Provya

Bonjour,
Je rencontre une difficulté pour paramétrer un Multi-WAN avec 2 Freebox situées sur le même sous-réseau. Concrètement mon pfSense dispose d'une seule interface WAN avec une IP 192.168.1.10/24. Mes 2 Freebox sont en 192.168.1.8/24 et 192.168.1.9/24. Ces 3 interfaces sont connectées à un petit switch dédié à cet usage. C'est la configuration décrite dans le chapitre 17.11 Multi-WAN on a stick de la doc de pfSense.
Dans pfSense, section Interfaces j'ai donc créé 1 LAN (192.168.2.254) et 1 WAN (192.168.1.10).
Dans les passerelles, j'ai créé 2 passerelles pour les Freebox et un groupe de passerelles incluant les 2 passerelles.
Ensuite je suis allé dans la configuration générale et j'ai indiqué des serveurs DNS pour mes 2 passerelles.
Puis je suis allé modifier la règle de routage Default allow LAN to any sur laquelle j'ai indiqué le groupe de passerelles que j'ai créé comme passerelle.
Cette configuration ne marche pas, rien ne passe.
La solution que j'ai trouvée c'est d'indiquer une passerelle dans l'interface WAN unique. Si j'indique ici l'adresse d'une de mes Freebox, ça passe mais il n'y a plus de basculement, les accès sortants passent systématiquement par la Freebox indiquée comme passerelle.
Vous avez une idée de la cause du problème ?
Merci.
Pascal.

@artorix :
Bonjour,

Merci pour votre commentaire.

Cordialement,

Guillaume
--
Provya

Bonjour,
un grand merci pour les explications accessibles aux gens qui n'ont pas fait d'études informatique.
ps : les cartes wi-fi Atheros que j'ai commandé chez vous (il y a quelques temps) fonctionnent nickel sur mon vieux Thinkpad, et tout aussi bien sur un Fujitsu plus moderne.
bonne continuation.

@ananascream :
Bonjour,

Merci pour ton commentaire.

Cordialement,

Guillaume
--
Provya

Super ! Merci pour ce tutoriel concernant la config QoS sur PfSense.
Nickel pour moi. Y a deux trois trucs a adapter pour que tout fonctionne mais la ligne directive est parfaite.
Merci à toi !

@betux :
Bonjour,

Il n'y a aucune raison que l'authentification radius (aussi bien en ligne de commande que via pf2ad ou squid) ne fonctionne plus une fois le cluster en place. Il s'agit, peut-être, d'un problème d'outbound NAT.
Avec un outil de capture des flux réseaux (menu Diagnostic > Packet capture côté pfSense), voyez-vous les paquets quitter le pfSense à destination de votre serveur Radius ? Avec quelles adresses IP sources & destinations ? Voyez-vous les paquets de réponses arriver ?

Nul besoin de rediriger l'adresse VIP vers la 127.0.0.1 ;-)

Cordialement,

Guillaume
--
Provya

@Yathus :
Bonjour Yathus,

Non. Il faudra adapter vos règles de priorisation. Notamment parce que l'on définit la bande-passante par interface et dans votre cas, vous aurez deux interfaces internes (LAN data et LAN VoIP).
Dans votre cas, le mieux est d'appliquer un tag sur vos paquets en fonction de leurs origines (LAN data ou LAN VoIP) et d'appliquer vos règles de priorisation uniquement sur l'interface WAN en jouant sur le sens (in ou out) et sur le tag.

Cordialement,

Guillaume
--
Provya

Bonjour,

Est ce que si je sépare sur un autre LAN mes telephones VOIP (par un VLAN par exemple) les règles présentées ici s'appliquent correctement ?

Merci !

Yathus

Un grand merci pour votre article notamment pour la configuration des règles d'autres articles sont plus confus ou trop large sur ce qu'il faut ouvrir.

J'ai mis en place le failover, il fonctionne très bien.

En revanche l'authentification radius testé avec la ligne de commande de pfsense ne fonctionne plus.
J'utilise également pf2ad pour l'authentification transparente squid et également HS.

Pour squid j'ai rajouté dans les customs option http_port 192.168.0.254:3128
Et il demande bien une authentification mais rien ne passe.

Je me demande si il ne faudrait pas rediriger le traffic de l'adresse virtuelle vers le 127.0.0.1 du pfsense. En claire je me demande si il ne faut pas une interface physique à squid.

Merci.

NB : du coup j'ai découvert votre materiel je pense que je vais en prendre un ;o)

Je me sers de fail2ban pour :

- Filtrer tous les accès à mes applications web
- Vérifier qui fait du forcing sur plusieurs autres services
- Je m'en sers également pour parer les attaques les plus "basiques" de type injections SQL, XSS, etc..
- Je m'en sers contre tous les bots ou non, cherchant des accès à des pages admins
- J'ai même une règle qui ban ceux qui génèrent des 403 (ce qui ne devrait jamais arriver, à moins qu'un mec cherche des pages/scripts à la mano..)
- etc..

Je fais d'abord du hardening sur mes confs, je teste et verrouille ça, puis me sert de f2b comme filet de secours et aussi pour pouvoir dresser des stats (avec munin) et éventuellement détecter des activités suspectes (de la prise d'empreinte par exemple).

Il ne faut pas prendre fail2ban comme un outil opérationnel dès qu'il est installé, il faut aller plus loin, ne pas hésiter à jouer avec les regex. C'est de mon point de vue très puissant.

Maintenant, pour protéger un serveur ssh pure et dure, il n'y aucun intérêt, effectivement. Je le laisse par défaut car il ne fait pas de mal (je m'auth en clef RSA), mais je n'aurais que ça à protéger, je n'utiliserais pas f2b.

F2B permet de centraliser une politique pro active de sécurité, je le prends plus comme un framework complet plutôt qu'un bête outils de ban.