@PapaSan :
Bonjour,
Que veux-tu dire par console centralisée ?
Les configurations de bases doivent se faire sur les 2 pfSense ; par exemple : assigner les réseaux aux bonnes interfaces physiques.
Puis, en mode cluster, les configurations réalisées sur le pfSense primaire sont répliquées sur le pfSense secondaire. Idem pour la table d'état.
Cordialement,
Guillaume
--
Provya
Bonjour,
super tuto dont je vais surement m'inspirer pour mon POC.
Par contre, et j'ai du mal à trouver de la doc dessus, peut-on mettre en place une console centralisée du cluster? via une des IP virtuelle?
Merci pour ton retour
@NumOpen :
Bonjour,
Merci pour ton commentaire. J'ai corrigé la faute à "fonctionnelles" :-)
Pour les termes, j'essaie d'utiliser le français autant que possible, mais je garde le nom des menus ou objets tels qu'ils sont déclarés dans pfSense. Mais il est vrai que j'utilise pfSense en anglais alors qu'il dispose maintenant d'une interface totalement traduite en français. Je vais basculer sur l'interface FR pour les prochains articles.
Cordialement,
Guillaume
--
Provya
Article très intéressant. Suggestion : utiliser les termes en français pour firewall, gateway...
fonctionelles -> fonctionnelles
Bonjour,
En fin, c'est déjà Noël chez nous ici ! on a maintenant le partage de bande passante équitable entre nos utilisateurs LAN, partage dynamique selon le nombre d'utilisateur connecté, on a pu constaté directement par le menu Status-> Traffic Graph la consommation up/down ou autre Monitoring de bande passante.
Grand Merci au site www.provya.net et tous les acteurs de cet merveilleux site.
MERCI BEAUCOUP.
@nla :
Bonjour,
Cela se définit au niveau du pfSense comme n'importe quelle règle de filtrage, ou au niveau de votre switch par la mise en place d'ACL (ce que nous déconseillons).
Cordialement,
Guillaume
--
Provya
@Guillaume :
Bonjour,
merci pour ces informations, je veux savoir comment faire le InterVlanRouting, par exemple je veux pas qu'un vlan visiteur peut router les autres Vlan a partir de ce dernier (Vlan visiteur)
Bonjour,
Nous sommes trompé sur l'ordre de configuration. Il faut sauvegarder le limiteur puis on revient à cliquer sur le bouton "Add new queue". Encore Merci beaucoup
@ptiseb60 :
Bonjour,
Peut-être un problème d'autorisation de flux ?
Avez-vous créé une interface logique et autorisé les flux réseau entre vos clients OpenVPN et votre LAN ?
Ça peut également être un problème de règle d'Outbound NAT manquante si vous n'avez pas laissé le mode automatique par défaut.
Cordialement,
Guillaume
--
Provya
@MONTA :
Bonjour,
Sur votre limiter, vous avez un bouton en bas de page : "Add new queue".
Cordialement,
Guillaume
--
Provya
Désolé si nous revenons très tôt, nous avons utilisé la version 2.3.3-RELEASE FreeBSD 10.3-RELEASE-p16 de Pfsense mais nous n'avons pas trouvé la configuration de file enfante dont vous avez préciser. "Dans la configuration de cette file enfante (que nous appellerons "Download_LAN"), pour le champ "Mask", vous choisissez "Destination addresses". Nous devons attendre l'article correspondant mais si vous pouvez répondre avant, c'est beaucoup mieux
Toutes nos excuses. Merci d'avance
Bonjour,
Vraiment reconnaissant de votre collaboration. Nous allons appliquer cette méthode et vous tenir au courant du résultat bientôt.
Encore MERCI.
@MONTA :
Bonjour,
Non, les limiters ne fonctionnent pas comme ça. Et heureusement... :-)
La méthodologie est la suivante :
Limiter le débit d'upload
Vous créez un limiter (appelons le "Upload") en précisant le débit (ex : 1 Mbps) et pour le champ "Mask", vous laissez à "None".
Puis vous cliquez sur "Add new queue" afin d'ajouter une file enfante à ce limiter.
Dans la configuration de cette file enfante (que nous appellerons "Upload_LAN"), pour le champ "Mask", vous choisissez "Source addresses".
Limiter le débit de download
Vous créez un limiter (appelons le "Download") en précisant le débit (ex : 10 Mbps) et pour le champ "Mask", vous laissez à "None".
Puis vous cliquez sur "Add new queue" afin d'ajouter une file enfante à ce limiter.
Dans la configuration de cette file enfante (que nous appellerons "Download_LAN"), pour le champ "Mask", vous choisissez "Destination addresses".
Appliquer sur les règles firewall
Vous éditez votre (ou vos) règle(s) firewall de l'interface LAN et allez dans les options avancées (bouton "Display Advanced").
Pour le champ "In / Out pipe", vous choisissez pour la première liste déroulante la file "Upload_LAN" et pour la seconde liste déroulante la file "Download_LAN".
Vous aurez alors une bande-passante équitablement répartie entre tous vos utilisateurs du LAN.
Pensez bien-sûr à sauvegarder et appliquer les changements pour qu'ils soient pris en compte.
Mes explications sont succinctes, mais vous devriez vous en sortir.
Comme indiqué dans mon précédent commentaire, un article détaillé sortira d'ici la fin de cette année.
(L'article est sorti : pfSense - Utiliser les limiters pour contrôler la bande-passante par utilisateur)
N'hésitez pas à revenir partager vos résultats.
Cordialement,
Guillaume
--
Provya
Bonjour,
J'ai un soucis apres mise en place d'un openvpn sur pfsense, mes client sous mac se connectent via tunnelblick en utilisant le fichier de configration .ovpn généré par pfsense.
Ils arrivent bien a se connecter et a se pinger sur la plage ip virtuel, cependant ils n'arrivent pas a communiquer avec mon LAN.
Auriez vous une idée de la raison?
Merci d'avance.
Merci beaucoup de votre aimable collaboration et votre article nous aide beaucoup. Je pense que beaucoup d'administrateur a le même problème de partage de bande passante. Malheureusement si on définit un limiteur pour un alias (groupe d'adresse IP) le premier utilisateur bouffe la bande passante et les restes n'ont plus. Donc il faut faire un limiteur par IP donc un RULE par IP, mais comme nous nous avons 70 utilisateurs. Encore Merci beaucoup
@MONTA :
Bonjour,
CC du commentaire que je vous ai laissé sur l'autre article :
CBQ peut effectivement être adapté à ce que vous souhaitez faire en terme de priorisation. Vous définissez des files d'attentes (queues), puis des règles d'affectation du trafic dans ces files. Ces règles peuvent être pour des services spécifiques (HTTP, SIP, etc.) ou pour des adresses IP (192.168.1.1 à .5), par exemple.
Pour le partage équitable de bande-passante entre vos 20 utilisateurs, je vous recommande de regarder du côté des limiters qui est clairement adapté pour cet usage.
Nous avons justement un article en cours de rédaction sur l'implémentation des limiters. Il devrait être publié d'ici la fin de l'année.
Cordialement,
Guillaume
--
Provya
@MONTA :
Bonjour,
CBQ peut effectivement être adapté à ce que vous souhaitez faire en terme de priorisation. Vous définissez des files d'attentes (queues), puis des règles d'affectation du trafic dans ces files. Ces règles peuvent être pour des services spécifiques (HTTP, SIP, etc.) ou pour des adresses IP (192.168.1.1 à .5), par exemple.
Pour le partage équitable de bande-passante entre vos 20 utilisateurs, je vous recommande de regarder du côté des limiters qui est clairement adapté pour cet usage.
Nous avons justement un article en cours de rédaction sur l'implémentation des limiters. Il devrait être publié d'ici la fin de l'année.
edit : L'article a été publié. Vous pouvez le consulter via le lien suivant : pfSense - Utiliser les limiters pour contrôler la bande-passante par utilisateur
Cordialement,
Guillaume
--
Provya
Bonjour,
Je n'arrive pas à trouver le document qu'il me faut depuis depuis, sur la priorisation de groupe d'adresse IP dans un même Alias et surtout le partage de bande passante dynamique des adresse IP dans notre LAN. Nous n'avons pas besoin de prioriser des différents trafics (VoiP, ...) juste surf sur internet simple http et https. Pourrais-je utiliser encore CBQ, ... ou avez-vous d'autres suggestions SVP. Je voudrais prioriser les IP : 192.168.1.1 - 192.168.1.5 avec une priorisation de 1 à 5 puis diviser la reste des bandes passantes (ex : 2Mpbs) pour 20 personnes, c'est à dire chacun a 102,4 Kbps équitablement. Très très GRAND MERCI à vous.
Bonjour,
Je n'arrive pas à trouver le document qu'il me faut depuis depuis, sur la priorisation de groupe d'adresse IP dans un même Alias et surtout le partage de bande passante dynamique des adresse IP dans notre LAN. Nous n'avons pas besoin de prioriser des différents trafics (VoiP, ...) juste surf sur internet simple http et https. Pourrais-je utiliser encore CBQ, ... ou avez-vous d'autres suggestions SVP. Je voudrais prioriser les IP : 192.168.1.1 - 192.168.1.5 avec une priorisation de 1 à 5 puis diviser la reste des bandes passantes (ex : 2Mpbs) pour 20 personnes, c'est à dire chacun a 102,4 Kbps équitablement. Très très GRAND MERCI à vous.
@nla :
Bonjour, votre switch supporte les VLAN. Vous pouvez donc l'utiliser dans ce sens avec pfSense. Aucun problème.
Vous trouverez dans la documentation Cisco comment créer/modifier/supprimer des VLANs sur votre switch : https://www.cisco.com/c/en/us/support/docs/switches/catalyst-express-500-series-switches/70485-cat-exp-500-config.html#vlans
Cordialement,
Guillaume
--
Provya
@Guillaume :
Bonjour,
merci pour ces informations, mais pour le CE500 je pense que c'est un switch layer 2, vous trouveerez sur le lien les spécifications de ce serveur [https://newsroom.cisco.com/dlls/2005/eKits/cisco_catalyst_express_500_series_switches.pdf] dans le cas d'un switch layer 2, peut on utiliser les vlan sur pfsense ?
@nla : Bonjour,
Votre switch supporte bien les VLAN.
Comme indiqué dans l'article, il ne faut pas créer vos VLAN sur une interface physique déjà associée à une interface logique. Y'en a qu'ont essayé, ils ont eu des problèmes... ;-)
Cordialement,
Guillaume
--
Provya