange et là j'ai remplacer par un DNS SERVER qui correspond à ma livebox. et ça fonctionne... tout est online.
Nicolas

Je ne suis pas certain de bien comprendre.

Ce que je comprend c'est que vous avez changé de dns pour utiliser ceux liés à un abonnement ADSL+livebox . Ce qui expliquerai votre problème. Chez Orange les dns accessibles sont dépendants de l'abonnement souscrit.

[nicolas21]

Bonjour,

J'ai installé squid pour avoir un proxy transparent et filtrer (bloquer) certaines urls, ça fonctionne bien. Par contre si je l'active, le mode failover du dualwan ne fonctionne plus. j'ai tester en débranchant WAN1 et dans ce cas là, je n'ai plus internet sur WAN2. Savez vous si c'est normal ?

Dans tous les cas, merci pour vos réponses !

Nicolas

[ccnet]

Oui, c'est normal. Le problème serait le package Squid utilisé sur Pfsense.
http://forum.pfsense.org/index.php/topic,10500.0.html

[nicolas21]

Merci pour votre réponse rapide, ça confirme mes tests !
J'avais fais une recherche sur "squid dual wan" ...

J'ai une dernière question pour vous ccnet concernant les boîtiers ou serveurs rackables.
En cherchant des infos sur les boîtiers soekris, alix .. je suis tombé sur une de vos réponse:
http://forum.pfsense.org/index.php?topic=11323.msg62782
http://www.pfsense.org/index.php?option ... &Itemid=49

Quelle type de serveur rack utilisez vous pour du multi-wan+loadbalance ? supermicro ? ou marque type HP, DELL, IBM ou autre ?
Ma principale contrainte est le budget. Merci

Nicolas

[ccnet]

J'utilise toujours des serveurs et souvent des Proliant DL360 G1 ou G2 (rack 1u). Selon les besoins on peut utiliser des modèle avec 1 PIII 500 Mghz jusqu'à des bi pro 1,4Ghz. Sans squid 512 Mo de ram est suffisant. Une paire de disques de 9Go font amplement l'affaire. On dispose en standard de deux cartes réseaux et il y a deux connecteurs disponibles.
Ce type de machine se trouve sur ebay entre 50 et 100 euros. A ce prix la on peut monter un cluster.
Les xSeries IBM font tout aussi bien l'affaire selon vos habitudes et votre parc.

Il est toujours possible d'utiliser des cartes Intel 2 ou 4 ports (elles fonctionnent avec Pfsense) si vraiment on a l'usage d'un grand nombre de ports physiques. Le montage de Vlan reste une alternative satisfaisante pour ne pas multiplier les cartes. Je ne monte jamais un vlan pour dmz l'autre pour le lan sur la même carte. Mais deux lan, ou deux dmz oui. Un Vlan n'est pas nécessairement 100% étanche.

[nicolas21]

Bonjour,

Merci pour vos conseils encore une fois. Pour l'instant le "parc informatique"... c'est un bien grand mot, se compose de 2 serveurs rack supermicro et de PC qui font office de serveur...

J'ai fais une demande à un broker (cdaparis) afin d'avoir un devis pour un serveur rack 1U de type HP ou IBM avec 3 ethernet et 2 disques durs. L'achat sur Ebay ne me tente pas trop malgrés des prix très attractifs et puis surtout je préfère une offre "clé en main".

Je vais jeter un œil à la fonctionnalité cluster, je n'avais pas vu ça et ça serai un bonus.

Nicolas

[ccnet]

Ce ne sont pas les brooker qui manquent ... les allemands sont très actifs sur ce marché et plutôt bons. Ils vendent en direct et sur ebay. Sinon en France il y a Lorine qui est à Rouen. Pas mal et assez réactif.