questions montage réseau domestique + work

[Void()]

Bonjour à tous,

mes connaissances en réseaux sont assez basiques, et souvent plus théoriques que pratiques.

J'ai deux connections vdsl, et j'ai un pfsense.
J'ai deux box, et quelques postes en réseau.
J'utilise un vpn, qui doit faire passer presque tout le traffic.

J'ai besoin de la deuxième connexion pour, entre autre, avoir une ip fixe, pour certains de mes clients qui verrouillent leurs accès backOffice et autre comme ça.

Je ne veux pas que mon pc se promène sur le net sans vpn.
Mais lorsque le déploie certains sites (via ssh) ou ftp (presque jamais), ou lorsque je navigue sur certain site, il me faut mon ip fixe.

Le traffic pc de ma femme doit passer en direct sur la box résidentielle, pour entre autre les blocages des sites de streaming légaux.

Idéalement, il faut que sur certaines ip mes deux sous réseaux se voient pour la sauvegarde réseau.

Actuellement, une seule des connexion sert de Wan à mon pfsense, et tout l'outbound sort par un vpn. Sauf un poste brancher en direct sur ma box résidentielle.

J'aimerai filtrer le traffic avec un dan's guardian ou assimilé, un de mes enfants commence à naviguer pas mal.

Ce que j'ai pensé faire :

le pfsense avec agrégation des deux lignes, un sous réseau qui passe par le vpn, et un sous réseau qui passe en direct avec un des wan (si possible de le spécifier c'est encore mieux pour séparer le traffic home et work)

un proxy http pour naviguer avec l'ip fixe (et pour les connexions chiffrées ?)

Et c'est pour ssh et ftp que je suis plus embêté, est ce que je peux spécifier dans mon routage, si l'adresse destination = xx.xx.xx.xx alors tu passes pas par le vpn mais par l'ip fixe du wanX ?

J'ai essayé d'être clair, mais c'est pas forcément évident

Merci !

[supersnail]

Hum, je dois avouer pour le coup qu'un schéma de la topologie réseau serait pas de trop (j'ai un peu du mal à visualiser la config de tête perso).

Si je comprends bien, tu voudrais (sachant que ta box fournit déjà un sous-réseau directement accessible sur le net avec une IP en 192.168.[0-1].x pour les clients):

• un sous-réseau 172.16.1.x qui passe par la connexion VPN (mettons que la passerelle qui sera le pfsense soit 172.16.1.1) via WAN1 aka la box résidentielle
  
• et un autre sous-réseau 172.16.2.x qui permet un accès direct à WAN2 (celui pour le boulot je suppose, avec pour passerelle 172.16.2.1 par exemple)
  
• un proxy http(s) dispo sur les 2 sous-réseaux qui permet de tapper sur WAN1 sans passer par le VPN
  
• une bécane visible des 2 sous-réseaux créés précédemment
  

C'est bien ça ?

[Void()]

J'aimerai avoir les deux connexions agrégées, pour avoir le max de débit, dans tous les cas.
Mais je ne sais pas si tout est faisable en même temps.

Pour le reste, oui c'est l'idée.

Je vais essayer de me motiver pour faire le schéma, ça fait un moment que j'ai envie de mettre ça au propre.

[supersnail]

J'ai peur que tu sois à la recherche de l'ornythorinque rose pour le coup (ça me paraît très compliqué à réaliser d'"agréger" les connexions, surtout si t'y fous un VPN par dessus quoi :')).

Bref pour le coup, ça veut dire déjà que la bécane sur laquelle tourne pfsense aura au moins besoin de 3 ports ethernet (à moins que WAN2 soit directement un modem USB ou autre), un port pour la box (WAN1), un port pour ton réseau local (sur lequel il faudra raccorder un routeur évidemment :>) pour que toutes les communications passent par le pfsense et non par ta box.

Puis après c'est du bidouillage sûrement sur de l'interface web (beurk, rien ne vaut une bonne ligne de commande imo :')), et comme je ne suis pas non plus un gourou de FreeBSD, je vais laisser les BSDistes répondre à ma place :p

[gruik]

salut,

agréger deux lignes distinctes c'est illusoire, dans le meilleur des cas comme tu dis tu pourras avoir une répartition du traffic en fonction du service (port) ou de l'IP source/destination, tout dépend ce que tu es prêt à faire mais dans tous les cas ça risque de vite être difficile à maintenir

si j'ai bien compris et pour résumer, tu as d'un coté ta box résidentielle avec une IP fixe, ta femme, ton gamin et ton ssh/ftp dessus, et de l'autre "tout le reste" aka ton trafic essentiellement, qui transite par le vpn, c'est ça ?

[Void()]

Bref pour le coup, ça veut dire déjà que la bécane sur laquelle tourne pfsense aura au moins besoin de 3 ports ethernet (à moins que WAN2 soit directement un modem USB ou autre), un port pour la box (WAN1), un port pour ton réseau local (sur lequel il faudra raccorder un routeur évidemment :>) pour que toutes les communications passent par le pfsense et non par ta box.

j'ai une ptite cm mini itx qui va bien avec 2 lan + une carte pci avec le 3ème

Côté matos je suis bon

---

salut,

agréger deux lignes distinctes c'est illusoire, dans le meilleur des cas comme tu dis tu pourras avoir une répartition du traffic en fonction du service (port) ou de l'IP source/destination, tout dépend ce que tu es prêt à faire mais dans tous les cas ça risque de vite être difficile à maintenir

si j'ai bien compris et pour résumer, tu as d'un coté ta box résidentielle avec une IP fixe, ta femme, ton gamin et ton ssh/ftp dessus, et de l'autre "tout le reste" aka ton trafic essentiellement, qui transite par le vpn, c'est ça ?

J'ai une box résidentielle avec ip résidentielle pas fixe
Un modem routeur pour mon opérateur pro, qui lui est en ip fixe

j'ai deux lignes distinctes avec deux vdsl

que j'aimerai agregé pour profiter de toute ma bande passante
Le tout dans un vpn, sauf la machine de ma femme que j'aimerai ne pas passer par le vpn (après peu importe que son trafic sorte sur l'une ou l'autre des connexions, ou un peu les deux)

Et certains services doivent passer par l'ip fixe du modem routeur sur mon vdsl pro

La solution simple mais moche, c'est :
2 nic dans mon pc:
- un sur le sous réseau vpn
- un en direct sur ma vdsl pro

Quand je veux ssh ou autre avec mon ip fixe, admettons je coupe le filaire et je passe en direct sur le modem routeur
Ma femme en direct sur l'autre box (résidentielle)

mais ça fait bricolo ^^ Avec pfsense il doit y avoir un moyen de faire ça propre, ou peut être pas

[gruik]

j'ai deux lignes distinctes avec deux vdsl que j'aimerai agregé pour profiter de toute ma bande passante

ça perso j'y crois pas trop, enfin comme je te disais tout dépend dans quelle mesure...

y'a un gars qui semble dire que c'est possible, moyennant la souscription chez lui de X modems-routeurs, perso ça me fait penser à du télé-achat avec des argumentaires pour gogos mais ma foi, à voir.

d'un point de vue technique simple, je vais pour télécharger l'ISO de 5G de ma distribution linux préférée, l'un de mes deux modems se connecte au serveur de téléchargement, SYN, SYN/ACK, ACK... classique.
et ensuite quoi ? les deux modems recoivent des paquets TCP/IP en provenance du serveur comme ça par magie ? non seul le premier routeur pourra télécharger à pleine bourre ce fichier ISO, avec l'autre si je veux dans le même temps je peux télécharger un autre fichier, c'est là que je bénéficie de plus de bande passante, mieux vaut le savoir

La solution simple mais moche, c'est :
2 nic dans mon pc:
- un sur le sous réseau vpn
- un en direct sur ma vdsl pro

Quand je veux ssh ou autre avec mon ip fixe, admettons je coupe le filaire et je passe en direct sur le modem routeur

ben c'est pas nécessairement moche, 2 NIC ça veut pas dire non plus 2 cartes réseaux physiques dans le PC on est d'accord, d'autant que la patte VPN c'est plus certainement une interface TUN ou similaire donc une interface logique, derrière la solution c'est non pas de couper l'une pour activer l'autre mais plutot de ne pas laisser la conf VPN imposer son routage absolu et avoir à la place un routage plus fin, par le biais du firewall local par exemple qui selon la distribution (windows ou linux/bsd) saura éventuellement faire de l'aiguillage applicatif dans la bonne interface (ex: firefox part dans le vpn tandis que chrome part dans l'autre interface)
perso ça me parait pas déconnant du tout comme solution, à voir selon les besoins après...

[Void()]

Je pense faire un truc dans l'idée.

Je fais de l'intégration continue avec Jenkins, et il ne me maque plus qu'à automatiser le déploiement après un build jenkins.

Je pense faire une VM, qui sera en direct sur l'interface du modem routeur avec ip fixe, qui fera que ça.

Ensuite un proxy dans pfsense pour pouvoir sortir avec l'ip fixe si besoin.

Je pense que ça va simplifier mon approche