Re: [FRnOG] [TECH] QUestion sur pfsense
Le mesh vpn en ipsec ou openvpn ça marche très bien j'en construis et exploite depuis 15 ans à l'époque sur des appliances type Netscreen et effectivement depuis facille 10 ans bientôt sur PfSense. La migration de PfSense vers OpnSense se fait très facilement la configuration s'importe et fait le nécessaire. Dans tout ceux que j'ai mis à jour vers ce fork, un seul m'a résisté avec la gestion du 802.1X qui du coup est resté sous PfSense le temps que ce package soit bien intégré. Je l'utilise à titre personnel depuis printemps 2015, au bureau depuis l'automne 2015 et depuis 1 an chez tous nos clients sans soucis en appliance ou en virt. Le 10/11/2017 à 16:43, Wagabow a écrit : > Hello, > > Je n'avais pas conscience du côté non complètement libre de pfsense. Merci > > Sinon pr répondre à la question initiale, j'ai mis en place des pfsense pr un > client qui voulait remplacer son mpls par des tunnels ipsec. Archi en etoile > avec un concentrateur pfsense sur Azure et le reste en aplliance (ou d'autre > solution comme chkp, juniper, cisco etc...) et ça marche plutôt bien. Ca fait > le job. Ca plante rarement. C'est pas tres cher. > > Bref, rien a redire (avant la remarque de wallace 😡) > signature.asc Description: OpenPGP digital signature
Re: [FRnOG] [TECH] QUestion sur pfsense
salut, une remarque qd meme qui peut avoir son importance, pfsense ne fait pas encore le NAT64. a+, -- Julien << Vous n'avez rien a dire... Parlons-en! >> signature.asc Description: PGP signature
Re: [FRnOG] [TECH] QUestion sur pfsense
Hello, Je n'avais pas conscience du côté non complètement libre de pfsense. Merci Sinon pr répondre à la question initiale, j'ai mis en place des pfsense pr un client qui voulait remplacer son mpls par des tunnels ipsec. Archi en etoile avec un concentrateur pfsense sur Azure et le reste en aplliance (ou d'autre solution comme chkp, juniper, cisco etc...) et ça marche plutôt bien. Ca fait le job. Ca plante rarement. C'est pas tres cher. Bref, rien a redire (avant la remarque de wallace 😡) Wagab Le 10 novembre 2017 14:26:00 GMT+01:00, Wallace a écrit : >Bonjour, > >Pfsense attention à un élément ce n'est pas entièrement libre, tentez >d'obtenir tout le nécessaire pour compiler le kernel de pfSense vous >allez être accueilli sur le forum par la suppression de vos messages et >la fermeture de votre compte et par le support en non réponse. > >Dans le code distribué il n'y a pas tous les éléments nécessaires pour >faire fonctionner le kernel pour pfsense. Je n'ai pas les détails >techniques exacts c'est un expert sécu qui m'a passé l'information, >j'ai >juste vérifié en voulant compiler un kernel depuis le peu de sources >dispos et effectivement le pfsense n'est pas fonctionnel. > >C'est une des raisons du fork fait par OpnSense par une société >néerlandaise il me semble qui fait aussi du très bon matériel au >passage. Du coup on déploie que du OpnSense sauf quand il y a un besoin >spécifique pas encore implémenté dans OpnS exemple le 802.1X gérable >dans un interface et pas en CLI. > >En serveur à transformer en appliance, il y a des configs pas mal côté >supermicro avec des CM Atom 8 coeurs avec 4 int giga plus un port pci >pour mettre soit une quad giga soit d'autres vitesses et supports. >L'avantage c'est que c'est assez costaud pour faire du vpn autour des >600Mbps avec chiffrement et que ça consomme rien comparé à des serveurs >avec Xeon. > >Hésites pas à poser tes questions sur ton projet en pm. > > >Le 09/11/2017 à 18:25, Guillaume LAPOUGE a écrit : >> Bonjour, >> Je souhaiterais des retours d'expérience sur pfsense en production. >> Mon avis est que c'est un produit qui permet d'avoir des mises à jour >sur les firewall sans payer une blinde en support chez cisco ou autres. >> J'ai vu qu'une société nommé NETGATE commerciale des firewall sous >pfsense à des prix plutôt abordables, quelqu'un a-t-il un retour >d'expérience dessus ? >> J'ai aussi pensé à mettre du pfsense sur du matériel DELL, notamment >des R320 avec 16 gb de ram avec pas mal de cartes réseau. >> A ce moment la pourquoi ne pas le virtualiser sous vmware sur ces >R320 ? J'ai par contre peur qu'avec une faille 0 day on puisse remonter >sur l'hyperviseur depuis la VM. >> Merci de partager vos retours d'expérience. >> >> >> >> --- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ -- Envoyé de mon appareil Android avec Courriel K-9 Mail. Veuillez excuser ma brièveté. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] QUestion sur pfsense
Bonjour, Pfsense attention à un élément ce n'est pas entièrement libre, tentez d'obtenir tout le nécessaire pour compiler le kernel de pfSense vous allez être accueilli sur le forum par la suppression de vos messages et la fermeture de votre compte et par le support en non réponse. Dans le code distribué il n'y a pas tous les éléments nécessaires pour faire fonctionner le kernel pour pfsense. Je n'ai pas les détails techniques exacts c'est un expert sécu qui m'a passé l'information, j'ai juste vérifié en voulant compiler un kernel depuis le peu de sources dispos et effectivement le pfsense n'est pas fonctionnel. C'est une des raisons du fork fait par OpnSense par une société néerlandaise il me semble qui fait aussi du très bon matériel au passage. Du coup on déploie que du OpnSense sauf quand il y a un besoin spécifique pas encore implémenté dans OpnS exemple le 802.1X gérable dans un interface et pas en CLI. En serveur à transformer en appliance, il y a des configs pas mal côté supermicro avec des CM Atom 8 coeurs avec 4 int giga plus un port pci pour mettre soit une quad giga soit d'autres vitesses et supports. L'avantage c'est que c'est assez costaud pour faire du vpn autour des 600Mbps avec chiffrement et que ça consomme rien comparé à des serveurs avec Xeon. Hésites pas à poser tes questions sur ton projet en pm. Le 09/11/2017 à 18:25, Guillaume LAPOUGE a écrit : > Bonjour, > Je souhaiterais des retours d'expérience sur pfsense en production. > Mon avis est que c'est un produit qui permet d'avoir des mises à jour sur les > firewall sans payer une blinde en support chez cisco ou autres. > J'ai vu qu'une société nommé NETGATE commerciale des firewall sous pfsense à > des prix plutôt abordables, quelqu'un a-t-il un retour d'expérience dessus ? > J'ai aussi pensé à mettre du pfsense sur du matériel DELL, notamment des R320 > avec 16 gb de ram avec pas mal de cartes réseau. > A ce moment la pourquoi ne pas le virtualiser sous vmware sur ces R320 ? > J'ai par contre peur qu'avec une faille 0 day on puisse remonter sur > l'hyperviseur depuis la VM. > Merci de partager vos retours d'expérience. > > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ signature.asc Description: OpenPGP digital signature
Re: [FRnOG] [TECH] QUestion sur pfsense
salut, on en a 2 (actif/passif) en tete de pont de l'universite. Ce sont des dell R410 a 8G avec interface giga (notre sortie est a 1Gb/s). Ca fait fw, squid, openvpn et ipsec. Ca marche plus bien et c'est assez agreable a utiliser. On les a depuis ~5 ans et on a eu tres peu de pepins : qqs crashs (bascule sur le passif) mais qui finalement venait d'un pb materiel. a+, -- Julien << Vous n'avez rien a dire... Parlons-en! >> signature.asc Description: PGP signature
RE: [FRnOG] [TECH] PRTG was : Outil de gestion SNMP / Syslog / Graphes
Glop, glop, On utilise PRTG depuis 4 ans au moins. J'aime bien les courbes positives et négatives pour la bande passante (c'est pas activé par défaut). Ca permet de bien visualiser l'entrant / sortant. Relativement peu de bugs rencontrés, c'est très stable. Il y a une communauté qui développe des add-ons : http://prtgtoolsfamily.com/ j'avais fait un outil pour configurer les Remote Probe en ligne de commande afin de pouvoir les pusher via Kaspersky Security Center. Les cartes c'est intégré aussi. Le seul module externe tiers et qui vaut un bras, c'est l'auto-map. Vince -Message d'origine- De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de Michel Py Envoyé : samedi 28 octobre 2017 04:50 À : 'Alexandre Rendour' ; Nicolas Girardi Cc : frnog@frnog.org Objet : RE: [FRnOG] [TECH] PRTG was : Outil de gestion SNMP / Syslog / Graphes > Alexandre Rendour a écrit : > On utilise PRTG pour la surveillance des équipements clients. (CPE, Machine > virtuelles, etc ). > - 2200 équipements - 1 capteurs Plusieurs probes Le serveur central > tourne sur une VM avec 16CPU et 32GB de ram. Merci pour le retour. Bon j'ai installé PRTG il y a 2 jours, effectivement c'est facile à installer, toussa. - La partie que j'aime : contrairement à tous les outils libres que j'ai regardés (y compris le vénérable MRTG que j'utilise depuis 20 ans), çà ne lisse pas les courbes. J'aime bien çà : une courbe PRTG non lissée à 1 minute, çà me dit 100 fois plus que le machin RRD à 5 minutes lissées sur 15. Avec 100 capteurs c'est à peine suffisant pur mon réseau à la maison. Convaincre ma direction qui a un porte-monnaie en peau de hérisson d'acheter la license pour 1 capteurs, pas évident. Vendredi prochain : le troll MAJ. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Grosse panne OVH ce matin
Bonjour, Je te rejoins Dominique, toutes mes pensées pour les équipes. Bon courage Carrel YAKPOVI Le 2017-11-10 09:51, Guillaume LAPOUGE a écrit : Fallais payer la facture EDF aussi. TROL -Message d'origine- De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de Dominique Rousseau Envoyé : jeudi 9 novembre 2017 09:54 À : frnog@frnog.org Objet : Re: [FRnOG] [TECH] Grosse panne OVH ce matin Le Thu, Nov 09, 2017 at 09:32:20AM +0100, Julien Escario [esca...@azylog.net] a écrit: Bonjour, Ca ne vaut probablement pas trop le coup de faire les kékés sur cette liste. +1 Je pense que pas grand monde ici n'a des infra du ampleur comparable a celles d'OVH pour pouvoir donner son avis... Je ne vous rappelle qu'un truc : Redbus, 2006. Nous étions nombreux à ne pas faire les malins à cette époque. J'espere pour eux qu'ils auront assez de café et un bbq (crepes, whatever, hein ;-) pour se reconforter apres. Courage aux équipes d'Oles qui doivent bien être sous pression avec une obligation de résultat (rapide) dans une situation déjà bien dégradée. Et aux autres qui font le support pour les clients qui ne savent plus vers qui se tourner. Carrement, bon courage a ceux qui sont sur le pont, et a tous ceux qui vont devoir repondre aux clients. -- Dominique Rousseau Neuronnexion, Prestataire Internet & Intranet 21 rue Frédéric Petit - 8 Amiens tel: 03 22 71 61 90 - fax: 03 22 71 61 99 - http://www.neuronnexion.coop --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Grosse panne OVH ce matin
C'est bon, tu peux, on est vendredi :) Le 2017-11-10 09:51, Guillaume LAPOUGE a écrit : > Fallais payer la facture EDF aussi. > TROL > > -Message d'origine- > De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la > part de Dominique Rousseau > Envoyé : jeudi 9 novembre 2017 09:54 > À : frnog@frnog.org > Objet : Re: [FRnOG] [TECH] Grosse panne OVH ce matin > > Le Thu, Nov 09, 2017 at 09:32:20AM +0100, Julien Escario > [esca...@azylog.net] a écrit: >> Bonjour, >> Ca ne vaut probablement pas trop le coup de faire les kékés sur cette liste. > > +1 > Je pense que pas grand monde ici n'a des infra du ampleur comparable a > celles d'OVH pour pouvoir donner son avis... > >> Je ne vous rappelle qu'un truc : Redbus, 2006. Nous étions nombreux à >> ne pas faire les malins à cette époque. > > J'espere pour eux qu'ils auront assez de café et un bbq (crepes, > whatever, hein ;-) pour se reconforter apres. > >> Courage aux équipes d'Oles qui doivent bien être sous pression avec >> une obligation de résultat (rapide) dans une situation déjà bien >> dégradée. Et aux autres qui font le support pour les clients qui ne savent >> plus vers qui se tourner. > > Carrement, bon courage a ceux qui sont sur le pont, et a tous ceux qui > vont devoir repondre aux clients. > > > -- > Dominique Rousseau > Neuronnexion, Prestataire Internet & Intranet > 21 rue Frédéric Petit - 8 Amiens > tel: 03 22 71 61 90 - fax: 03 22 71 61 99 - http://www.neuronnexion.coop > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Grosse panne OVH ce matin
Fallais payer la facture EDF aussi. TROL -Message d'origine- De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de Dominique Rousseau Envoyé : jeudi 9 novembre 2017 09:54 À : frnog@frnog.org Objet : Re: [FRnOG] [TECH] Grosse panne OVH ce matin Le Thu, Nov 09, 2017 at 09:32:20AM +0100, Julien Escario [esca...@azylog.net] a écrit: > Bonjour, > Ca ne vaut probablement pas trop le coup de faire les kékés sur cette liste. +1 Je pense que pas grand monde ici n'a des infra du ampleur comparable a celles d'OVH pour pouvoir donner son avis... > Je ne vous rappelle qu'un truc : Redbus, 2006. Nous étions nombreux à > ne pas faire les malins à cette époque. J'espere pour eux qu'ils auront assez de café et un bbq (crepes, whatever, hein ;-) pour se reconforter apres. > Courage aux équipes d'Oles qui doivent bien être sous pression avec > une obligation de résultat (rapide) dans une situation déjà bien > dégradée. Et aux autres qui font le support pour les clients qui ne savent > plus vers qui se tourner. Carrement, bon courage a ceux qui sont sur le pont, et a tous ceux qui vont devoir repondre aux clients. -- Dominique Rousseau Neuronnexion, Prestataire Internet & Intranet 21 rue Frédéric Petit - 8 Amiens tel: 03 22 71 61 90 - fax: 03 22 71 61 99 - http://www.neuronnexion.coop --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/