Re: [FRnOG] [TECH] QUestion sur pfsense
En fait 2 lignes avec le DNS64 qui va avec :) Le 11.11.2017 à 11:18, Jean Théry a écrit : > Yo, > > Ce qui est dommage quand on sait que ca prend au max 1 ligne dans le pf.conf > > > Le 10.11.2017 à 18:33, julien soula a écrit : >> salut, >> >> une remarque qd meme qui peut avoir son importance, pfsense ne fait >> pas encore le NAT64. >> >> a+, > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] QUestion sur pfsense
Yo, Ce qui est dommage quand on sait que ca prend au max 1 ligne dans le pf.conf Le 10.11.2017 à 18:33, julien soula a écrit : > salut, > > une remarque qd meme qui peut avoir son importance, pfsense ne fait > pas encore le NAT64. > > a+, --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] QUestion sur pfsense
Le mesh vpn en ipsec ou openvpn ça marche très bien j'en construis et exploite depuis 15 ans à l'époque sur des appliances type Netscreen et effectivement depuis facille 10 ans bientôt sur PfSense. La migration de PfSense vers OpnSense se fait très facilement la configuration s'importe et fait le nécessaire. Dans tout ceux que j'ai mis à jour vers ce fork, un seul m'a résisté avec la gestion du 802.1X qui du coup est resté sous PfSense le temps que ce package soit bien intégré. Je l'utilise à titre personnel depuis printemps 2015, au bureau depuis l'automne 2015 et depuis 1 an chez tous nos clients sans soucis en appliance ou en virt. Le 10/11/2017 à 16:43, Wagabow a écrit : > Hello, > > Je n'avais pas conscience du côté non complètement libre de pfsense. Merci > > Sinon pr répondre à la question initiale, j'ai mis en place des pfsense pr un > client qui voulait remplacer son mpls par des tunnels ipsec. Archi en etoile > avec un concentrateur pfsense sur Azure et le reste en aplliance (ou d'autre > solution comme chkp, juniper, cisco etc...) et ça marche plutôt bien. Ca fait > le job. Ca plante rarement. C'est pas tres cher. > > Bref, rien a redire (avant la remarque de wallace 😡) > signature.asc Description: OpenPGP digital signature
Re: [FRnOG] [TECH] QUestion sur pfsense
salut, une remarque qd meme qui peut avoir son importance, pfsense ne fait pas encore le NAT64. a+, -- Julien << Vous n'avez rien a dire... Parlons-en! >> signature.asc Description: PGP signature
Re: [FRnOG] [TECH] QUestion sur pfsense
Hello, Je n'avais pas conscience du côté non complètement libre de pfsense. Merci Sinon pr répondre à la question initiale, j'ai mis en place des pfsense pr un client qui voulait remplacer son mpls par des tunnels ipsec. Archi en etoile avec un concentrateur pfsense sur Azure et le reste en aplliance (ou d'autre solution comme chkp, juniper, cisco etc...) et ça marche plutôt bien. Ca fait le job. Ca plante rarement. C'est pas tres cher. Bref, rien a redire (avant la remarque de wallace 😡) Wagab Le 10 novembre 2017 14:26:00 GMT+01:00, Wallace a écrit : >Bonjour, > >Pfsense attention à un élément ce n'est pas entièrement libre, tentez >d'obtenir tout le nécessaire pour compiler le kernel de pfSense vous >allez être accueilli sur le forum par la suppression de vos messages et >la fermeture de votre compte et par le support en non réponse. > >Dans le code distribué il n'y a pas tous les éléments nécessaires pour >faire fonctionner le kernel pour pfsense. Je n'ai pas les détails >techniques exacts c'est un expert sécu qui m'a passé l'information, >j'ai >juste vérifié en voulant compiler un kernel depuis le peu de sources >dispos et effectivement le pfsense n'est pas fonctionnel. > >C'est une des raisons du fork fait par OpnSense par une société >néerlandaise il me semble qui fait aussi du très bon matériel au >passage. Du coup on déploie que du OpnSense sauf quand il y a un besoin >spécifique pas encore implémenté dans OpnS exemple le 802.1X gérable >dans un interface et pas en CLI. > >En serveur à transformer en appliance, il y a des configs pas mal côté >supermicro avec des CM Atom 8 coeurs avec 4 int giga plus un port pci >pour mettre soit une quad giga soit d'autres vitesses et supports. >L'avantage c'est que c'est assez costaud pour faire du vpn autour des >600Mbps avec chiffrement et que ça consomme rien comparé à des serveurs >avec Xeon. > >Hésites pas à poser tes questions sur ton projet en pm. > > >Le 09/11/2017 à 18:25, Guillaume LAPOUGE a écrit : >> Bonjour, >> Je souhaiterais des retours d'expérience sur pfsense en production. >> Mon avis est que c'est un produit qui permet d'avoir des mises à jour >sur les firewall sans payer une blinde en support chez cisco ou autres. >> J'ai vu qu'une société nommé NETGATE commerciale des firewall sous >pfsense à des prix plutôt abordables, quelqu'un a-t-il un retour >d'expérience dessus ? >> J'ai aussi pensé à mettre du pfsense sur du matériel DELL, notamment >des R320 avec 16 gb de ram avec pas mal de cartes réseau. >> A ce moment la pourquoi ne pas le virtualiser sous vmware sur ces >R320 ? J'ai par contre peur qu'avec une faille 0 day on puisse remonter >sur l'hyperviseur depuis la VM. >> Merci de partager vos retours d'expérience. >> >> >> >> --- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ -- Envoyé de mon appareil Android avec Courriel K-9 Mail. Veuillez excuser ma brièveté. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] QUestion sur pfsense
Bonjour, Pfsense attention à un élément ce n'est pas entièrement libre, tentez d'obtenir tout le nécessaire pour compiler le kernel de pfSense vous allez être accueilli sur le forum par la suppression de vos messages et la fermeture de votre compte et par le support en non réponse. Dans le code distribué il n'y a pas tous les éléments nécessaires pour faire fonctionner le kernel pour pfsense. Je n'ai pas les détails techniques exacts c'est un expert sécu qui m'a passé l'information, j'ai juste vérifié en voulant compiler un kernel depuis le peu de sources dispos et effectivement le pfsense n'est pas fonctionnel. C'est une des raisons du fork fait par OpnSense par une société néerlandaise il me semble qui fait aussi du très bon matériel au passage. Du coup on déploie que du OpnSense sauf quand il y a un besoin spécifique pas encore implémenté dans OpnS exemple le 802.1X gérable dans un interface et pas en CLI. En serveur à transformer en appliance, il y a des configs pas mal côté supermicro avec des CM Atom 8 coeurs avec 4 int giga plus un port pci pour mettre soit une quad giga soit d'autres vitesses et supports. L'avantage c'est que c'est assez costaud pour faire du vpn autour des 600Mbps avec chiffrement et que ça consomme rien comparé à des serveurs avec Xeon. Hésites pas à poser tes questions sur ton projet en pm. Le 09/11/2017 à 18:25, Guillaume LAPOUGE a écrit : > Bonjour, > Je souhaiterais des retours d'expérience sur pfsense en production. > Mon avis est que c'est un produit qui permet d'avoir des mises à jour sur les > firewall sans payer une blinde en support chez cisco ou autres. > J'ai vu qu'une société nommé NETGATE commerciale des firewall sous pfsense à > des prix plutôt abordables, quelqu'un a-t-il un retour d'expérience dessus ? > J'ai aussi pensé à mettre du pfsense sur du matériel DELL, notamment des R320 > avec 16 gb de ram avec pas mal de cartes réseau. > A ce moment la pourquoi ne pas le virtualiser sous vmware sur ces R320 ? > J'ai par contre peur qu'avec une faille 0 day on puisse remonter sur > l'hyperviseur depuis la VM. > Merci de partager vos retours d'expérience. > > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ signature.asc Description: OpenPGP digital signature
Re: [FRnOG] [TECH] QUestion sur pfsense
salut, on en a 2 (actif/passif) en tete de pont de l'universite. Ce sont des dell R410 a 8G avec interface giga (notre sortie est a 1Gb/s). Ca fait fw, squid, openvpn et ipsec. Ca marche plus bien et c'est assez agreable a utiliser. On les a depuis ~5 ans et on a eu tres peu de pepins : qqs crashs (bascule sur le passif) mais qui finalement venait d'un pb materiel. a+, -- Julien << Vous n'avez rien a dire... Parlons-en! >> signature.asc Description: PGP signature
Re: [FRnOG] [TECH] QUestion sur pfsense
Bonsoir Guillaume Netgate est la société qui développe Pfsense ;-) On a quelques petits PfSense ça et là .. ce n'est pas parfait mais c'est assez complet. On s'en sert surtout chez des clients comme routeur / FW Gonzague 2017-11-09 18:40 GMT+01:00 Bijon Charles : > Bonjour Guillaume, > > Pour en avoir installé sous toutes formes, l'usage de la virtu est a > utiliser avec des pincettes. C'est bien pour du petit transit. Apres en > usage sur des dell recyclé genre PE860 avec des cartes 10G ca marche bien. > Et maintenant je mets des netgates qui permet en plus du support, permet > d'avoir quelques options sympa. Tres bonne solution. Par contre petit bug > dans la derniere release qui plombe le bonding dans le cas d'ajout > d'interfaces vlan. Mais ca n'empeche pas que ca reste quand meme bien pour > le prix. > > Cordialement, > > Le 9 nov. 2017 6:28 PM, "Guillaume LAPOUGE" a écrit : > > Bonjour, > Je souhaiterais des retours d'expérience sur pfsense en production. > Mon avis est que c'est un produit qui permet d'avoir des mises à jour sur > les firewall sans payer une blinde en support chez cisco ou autres. > J'ai vu qu'une société nommé NETGATE commerciale des firewall sous pfsense > à des prix plutôt abordables, quelqu'un a-t-il un retour d'expérience > dessus ? > J'ai aussi pensé à mettre du pfsense sur du matériel DELL, notamment des > R320 avec 16 gb de ram avec pas mal de cartes réseau. > A ce moment la pourquoi ne pas le virtualiser sous vmware sur ces R320 ? > J'ai par contre peur qu'avec une faille 0 day on puisse remonter sur > l'hyperviseur depuis la VM. > Merci de partager vos retours d'expérience. > > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] QUestion sur pfsense
Bonjour Guillaume, Pour en avoir installé sous toutes formes, l'usage de la virtu est a utiliser avec des pincettes. C'est bien pour du petit transit. Apres en usage sur des dell recyclé genre PE860 avec des cartes 10G ca marche bien. Et maintenant je mets des netgates qui permet en plus du support, permet d'avoir quelques options sympa. Tres bonne solution. Par contre petit bug dans la derniere release qui plombe le bonding dans le cas d'ajout d'interfaces vlan. Mais ca n'empeche pas que ca reste quand meme bien pour le prix. Cordialement, Le 9 nov. 2017 6:28 PM, "Guillaume LAPOUGE" a écrit : Bonjour, Je souhaiterais des retours d'expérience sur pfsense en production. Mon avis est que c'est un produit qui permet d'avoir des mises à jour sur les firewall sans payer une blinde en support chez cisco ou autres. J'ai vu qu'une société nommé NETGATE commerciale des firewall sous pfsense à des prix plutôt abordables, quelqu'un a-t-il un retour d'expérience dessus ? J'ai aussi pensé à mettre du pfsense sur du matériel DELL, notamment des R320 avec 16 gb de ram avec pas mal de cartes réseau. A ce moment la pourquoi ne pas le virtualiser sous vmware sur ces R320 ? J'ai par contre peur qu'avec une faille 0 day on puisse remonter sur l'hyperviseur depuis la VM. Merci de partager vos retours d'expérience. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] QUestion sur pfsense
Bonjour, Je souhaiterais des retours d'expérience sur pfsense en production. Mon avis est que c'est un produit qui permet d'avoir des mises à jour sur les firewall sans payer une blinde en support chez cisco ou autres. J'ai vu qu'une société nommé NETGATE commerciale des firewall sous pfsense à des prix plutôt abordables, quelqu'un a-t-il un retour d'expérience dessus ? J'ai aussi pensé à mettre du pfsense sur du matériel DELL, notamment des R320 avec 16 gb de ram avec pas mal de cartes réseau. A ce moment la pourquoi ne pas le virtualiser sous vmware sur ces R320 ? J'ai par contre peur qu'avec une faille 0 day on puisse remonter sur l'hyperviseur depuis la VM. Merci de partager vos retours d'expérience. --- Liste de diffusion du FRnOG http://www.frnog.org/
