Bonjour, En effet, bien qu’étant moi-même « coupable » de cette obsolescence programmée, je n’en suis pas plus fan que vous ! Je vends des installations stormshield et je peste à chaque fois qu’on change de matériel et que l’ancien aurait pu encore faire affaire sur de petites install... et impossible d’y installer autre chose sans une grosse R&D (on en avait démonté un à l’époque de netasq pour voir comment en faire un pfsense, le module switch qui porte les ports était impossible à reconnaître, on a abandonné mais c’est peut être faisable).
Quand j’ai un client qui est plus sensible au développement durable qu’aux grandes marques, on a tendance à installer du pfsense qu’on migre en ce moment sur opnsense justement. En effet d’après les échos que j’en ai eu, le gros de la team pfsense est partie côté opnsense et l’on sent plus de modernité et de nouveautés sur opnsense, et le passage d’une interface à l’autre est des plus faciles. Cote hardware, on peut partir chez les partenaires respectifs de pfsense et de opnsense, ou bien partir sur du pur standard, un serveur de votre choix et des cartes réseaux supportées par le système. L’intégration des fonctions type ips / web filter sont moins aisées que sur des produits commerciaux mais ça reste de supers outils avec le gros avantage de l’open source. Je reviens en revanche sur l’idée d’un gros firewall sur un site et des petits sur les autres, je ne conseille pas cela pour plusieurs raison : un gros SPOF en puissance, de multiples pertes potentielles de latence et gigue selon le montage opérateurs... C’est typiquement la raison pour laquelle on est en train de monter notre offre opérateur et proposer à nos clients des liens « nus » qu’on collecte depuis divers opérateurs sur notre propre réseau, et leur permettre d’avoir du clés en mains, voire même de poser leur propre « gros firewall central » doublé, sécurisé, etc dans nos baies, ou d’avoir tout cela « aaS » comme c’est la mode. Pour une grosse structure, ça peut valoir le coup de faire cela en interne, mais c’est quand même assez lourd d’un point de vue de l’organisation, je pense que seuls les très grands groupes font cela en réalité. Voilà « my two cents », je ne sais pas si ça vous aidera dans votre réflexion mais je l’espère ! Bonne journée ;) Le 15 mai 2021 à 16:46 +0700, Frédéric Audon <chave...@gmail.com>, a écrit : Le 14 mai 2021 à 18:44, Michel Py <mic...@arneill-py.sacramento.ca.us> a écrit : Frédéric Audon a écrit : Est-ce raisonnable de changer de marque ? Oui, mais c'est long et compliqué. Si tu en es au point où tu sous-traites cette partie, il va falloir à terme homogénéiser sur 1 vendeur. Je suis en train d’aligner tous les contrats pour avoir un renouvellement sur la même année. Pas évident avec les entrées / sorties des sites. Et quel matériel vous me conseillez ? (on n’est pas loin du troll, chacun défend sa chapelle) Disons qu'il y a deux vendeurs qui ne te prennent pas (ou peu) pour un jambon ou une vache à lait : pfsense et Untangle. Un des signes encourageants est qu'ils te laissent installer sur ton propre matériel. Ceci étant dit, au niveau DSI qui choisit IBM parce que ça garantit de pas se faire virer / Magic Quadrant, c'est pas glop et les fonctionnalités de type "entreprise" ne vont pas forcément être dispos. J’ai posé la question ici car je pense être pris pour un jambon. Je déteste ça. Après, dans la mentalité Magic Quadrant, et si le fait d'être une vache à lait ne t'empêche pas de dormir, il n'y a que deux vendeurs dont relativement peu d'ingés se plaignent : Palo Alto et Juniper. Tous les autres, Barracuda, Fortinet, Cisco, Stormshield, Checkpoint, Sophos, etc sur cette liste tu vas trouver plein de gens qui vont t'expliquer comment ils ont gaspillé des semaines de galère à essayer de faire marcher le bousin. Bon attention je ne dis pas que Palo ou Juniper c'est bien, ni même que personne ne s'en plaint, c'est juste que dans mon entourage je ne connais personne qui ont envie de les faire mourir lentement à petit feu. Voir plus bas lol. Moi je n'écoute pas les vendeurs de pompes usées pousse-propale qui vendraient leur propre mère si ça faisait de la marge. Par contre, les ingés avec qui j'ai travaillé et dont je respecte les compétences et l'expérience et qui disent qu'ils toucheront plus jamais un produit, je comprends pourquoi. Ce que je n’aime pas c’est l'obsolescence programmée du matos. Je vais prendre le temps pour maitriser ce domaine et me focaliser uniquement sur les marques où tu peux choisir ton matos (pfsense, untangle comme par hasard). Quid d'OPNSense ? Reste à décoder les brochures tech-commercial pour améliorer la page https://en.wikipedia.org/wiki/Comparison_of_firewalls (qui fait quoi) --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/ --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
