Provya

Un grand merci pour votre article notamment pour la configuration des règles d'autres articles sont plus confus ou trop large sur ce qu'il faut ouvrir.

J'ai mis en place le failover, il fonctionne très bien.

En revanche l'authentification radius testé avec la ligne de commande de pfsense ne fonctionne plus.
J'utilise également pf2ad pour l'authentification transparente squid et également HS.

Pour squid j'ai rajouté dans les customs option http_port 192.168.0.254:3128
Et il demande bien une authentification mais rien ne passe.

Je me demande si il ne faudrait pas rediriger le traffic de l'adresse virtuelle vers le 127.0.0.1 du pfsense. En claire je me demande si il ne faut pas une interface physique à squid.

Merci.

NB : du coup j'ai découvert votre materiel je pense que je vais en prendre un ;o)

Je me sers de fail2ban pour :

- Filtrer tous les accès à mes applications web
- Vérifier qui fait du forcing sur plusieurs autres services
- Je m'en sers également pour parer les attaques les plus "basiques" de type injections SQL, XSS, etc..
- Je m'en sers contre tous les bots ou non, cherchant des accès à des pages admins
- J'ai même une règle qui ban ceux qui génèrent des 403 (ce qui ne devrait jamais arriver, à moins qu'un mec cherche des pages/scripts à la mano..)
- etc..

Je fais d'abord du hardening sur mes confs, je teste et verrouille ça, puis me sert de f2b comme filet de secours et aussi pour pouvoir dresser des stats (avec munin) et éventuellement détecter des activités suspectes (de la prise d'empreinte par exemple).

Il ne faut pas prendre fail2ban comme un outil opérationnel dès qu'il est installé, il faut aller plus loin, ne pas hésiter à jouer avec les regex. C'est de mon point de vue très puissant.

Maintenant, pour protéger un serveur ssh pure et dure, il n'y aucun intérêt, effectivement. Je le laisse par défaut car il ne fait pas de mal (je m'auth en clef RSA), mais je n'aurais que ça à protéger, je n'utiliserais pas f2b.

F2B permet de centraliser une politique pro active de sécurité, je le prends plus comme un framework complet plutôt qu'un bête outils de ban.

@Elrick :
Bonjour,
Oui le failback se fera automatiquement si le lien 1 à une priorité plus forte que le lien 2 (par exemple : lien 1 configuré en "Tier 1" et lien 2 configuré en "Tier 2").

Le failback se fera dès que le lien 1 sera remonté. Par défaut, la vérification se fait toutes les 500 millisecondes.

Cordialement,

Guillaume
--
Provya

Bonjour,
Dans le cas du Fail-Over, si le 1er lien WAN tombe et qu'il bascule sur le 2ème, est ce qu'il basculera automatiquement sur le 1er lien à nouveau quand celui-ci sera de nouveau disponible ? Si oui, sous quel délai ?
Merci pour cette précision importante.

@Guillaume :

Bonjour Guillaume,

Merci beaucoup pour le temps que vous avez bien voulu me consacrer.

Mon souhait premier est en effet de doubler le débit, mais le problème évoqué par Florent doit aussi pris en compte (c'était mon principal souci lors de mon installation xDSL+Sat).

Encore merci pour votre aide et votre temps. Bien à vous,

Cyril

@Cyril :
Bonjour Cyril,

Je pense que le problème soulevé par Florent n'est pas exactement celui que vous soulevez. Florent souhaitait s'assurer de conserver la même adresse IP de sortie au cours d'une navigation (d'une session) sur un site donné (comme un site bancaire, par exemple) afin de ne pas en être déconnecté. La solution réside, entre autre, dans le paramétrage des sticky connections.

Dans votre cas, si je comprends bien, vous souhaitez additionner votre débit. Ce sera effectivement le cas pour plusieurs sessions parallèles (qui seront bien load-balancées sur les 2 connexions Internet) ; vous accéderez bien à la totalité du débit offert par vos 2 connexions. En revanche, ceci n'est pas possible nativement pour une seule session (un mono-téléchargement, par exemple) - ce qui est logique car pour une session vous sortez sur Internet avec une adresse IP et vous êtes donc forcément rattaché à une seule connexion Internet. Si c'est ce que vous recherchez (additionner le débit de vos 2 liens pour une mono-session, c'est-à-dire un mono-téléchargement), vous pouvez regarder du côté des solutions type OverTheBox.

Cordialement,

Guillaume
--
Provya

@Guillaume

Bonsoir Guillaume,

Ma question faisait suite au paramétrage du double WAN et à l'interrogation de Florent évoquant le fait qu'une requête pouvait, du fait du double WAN, se présenter avec l'une et l'autre des adresses IP.

Mon objectif étant de "doubler" mon débit, j'envisageais de prendre un deuxième accès auprès de mon opérateur actuel. Mais le problème souligné par Florent m'interroge. J'ai en effet déjà été confronté à ce problème sans réussir à le résoudre (un accès WAN xDSL et un accès WAN satellitaire), je n'ai jamais réussi à "additionner" les deux débits ; ça passait par l'un ou par l'autre, ou ça échouait tout simplement.

Dans votre réponse (https://www.provya.net/?d=2017/11/24/11/31/31-pfsense-configurer-un-dual-wan-plusieurs-connexions-internet#id709fbc), vous dites que la solution à ce problème est très simple. Malheureusement pour moi, je ne la trouve pas, d'où ma précédente publication.

En vous remerciant pour votre précieuse aide. Bien à vous,

Cyril

@Cyril :
Bonjour Cyril,

Je ne suis pas sûr de bien comprendre votre besoin.

Si vous recherchez une aide communautaire sur un problème spécifique, je vous invite à poster votre demande sur le forum officiel pfSense : https://forum.netgate.com/category/8/fran%C3%A7ais

Cordialement,

Guillaume
--
Provya

@Guillaume :
Bonjour Guillaume,

J'écume depuis quelques jours votre site et les commentaires, mais je ne trouve pas l'article ou le cours que vous évoquez dans ce commentaire :
https://www.provya.net/?d=2017/11/24/11/31/31-pfsense-configurer-un-dual-wan-plusieurs-connexions-internet#id709fbc

Auriez-vous la gentillesse de m'orienter, s'il vous plait ?

Bien à vous,

Cyril

Super Merci