Re: [FRnOG] [TECH] detection VPN SSL
Bonjour à tous, merci beaucoup de vos retours, j'ai mis beaucoup de temps à repondre mais la discussion était très interessante, je vais reflechir à comment tourner ça mais vous m'avez bien confirmer ce que je pensais : c'est tres dur/impossible à detecter à moins de mettre le prix et meme avec ça, on ne fera globalement que faire chié les utilsateus légitimes, les barbues ou les hackers qui aurait reussi à s'infiltré passerons simplement par un autre endroit. 2016-03-11 11:45 GMT+01:00 Eric Belhomme <rico-fr...@ricozome.net>: > Le 10/03/2016 19:21, Michel Py a écrit : > > C'est pour çà que dans le fil de cryptolock, je disais à David que > > d'interdire les .zip dans le mail, c'est une arme à double tranchant. > > Dans certains environnements super restrictifs oui, avec des > > utilisateurs un peu sophistiqués non. > > Pas mieux : les barrières n'emmerdent que les utilisateurs légitimes ! > C'est comme les tourniquets à l'entrée du métro, ça n'emmerde *que* ceux > qui ont leur titre de transport en bonne et due forme... > > -- > Rico > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > -- Jocelyn Lagarenne 06 28 78 30 50 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] detection VPN SSL
merci de vos retours. Oui en effet j'ai vu ce genre de boitier et les documents de l'ANSSI dessus : http://www.ssi.gouv.fr/uploads/IMG/pdf/NP_TLS_NoteTech.pdf personnellement je n'aime pas trop ce genre de choses, mais on devra surement y venir un jour ou l'autre au niveau des entreprises. est ce que quelqu'un a déjà utilisé des solutions comme adito (aka openvpn ALS) : https://sourceforge.net/projects/openvpn-als ? je n'ai pas encore pu testé, mais je voudrais confirmer ce que je pense : le traffic vpn est totalement encapsulé dans du https donc totalement "indetectable" d'un point de vu proxy/firewall/IDS si ce n'est en cassant le https ou en gérant des catégorisations sur le proxy ou via les catégories d'IP. si vous avez des exemples dans vos boites comment vous gérez la gestion des VPNs je suis très interessé aussi (au sens autorisé/interdit si interdit, est ce que vous le controlé et si oui: comment, particulierement ce genre de VPN SSL, les autres sont simple à filtrer). merci encore de vos differents retours. 2016-03-08 12:44 GMT+01:00 Erik LE VACON <e...@levacon.net>: > Bonjour, > > Sans faire de uutbound SSL Decryption via un SSL Forward Proxy, tu risques > un jeu du chat et de la souris éternel. > Le filtrage par IP cible via présence d'un reverse selon un format peut > aider, mais le mec qui tape une instance AWS ou un VPS chez un gros > hébergeur de contenu "standard" te ferme la porte des blocs IP sortants > sans risquer de bloquer du trafic légitime. > Si ton client a des moyens, seul l'interco en coupure d'un boitier de > déchiffrement "on the fly" via présentation d'un certificat bidon "on > behalf" du serveur cible, présente une efficacité supérieure vis-à-vis d'un > filtrage par ip/domaine cible, regex sur fqdn, etc... > Le processus est le suivant: le boitier intercepte les requêtes SSL/TLS > sortantes; et génère un certif à la volée du site cible. En général, même > la date de validité est "fakée" pour reprendre celle du site cible. > Concrètement, l'autorité de délivrance du fake-certif est le boitier > lui-même, ce qui génère un warning côté utilisateur si l'AC du boitier > n'est pas ajoutée aux AC "clean" du browser client (lourd à mettre en > oeuvre sur les grosses infras composites) > Autant dire que le petit malin aura un warning à la connexion s'il n'est > pas en mode "ignore cert warnings/self-signed certifs" sur son client VPN, > donc soit ca le calme, soit il va chercher une alternative. > Plusieurs constructeurs proposent de tels boitiers (PaloAlto par ex) avec > des résultats inégaux selon les contextes. > Bon courage (c'est le genre de défis où on sait quand ca commence > ;) ) > > My two... > > - Mail original - > De: "Jocelyn Lagarenne" <jocelyn.lagare...@gmail.com> > À: "Bruno LEAL DE SOUSA" <bruno.ld.so...@gmail.com> > Cc: "Jérôme MARTINIERE" <j.martini...@groupe-alliance.com>, > frnog-t...@frnog.org > Envoyé: Mardi 8 Mars 2016 11:56:24 > Objet: Re: [FRnOG] [TECH] detection VPN SSL > > Merci de vos retours. > > 2016-03-08 11:40 GMT+01:00 Bruno LEAL DE SOUSA <bruno.ld.so...@gmail.com>: > > > Hello, > > > > Le proxy est interne ou externe ? > > Ils doivent obligatoirement passer par le proxy ? > > > > J'ai connu un cas où le proxy était externe et pour protéger des VPN, la > > règle était : > > > >- On bloque tous les connexions chiffrées https, ssl-smpt, pptp, > etc... > >- On autorise la sortie https uniquement vers le proxy > > > > Ainsi toutes les connexions vpn étaint bloquées. > > > > les proxies sont internes, tout passe par eux. mais je ne comprend pas en > quoi cela va bloquer les VPN SSL. En effet on peut bloquer les VPN du type > PPTP, IPsec, ssh etc, mais concernant les vpn ssl utilisant la connexion du > navigateur, il me semble que cela ne change rien. Je me trompe peut etre. > Je vais faire des tests avec un serveur opensource : adito voir ce que ça > me genere comme traffic. > > > > > A+ > > > > Le 8 mars 2016 à 11:19, Jérôme MARTINIERE < > > j.martini...@groupe-alliance.com> a écrit : > > > >> Bonjour, > >> > >> Quel est le but final du filtrage ? > >> > > limiter les fuites d'information, et mieux contrôler notre réseaux. > L'entreprise possède plusieurs 100aine d'utilisateurs dont beaucoup > d'informaticiens, et cela devient de plus en plus dur de "maîtriser" le > réseau. > > > > > >> Sans casser le chiffrage par un proxy, il est possible de filtrer par > >> FQDN ou classes d’IP, notamment pour exclure les tunnels vers des IP de > FA
Re: [FRnOG] [TECH] detection VPN SSL
Merci de vos retours. 2016-03-08 11:40 GMT+01:00 Bruno LEAL DE SOUSA <bruno.ld.so...@gmail.com>: > Hello, > > Le proxy est interne ou externe ? > Ils doivent obligatoirement passer par le proxy ? > > J'ai connu un cas où le proxy était externe et pour protéger des VPN, la > règle était : > >- On bloque tous les connexions chiffrées https, ssl-smpt, pptp, etc... >- On autorise la sortie https uniquement vers le proxy > > Ainsi toutes les connexions vpn étaint bloquées. > > les proxies sont internes, tout passe par eux. mais je ne comprend pas en quoi cela va bloquer les VPN SSL. En effet on peut bloquer les VPN du type PPTP, IPsec, ssh etc, mais concernant les vpn ssl utilisant la connexion du navigateur, il me semble que cela ne change rien. Je me trompe peut etre. Je vais faire des tests avec un serveur opensource : adito voir ce que ça me genere comme traffic. > A+ > > Le 8 mars 2016 à 11:19, Jérôme MARTINIERE < > j.martini...@groupe-alliance.com> a écrit : > >> Bonjour, >> >> Quel est le but final du filtrage ? >> > limiter les fuites d'information, et mieux contrôler notre réseaux. L'entreprise possède plusieurs 100aine d'utilisateurs dont beaucoup d'informaticiens, et cela devient de plus en plus dur de "maîtriser" le réseau. > >> Sans casser le chiffrage par un proxy, il est possible de filtrer par >> FQDN ou classes d’IP, notamment pour exclure les tunnels vers des IP de FAI >> « grand public » par exemple ou vers les fournisseurs de proxy web. >> >> h, je vais voir ce qu'il est possible de faire avec ça, je n'y avais pas spécialement pensé. est ce que c'est réellement réalisable ? j'avais penser en effet à un whitelistage, mais je me suis dit que ça deviendrait ingerable tres vite ... mais peut etre au niveau classes d'IP, cela fera deja un filtre... > Cordialement, >> >> Jérôme MARTINIERE >> >> De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part >> de Jocelyn Lagarenne >> Envoyé : mardi 8 mars 2016 10:45 >> À : frnog-t...@frnog.org >> Objet : [FRnOG] [TECH] detection VPN SSL >> >> Bonjour à tous, >> >> je me retrouve face à un dilemme. On me demande de proposer une solution >> pour détecter/bloquer les VPN SSL non autorisés mais autant que je sache le >> traffic au travers d'un proxy est identique à un traffic https. il est donc >> impossible de le detecter non ? ou est ce que je fais fausse route ? >> Il est techniquement envisageable de casser le https sur les proxys mais >> ce n'est pas une recommandation que j'aime. >> la seul solution que je vois est de détecter les connexions SSL "longue" >> et de vérifier ce qu'elles sont (eliminer les faux positives comme par >> exemple gtalk), mais je ne suis meme pas sure que des logs proxy puissent >> me donner cette information. >> >> Auriez vous des idées/suggestions ? avez vous déjà eu ce genre de cas >> dans vos entreprises ? >> >> d'avance merci de vos retours >> >> Cordialement, >> -- >> Jocelyn Lagarenne >> >> --- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ >> > > > > -- > Bruno LEAL DE SOUSA > IT System and Network Administrator > Co-founder and editor of *Bidouille-IT* : http://bidouilleit.com > > « Failure is the foundation of success, and the means by which it is > achieved. » - *Lao Tzu* > -- Jocelyn Lagarenne 06 28 78 30 50 --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] detection VPN SSL
Bonjour à tous, je me retrouve face à un dilemme. On me demande de proposer une solution pour détecter/bloquer les VPN SSL non autorisés mais autant que je sache le traffic au travers d'un proxy est identique à un traffic https. il est donc impossible de le detecter non ? ou est ce que je fais fausse route ? Il est techniquement envisageable de casser le https sur les proxys mais ce n'est pas une recommandation que j'aime. la seul solution que je vois est de détecter les connexions SSL "longue" et de vérifier ce qu'elles sont (eliminer les faux positives comme par exemple gtalk), mais je ne suis meme pas sure que des logs proxy puissent me donner cette information. Auriez vous des idées/suggestions ? avez vous déjà eu ce genre de cas dans vos entreprises ? d'avance merci de vos retours Cordialement, -- Jocelyn Lagarenne --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Besoin de vos feedback pour très gros projet
http://i.imgur.com/agJIP.gif 2015-12-15 18:50 GMT+01:00 HVincent <hvinc...@linux62.org>: > Le 15/12/2015 18:20, Florent Rivoire a écrit : > >> 2015-12-15 15:20 GMT+01:00 Jerome Lien <jerome.l...@gmail.com>: >> >>> Salut à tous, FanThomas, quel age as tu ? dans quel domaine travailles >>> tu ? >>> c'est pour te situer un peu plus vis à vis de tes réponses. >>> >>> Le 15 décembre 2015 à 14:47, FanThomaS <o...@openaliasbox.org> a écrit : >>> >>> "Aucun document ne correspond aux termes de recherche spécifiés (archive >>>> frnog o...@openaliasbox.org)." >>>> >>> >> Pour info, ce "Thomas" (qui change régulièrement d'adresse email) est >> malheureusement bien connu sur les ML ovh. >> Une partie des membres des ML ovh a explicitement ajouté un filtre >> pour envoyer directement tous ses messages vers /dev/null. >> >> En effet, la très grande majorité de ses messages sont considérés par >> beaucoup comme très peu cohérents, pas réfléchis, inutiles, >> déconnectés de la réalité et/ou complètement hors contexte. >> Parfois, il se fait même une conversation tout seul (via une 2ème >> boite mail et en se répondant mutuellement) pendant une dizaine de >> messages ! >> >> Mon conseil : ne pas lui répondre, cela ne fera que l'inciter à continuer. >> (oui, je suis en train de lui répondre indirectement, mais ce msg sera >> le seul de ma part) >> >> Bonsoir à tous, > > Je confirme ce monsieur est connu des ML OVH pour sa connerie, sa > schizophrénie, je pense qu'il ne faut pas l'inciter et à son prochain sujet > troll ne pas répondre pour éviter de polluer les boites( ce que je fais > maintenant dsl). > > -- > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > -- Jocelyn Lagarenne 06 28 78 30 50 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] VPN MPLS couche 2 ou 3
Bonjour; je ne suis pas expert du tout sur le sujet, mais la question a éveillé ma curiosité, et je suis tombé la dessus avec mon ami google qui m'a permis de mieux comprendre la réponse de Raphael : http://www.juniper.net/techpubs/en_US/junos13.2/topics/concept/mpls-ex-series-vpn-layer2-layer3.html je ne sais pas si tu avais vu cette documentation que je trouve synthetique et assez clair sur la difference entre les 2 Bonne journée à tous ! 2015-11-24 10:39 GMT+01:00 Raphael Mazelier <r...@futomaki.net>: > > > Le 23/11/15 23:56, Bruno LEAL DE SOUSA a écrit : > >> Bonjour à tous, >> Je bosse actuellement sur le choix d'une solution MPLS pour interconnecter >> plusieurs sites ( 1 siège, 2 sites de prod et 2 magasins). >> >> J'ai vu qu'il existe essentiellement 2 familles de VPN WAN. Les VPN IP >> (couche 3) et les VPN Ethernet (couche 2). >> >> > Outre les considérations commerciales, le point essentiel est bien celui > ci : > > - as tu besoin d'un lan étendu ? L2 donc. > > ou > > - est ce que tes applicatifs fonctionnent correctement de manière routé ? > L3. Dans ce cas tu auras des subnets différents sur chaque site. Si cela ne > pose pas de problèmes c'est sans doute une meilleure solution. > > > Cdt, > > -- > Raphael Mazelier > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > -- Jocelyn Lagarenne 06 28 78 30 50 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Orange dans les choux?
en meme temps vous êtes chez Orange, vous attendiez un meilleur service uniquement car vous payez 3 fois le prix ?! -- Envoyé de mon iPhone > Le 21 nov. 2015 à 21:27, David Ponzonea écrit : > > Surtout qu’Orange a un Service Client non ? Et même parfois, ils annoncent > les incidents sur le portail. > > > >> Le 21 nov. 2015 à 20:19, Thomas Barandon a écrit : >> >> 2015-11-19 13:25 GMT+01:00 BONNETON Corentin : >> >>> Même problème hier soir sur lyon sur une Fibre Grand Public. >> >> >> Techniquement c'est la même chose pour le GP et pour les PRO (même réseau, >> même AS). >> Si chaque abonné GP commence à envoyer son [ALERT] // [TECH] à chaque TP ou >> incident très localisé ça va pas être simple à gérer sur la ML. :) >> >> Br, >> Thomas >> >> --- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Proxy SOCKS5 et VPN
Hello à tous, j'ai fais mes tests hier soir avec netcat et socat. malheureusement après quelques recherches, je me suis rendu compte que ni l'un ni l'autre n’était compatible avec un proxy SOCKS5 pour l'UDP (aucun problème pour le TCP). Mais malgré cela j'ai quand même pu faire différents tests, et je suis pratiquement sure que les paquets passent sans soucis. après quelques benchmark et différents essais sur d'autres machines, j'en suis venu à la conclusion que cela doit être le Rpi qui doit être un peu raz la "guele" quand il y a trop de connexion via le proxy (p2p d'oeuvre libre de droits par exemple). En effet différents speedtests nous permettent d'avoir une connexion plus que correct au travers du proxy dante + vpn ( + de 10Mo/sec) mais en p2p nous plafonnons difficilement à 700ko/sec. En effet même sans le proxy mais en utilisant le pi directement en gateway, nous gagnons un peu en p2p mais pas plus de 1.5Mo/sec (contre les 10Mo/sec en direct download toujours au travers du proxy+vpn). Si vous avez des feedbacks sur ce genre d'architecture chez vous ou autre en utilisant des Rpi, je suis preneur. Merci de votre aide néanmoins qui m'a permis (presque) d’éliminer l’hypothèse UDP (histoire de DHT en p2p). Cordialement, 2015-10-07 14:23 GMT+02:00 Jocelyn Lagarenne <jocelyn.lagare...@gmail.com>: > merci beaucoup pour vos conseils! > > Je vais essayer ce soir et je reviendrais vers vous pour vous dire si j'ai > reussi à trouver la raison ou pas. > > 2015-10-07 14:04 GMT+02:00 Vincent <vinc...@logaweb.fr>: > >> Bonjour, >> > Dans ce cas, applique des filtres à ton tcpdump, du genre "tcpdump >> > port 5004" ou un truc du genre. >> Yep, un truc du genre: ça aide bien : >> tcpdump udp and host XX and port YYY >> >> sinon, thark peut être intéressant à l'occase ou iptraf pour observer un >> bout du tuyau. >> >> >> ------- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ >> > > > > -- > Jocelyn Lagarenne > 06 28 78 30 50 > -- Jocelyn Lagarenne 06 28 78 30 50 --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] Proxy SOCKS5 et VPN
Bonjour à tous, j'ai un problème que je n'arrive pas à résoudre. Je pense qu'il me manque peut être un NAT mais malgré mes essais cela ne fonctionne pas. voici mon objectif : - j'ai un petit PC (raspberry sous raspbian pour me simplifier la vie) qui se connecte à un VPN dans lequel je redirige tous mes flux dont voici la configuration: == client dev tun proto udp ; Cert ns-cert-type server cipher BF-CBC ;Host resolv-retry infinite ;auth auth-user-pass keepalive 10 30 sndbuf 0 rcvbuf 0 remote monhote 443 persist-key persist-tun nobind comp-lzo verb 2 -BEGIN CERTIFICATE- blablabla -END CERTIFICATE- == la connexion est bien établie et mon interface tun0 est bien monté et mes flux sont bien redirigés dedans. j'ai ensuite installé un proxy socks5 (dante 1.4.x) dans le but depuis mes PCs de pouvoir choisir facilement de passer par le VPN ou non. la connexion au proxy depuis mon PC fonctionne bien, mes flux sont bien encapsulés et utilise le tunnel ensuite. Aucun firewall entre le PC de test et le Pi. voici un extrait de la conf de dante: client pass { from: 192.168.0.0/0 port 1-65535 to: 0.0.0.0/0 log: connect disconnect error } pass { from: 192.168.0.0/0 to: 0.0.0.0/0 protocol: tcp udp log: connect error } la configuration est volontairement très permissive pour le moment mon probleme est qu'il semble que mes paquets UDP ne passe pas ou pas bien du moins et je ne sais pas bien comment débugger la chose. en effet pour des problemes TCP c'est facile à tester mais pour de l'UDP je n'arrive pas à trouver de moyen simple pour verifier si ça passe bien et si je reçois bien les réponses. En effet lorsque je passe par le proxy socks5 via firefox, j'ai bien l'IP de sortie de mon VPN et une connexion stable. ma question est : Avez vous un moyen "simple" pour tester si en effet mes paquets UDP traversent bien le proxy ou s'ils sont bloqués ? si c'est la requete et/ou le reponse qui cloche ? J'ai d'autres serveurs distant disponible si besoin pour monter un mini service. j'ai essayé de rajouter un peu en désespoir de cause une règle iptables suivante (les chaines sont toutes vides sinon): iptables -t nat -A POSTROUTING -j MASQUERADE mais aucun changement avez vous des points particuliers à vérifier ? Je suis embêté car j'ai installé ça chez un ami et ça ne fonctionne pas bien ... chez moi je n'ai pas de soucis car je fais différemment et je n'ai jamais eu ce genre de soucis. Merci d'avance de votre aide ! et continuer comme ça tous ! j’apprécie beaucoup lire cette mailing list ou j'en apprend tous les jours ! Cordialement, -- Jocelyn Lagarenne --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Hôte pointant vers 127.0.0.1
à ma connaissance il n'y a pas de raison technique ... simplement du bon sens ! Ton utilisateur te dit qu'il veut une adresse pour son poste, or avec une entrée DNS cela va affecter tout le monde. Du coup si d'autres personnes tapent l'url cela ne marchera pas car cela renverra sur leur poste respectif! ... et quand à sa raison de "c'est trop compliqué le /etc/hosts après on ne sait plus si on est en prod etc" le problème reste le même ... de son poste tout sera ok mais pas pour les autres, c'est presque pire ! Chacun son métier, les vaches seront mieux gardées. Demande lui de ne plus utiliser un langage de dev qu'il utilise car tu trouves que c'est compliqué à relire ensuite ? ... j'ai regardé rapidement dans les RFC concernant les DNS et la sécurité des DNS mais rien à propos de mettre une entrée loopback dans un DNS ... c'est tellement idiot ! 2015-09-23 15:46 GMT+02:00 Laurent <lpo...@free.fr>: > Le 23/09/2015 15:17, Julien Escario a écrit : > > Le 23/09/2015 15:14, Raphael Jacquot a écrit : > >> > On 09/23/2015 03:11 PM, Julien Escario wrote: > >>> >> Bonjour, > >>> >> un client me demande de créer un hôte DNS qui pointerait vers > 127.0.0.1. > >>> >> Ceci pour faire du dev sur *sa bécane* ... > >> > > >> > il faut lui expliquer que c'est dans /etc/host que ca se mets > > Ah, désolé de ne pas l'avoir explicité mais c'est évidemment ce que j'ai > répondu. > > Sur *une* bécane ?? > Il exagère un peu, non ? le hosts serait quand même plus simple.. > > Sinon, il monte un bind/unbound/whatever chez lui qui forward tout chez > toi, sauf sur un domaine de dev "choisi" et sur laquelle il fait pointer > sa bécane pour la résolution de nom ? > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > -- Jocelyn Lagarenne 06 28 78 30 50 --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] Conseil hardware router pfsense
Bonjour à tous, c'est mon 1er mail sur FRNOG que j'ai découvert il y a quelques mois grâce à un ancien collègue. Je lis depuis régulièrement les échanges qui peuvent être parfois très intéressant ! Je viens vers vous aujourd'hui car j'ai enfin réussi à me débarrasser de Orange fibre pour passer chez Free fibre (en déménageant.). Je voulais depuis un bon moment remplacer ma box par mon propre routeur mais bien évidement ce n'est pas possible avec Orange (sans perdre une partie des services comme le téléphone ...) ... je ne ferais pas de commentaire sur Orange, mais je me retiens très fort! Je voudrais maintenant le faire avec free qui me permet de passer leur box en bridge. Mon objectif est d'acheter et/ou construire un routeur pfsense. et c'est ici que j'aurai bien besoin de vos conseils pour choisir le hardware qui me conviendrais. Je n'ai aucune idée de comment estimer ce dont j'aurai besoin. j'ai chez moi 2 ou 3 postes de travail, 2 ou 3 mini serveurs,1 NAS avec quelques connexions VPN vers l’extérieur pour des besoins persos et différents téléphone/tablette. je cherche un moyen de contrôler et monitorer mon mini réseau qui sera petit à petit amener à grandir. Pouvez vous m'aider ou du moins m'aiguiller dans la bonne direction ? mon budget est dans les 300/400€ max si possible. merci encore pour votre aide et conseils! Cordialement, ps: si vous avez des alternatives à pfsense, je suis tout ouïe aussi évidement. -- Jocelyn Lagarenne --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Conseil hardware router pfsense
mmmh... Merci beaucoup Olivier pour ces remarques et analyses. J'ai en effet pour objectif d'activer différents modules de sécurité comme du firewalling voir IDS suricata, mais je ne veux pas en souffrir. Le 4860 dépasse mon budget mais ça vaut peut être le coup de réfléchir un peu plus et d'investir plus si en effet je risque de plafonner à environ 30Mo/sec avec un APU pcengines si je comprend bien les graphiques. C'est en effet pas assez pour mes besoin et je risque de saturer par moment (download sur le NAS + streaming de la femme + gaming pour moi car je supporte pas twilight ... c'est un exemple :P ). merci encore à tous de vos retours! 2015-09-22 14:57 GMT+02:00 chahid ouarzoun <chahid.ouarz...@gmail.com>: > 100% d'accord avec vous, Olivier > > Netgate est valider pfsense et même en marque blanche > > http://store.pfsense.org/SG-4860/ > > bonne journée à tous > > Le 22 septembre 2015 14:39, Olivier Cochard-Labbé <oliv...@cochard.me> a > écrit : > >> 2015-09-22 10:35 GMT+02:00 Jocelyn Lagarenne <jocelyn.lagare...@gmail.com >> >: >> >> > Bonjour à tous, >> > >> > >> >> Bonjour, >> >> >> >> > >> > >> > Pouvez vous m'aider ou du moins m'aiguiller dans la bonne direction ? >> mon >> > budget est dans les 300/400€ max si possible. >> > >> > >> Lorsque vous dites "fibre": est-ce que cela sous-entend du matériel qui >> atteint 1Gb/s d'IMIX en mode firewall ? >> >> >> Le PC Engines APU (2 cœurs AMD + NIC Realtek) sous pfSense (FreeBSD 10.1 >> + >> pf), risque de plafonner autour des 200-250Mb/s d'IMIX: >> >> https://github.com/ocochard/netbenches/blob/master/AMD_G-T40E_2Cores_RTL8111E/fastforwarding-pf-ipfw/results/fbsd11-routing.r287531/README.md >> >> Pour atteindre des débits de 1Gb/s en IMIX, il faut prendre un peu plus >> gros comme par exemple le Netgate RCC-VE 4860 (4 cœurs Atom + NIC Intel >> multiqueue): >> >> https://github.com/ocochard/netbenches/blob/master/Atom_C2558_4Cores-Intel_i350/fastforwarding-pf-ipfw/results/fbsd11-routing.r287531/README.md >> >> --- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ >> > > > > -- > Chahid Ouarzoun > > skype: visptelco > tel fr: +33 1 77 69 57 12 > tel ma: +212 5 24 29 18 95 > gsm ma: +212 650 47 77 79 > -- Jocelyn Lagarenne 06 28 78 30 50 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Conseil hardware router pfsense
merci pour vos réponses. J'avais déjà regardé à une époque les APU mais n'est ce pas compliqué d'en acheté en France? quand je vois les revendeurs, il n'y a aucun Fr et les autres sites sont en langage du pays concernés (par exemple en Tchèque ...). De plus il marque explicitement : "we do not sell to end users in EU countries. Business users must enter their VAT ID". J'ai un peu peur de galérer alors que je pourrais plus simple autre part non ? par contre les APU sont régulièrement recommandé lorsqu'on fait des recherches sur du hardware pfsense... du coup je ne sais pas trop... Si vous avez un moyen simple pour acheter en tant que particulier des APU en France je suis preneur. Concernant les produits pfsense directement je regardais plutôt le modèle supérieur le SG 2440 mais qui dépasse mon budget. Mon objectif sur mon petit réseau domestique est d'avoir plusieurs VLAN isolé avec un firewall, du monitoring de bande passante. est ce que le SG 2240 suffirait "largement" pour ça ? mon objectif étant de rester evolutif. 2015-09-22 10:53 GMT+02:00 Kevin Lemonnier <lemonni...@ulrar.net>: > Bonjour, > > On utilise une APU de pcengines, ça marche bien pour notre utilisation, et > c'est dans tes prix, tu peux regarder par là. > > > > On Tue, Sep 22, 2015 at 10:35:52AM +0200, Jocelyn Lagarenne wrote: > > Bonjour à tous, > > > > c'est mon 1er mail sur FRNOG que j'ai découvert il y a quelques mois > grâce > > à un ancien collègue. Je lis depuis régulièrement les échanges qui > peuvent > > être parfois très intéressant ! > > > > Je viens vers vous aujourd'hui car j'ai enfin réussi à me débarrasser de > > Orange fibre pour passer chez Free fibre (en déménageant.). Je voulais > > depuis un bon moment remplacer ma box par mon propre routeur mais bien > > évidement ce n'est pas possible avec Orange (sans perdre une partie des > > services comme le téléphone ...) ... je ne ferais pas de commentaire sur > > Orange, mais je me retiens très fort! > > > > Je voudrais maintenant le faire avec free qui me permet de passer leur > box > > en bridge. Mon objectif est d'acheter et/ou construire un routeur > pfsense. > > et c'est ici que j'aurai bien besoin de vos conseils pour choisir le > > hardware qui me conviendrais. Je n'ai aucune idée de comment estimer ce > > dont j'aurai besoin. > > > > j'ai chez moi 2 ou 3 postes de travail, 2 ou 3 mini serveurs,1 NAS avec > > quelques connexions VPN vers l’extérieur pour des besoins persos et > > différents téléphone/tablette. je cherche un moyen de contrôler et > > monitorer mon mini réseau qui sera petit à petit amener à grandir. > > > > Pouvez vous m'aider ou du moins m'aiguiller dans la bonne direction ? mon > > budget est dans les 300/400€ max si possible. > > > > merci encore pour votre aide et conseils! > > > > Cordialement, > > > > ps: si vous avez des alternatives à pfsense, je suis tout ouïe aussi > > évidement. > > -- > > Jocelyn Lagarenne > > > > --- > > Liste de diffusion du FRnOG > > http://www.frnog.org/ > > -- > Kevin Lemonnier > PGP Fingerprint : 89A5 2283 04A0 E6E9 0111 > -- Jocelyn Lagarenne 06 28 78 30 50 --- Liste de diffusion du FRnOG http://www.frnog.org/