The pfSense Store

Author Topic: Materiel  (Read 1888 times)

0 Members and 1 Guest are viewing this topic.

Offline bertux

  • Newbie
  • *
  • Posts: 9
    • View Profile
Materiel
« on: June 11, 2012, 02:45:11 am »
Bonjour,

J'ai monté une configuration de test sur un vieux celeron 700 avec 1024mo de ram, ma configuration sans utilisateurs connectés prend déjà 74% de la RAM.
Comme cette configuration va servir à offrir le WiFi dans un établissement de type clinique, il risque d'y avoir pas mal d'utilisateurs.

J'ai donc décidé d'acheter du matériel plus récent mais des questions me tarabustent !

Y a t il un chipset et un processeur à privilégier ?

Cdt.

Offline kayas

  • Newbie
  • *
  • Posts: 6
    • View Profile
Re: Materiel
« Reply #1 on: June 11, 2012, 02:49:44 am »
De quel moyen disposes-tu? et est-ce que tu veux changer que le processeur?

Offline ccnet

  • Hero Member
  • *****
  • Posts: 1790
    • View Profile
Re: Materiel
« Reply #2 on: June 11, 2012, 03:54:35 am »
Quote
Y a t il un chipset et un processeur à privilégier ?
Le plus simlle reste de consulter le HCL (Hardware Compatibility List) de FreeBSD.

Quote
ma configuration sans utilisateurs connectés prend déjà 74% de la RAM.
C'est tout à fait étrange. Mais comme vous n'indiquez rien de la configuration Pfsense installé on ne peut pas vous aider davantage.

Avant de parler de changer de processeur, alors que c'est la ram qui semble manquer, il serait bon quel'ensemble des besoins soit défini clairement.

Offline bertux

  • Newbie
  • *
  • Posts: 9
    • View Profile
Re: Materiel
« Reply #3 on: June 11, 2012, 04:10:16 am »
La configuration pfsense c'est :
  • Portail Captif
  • Enregistrement des logs Squid + Lightsquid
  • OpenNTPd
  • 4 Interfaces ethernet



Je ne vois pas trop ce que je peux dire de plus, merci de me dire ce dont vous auriez besoin ?

Offline ccnet

  • Hero Member
  • *****
  • Posts: 1790
    • View Profile
Re: Materiel
« Reply #4 on: June 11, 2012, 04:31:01 am »
Quote
merci de me dire ce dont vous auriez besoin ?
C'est vous qui avez besoin de quelque chose !

On comprend mieux le besoin et la situation. Les remarques d'usage une fois de plus.
Un proxy n'a rien à faire sur un firewall pour des raisons évidentes qui ont déjà été indiquées ici dix, vingts fois et plus. Surtout avec "pas mal d'utilisateurs", ce qui est une quantification assez approximative du besoin. Un proxy dédié est pratiquement la seule solution sérieuse, j’entends par là professionnelle. Squid consomme beaucoup de mémoire potentiellement. Ce que vous ne dites pas, mais qui sera probablement nécessaire est qui fraudra prévoir un outil comme suiqguard, archiver les logs pour satisfaire aux contraintes légales, et aussi chiffrer ces logs pour les mêmes raisons. Autant de chose qui n'ont rien à faire sur le firewall. Liste non exhaustive.

Les problématiques de bande passante, de charges ne sont pas abordées, mais il n'y a que vous qui puissiez le faire. Le débit maximum que peut soutenir Pfsense dépend du processeur, des cartes réseaux. Voir en premier lieu : http://www.pfsense.org/index.php?option=com_content&task=view&id=52&Itemid=49 Ce sera déjà une première approche.

Reste les contraintes de disponibilité et la capacité de MCO. Bref il faut un vrai serveur.

Offline bertux

  • Newbie
  • *
  • Posts: 9
    • View Profile
Re: Materiel
« Reply #5 on: June 11, 2012, 10:06:20 am »
Quote
merci de me dire ce dont vous auriez besoin ?
C'est vous qui avez besoin de quelque chose !

Pardonnez moi si je vous ai offensé, je voulais dire que si vous aviez besoin de plus d'information pour m'aider vous pouviez me les demander car de moi même je ne voyait pas quoi vous dire de plus.

Et je vous remercie de l'aide que vous m'avez apporté.

On comprend mieux le besoin et la situation. Les remarques d'usage une fois de plus.
Un proxy n'a rien à faire sur un firewall pour des raisons évidentes qui ont déjà été indiquées ici dix, vingts fois et plus. Surtout avec "pas mal d'utilisateurs", ce qui est une quantification assez approximative du besoin. Un proxy dédié est pratiquement la seule solution sérieuse, j’entends par là professionnelle. Squid consomme beaucoup de mémoire potentiellement. Ce que vous ne dites pas, mais qui sera probablement nécessaire est qui fraudra prévoir un outil comme suiqguard, archiver les logs pour satisfaire aux contraintes légales, et aussi chiffrer ces logs pour les mêmes raisons. Autant de chose qui n'ont rien à faire sur le firewall. Liste non exhaustive.

J'ai bien compris l’intérêt d'installer Squid sur une autre machine pour la sécurité et la confidentialité des données.
Bien que je ne vois pas trop qui ces données pourraient intéresser, je dois être dans mon monde de bisounours mais je me soigne ! 

Les problématiques de bande passante, de charges ne sont pas abordées, mais il n'y a que vous qui puissiez le faire. Le débit maximum que peut soutenir Pfsense dépend du processeur, des cartes réseaux. Voir en premier lieu : http://www.pfsense.org/index.php?option=com_content&task=view&id=52&Itemid=49 Ce sera déjà une première approche.

Les patients seront connectés par wifi sur nos bornes (cisco) pour cela j'ai créé un vlan pour les dissocier de notre réseau professionnel. Côté patient je penche pour 20 utilisateurs max simultanés sachant qu'ils devront se partager une connexion ADSL 2048kbps MAX.
Côté professionnels nous nous partageons une connexion ADSL 1024kbps pour 20 postes sachant que nous n'y sommes pas tous en même temps.

Reste les contraintes de disponibilité et la capacité de MCO. Bref il faut un vrai serveur.
MCO ?

L'idée s'était de brancher les 2 abonnements ADSL sur pfsense + les 2 réseaux LAN (professionnel et patients) avec les règles qui vont bien pour ne pas que les LAN se croisent.

A moindre frais car l'idée était d'offrir cette prestation à la demande.

Cdt.

Offline ccnet

  • Hero Member
  • *****
  • Posts: 1790
    • View Profile
Re: Materiel
« Reply #6 on: June 11, 2012, 10:52:27 am »
rien offensant, mais votre formulation était amusante au second degré.

Quote
J'ai bien compris l’intérêt d'installer Squid sur une autre machine pour la sécurité et la confidentialité des données.

Plusieurs points à considérer.
1. La présence de suid sur le firewall fait courir un risque supplémentaire au firewall lui même pour sa disponibilité et son intégrité. Le nombre de vulnérabilités d'un système est directement proportionnel au nombre de ligne de codes qu'il exécute. Ensuite la consommation de ressource provoqué par Squid, vous en avez déjà un aperçu, pourrait aller jusqu'à rendre votre firewall indisponible. Mauvais pour la sécurité du point de vue des critères DICT (Disponibilité, Intégrité, Confidentialité, Traçabilité).

Quote
Bien que je ne vois pas trop qui ces données pourraient intéresser, je dois être dans mon monde de bisounours mais je me soigne !
2. Ce n'est pas ainsi que le problème se pose. Proxy -> Authentification (il vaut mieux) -> Données à caractère nominatif (même indirectement) donc vous êtres dans le cadre des obligations de moyens de la loi pour protéger les données à caractère personnel. Que cela intéresse ou pas, que cela possède ou non de la valeur, ce n'est pas le problème. Vous avez l'obligation de protéger ces données. Un patient mal embouché découvrant que l'on peut déterminer qu'il a accédé a je ne sais quel site sera fondé à vous poursuivre. C'est surtout là que se trouvent les risques. Lire le site de la Cnil vous éclairera.

MCO : Maintient en condition opérationnelle.

Quote
L'idée s'était de brancher les 2 abonnements ADSL sur pfsense + les 2 réseaux LAN (professionnel et patients) avec les règles qui vont bien pour ne pas que les LAN se croisent.
Oui très bien, mais avec un seul proxy .... tout sera dans le même cache. Il faut le savoir.

Offline Jaguy

  • Newbie
  • *
  • Posts: 8
    • View Profile
Re: Materiel
« Reply #7 on: June 21, 2012, 05:35:37 am »
Salut.

Je voulais savoir:
Quote
Les patients seront connectés par wifi sur nos bornes (cisco) pour cela j'ai créé un vlan pour les dissocier de notre réseau professionnel. Côté patient je penche pour 20 utilisateurs max simultanés sachant qu'ils devront se partager une connexion ADSL 2048kbps MAX.
Côté professionnels nous nous partageons une connexion ADSL 1024kbps pour 20 postes sachant que nous n'y sommes pas tous en même temps.

Est-il important de séparer les 2 WAN ? Déjà, est-il nécessaire d'avoir 2 WAN ?

C'est juste pour info, mais que pensez-vous de ces solutions:

- Les 2 WAN (sdsl je présume) sur PFSense et du load balancing ou de fail over,  au choix, et derrière, les 2 LAN et leurs règles qui vont bien
- Un WAN (sdsl ou adsl) et derrière, les 2 LAN et leurs règles qui vont bien

Ma demande est : pourquoi les 2 WAN ? Sécurité, redondance, totale isolation, gestion de la bande passante, ... ?

Ensuite, si avec 1Go de RAM vous en avez 74% d'utilisé, il y a un problème quelque part, ou alors votre cache mémoire (squid) est un peu excessif, ou la ram trop juste, 2Go peut-être, ...

Eclairez nous un peu avant d'aller plus loin. Je dis ça, car le "plus loin" va dépendre de votre réponse.

Bye.

Offline bertux

  • Newbie
  • *
  • Posts: 9
    • View Profile
Re: Materiel
« Reply #8 on: June 21, 2012, 09:54:33 am »
La demande croissante des patients pour un réseau WiFi nous a fait chercher des solutions chez les professionnels comme Orange, notre SSII et des sociétés sur Internet.

Les entreprises contactées nous on retourné des devis pour mettre en place la solution complètement déraisonnables, les plus compétitifs étaient Orange avec qui nous travaillons déjà (une solution à base de serveur Ucopia environs 5000€).

Toutes ces propositions on été refusées car trop onéreuses pour proposer un service gratuit.

Nous avions déjà un accès ADSL Orange partagé entre certains professionnels pour envoyer/revoir des mails et surfer.

Donc nous avons cherché sur Internet une solution de portail captif et d'enregistrement de logs. Nous sommes  tombé sur pfsense qui nous a semblé plus facile d'accès que les diverses solutions sous Linux.

Au début nous avons eu l'idée des 2 WAN pour isoler complètement les 2 réseaux, puis on a vu qu'il était possible de brancher 2 WANs sur le serveur pfsense et là on s'est dit que c'était génial et que se serait pratique quand Orange nous lâche, on prendrait une ligne chez Free et on aurait une sécurité.

Nous avons fait un test de pfsense sur un Celeron 700 avec 1Go de RAM, avec Squid, portail captif et lightsquid.
Avec LightSquid il est possible d'afficher le nom d'utilisateur en face du site visité, la solution nous convenait.

Nous avons trouvé cela satisfaisant et nous nous sommes dit qu'avant de se lancer il fallait trouver une réponse au problème de RAM.

D'ou mon message et la douche froide de ccnet quand à la sécurité des logs.

Pour le moment je n'ai pas encore eu le temps de faire des tests d'enregistrement de logs sur un serveur Syslog à part, et je n'ai pas de machine supplémentaire pour installer un UNIX/Linux pour y mettre SQUID et un serveur SYSLOG.

Comme on crée les utilisateurs dans la base local de pfsense, du coup je pense que cela va être difficile de lié les noms des utilisateurs pfsense aux sites visités.

En gros la solution est à creuser, l'idée étant bien évidemment que cela ne coûte pas cher à l'établissement qui ne veut pas mettre d'argent la dedans.


Offline Jaguy

  • Newbie
  • *
  • Posts: 8
    • View Profile
Re: Materiel
« Reply #9 on: June 25, 2012, 03:04:54 am »
Oui, c'est malheureusement la situation la plus courante: on veut tout mais on dispose de pas grand chose.
ccnet est tout à fait en accord avec les bons principes pour que tout fonctionne bien dans le meilleur des mondes, mais ce n'est pas la réalité. Bien souvent, on doit faire avec ce que l'on nous donne.

Très honnêtement, vous offrez une solution (donc gratuitement) de connexion vers Internet, vous ne leur devez pas la qualité de connexion à 99.9%
C'est pour cela qu'avoir 2 WAN qui assureront une redondance et donc une tolérance de coupure n'est pas une obligation. Sauf si cette tolérance est pour le côté de vos users professionnels...

En tout cas, dans le principe du "Qui marche pas cher" je verrai bien ce schéma:

WWW <---> PFSence (1 WAN + 2 LAN)
                          ^
                          |---> LAN Professionnel
                          |---> LAN Offert

Bien sûr, avec les règles qui vont bien, par exemple:
 - un blocage total entre les 2 LAN (confidentialité entre les LAN)
 - une gestion de bande passante sur les 2 LAN (partage de débit, ça assure que chacun aura un minimum de bande passante)

Pour ce qui est des log, sur votre ordi, vous placez un 2ieme disque et vous le dédiez à cela.
Ca va en partie soulager le disque principal (charges I/O et quantité d'infos)

Voilà, ce n'est pas LA solution, c'est certain, mais comme dit plus haut: "Qui marche pas cher"

Par contre, un céléron 700 me semble un peu faible, même pour une 30taine de users ... Vous n'auriez pas un peu plus fort ?
(Idéal dans ce genre de petit ordi, un pentium au lieu d'un céléron, il est plus puissant en calcul, ce qui le libèrera plus vite lors des calculs pour LightSquid)
En fait, pour le firewall, ça serait correcte, mais derrière il y a Squid, SquidGuard et LightSquid ...


J'espère déjà vous aider un peu ...
« Last Edit: June 25, 2012, 03:11:35 am by Jaguy »

Offline bertux

  • Newbie
  • *
  • Posts: 9
    • View Profile
Re: Materiel
« Reply #10 on: June 28, 2012, 04:18:15 am »
La possibilité pour les professionnels de passer par le WAN dédié aux patients est bien une tolérance.

Les 2 LAN seront effectivement isolés?

Je continu mes travaux dès que je trouve un P4 ou plus puissant.

Merci de votre aide.

Offline Jaguy

  • Newbie
  • *
  • Posts: 8
    • View Profile
Re: Materiel
« Reply #11 on: June 28, 2012, 05:52:24 am »
Quote
Les 2 LAN seront effectivement isolés?

Oui, par défaut, ils seront totalement isolés.
Mais attention à vos règles ensuite.
Si vous autorisez les clients du "LAN offert" à imprimer (par exemple), bien restreindre cette autorisation au réseau "LAN Offert" et non pas à tous les réseaux (genre une '*' dans "réseau destination").
Sinon, dans cette exemple, ils pourront aussi imprimer dans le "LAN Pro".

Explication:
Ne pas oublier que PFSense est aussi un routeur et qu'il fait son travail sur toutes ses interfaces actives.
Donc mettre une règle du genre "j'autorise tel réseau à communiquer sur tel port quelque soit la destination" fera en sorte que PFSense route le flux de ce réseau sur ce port quelque soit la destination ... y compris vers le 2ieme LAN dans votre cas.
La, je parle d'une imprimante, mais imaginez une règle vers un partage de fichiers ... bigre  :-\

Heuuuu, j'ai été clair là ?

Au pire, en première règle sur le "LAN Offert", vous pouvez mettre une règle du genre:
Réseau source = "LAN Offert"
Réseau destination = "LAN Pro"
Port source= *
Port destination = *
Règle = BLOCK
Et là, isolation total entre les deux LAN, quelque soit les règles que vous mettrez par la suite.

Bon, c'est une règle forte mais, en théorie, la sécurité fonctionne comme ça: On bloque tout et on autorise au cas par cas

Voilà, bonne continuation.

Offline ccnet

  • Hero Member
  • *****
  • Posts: 1790
    • View Profile
Re: Materiel
« Reply #12 on: June 29, 2012, 05:03:31 am »
Quote
Bon, c'est une règle forte mais, en théorie, la sécurité fonctionne comme ça: On bloque tout et on autorise au cas par cas
En pratique aussi sauf à s'exposer à de terribles déconvenues.

Offline jdh

  • Hero Member
  • *****
  • Posts: 899
    • View Profile
Re: Materiel
« Reply #13 on: June 29, 2012, 10:57:07 am »
Q/ Quelle est la différence entre la théorie et la pratique ?

R/ En théorie, il n'y a pas de différence. En pratique, si !


Bon c'est le week-end ...