Discussion :

[zanker]

Bonjour,

J'ai parcouru 2 sujets sur le forum et ils m'ont déjà apporté des réponses.

• Création d'un sous réseau indépendant
• Newbie qui veut se faire la face Nord de l'Everest

Mes besoins sont de conserver en partie mon architecture réseau existante. A ce réseau, j'avais ajouté un routeur Netgear WNDR3700 (1 port WAN+4 ports LAN+Wifi) pour créer un 'VLAN invité'. Mais la gestion des ports LAN du routeur est différente et plus permissive que celle du 'Wifi inivité' de ce même routeur. La configuration du routeur ne me permet pas de mettre les 4 ports LAN au même niveau de gestion que le 'Wifi invité'.

Aujourd'hui, je veux donc refaire mon VLAN invité en proposant donc du Wifi, mais aussi des prises Ethernet qui serons dédiées à ce 'VLAN invité'.
De plus, je veux y laisser l'accès à internet mais en interdisant ce qui est répréhensible (téléchargement et streaming illégaux...). Pour la bonne raison, que je mettrai ce VLAN à disposition de gens, de passages chez moi, qui s'afficheront sur internet avec mon IP publique.

Je souhaite aussi ne pas être pénalisé par des activités internet débordantes de mes 'invités'. Je souhaite mettre des règles de limite de bande passante upload/download sur internet depuis le 'VLAN invité' tout en laissant la possibilité d'avoir un débit correcte, par exemple pour de la 4K sur Android TV. Ca devrait être possible car j'ai la FTTH.
Enfin, est-il possible de conserver les logs d'activités du 'VLAN invité' vers l'internet ? Si un jour, en cas de besoin de justification auprès des autorités, pour que je puisse me protéger.

Alors voici 2 schémas. Un de mon réseau actuel et le second modifié pour atteindre mes objectifs.

---

Réseau actuel

qui comporte :

1. Freebox serveur. Avec configuration NAT pour accès à différents services de mon NAS.
2. NAS, avec une configuration reverse web proxy + certificats https.
3. Switch Netgear GS108 (non manageable) 8 ports LAN
4. Routeur Netgear WNDR3700 (1 port WAN+4 ports LAN+Wifi)

---

Réseau en Projet

qui devrait comprendre :

1. Remplacement de mon switch Netgear GS108 (non manageable) par un boitier PFSENSE (8Gb RAM 128Gb SSD 4xLAN 1Gbps - Router/Firewall/Proxy/WiFi Access Point)
2. Remplacement de mon routeur Netgear WNDR3700 par un switch manageable Netgear GS108E 8xLAN 1Gbps pour créer mon 'VLAN invité' et un 'VLAN Perso'.
3. Ajout d'un boitier Wifi Access Point dans le 'VLAN invité'.

Voilà, est ce que cette architecture est envisageable ? Y voyez vous de potentiels problèmes ?
A ce point , je ne sais pas comment ça se passera pour les adresses IP/masque à chaque niveau (pfsense, switch).
Mes 2 PC qui seront connectés (en orange) dans le nouveau 'VLAN perso', pourront-ils toujours accéder à mon NAS et aux éventuels périphériques connectés à ma Freebox server ?

Dans un second temps, est-ce que je pourrai déplacer mon NAS+Freebox TV derrière mon boitier PFSENSE ? J'imagine que la Freebox TV se connectera au Freebox server que si j'ajoute une règle dans le Firewall pfsense. Et surement que je devrais laisser tomber ma conf reverse web proxy du NAS pour la reporter sur le pfsense, si toutefois il permet de le faire, non ?

J'en ai mis une tartine, mais j'ai essayé d'être complet et clair. Parfois un dessin vaut mieux que des explications.
Merci aux courageux de m'avoir lu jusqu'ici .

Cordialement
ZanKer

[becket]

Salut,

C'est évidemment possible même si pfsense n'est pas le meilleur choix pour faire un AP. FreeBSD ayant un support relativement limité pour les cartes wifi.

[chrtophe]

Je pense que mettre la freebov TV derrière le pfsense, tu pars vers une galère.

Si ton projet est à but professionnel, tu es sensé garder les logs pendant un an. C'est techniquement faisable, mais tu as des services de hotspot du genre de ceux qu'utilisent les hotels qui te déchargerons de cela.

[zanker]

Bonsoir,
Merci pour vos réponses

C'est évidemment possible même si pfsense n'est pas le meilleur choix pour faire un AP. FreeBSD ayant un support relativement limité pour les cartes wifi.

Pour le boitier pfsense, je prendrai bien une solution déjà préinstallé qui me conforterai dans la compatibilité matériel.
J'ai en vu celui-ci : Mini Computer Mi4300YL (kettop.com) que j'ai trouvé équipé de 8Go RAM + 128Go SSD
Est-ce que vous avez connaissance d'un autre matériel possédant les fonctionnalités dont j'aurai besoin et qui est performant ?
pfsense propose t-il la fonction Reverse Web Proxy ?

Je pense que mettre la freebov TV derrière le pfsense, tu pars vers une galère.

Oui, c'est ce que je pense aussi.

[becket]

Pourriez-vous définir performant ?
Il y a évidemment des fonctions reverse-proxy. Celles-ci sont basées sur squid

[zanker]

Pourriez-vous définir performant ?

J'entends par performant, un matériel qui est en capacité d'en faire plus que ce que j'en demande au départ. Qu'il soit très réactif, que j'ai une perspective d'évolution, que je puisse rajouter des fonctionnalités plus tard.
Je ne voudrai pas me retrouver, après quelques mises à jour du boitier, avec un système qui rame. Côté budget, je préfère mettre un peu plus, et avoir une config plus costaud, plutôt que de me retrouver très vite coincé/limité.

[becket]

J'entends par performant, un matériel qui est en capacité d'en faire plus que ce que j'en demande au départ. Qu'il soit très réactif, que j'ai une perspective d'évolution, que je puisse rajouter des fonctionnalités plus tard.
Je ne voudrai pas me retrouver, après quelques mises à jour du boitier, avec un système qui rame. Côté budget, je préfère mettre un peu plus, et avoir une config plus costaud, plutôt que de me retrouver très vite coincé/limité.

Je ne vais pas parler que de mon expérience personnelle parce que vu le volume, c'est de l'ordre de l'anecdote. Mais j'ai utilisé cette gamme de matériel à la maisons et chez des amis qui avaient besoin de fonctionnalités DPI, VPN, Filtrage Web, Dynamic DNS, Qos/Traffic Shapping ... etc et cela tourne sur des configurations un peu moins puissante ( vu l'age ) sans broncher. Le mien à la maison à décidé de ma claquer dans les doigt, je l'ai remplacé avec un truc que j'avais sous la main mais je recommande.

La chaine youtube Server The Home ( STH ) et celle de Lawrence Systems aiment bien ce genre de matériel.

Donc, selon moi, est ce que cela convient tout à fait à la demande.Tu n'auras pas de problème en terme d'évolution logicielle dans le temps. Par contre, en terme d'évolutivité matérielle, tu n'as la possibilité d'augmenter que la taille du SSD et ajouter le Wifi/BTE.