plusieurs WAN, IpCop en est capable, ou une autre solution ?

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

plusieurs WAN, IpCop en est capable, ou une autre solution ?

Messagepar paradox » 08 Avr 2011 12:53

Salut,

Il y a 9-10 ans je jouais déjà avec IpCop + une SME pour protéger un réseau d'entreprise + proxy filtrant + AdvProxy + analyse de log (sarg).
Je n'ai plus touché à ces soluces depuis quelques années.

Aujourd'hui j'arrive dans une autre entreprise et j'ai un besoin un peu plus complexe.

Nous avons 3 accès au net pour différentes raisons (une ligne en SDSL + 2 accès ADSL classiques).

Est-ce qu'IpCop est capable de gérer 3 WAN (voire une 4e si un jour on rajoute un lien) en RED ? Suite à ce que j'ai pu lire, non, mais peut-être existe un addon ?
Je configurerai les routes pour définir par où doit passer telle ou telle chose (accès à des serveurs privés chez des hébergeurs).

Il faudra aussi que cette passerelle unique puisse analyser, filtrer/bloquer certains flux, utiliser le proxy pour le surf, etc.


Et surtout, est-ce qu'IpCop permet de faire passer de la téléphonie sur IP ? Car le lien SDSL sera le support d'un VPN (grâce à un routeur cisco) dans lequel doit passer de la ToIP pour quelques postes sur un autre site, et peut-être+ dans le futur si de nouveau micro sites ouvrent.

Connaissez-vous une autre solution qu'IpCop permettant de le faire ?

D'avance, un grand merci pour votre aide.
Avatar de l’utilisateur
paradox
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 279
Inscrit le: 07 Jan 2002 01:00

Re: plusieurs WAN, IpCop en est capable, ou une autre soluti

Messagepar jdh » 08 Avr 2011 14:06

Quelques réponses sont dans la question :
- Ipcop sait-il gérer plusieurs WAN : non !
- Faut-il faire du filtrage de flux et un proxy (http) dans le même firewall : non !
- Ipcop sait-il être une extrémité de VPN avec Cisco : Oui (ipsec)

Il serait intéressant de regarder du côté de pfSense qui sait faire plus de choses qu'Ipcop et est moins figé par un jeu strict de couleurs ...

J'insiste juste un peu sur la nécessité de séparer le proxy du firewall !
Dans certaines entreprises, je fais la promotion d'une ligne SDSL et d'une ligne ADSL par site (importants).
Le firewall est relié à la SDSL, et un proxy est en DMZ relié à l'ADSL.
Cela donne satisfaction.
L'intelligence artificielle n'est rien à côté de la stupidité naturelle.
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Re: plusieurs WAN, IpCop en est capable, ou une autre soluti

Messagepar ccnet » 08 Avr 2011 15:10

Pfsense V 1.2.3 répond clairement à vos besoin en ce qui concerne le multiwan et le policy routing.
Le proxy sur le firewall est à déconseiller. Je le déconseille.
Si vous ne voulez pas mettre les mains sous le capot pour un proxy, alors Pfsense V2 RC1 configuré avec une seule interface et avec les bons packages sera remarquable. Cela ne remplace pas une installation complète sur Unbuntu LTS + Squid + Squidguard + ... qui vous donnera le maximum de latitude dans le paramétrage.

En prime sur Pfsense la redondance.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Re: plusieurs WAN, IpCop en est capable, ou une autre soluti

Messagepar paradox » 11 Avr 2011 12:13

Super, merci pour vos rapides réponses, merci les gars ! :)

Je veux bien séparer le proxy du Firewall, uniquement si le firewall/passerelle (PFsense très certainement) sait intercepter les flux web pour les renvoyer au proxy en DMZ (proxy transparent).
Car je ne "peux" pas passer sur tous les postes pour activer ou non.

Je ne pourrai pas mettre le nez dans les docs avant 2 semaines (trop de boulot/priorités).
1 - J'ai cru comprendre que PFsense ne sait gérer que 2 WAN, est-ce vrai ? Ou puis-je en avoir + ? (il m'en faut 3, voire même 4 dans le futur).
2 - Est-ce que PFsense permet de faire du "proxy transparent" ?
Avatar de l’utilisateur
paradox
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 279
Inscrit le: 07 Jan 2002 01:00

Re: plusieurs WAN, IpCop en est capable, ou une autre soluti

Messagepar ccnet » 11 Avr 2011 12:59

Je veux bien séparer le proxy du Firewall, uniquement si le firewall/passerelle (PFsense très certainement) sait intercepter les flux web pour les renvoyer au proxy en DMZ (proxy transparent).

Possible.

1 - J'ai cru comprendre que PFsense ne sait gérer que 2 WAN, est-ce vrai ? Ou puis-je en avoir + ? (il m'en faut 3, voire même 4 dans le futur).

Il n'y a pas de limitation à deux liens wan.

2 - Est-ce que PFsense permet de faire du "proxy transparent" ?

Oui.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Re: plusieurs WAN, IpCop en est capable, ou une autre soluti

Messagepar jdh » 11 Avr 2011 13:45

Rien à ajouter à ccnet, nous sommes sur la même longueur d'onde : pfSense est super !

Quelques précisions sur le proxy :

Le proxy transparent ne fonctionne que pour http.
Il est possible, simplement, de mettre en place une découverte automatique de proxy.
Cela exige juste, sur le poste client, que la case "détection automatique" soit cochée, ce qui ne gène pas ailleurs.

J'ai des config avec 2 lignes Internet : une SDSL reliée au WAN du firewall, et une ADSL relié à une 2ième patte d'un proxy dédié en dmz.
Cela fonctionne très bien avec une détection automatique, et cela donne une meilleure utilisation des lignes Internet.
L'intelligence artificielle n'est rien à côté de la stupidité naturelle.
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Re: plusieurs WAN, IpCop en est capable, ou une autre soluti

Messagepar paradox » 11 Avr 2011 13:46

Super !



Il n'y a pas de limitation à deux liens wan.

Autant que d'interfaces j'imagine ? :o
Avatar de l’utilisateur
paradox
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 279
Inscrit le: 07 Jan 2002 01:00

Re: plusieurs WAN, IpCop en est capable, ou une autre soluti

Messagepar ccnet » 11 Avr 2011 15:17

Oui et pfsense gère autant d'interfaces physiques que le matériel peut en gérer. Ensuite il est toujours possible de monter des vlans...
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Re: plusieurs WAN, IpCop en est capable, ou une autre soluti

Messagepar paradox » 11 Avr 2011 15:25

Génial. J'ai vraiment hate de mettre le nez dedans !


Tu conseillais PFSense v1.2.3. Pourquoi, car la V2 est encore au stade de RC ?
Avatar de l’utilisateur
paradox
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 279
Inscrit le: 07 Jan 2002 01:00

Re: plusieurs WAN, IpCop en est capable, ou une autre soluti

Messagepar ccnet » 11 Avr 2011 16:50

Oui la V2 est encore RC1 et il reste pas pas mal de tickets ouverts. Pour les bugs encore à traiter : http://redmine.pfsense.org/projects/pfs ... query_id=5
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Re: plusieurs WAN, IpCop en est capable, ou une autre soluti

Messagepar paradox » 11 Avr 2011 16:54

Merci :)
Avatar de l’utilisateur
paradox
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 279
Inscrit le: 07 Jan 2002 01:00


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité