Re: [FRnOG] [TECH] Pare-feu / IDS / UTM personnel

2017-07-30 Par sujet Xavier Beaudouin 
Hello,

(...)

> pfsense c'est une super réponse a jépabudget, mais les gens on tendance
> a le coller sur des brouettes cosmiques (genre ma vieille ALIX avec un
> proco AMD alimenté par trois hamsters et vaguement assez de ram pour
> afficher l'interface web) et a activer toute les options super
> gourmandes en ressources du genre suricata/bro (avec une conf bien obese
> a base de reconstruction de sessions, d'audit ssl et tout le toutim). et
> apres, ben ça mouline.

+1
 
> honnetement, vu le prix des "petits" boitiers UTM genre PA-200 en
> refurb, ça deviens vite pas rentable de bricoler une solution maison.
> apres jconfirme. alixboard + pfsense + 10mn de setup, j'ai du pf, un
> vpn, et le "multihoming" qui fonctionne depuis genre 5 ans, sans jamais
> avoir a faire autre chose que lire les mails me disant que le machin
> s'est mis a jour.
> bon par contre trouver une board fanless qui fait du 1GbE sur plusieurs
> interfaces qu'a une paire de SFP+ pour du twinax et companie , c'est
> tout de suite vachement plus compliqué. caveat emptor et tout et tout.

Y a les boards Atom C27xx / C25xx, qui sont fanless. Par contre j'ai pas vu 
avec du SFP+. Mais y a souvent un port PCI-E...

Je fais tourner du pfsense avec un C2550 depuis plus de 2 ans et j'ai pas 
encore eu le coup du dead atom... ou c'est uniquement sur des linux  ? :)

Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] pfSense Unbound devient instable (was Pare-feu / IDS / UTM personnel)

2017-07-30 Par sujet megagolgoth 

Bonjour,

pfSense est bien à jour.

Bind9 permettrai de contourner le soucis, effectivement. Cependant,  vu 
que c'est un équipement perso et que ça se produit ponctuellement (et 
sans porter atteinte au WAF), je voudrais comprendre le pourquoi.


Cordialement,

Le 30/07/2017 à 10:04, Xavier Beaudouin a écrit :

Hello,


Commençons un nouveau fil, j'aimerai bien comprendre le pourquoi et
régler le soucis.

De temps en temps certains domaines ne sont plus résolvable. Le dernier
cas fut un nom de domaine auquel j'accédais et à un moment plus de
résolution. J'ai redémarré Unbound et hop ça refonctionne.

Le problème est rare, ça m'arrive une fois par mois environ. Je n'ai pas
encore eu deux fois le même domaine.

Pour faire rapide côté conf : j'ai activé l'enregistrement des hostname
des machines de mon réseau local dans le DNS, DNSSEC et des overides.

nikolaii, quels étaient les symptômes de ton côté?

La question importante vis à vis de ce problème, est surtout est-ce que ton 
pfsense est a jour ?

Vu que unbound sur pfsense dépends du pkg freebsd de unbound (sur le mien 
unbound-1.6.1), il est très possible qu'une mise a jour corrige le problème. 
Limite jeter un coup d'oeil sur les releases notes d'unbound probablement 
montrera où est le problème.

Si malgré tout le problème persiste, il y a aussi un bind9 sur pfsense (qui 
peux faire serveur ayant autorité :).

Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/




---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Pare-feu / IDS / UTM personnel

2017-07-30 Par sujet Edouard Chamillard 
On 07/30/2017 09:07 PM, Michel Py wrote:

>> megagolgoth a écrit :
>> Je plussoie pfsense, j'en ai deux à chaque bout d'un vpn et ca juste marche 
>> depuis des mois
>> (APU pcengines et Thinkpad R60). A part les MàJ, je fais pas grand chose en 
>> "maintenance".
> Je me suis laissé dire que pfSense quand ont commence à rajouter des modules 
> (premier sur la liste : SNORT ou Suricata) c'était pas toujours facile. Le 
> truc que j'ai bien aimé avec Untangle c'est l'aspect "UTM pour les nuls". 
> J'avais jamais regardé, j'ai téléchargé l'ISO et en 10 minutes voila pouf çà 
> marche.
>
>
>> Julien TDN a écrit :
>> Je vois que certain propose OPNsense, je l'ai testé il y as quelque mois, 
>> c'est bien un fork de pfSense
>> reste a lui trouver une utilité ! (Perso il m'apporte rien de plus que 
>> pfSense + un peu de boulot)
> J'ai jamais tellement aimé quand ce genre de chose se met à forker dans tous 
> les sens :-(
>
> Merci à tous pour vos retours !
>
> Michel.
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/

pfsense c'est une super réponse a jépabudget, mais les gens on tendance
a le coller sur des brouettes cosmiques (genre ma vieille ALIX avec un
proco AMD alimenté par trois hamsters et vaguement assez de ram pour
afficher l'interface web) et a activer toute les options super
gourmandes en ressources du genre suricata/bro (avec une conf bien obese
a base de reconstruction de sessions, d'audit ssl et tout le toutim). et
apres, ben ça mouline.

honnetement, vu le prix des "petits" boitiers UTM genre PA-200 en
refurb, ça deviens vite pas rentable de bricoler une solution maison.
apres jconfirme. alixboard + pfsense + 10mn de setup, j'ai du pf, un
vpn, et le "multihoming" qui fonctionne depuis genre 5 ans, sans jamais
avoir a faire autre chose que lire les mails me disant que le machin
s'est mis a jour.
bon par contre trouver une board fanless qui fait du 1GbE sur plusieurs
interfaces qu'a une paire de SFP+ pour du twinax et companie , c'est
tout de suite vachement plus compliqué. caveat emptor et tout et tout.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Pare-feu / IDS / UTM personnel

2017-07-30 Par sujet Michel Py 
> megagolgoth a écrit :
> Je plussoie pfsense, j'en ai deux à chaque bout d'un vpn et ca juste marche 
> depuis des mois
> (APU pcengines et Thinkpad R60). A part les MàJ, je fais pas grand chose en 
> "maintenance".

Je me suis laissé dire que pfSense quand ont commence à rajouter des modules 
(premier sur la liste : SNORT ou Suricata) c'était pas toujours facile. Le truc 
que j'ai bien aimé avec Untangle c'est l'aspect "UTM pour les nuls". J'avais 
jamais regardé, j'ai téléchargé l'ISO et en 10 minutes voila pouf çà marche.


> Julien TDN a écrit :
> Je vois que certain propose OPNsense, je l'ai testé il y as quelque mois, 
> c'est bien un fork de pfSense
> reste a lui trouver une utilité ! (Perso il m'apporte rien de plus que 
> pfSense + un peu de boulot)

J'ai jamais tellement aimé quand ce genre de chose se met à forker dans tous 
les sens :-(

Merci à tous pour vos retours !

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] pfSense Unbound devient instable (was Pare-feu / IDS / UTM personnel)

2017-07-30 Par sujet Jacques Lav!gnotte. 
Le 30/07/2017 à 07:56, megagolgoth a écrit :
> Commençons un nouveau fil,

Raté.

J.

-- 
GnuPg : 0x156520BBC8F5B1E3
WeUsePGP Because privacy matters http://weusepgp.info/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] RouterOS (Mikrotik) sur Alix APU2

2017-07-30 Par sujet Olivier Lange 
Hello,

Le 30 juil. 2017 11:35 AM, "Julien TDN"  a
écrit :

Le 28/07/2017 à 15:54, Olivier Lange a écrit :
> Hello la liste,
>
> Je sais que plusieurs d'entre vous utilisent Mikrotik, et je me
> demandais si l'un de vous avait réussis à installer CHR RouterOS
> (Mikrotik vers X86) sur un APU3a2 ? Vous auriez une marche a suivre
> qui fonctionne? J n'ai rien réussis à faire fonctionner sur le web.
> Voir un .img propre, que je puisse réutiliser?
>
> Merci!
> Olivier

Salut,

Pas supporté officiellement
(https://wiki.mikrotik.com/wiki/Supported_Hardware) mais je pense que tu
peut t'inspirer du 2c0 qui assez similaire (juste que 2 NICs et pas
d'optimisation 3G/LTE), ça devrait tourner sans trop de soucis.


Je ne me fais pas trop de soucis surtout avec la vers x86 chr.

Tu as une procédure pour le 2c0?


J'ai quelque 1c2 et 1d4 (j'écoule mon stock avant de passer sur des
3a2/3a4 ) en prod. sous pfSense ou FreeBSD, donc plutôt que l'OS de
Microtik je te conseillerai plutôt ce genre de système a moins d'avoir
un besoin qui serai spécifique au RouterOS de Mikrotik.


Non, mikrotik obligatoire, on a monter nos solutions dessus.

Merci.
Olivier


Je vois que certain propose OPNsense, je l'ai testé il y as quelque
mois, c'est bien un fork de pfSense reste a lui trouver une utilité !
(Perso il m'apporte rien de plus que pfSense + un peu de boulot)

--
Librement,
Julien Beauvais,
--
Administrateur Systèmes et Réseaux, Webmestre,
Fondateur Touraine Data Network (http://www.tdn-fai.net),
Votre Fournisseur d'Accès Internet Associatif en Touraine et région Centre,
Association membre de la Fédération FDN (http://www.ffdn.org).
Hébergeur Libre A-Hébergement
(https://www.chatons.org/chaton/a-hébergement).
Membre d'ADeTI, Groupe d'Utilisateurs de Logiciels Libres de Tours
(http://www.adeti.org).
Membre de l'APRIL (http://www.april.org).
Modérateur de l'Agenda du Libre (http://www.agendadulibre.org).
--
«Soyez le changement que vous voulez voir dans le monde.», Mahatma
Gandhi (1869-1948).

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] pfSense Unbound devient instable (was Pare-feu / IDS / UTM personnel)

2017-07-30 Par sujet nikolaii 

On 07/30/2017 07:56 AM, megagolgoth wrote:
Commençons un nouveau fil, j'aimerai bien comprendre le pourquoi et 
régler le soucis.


De temps en temps certains domaines ne sont plus résolvable. Le 
dernier cas fut un nom de domaine auquel j'accédais et à un moment 
plus de résolution. J'ai redémarré Unbound et hop ça refonctionne.


Le problème est rare, ça m'arrive une fois par mois environ. Je n'ai 
pas encore eu deux fois le même domaine.


Pour faire rapide côté conf : j'ai activé l'enregistrement des 
hostname des machines de mon réseau local dans le DNS, DNSSEC et des 
overides.


nikolaii, quels étaient les symptômes de ton côté?




Une résolution de nom hyper lente (de l'ordre de plusieurs secondes).

Je n'ai pas creusé plus par fainéantise, une fois le forwarder activé 
c'est comme si j'avais upgradé mon ADSL pourri en fibre (enfin juste 
pour le ressenti au niveau navigation Web) :-)


Comme quoi cela tient à peu de choses.

À toutes fins utiles je joint le fichier de configuration 
(/var/unbound/unbound.conf): https://pastebin.com/ag3kyAx8



Nicolas



Le 29/07/2017 à 21:54, nikolaii a écrit :
oui Unbound pour une raison que j'ignore se met à ne plus fonctionner 
assez régulièrement - et ce quelque soit la version de pfsense (j'ai 
le même pb d'une mise à jour à l'autre).
De guerre lasse je suis passé sur les DNS d'OVH ... le ressenti au 
niveau des réponses est largement meilleur. Peut-être une mauvaise 
optimisation d'unbound? 




---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Pare-feu / IDS / UTM personnel

2017-07-30 Par sujet Maxime DERCHE 
Bonjour à toutes et tous,


Le 28/07/2017 à 21:14, Erik LE VACON a écrit :
>
>
>
> On Fri, 28 Jul 2017 18:41:30 +
> Gregory Bousselin  wrote:
>
>> J'aurais conseiller pfsense !
>>
>> J'ai installé un XG pour tester y'a quelques mois, c'était pas génial (pas
>> mal de bug), apres ca s'est sûrement améliorer depuis !
> Bonjour,
> Hors specs annoncées, mais dans mon cas OpenBSD+PF. La partie IDS/UTM doit 
> être gérée en aval via d'autres couches soft (Snort, Squid/SquidGuard,  ) 
> . Ca juste marche mais côté admin, ca implique du scripting/maintenance de 
> temps à autres et d'y passer du temps à l'install initiale. 
> Pour répondre à la question: des solutions packagées type Calyptix ou 
> IWinGate existent (TIP: 1) aimer le risque dans le cas de la seconde, et 2) à 
> bencher, j'en ai vu mais pas testé au long cours)
>
> Avantage de la solution DIY (pour moi) : moins de dépendance aux bugs "ovni" 
> des solutions tout-en-un où le moindre use-case bizarre te plombe 10 jours à 
> résoudre/contourner quand tu voudrais juste te poser et pas debugguer 
> (exemple type: le MPATH fortinet et les joies du source-routing), et enfin 
>  plaisir, respect et fierté de ta promise quand elle te voit faire de la 
> magie sur une console pour désactiver/rétablir netflix quand le bulletin 
> trimestriel de junior tombe :)
>
> My two .

Routeur/parefeu/proxy/PA WiFi/IPsec/OpenVPN/etc. sous OpenBSD chez moi
aussi, avec Packet Filter (Freebox en mode pont, l'interface
externe/publique récupère son adresse via DHCP). Il y a eu plusieurs
générations côté matériel mais je suis content de la dernière en date,
un Soekris net6501 mis en route fin 2013.
Je n'ai jamais voulu d'interface web et j'utilise OpenBSD
quotidiennement donc le besoin ne s'est jamais fait sentir. On peut
saluer le travail en cours de Martin Pieuchot (mpi@) pour l'amélioration
des performances réseau d'OpenBSD en sortant la pile réseau du joug de
l'affreux KERNEL_LOCK, ce qui laisse espérer que PF sous OpenBSD ne sera 
bientôt plus limité à un unique cœur de calcul (PF sous FreeBSD ne souffre pas 
de ce problème).

pfSense, basé sur FreeBSD, est un très bon produit, interface web fonctionnelle 
quoique
vieillotte. OpnSense aussi, mais avec une conception un peu plus moderne
et une interface web nettement plus conviviale.

Côté matériel la gamme APU2 chez PC Engines
() continue d'avoir une excellente
réputation, mais je ne l'ai jamais testée.


Bien cordialement,

-- 
Maxime DERCHE
OpenPGP public key ID : 0xAE5264B5
OpenPGP public key fingerprint : 7221 4C4F D57C 456F 8E40 3257 47F7 29A6 AE52 
64B5




signature.asc
Description: OpenPGP digital signature

Re: [FRnOG] [TECH] RouterOS (Mikrotik) sur Alix APU2

2017-07-30 Par sujet Julien TDN 
Le 28/07/2017 à 15:54, Olivier Lange a écrit :
> Hello la liste,
>
> Je sais que plusieurs d'entre vous utilisent Mikrotik, et je me
> demandais si l'un de vous avait réussis à installer CHR RouterOS
> (Mikrotik vers X86) sur un APU3a2 ? Vous auriez une marche a suivre
> qui fonctionne? J n'ai rien réussis à faire fonctionner sur le web.
> Voir un .img propre, que je puisse réutiliser?
>
> Merci!
> Olivier

Salut,

Pas supporté officiellement
(https://wiki.mikrotik.com/wiki/Supported_Hardware) mais je pense que tu
peut t'inspirer du 2c0 qui assez similaire (juste que 2 NICs et pas
d'optimisation 3G/LTE), ça devrait tourner sans trop de soucis.

J'ai quelque 1c2 et 1d4 (j'écoule mon stock avant de passer sur des
3a2/3a4 ) en prod. sous pfSense ou FreeBSD, donc plutôt que l'OS de
Microtik je te conseillerai plutôt ce genre de système a moins d'avoir
un besoin qui serai spécifique au RouterOS de Mikrotik.

Je vois que certain propose OPNsense, je l'ai testé il y as quelque
mois, c'est bien un fork de pfSense reste a lui trouver une utilité !
(Perso il m'apporte rien de plus que pfSense + un peu de boulot)

-- 
Librement,
Julien Beauvais,
--
Administrateur Systèmes et Réseaux, Webmestre,
Fondateur Touraine Data Network (http://www.tdn-fai.net),
Votre Fournisseur d'Accès Internet Associatif en Touraine et région Centre,
Association membre de la Fédération FDN (http://www.ffdn.org).
Hébergeur Libre A-Hébergement
(https://www.chatons.org/chaton/a-hébergement).
Membre d'ADeTI, Groupe d'Utilisateurs de Logiciels Libres de Tours
(http://www.adeti.org).
Membre de l'APRIL (http://www.april.org).
Modérateur de l'Agenda du Libre (http://www.agendadulibre.org).
--
«Soyez le changement que vous voulez voir dans le monde.», Mahatma
Gandhi (1869-1948).



signature.asc
Description: OpenPGP digital signature

Re: [FRnOG] [TECH] pfSense Unbound devient instable (was Pare-feu / IDS / UTM personnel)

2017-07-30 Par sujet Vincent Bernat 
 ❦ 30 juillet 2017 07:56 +0200, megagolgoth  :

> Commençons un nouveau fil, j'aimerai bien comprendre le pourquoi et
> régler le soucis.
>
> De temps en temps certains domaines ne sont plus résolvable. Le
> dernier cas fut un nom de domaine auquel j'accédais et à un moment
> plus de résolution. J'ai redémarré Unbound et hop ça refonctionne.
>
> Le problème est rare, ça m'arrive une fois par mois environ. Je n'ai
> pas encore eu deux fois le même domaine.
>
> Pour faire rapide côté conf : j'ai activé l'enregistrement des
> hostname des machines de mon réseau local dans le DNS, DNSSEC et des
> overides.

Avec unbound-control, obtient une copie du cache et regarde dans quel
état est le domaine non fonctionnel.
-- 
ROMEO:  Courage, man; the hurt cannot be much.
MERCUTIO:   No, 'tis not so deep as a well, nor so wide
as a church-door; but 'tis enough, 'twill serve.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] pfSense Unbound devient instable (was Pare-feu / IDS / UTM personnel)

2017-07-30 Par sujet Xavier Beaudouin 
Hello,

> Commençons un nouveau fil, j'aimerai bien comprendre le pourquoi et
> régler le soucis.
> 
> De temps en temps certains domaines ne sont plus résolvable. Le dernier
> cas fut un nom de domaine auquel j'accédais et à un moment plus de
> résolution. J'ai redémarré Unbound et hop ça refonctionne.
> 
> Le problème est rare, ça m'arrive une fois par mois environ. Je n'ai pas
> encore eu deux fois le même domaine.
> 
> Pour faire rapide côté conf : j'ai activé l'enregistrement des hostname
> des machines de mon réseau local dans le DNS, DNSSEC et des overides.
> 
> nikolaii, quels étaient les symptômes de ton côté?

La question importante vis à vis de ce problème, est surtout est-ce que ton 
pfsense est a jour ?

Vu que unbound sur pfsense dépends du pkg freebsd de unbound (sur le mien 
unbound-1.6.1), il est très possible qu'une mise a jour corrige le problème. 
Limite jeter un coup d'oeil sur les releases notes d'unbound probablement 
montrera où est le problème.

Si malgré tout le problème persiste, il y a aussi un bind9 sur pfsense (qui 
peux faire serveur ayant autorité :).

Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/