Provya

@Guillaume :
Bonsoir,

Merci pour ces réponses claires !

Je n'avais pas bien compris les priorités entre routes statiques et default gateway maintenant c'est chose faite.

Merci encore

WW

@Winston Wolf :
Bonjour,

Vous avez deux approches possibles :

1/ soit définir des routes statiques pour les sous-réseaux accessibles via la connexion MPLS. Cela s'effectue depuis le menu System > Routing > Static Routes. La passerelle par défaut (Default gateway IPv4 configurable depuis la page System > Routing) sera alors un groupe de gateway contenant la passerelle de votre connexion Internet grand public en Tier1 et la passerelle de votre connexion MPLS en tier2.

2/ soit créer un groupe de gateway avec votre passerelle grand public en tier1 et votre passerelle MPLS en tier2. Puis, vous forcez dans vos règles de filtrage le groupe de gateway que vous venez de créer, ou la gateway de votre MPLS, en fonction de la destination.

Cordialement,

Guillaume
--
Provya

Bonjour,

Tout d'abord merci pour ces articles très didactiques sur pfsense.

Sur mes sites j'ai aujourd'hui une connexion IP/MPLS dans laquelle transite l'ensemble des flux mais je souhaiterais ajouter un accès internet classique pour y faire passer uniquement le flux internet et laisser la connexion actuelle pour les flux de nos logiciels Pro, en gros les classe privé A B et C via la connexion actuelle et les classes publiques vers le future accès internet "grand publique" pas chère mais non garanti.

Je vois bien comment monter le failover, je le fais d'ailleurs fonctionner sur une maquette, mais je ne vois pas comment faire en sorte que si les 2 liens sont UP, envoyer les classes A B et C vers la connexion pro et internet vers le lien internet, mais si le lien internet tombe tout repasse à nouveau dans la connexion pro ?

Est-ce possible et si oui auriez-vous quelques premiers éléments pour savoir où
chercher ?

j'espère avoir été clair ^^

Merci

@FanPfsense :
Bonjour,

Oui, tout à fait.

Cordialement,

Guillaume
--
Provya

@abdou :
Bonjour Abdou,

Je vois deux problèmes potentiels avec cette approche qui peuvent expliqués le soucis que vous rencontrez :

- Il faut modifier la valeur du champ "Skew" pour vos adresses IP virtuelles. Si le pfSense A et le pfSense B ont, pour leurs adresse IP virtuelles, la même valeur de Skew, les deux se penseront Primaire (Master) en même-temps.
- Il faut personnaliser les adresses IP propres à chaque pfSense ; il ne faut pas que le pfSense A et le pfSense B aient la même adresse IP sur leur interface LAN, par exemple.

Cordialement,

Guillaume
--
Provya

bonjour
est ce que c'est possible de copier la configuration d'un pfsense A a une autre machine pfsense B?
j'ai essayer, mais quand j'ai copié la configuration dans le pfsense B , le redémarrage a coincé au niveau des interfaces WAN et LAN (link state changed to UP /Down),

Je vous remercie d'avance.

merci pour cet article intéressant, fonctionnel et très bien expliqué.

petite question : est-il possible de d'ouvrir un port ipv6 avec cette technique ?
par ex : serveur web accessible en ipv6 avec l'ipv6 de tunnelbroker ?

merci

Hello,

Fail2ban est indispensable, oui, mille fois oui. Je ne comprends pas pourquoi par contre il y en a qui s'obstinent à ne parler que de SSH avec Fail2ban. Oui, il existe des filtres SSH avec f2b, mais ce n'est qu'une goutte d'eau dans l'océan. Et j'ai presque envie de dire qu'avec une configuration de sshd réellement propre (auth RSA avec limitation @host, plus règle FW), Fail2ban n'est même pas utile.
Fail2ban, c'est avant tout la garantie de pouvoir générer des règles à partir de puissantes regex pour n'importe quelle log, et c'est génial.

Me concernant, une de mes fonction est gérer un ERP vieillissant, en PHP, je n'ai pas les ressources pour le mettre à niveau, je corrige tout ce que je trouve (sqli, xss, etc..), je passe un maximum de chose de _mysql à PDO filtré, mais ça ne suffit pas, il peut y avoir des oublis. Fail2ban me rend ici un service immense en filtrant mes logs nginx et dès qu'une tentative d'injection SQL est détectée (du moins les plus courantes), boom, c'est le ban.
Idem pour toutes les requêtes un peu trop chelou, les appels à des pages/scripts inexistants.

Rien que pour que ce type d'utilisation, fail2ban fait un boulot extra. Je l'ai couplé avec plein d'outils. Alors évidemment, avant de mettre fail2ban, il faut avoir une configuration propre de base, bien maîtriser l'ensemble et la portée des paramètres utilisés, faire du hardening, mettre en place des règles FW propre, puis, seulement, rajouter la couche Fail2ban.

Fail2ban ne doit en revanche jamais être considéré comme un pansement pour ceux qui ne veulent pas se casser la tête à faire du hardenning.

J'utilise Fail2ban + pfsense...

J'héberge un serveur asterisk "ouvert" sur le port 5060 car je dois pouvoir m'y connecter à distance en VoIP via mon smartphone(le nombre de tentatives d'intrusions est phénoménal).
L'usage d'un VPN pour les nomades VoIP n'est pas adapté (décrochages lors de mauvaises conditions de réception, temps de connexion, etc) aussi j'utilise Fail2ban sur mon asterisk en association avec pfblockerNG sur mon pfsense.

En effet, je récupère chaque heure les IP bannies sur mon asterisk que j'injecte dans pfblockerNG ainsi je déporte le blocage sur le pfsense en amont du serveur asterisk (avec drop des paquets).

Cette configuration a l'avantage de pouvoir paramétrer Fail2ban avec des recherches de log sur de courtes durées limitant ainsi l'usage CPU, et de laisser le travail de blocage au pfsense dont c'est le rôle.

pfblockerNG permet de bloquer les IP par pays et/ou par listes noires, et l'association avec Fail2ban permet de filtrer unitairement les IP qui tentent d'entrer.

Avec cette méthode, je n'ai jamais eu aucune intrusion depuis des années d'usage.

Bonjour Guillaume

Merci pour tes précieux conseils et la doc en français que vous produisez pour la mettre à disposition de tous ! Il est temps de rentrer dans le vif du sujet ... Je regarde de ce côté et je ferais un retour.

Cordialement

Steeve