Re: [FRnOG] [TECH] detection VPN SSL

2016-03-14 Par sujet Jocelyn Lagarenne 
Bonjour à tous,

merci beaucoup de vos retours, j'ai mis beaucoup de temps à repondre mais
la discussion était très interessante, je vais reflechir à comment tourner
ça mais vous m'avez bien confirmer ce que je pensais : c'est tres
dur/impossible à detecter à moins de mettre le prix et meme avec ça, on ne
fera globalement que faire chié les utilsateus légitimes, les barbues ou
les hackers qui aurait reussi à s'infiltré passerons simplement par un
autre endroit.



2016-03-11 11:45 GMT+01:00 Eric Belhomme <rico-fr...@ricozome.net>:

> Le 10/03/2016 19:21, Michel Py a écrit :
> > C'est pour çà que dans le fil de cryptolock, je disais à David que
> > d'interdire les .zip dans le mail, c'est une arme à double tranchant.
> > Dans certains environnements super restrictifs oui, avec des
> > utilisateurs un peu sophistiqués non.
>
> Pas mieux : les barrières n'emmerdent que les utilisateurs légitimes !
> C'est comme les tourniquets à l'entrée du métro, ça n'emmerde *que* ceux
> qui ont leur titre de transport en bonne et due forme...
>
> --
> Rico
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>



-- 
Jocelyn Lagarenne
06 28 78 30 50

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] detection VPN SSL

2016-03-08 Par sujet Jocelyn Lagarenne 
merci de vos retours. Oui en effet j'ai vu ce genre de boitier et les
documents de l'ANSSI dessus :
http://www.ssi.gouv.fr/uploads/IMG/pdf/NP_TLS_NoteTech.pdf
personnellement je n'aime pas trop ce genre de choses, mais on devra
surement y venir un jour ou l'autre au niveau des entreprises.

est ce que quelqu'un a déjà utilisé des solutions comme adito (aka openvpn
ALS) : https://sourceforge.net/projects/openvpn-als  ?
je n'ai pas encore pu testé, mais je voudrais confirmer ce que je pense :
le traffic vpn est totalement encapsulé dans du https donc totalement
"indetectable" d'un point de vu proxy/firewall/IDS si ce n'est en cassant
le https ou en gérant des catégorisations sur le proxy ou via les
catégories d'IP.

si vous avez des exemples dans vos boites comment vous gérez la gestion des
VPNs je suis très interessé aussi (au sens autorisé/interdit si interdit,
est ce que vous le controlé et si oui: comment, particulierement ce genre
de VPN SSL, les autres sont simple à filtrer).


merci encore de vos differents retours.


2016-03-08 12:44 GMT+01:00 Erik LE VACON <e...@levacon.net>:

> Bonjour,
>
> Sans faire de uutbound SSL Decryption via un SSL Forward Proxy, tu risques
> un jeu du chat et de la souris éternel.
> Le filtrage par IP cible via présence d'un reverse selon un format peut
> aider, mais le mec qui tape une instance AWS ou un VPS chez un gros
> hébergeur de contenu "standard" te ferme la porte des blocs IP sortants
> sans risquer de bloquer du trafic légitime.
> Si ton client a des moyens, seul l'interco en coupure d'un boitier de
> déchiffrement "on the fly"  via présentation d'un certificat bidon "on
> behalf" du serveur cible, présente une efficacité supérieure vis-à-vis d'un
> filtrage par ip/domaine cible, regex sur fqdn, etc...
> Le processus est le suivant: le boitier intercepte les requêtes SSL/TLS
> sortantes; et génère un certif à la volée du site cible. En général, même
> la date de validité est "fakée" pour reprendre celle du site cible.
> Concrètement, l'autorité de délivrance du fake-certif est le boitier
> lui-même, ce qui génère un warning côté utilisateur si l'AC du boitier
> n'est pas ajoutée aux AC "clean" du browser client (lourd à mettre en
> oeuvre sur les grosses infras composites)
> Autant dire que le petit malin aura un warning à la connexion s'il n'est
> pas en mode "ignore cert warnings/self-signed certifs" sur son client VPN,
> donc soit ca le calme, soit il va chercher une alternative.
> Plusieurs constructeurs proposent de tels boitiers (PaloAlto par ex) avec
> des résultats inégaux selon les contextes.
> Bon courage (c'est le genre de défis où on sait quand ca commence 
> ;) )
>
> My two...
>
> - Mail original -
> De: "Jocelyn Lagarenne" <jocelyn.lagare...@gmail.com>
> À: "Bruno LEAL DE SOUSA" <bruno.ld.so...@gmail.com>
> Cc: "Jérôme MARTINIERE" <j.martini...@groupe-alliance.com>,
> frnog-t...@frnog.org
> Envoyé: Mardi 8 Mars 2016 11:56:24
> Objet: Re: [FRnOG] [TECH] detection VPN SSL
>
> Merci de vos retours.
>
> 2016-03-08 11:40 GMT+01:00 Bruno LEAL DE SOUSA <bruno.ld.so...@gmail.com>:
>
> > Hello,
> >
> > Le proxy est interne ou externe ?
> > Ils doivent obligatoirement passer par le proxy ?
> >
> > J'ai connu un cas où le proxy était externe et pour protéger des VPN, la
> > règle était :
> >
> >- On bloque tous les connexions chiffrées https, ssl-smpt, pptp,
> etc...
> >- On autorise la sortie https uniquement vers le proxy
> >
> > Ainsi toutes les connexions vpn étaint bloquées.
> >
> > les proxies sont internes, tout passe par eux. mais je ne comprend pas en
> quoi cela va bloquer les VPN SSL. En effet on peut bloquer les VPN du type
> PPTP, IPsec, ssh etc, mais concernant les vpn ssl utilisant la connexion du
> navigateur, il me semble que cela ne change rien. Je me trompe peut etre.
> Je vais faire des tests avec un serveur opensource : adito voir ce que ça
> me genere comme traffic.
>
>
>
> > A+
> >
> > Le 8 mars 2016 à 11:19, Jérôme MARTINIERE <
> > j.martini...@groupe-alliance.com> a écrit :
> >
> >> Bonjour,
> >>
> >> Quel est le but final du filtrage ?
> >>
> > limiter les fuites d'information, et mieux contrôler notre réseaux.
> L'entreprise possède plusieurs 100aine d'utilisateurs dont beaucoup
> d'informaticiens, et cela devient de plus en plus dur de "maîtriser" le
> réseau.
>
>
> >
> >> Sans casser le chiffrage par un proxy, il est possible de filtrer par
> >> FQDN ou classes d’IP, notamment pour exclure les tunnels vers des IP de
> FA

Re: [FRnOG] [TECH] detection VPN SSL

2016-03-08 Par sujet Jocelyn Lagarenne 
Merci de vos retours.

2016-03-08 11:40 GMT+01:00 Bruno LEAL DE SOUSA <bruno.ld.so...@gmail.com>:

> Hello,
>
> Le proxy est interne ou externe ?
> Ils doivent obligatoirement passer par le proxy ?
>
> J'ai connu un cas où le proxy était externe et pour protéger des VPN, la
> règle était :
>
>- On bloque tous les connexions chiffrées https, ssl-smpt, pptp, etc...
>- On autorise la sortie https uniquement vers le proxy
>
> Ainsi toutes les connexions vpn étaint bloquées.
>
> les proxies sont internes, tout passe par eux. mais je ne comprend pas en
quoi cela va bloquer les VPN SSL. En effet on peut bloquer les VPN du type
PPTP, IPsec, ssh etc, mais concernant les vpn ssl utilisant la connexion du
navigateur, il me semble que cela ne change rien. Je me trompe peut etre.
Je vais faire des tests avec un serveur opensource : adito voir ce que ça
me genere comme traffic.



> A+
>
> Le 8 mars 2016 à 11:19, Jérôme MARTINIERE <
> j.martini...@groupe-alliance.com> a écrit :
>
>> Bonjour,
>>
>> Quel est le but final du filtrage ?
>>
> limiter les fuites d'information, et mieux contrôler notre réseaux.
L'entreprise possède plusieurs 100aine d'utilisateurs dont beaucoup
d'informaticiens, et cela devient de plus en plus dur de "maîtriser" le
réseau.


>
>> Sans casser le chiffrage par un proxy, il est possible de filtrer par
>> FQDN ou classes d’IP, notamment pour exclure les tunnels vers des IP de FAI
>> « grand public » par exemple ou vers les fournisseurs de proxy web.
>>
>> h, je vais voir ce qu'il est possible de faire avec ça, je n'y avais
pas spécialement pensé. est ce que c'est réellement réalisable ? j'avais
penser en effet à un whitelistage, mais je me suis dit que ça deviendrait
ingerable tres vite ... mais peut etre au niveau classes d'IP, cela fera
deja un filtre...



> Cordialement,
>>
>> Jérôme MARTINIERE
>>
>> De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part
>> de Jocelyn Lagarenne
>> Envoyé : mardi 8 mars 2016 10:45
>> À : frnog-t...@frnog.org
>> Objet : [FRnOG] [TECH] detection VPN SSL
>>
>> Bonjour à tous,
>>
>> je me retrouve face à un dilemme. On me demande de proposer une solution
>> pour détecter/bloquer les VPN SSL non autorisés mais autant que je sache le
>> traffic au travers d'un proxy est identique à un traffic https. il est donc
>> impossible de le detecter non ? ou est ce que je fais fausse route ?
>> Il est techniquement envisageable de casser le https sur les proxys mais
>> ce n'est pas une recommandation que j'aime.
>> la seul solution que je vois est de détecter les connexions SSL "longue"
>> et de vérifier ce qu'elles sont (eliminer les faux positives comme par
>> exemple gtalk), mais je ne suis meme pas sure que des logs proxy puissent
>> me donner cette information.
>>
>> Auriez vous des idées/suggestions ? avez vous déjà eu ce genre de cas
>> dans vos entreprises ?
>>
>> d'avance merci de vos retours
>>
>> Cordialement,
>> --
>> Jocelyn Lagarenne
>>
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>>
>
>
>
> --
> Bruno LEAL DE SOUSA
> IT System and Network Administrator
> Co-founder and editor of *Bidouille-IT* : http://bidouilleit.com
>
> « Failure is the foundation of success, and the means by which it is
> achieved. » - *Lao Tzu*
>



-- 
Jocelyn Lagarenne
06 28 78 30 50

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] detection VPN SSL

2016-03-08 Par sujet Jocelyn Lagarenne 
Bonjour à tous,

je me retrouve face à un dilemme. On me demande de proposer une solution
pour détecter/bloquer les VPN SSL non autorisés mais autant que je sache le
traffic au travers d'un proxy est identique à un traffic https. il est donc
impossible de le detecter non ? ou est ce que je fais fausse route ?
Il est techniquement envisageable de casser le https sur les proxys mais ce
n'est pas une recommandation que j'aime.
la seul solution que je vois est de détecter les connexions SSL "longue" et
de vérifier ce qu'elles sont (eliminer les faux positives comme par exemple
gtalk), mais je ne suis meme pas sure que des logs proxy puissent me donner
cette information.

Auriez vous des idées/suggestions ? avez vous déjà eu ce genre de cas dans
vos entreprises ?

d'avance merci de vos retours

Cordialement,
-- 
Jocelyn Lagarenne

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Besoin de vos feedback pour très gros projet

2015-12-15 Par sujet Jocelyn Lagarenne 
http://i.imgur.com/agJIP.gif

2015-12-15 18:50 GMT+01:00 HVincent <hvinc...@linux62.org>:

> Le 15/12/2015 18:20, Florent Rivoire a écrit :
>
>> 2015-12-15 15:20 GMT+01:00 Jerome Lien <jerome.l...@gmail.com>:
>>
>>> Salut à tous, FanThomas, quel age as tu ? dans quel domaine travailles
>>> tu ?
>>> c'est pour te situer un peu plus vis à vis de tes réponses.
>>>
>>> Le 15 décembre 2015 à 14:47, FanThomaS <o...@openaliasbox.org> a écrit :
>>>
>>> "Aucun document ne correspond aux termes de recherche spécifiés (archive
>>>> frnog o...@openaliasbox.org)."
>>>>
>>>
>> Pour info, ce "Thomas" (qui change régulièrement d'adresse email) est
>> malheureusement bien connu sur les ML ovh.
>> Une partie des membres des ML ovh a explicitement ajouté un filtre
>> pour envoyer directement tous ses messages vers /dev/null.
>>
>> En effet, la très grande majorité de ses messages sont considérés par
>> beaucoup comme très peu cohérents, pas réfléchis, inutiles,
>> déconnectés de la réalité et/ou complètement hors contexte.
>> Parfois, il se fait même une conversation tout seul (via une 2ème
>> boite mail et en se répondant mutuellement) pendant une dizaine de
>> messages !
>>
>> Mon conseil : ne pas lui répondre, cela ne fera que l'inciter à continuer.
>> (oui, je suis en train de lui répondre indirectement, mais ce msg sera
>> le seul de ma part)
>>
>> Bonsoir à tous,
>
> Je confirme ce monsieur est connu des ML OVH pour sa connerie, sa
> schizophrénie, je pense qu'il ne faut pas l'inciter et à son prochain sujet
> troll ne pas répondre pour éviter de polluer les boites( ce que je fais
> maintenant dsl).
>
> --
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>



-- 
Jocelyn Lagarenne
06 28 78 30 50

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] VPN MPLS couche 2 ou 3

2015-11-24 Par sujet Jocelyn Lagarenne 
Bonjour;

je ne suis pas expert du tout sur le sujet, mais la question a éveillé ma
curiosité, et je suis tombé la dessus avec mon ami google qui m'a permis de
mieux comprendre la réponse de Raphael :
http://www.juniper.net/techpubs/en_US/junos13.2/topics/concept/mpls-ex-series-vpn-layer2-layer3.html

je ne sais pas si tu avais vu cette documentation que je trouve synthetique
et assez clair sur la difference entre les 2

Bonne journée à tous !


2015-11-24 10:39 GMT+01:00 Raphael Mazelier <r...@futomaki.net>:

>
>
> Le 23/11/15 23:56, Bruno LEAL DE SOUSA a écrit :
>
>> Bonjour à tous,
>> Je bosse actuellement sur le choix d'une solution MPLS pour interconnecter
>> plusieurs sites ( 1 siège, 2 sites de prod et 2 magasins).
>>
>> J'ai vu qu'il existe essentiellement 2 familles de VPN WAN. Les VPN IP
>> (couche 3) et les VPN Ethernet (couche 2).
>>
>>
> Outre les considérations commerciales, le point essentiel est bien celui
> ci :
>
> - as tu besoin d'un lan étendu ? L2 donc.
>
> ou
>
> - est ce que tes applicatifs fonctionnent correctement de manière routé ?
> L3. Dans ce cas tu auras des subnets différents sur chaque site. Si cela ne
> pose pas de problèmes c'est sans doute une meilleure solution.
>
>
> Cdt,
>
> --
> Raphael Mazelier
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>



-- 
Jocelyn Lagarenne
06 28 78 30 50

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Orange dans les choux?

2015-11-21 Par sujet Jocelyn Lagarenne 
 en meme temps vous êtes chez Orange, vous attendiez un meilleur service 
uniquement car vous payez 3 fois le prix ?! 

-- 
Envoyé de mon iPhone

> Le 21 nov. 2015 à 21:27, David Ponzone  a écrit :
> 
> Surtout qu’Orange a un Service Client non ? Et même parfois, ils annoncent 
> les incidents sur le portail.
> 
> 
> 
>> Le 21 nov. 2015 à 20:19, Thomas Barandon  a écrit :
>> 
>> 2015-11-19 13:25 GMT+01:00 BONNETON Corentin :
>> 
>>> Même problème hier soir sur lyon sur une Fibre Grand Public.
>> 
>> 
>> Techniquement c'est la même chose pour le GP et pour les PRO (même réseau,
>> même AS).
>> Si chaque abonné GP commence à envoyer son [ALERT] // [TECH] à chaque TP ou
>> incident très localisé ça va pas être simple à gérer sur la ML. :)
>> 
>> Br,
>> Thomas
>> 
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Proxy SOCKS5 et VPN

2015-10-08 Par sujet Jocelyn Lagarenne 
Hello à tous,

j'ai fais mes tests hier soir avec netcat et socat. malheureusement après
quelques recherches, je me suis rendu compte que ni l'un ni l'autre n’était
compatible avec un proxy SOCKS5 pour l'UDP (aucun problème pour le TCP).
Mais malgré cela j'ai quand même pu faire différents tests, et je suis
pratiquement sure que les paquets passent sans soucis.

après quelques benchmark et différents essais sur d'autres machines, j'en
suis venu à la conclusion que cela doit être le Rpi qui doit être un peu
raz la "guele" quand il y a trop de connexion via le proxy (p2p d'oeuvre
libre de droits par exemple). En effet différents speedtests nous
permettent d'avoir une connexion plus que correct au travers du proxy dante
+ vpn ( + de 10Mo/sec) mais en p2p nous plafonnons difficilement à
700ko/sec.
En effet même sans le proxy mais en utilisant le pi directement en gateway,
nous gagnons un peu en p2p mais pas plus de 1.5Mo/sec (contre les 10Mo/sec
en direct download toujours au travers du proxy+vpn).

Si vous avez des feedbacks sur ce genre d'architecture chez vous ou autre
en utilisant des Rpi, je suis preneur.

Merci de votre aide néanmoins qui m'a permis (presque) d’éliminer
l’hypothèse UDP (histoire de DHT en p2p).

Cordialement,


2015-10-07 14:23 GMT+02:00 Jocelyn Lagarenne <jocelyn.lagare...@gmail.com>:

> merci beaucoup pour vos conseils!
>
> Je vais essayer ce soir et je reviendrais vers vous pour vous dire si j'ai
> reussi à trouver la raison ou pas.
>
> 2015-10-07 14:04 GMT+02:00 Vincent <vinc...@logaweb.fr>:
>
>> Bonjour,
>> > Dans ce cas, applique des filtres à ton tcpdump, du genre "tcpdump
>> > port 5004" ou un truc du genre.
>> Yep, un truc du genre: ça aide bien :
>> tcpdump udp and host XX and port YYY
>>
>> sinon, thark peut être intéressant à l'occase ou iptraf pour observer un
>> bout du tuyau.
>>
>>
>> -------
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>>
>
>
>
> --
> Jocelyn Lagarenne
> 06 28 78 30 50
>



-- 
Jocelyn Lagarenne
06 28 78 30 50

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] Proxy SOCKS5 et VPN

2015-10-07 Par sujet Jocelyn Lagarenne 
Bonjour à tous,

j'ai un problème que je n'arrive pas à résoudre. Je pense qu'il me manque
peut être un NAT mais malgré mes essais cela ne fonctionne pas.

voici mon objectif :
- j'ai un petit PC (raspberry sous raspbian pour me simplifier la vie) qui
se connecte à un VPN dans lequel je redirige tous mes flux dont voici la
configuration:

==
client
dev tun
proto udp
; Cert
ns-cert-type server
cipher BF-CBC
;Host
resolv-retry infinite
;auth
auth-user-pass
keepalive 10 30
sndbuf 0
rcvbuf 0

remote monhote 443
persist-key
persist-tun
nobind
comp-lzo
verb 2

-BEGIN CERTIFICATE-
blablabla
-END CERTIFICATE-

==

la connexion est bien établie et mon interface tun0 est bien monté et mes
flux sont bien redirigés dedans.

j'ai ensuite installé un proxy socks5 (dante 1.4.x) dans le but depuis mes
PCs de pouvoir choisir facilement de passer par le VPN ou non. la connexion
au proxy depuis mon PC fonctionne bien, mes flux sont bien encapsulés et
utilise le tunnel ensuite. Aucun firewall entre le PC de test et le Pi.

voici un extrait de la conf de dante:
 
client pass {
from: 192.168.0.0/0 port 1-65535 to: 0.0.0.0/0
log: connect disconnect error
}

pass {
from: 192.168.0.0/0 to: 0.0.0.0/0
protocol: tcp udp
log: connect error
}


la configuration est volontairement très permissive pour le moment

mon probleme  est qu'il semble que mes paquets UDP ne passe pas ou pas bien
du moins et je ne sais pas bien comment débugger la chose. en effet pour
des problemes TCP c'est facile à tester mais pour de l'UDP je n'arrive pas
à trouver de moyen simple pour verifier si ça passe bien et si je reçois
bien les réponses.
En effet lorsque je passe par le proxy socks5 via firefox, j'ai bien l'IP
de sortie de mon VPN et une connexion stable.


ma question est : Avez vous un moyen "simple" pour tester si en effet mes
paquets UDP traversent bien le proxy ou s'ils sont bloqués ? si c'est la
requete et/ou le reponse qui cloche ?
J'ai d'autres serveurs distant disponible si besoin pour monter un mini
service.


j'ai essayé de rajouter un peu en désespoir de cause une règle iptables
suivante (les chaines sont toutes vides sinon):
iptables -t nat -A POSTROUTING -j MASQUERADE
mais aucun changement

avez vous des points particuliers à vérifier ?

Je suis embêté car j'ai installé ça chez un ami et ça ne fonctionne pas
bien ... chez moi je n'ai pas de soucis car je fais différemment et je n'ai
jamais eu ce genre de soucis.


Merci d'avance de votre aide ! et continuer comme ça tous ! j’apprécie
beaucoup lire cette mailing list ou j'en apprend tous les jours !

Cordialement,


-- 
Jocelyn Lagarenne

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Hôte pointant vers 127.0.0.1

2015-09-23 Par sujet Jocelyn Lagarenne 
à ma connaissance il n'y a pas de raison technique ... simplement du bon
sens !

Ton utilisateur te dit qu'il veut une adresse pour son poste, or avec une
entrée DNS cela va affecter tout le monde.
Du coup si d'autres personnes tapent l'url cela ne marchera pas car cela
renverra sur leur poste respectif! ...
et quand à sa raison de "c'est trop compliqué le /etc/hosts après on ne
sait plus si on est en prod etc" le problème reste le même ... de son poste
tout sera ok mais pas pour les autres, c'est presque pire !

Chacun son métier, les vaches seront mieux gardées. Demande lui de ne plus
utiliser un langage de dev qu'il utilise car tu trouves que c'est compliqué
à relire ensuite ? ...

j'ai regardé rapidement dans les RFC concernant les DNS et la sécurité des
DNS mais rien à propos de mettre une entrée loopback dans un DNS ... c'est
tellement idiot !


2015-09-23 15:46 GMT+02:00 Laurent <lpo...@free.fr>:

> Le 23/09/2015 15:17, Julien Escario a écrit :
> > Le 23/09/2015 15:14, Raphael Jacquot a écrit :
> >> > On 09/23/2015 03:11 PM, Julien Escario wrote:
> >>> >> Bonjour,
> >>> >> un client me demande de créer un hôte DNS qui pointerait vers
> 127.0.0.1.
> >>> >> Ceci pour faire du dev sur *sa bécane* ...
> >> >
> >> > il faut lui expliquer que c'est dans /etc/host que ca se mets
> > Ah, désolé de ne pas l'avoir explicité mais c'est évidemment ce que j'ai
> répondu.
>
> Sur *une* bécane ??
> Il exagère un peu, non ? le hosts serait quand même plus simple..
>
> Sinon, il monte un bind/unbound/whatever chez lui qui forward tout chez
> toi, sauf sur un domaine de dev "choisi" et sur laquelle il fait pointer
> sa bécane pour la résolution de nom ?
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>



-- 
Jocelyn Lagarenne
06 28 78 30 50

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] Conseil hardware router pfsense

2015-09-22 Par sujet Jocelyn Lagarenne 
Bonjour à tous,

c'est mon 1er mail sur FRNOG que j'ai découvert il y a quelques mois grâce
à un ancien collègue. Je lis depuis régulièrement les échanges qui peuvent
être parfois très intéressant !

Je viens vers vous aujourd'hui car j'ai enfin réussi à me débarrasser de
Orange fibre pour passer chez Free fibre (en déménageant.). Je voulais
depuis un bon moment remplacer ma box par mon propre routeur mais bien
évidement ce n'est pas possible avec Orange (sans perdre une partie des
services comme le téléphone ...) ... je ne ferais pas de commentaire sur
Orange, mais je me retiens très fort!

Je voudrais maintenant le faire avec free qui me permet de passer leur box
en bridge. Mon objectif est d'acheter et/ou construire un routeur pfsense.
et c'est ici que j'aurai bien besoin de vos conseils pour choisir le
hardware qui me conviendrais. Je n'ai aucune idée de comment estimer ce
dont j'aurai besoin.

j'ai chez moi 2 ou 3 postes de travail, 2 ou 3 mini serveurs,1 NAS avec
quelques connexions VPN vers l’extérieur pour des besoins persos et
différents téléphone/tablette. je cherche un moyen de contrôler et
monitorer mon mini réseau qui sera petit à petit amener à grandir.

Pouvez vous m'aider ou du moins m'aiguiller dans la bonne direction ? mon
budget est dans les 300/400€ max si possible.

merci encore pour votre aide et conseils!

Cordialement,

ps: si vous avez des alternatives à pfsense, je suis tout ouïe aussi
évidement.
-- 
Jocelyn Lagarenne

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Conseil hardware router pfsense

2015-09-22 Par sujet Jocelyn Lagarenne 
mmmh...


Merci beaucoup Olivier pour ces remarques et analyses. J'ai en effet pour
objectif d'activer différents modules de sécurité comme du firewalling voir
IDS suricata, mais je ne veux pas en souffrir.
Le 4860 dépasse mon budget mais ça vaut peut être le coup de réfléchir un
peu plus et d'investir plus si en effet je risque de plafonner à environ
30Mo/sec avec un APU pcengines si je comprend bien les graphiques. C'est en
effet pas assez pour mes besoin et je risque de saturer par moment
(download sur le NAS + streaming de la femme + gaming pour moi car je
supporte pas twilight ... c'est un exemple :P ).

merci encore à tous de vos retours!




2015-09-22 14:57 GMT+02:00 chahid ouarzoun <chahid.ouarz...@gmail.com>:

> 100% d'accord avec vous, Olivier
>
> Netgate est valider pfsense et même en marque blanche
>
> http://store.pfsense.org/SG-4860/
>
> bonne journée à tous
>
> Le 22 septembre 2015 14:39, Olivier Cochard-Labbé <oliv...@cochard.me> a
> écrit :
>
>> 2015-09-22 10:35 GMT+02:00 Jocelyn Lagarenne <jocelyn.lagare...@gmail.com
>> >:
>>
>> > Bonjour à tous,
>> >
>> >
>>
>> ​Bonjour,
>> ​
>>
>>
>> >
>> >
>> > Pouvez vous m'aider ou du moins m'aiguiller dans la bonne direction ?
>> mon
>> > budget est dans les 300/400€ max si possible.
>> >
>> >
>> ​Lorsque vous dites "fibre": est-ce que cela sous-entend du matériel qui
>> atteint 1Gb/s d'IMIX en mode firewall ?
>> ​
>>
>> ​Le PC Engines APU (2 cœurs AMD + NIC Realtek) sous pfSense (FreeBSD 10.1
>> +
>> pf), risque de plafonner autour des 200-250Mb/s d'IMIX:
>>
>> https://github.com/ocochard/netbenches/blob/master/AMD_G-T40E_2Cores_RTL8111E/fastforwarding-pf-ipfw/results/fbsd11-routing.r287531/README.md
>>
>> Pour atteindre des débits de 1Gb/s en IMIX, il faut prendre un peu plus
>> gros comme par exemple le Netgate RCC-VE 4860 (4 cœurs Atom + NIC Intel
>> multiqueue):
>>
>> https://github.com/ocochard/netbenches/blob/master/Atom_C2558_4Cores-Intel_i350/fastforwarding-pf-ipfw/results/fbsd11-routing.r287531/README.md
>>
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>>
>
>
>
> --
> Chahid Ouarzoun
>
> skype: visptelco
> tel fr: +33 1 77 69 57 12
> tel ma: +212 5 24 29 18 95
> gsm ma: +212  650 47 77 79
>



-- 
Jocelyn Lagarenne
06 28 78 30 50

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Conseil hardware router pfsense

2015-09-22 Par sujet Jocelyn Lagarenne 
merci pour vos réponses.

J'avais déjà regardé à une époque les APU mais n'est ce pas compliqué d'en
acheté en France? quand je vois les revendeurs, il n'y a aucun Fr et les
autres sites sont en langage du pays concernés (par exemple en Tchèque
...). De plus il marque explicitement : "we do not sell to end users in EU
countries. Business users must enter their VAT ID". J'ai un peu peur de
galérer alors que je pourrais plus simple autre part non ? par contre les
APU sont régulièrement recommandé lorsqu'on fait des recherches sur du
hardware pfsense... du coup je ne sais pas trop...
Si vous avez un moyen simple pour acheter en tant que particulier des APU
en France je suis preneur.


Concernant les produits pfsense directement je regardais plutôt le modèle
supérieur le SG 2440 mais qui dépasse mon budget.
Mon objectif sur mon petit réseau domestique est d'avoir plusieurs VLAN
isolé avec un firewall, du monitoring de bande passante. est ce que le SG
2240 suffirait "largement" pour ça ? mon objectif étant de rester evolutif.



2015-09-22 10:53 GMT+02:00 Kevin Lemonnier <lemonni...@ulrar.net>:

> Bonjour,
>
> On utilise une APU de pcengines, ça marche bien pour notre utilisation, et
> c'est dans tes prix, tu peux regarder par là.
>
>
>
> On Tue, Sep 22, 2015 at 10:35:52AM +0200, Jocelyn Lagarenne wrote:
> > Bonjour à tous,
> >
> > c'est mon 1er mail sur FRNOG que j'ai découvert il y a quelques mois
> grâce
> > à un ancien collègue. Je lis depuis régulièrement les échanges qui
> peuvent
> > être parfois très intéressant !
> >
> > Je viens vers vous aujourd'hui car j'ai enfin réussi à me débarrasser de
> > Orange fibre pour passer chez Free fibre (en déménageant.). Je voulais
> > depuis un bon moment remplacer ma box par mon propre routeur mais bien
> > évidement ce n'est pas possible avec Orange (sans perdre une partie des
> > services comme le téléphone ...) ... je ne ferais pas de commentaire sur
> > Orange, mais je me retiens très fort!
> >
> > Je voudrais maintenant le faire avec free qui me permet de passer leur
> box
> > en bridge. Mon objectif est d'acheter et/ou construire un routeur
> pfsense.
> > et c'est ici que j'aurai bien besoin de vos conseils pour choisir le
> > hardware qui me conviendrais. Je n'ai aucune idée de comment estimer ce
> > dont j'aurai besoin.
> >
> > j'ai chez moi 2 ou 3 postes de travail, 2 ou 3 mini serveurs,1 NAS avec
> > quelques connexions VPN vers l’extérieur pour des besoins persos et
> > différents téléphone/tablette. je cherche un moyen de contrôler et
> > monitorer mon mini réseau qui sera petit à petit amener à grandir.
> >
> > Pouvez vous m'aider ou du moins m'aiguiller dans la bonne direction ? mon
> > budget est dans les 300/400€ max si possible.
> >
> > merci encore pour votre aide et conseils!
> >
> > Cordialement,
> >
> > ps: si vous avez des alternatives à pfsense, je suis tout ouïe aussi
> > évidement.
> > --
> > Jocelyn Lagarenne
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
>
> --
> Kevin Lemonnier
> PGP Fingerprint : 89A5 2283 04A0 E6E9 0111
>



-- 
Jocelyn Lagarenne
06 28 78 30 50

---
Liste de diffusion du FRnOG
http://www.frnog.org/