PhenIXUS

[Geeks]

Bonsoir,

Comme l'a demandé Totofe, je vous met un post spécial récapitulatif afin que tout le monde puisse comprendre.

1-Migration
1.1-IPCOP
A l'origine, mon réseau était composé d'un IPCOP (vieillissant au niveau Hardware, et disposant d'une distribution maintenant non supporté), de deux Switchs manageable, d'un serveur Samba et d'un Serveur Web.

1.2-But originel
Mon but était à l'époque de raccordé ce réseau à celui d'un ami avec lequel nous amorçons de nombreux projets numérique. Les choses ont quelque peut évolué et je voulais quelque-chose de plus fiable... quoi que ! Mon ami, m'avais parlé de pfsense. Devant lui, premier essai d'un iso, premier échec! Comme de nature je suis têtu, j'ai proposé de récupérer une machine qui me servirais de test fiable, et plus si afinité.

1.3-But actuel
Il est désormais évident qu'avec le nombre de machine dont je dispose, 5 de production; elles ne font pas toutes la même chose; et 3 serveur, il me fallait établir quelques règles. J'ai bien étudier mon cas et je me suis rendu compte que notre découpage, enfin celui de nos deux réseau, était basé sur la potentialité et non sur la réel quantité de machine. J'ai donc proposé de lui laisser les 10.1.X.X de son réseau et je suis parti, sur les 10.0.X.X. Voilà donc pour l'origine de mes 3 réseaux en 10.0.1.X, 10.0.2.X, 10.0.3.X, 10.0.4.X. Nous avons encore envie de reliée nos deux réseaux, moi sur Brive, lui sur Lille. Ca fait une trotte mais on aime bien se lancé ce genre de défi. On va y arrivé c'est sur

2-Faisons le tri
Comme j'ai dit, je me suis réservé tout le 10.0.X.X en 4 zones bien distincte.

10.0.1.X / 24 (à cause du 255.255.255.0) est attribué au local Réseau qui est mon bureau de production numérique et qui comporte pas moins de 12 prises réseaux. C'est depuis ce réseau que je passe le plus clair de mon temps.

10.0.2.X / 24 (à cause du 255.255.255.0) est attribué non seulement au local Réseau sur quelques prises murale mais il est assigné à la maison qui me sert de lieu de vie et de repos. Et bien oui, je ne suis pas seul à aller sur le net, ma maman aussi et les amis de passage. De plus j'ai adjoint à ce réseau un point d'accès wifi qui est allumé que quelques rare fois ou, par beau temps je suis debors avec le PC portable.

10.0.3.X / 24 (à cause du 255.255.255.0) est attribué à la DMZ. La zone démilitarisé, comme les pros aiment le surnommé. C'est lui qui va tenir, pour le moment mon seul serveur mais qui en réalité sera gonflé ultérieurement dans un projet particulier. J'y reviendrais dans 5 / 10ans... On va dire, pour simplifier qu'on prévoie une montée en nombre de serveur d'au moins 2, soit 3 serveur de type http/https/ssh.

10.0.4.X / 24 (à cause du 255/255/255/0) est attribué au VPN. Et bien oui, j'ai bien parlé de connecter deux réseaux entre eux ? Et bien ça sera les adresses qui y viendrons.

3-Un shéma.
Comme décrit par Titofe, j'ai pas mal de choses qui n'avais pas été donné dès le départ. Oui, mais j'étais censé d'abord monter le serveur, pas avoir autant de bug Dans ma hâte de remplacer l'ipcop, je me suis vue allé plus loin qu'il ne fallait et découvrir des problèmes auquel je ne m'attendais pas. J'ai fini par trouvé le bon truc. Je me propose de vous montrer celui-ci et qui reprends l'intégralité de l'actuel. Les détails sur les switchs ne sont pas parlant, je ferais un tableau pour ça après.


4-Le détails de chaque switch


Bien, que je vous explique le fonctionnement de ce tableau.
On commence par la gauche, avec le modem. Il rentre dans la WAN sur Pfsense, puis sort en 3 couleurs. vert pour la LAN, Bleu pour BLEU, Orange pour la DMZ.
Les numéros de chaque switchs sont donc les ports auquel ont été attribué les réseau.
Dans le switch 1, nomé A1, on entre la LAN sur le port 1. Il va être distribué aux ports 4, 5, 6, 7.....16, 17 qui eux même conduisent aux prises murale 1A, 1B, 2A, 2B.....7A, 7B.
Il en ba du même fonctionnement pour les autres couleurs et les autres switchs.

La question que je m'attends à vous entendre dire, c'est: "Pourquoi avoir fait entré DMZ dans le SWI vue qu'il alimente le SW2.
Très bonne question mon chère Watson ! en réalité, une prise murale, mettons la 4A peut, un jour alimenté un serveur web qui doit être en DMZ mais pour des raisons de simplicité, il n'est pas dans son port définitif en SW2. Et bien en procédant ainsi, je peux en quelques cliques, changer un port pour être alimenté par un autre réseau (de façon provisoire).

5-configuration.
Afin de ne pas cherché partout les informations glané dans les posts, je vais faire un copier/collé de ce qui a été retenu.

Etape 1, le wizard. Je retrouve les infos d'ailleurs dans le General Setup du menu System.
Hostname -> hydrogene
Domain -> localdomain
DNS Server 208.67.222.222 et 208.67.220.220
Time zone sur Europe/Paris
Ntp par défaut fr.pool.ntp.org (Conseillé ici)
Je décoche la case Allow DNS server to be overridden by DHCP/PPP on WAN
Le reste est facile à configurer.

Ensuite, j'ai créer mes réseaux à savoir
WAN -> msk0 -> DHCP venue du modem fixé depuis l'adresse mac en 192.168.15.200
LAN -> re2 -> 10.0.1.254
Bleu -> re1 -> 10.0.2.254
DMZ -> re0 -> 10.0.3.254

Ensuite j'ai fait mes DHCP Server avec
LAN -> 10.0.1.1 à 10.0.1.200 (DNS 208.67.222.222 et 208.67.220.220)
BLEU -> 10.0.2.1 à 10.0.2.200 (DNS 208.67.222.222 et 208.67.220.220)
DMZ -> 10.0.3.1 à 10.0.3.10 (DNS 208.67.222.222 et 208.67.220.220)

Ensuite j'ai fait mes rules avec
Lan -> par défaut
Bleu -> Règle 1 : Block / proto * / Source BLEU net / Port * /Destination LAN net / Gateway * / Queue none / Schedule vide
Bleu -> Règle 2 : Pass / proto * / Source BLEU net / Port * /Destination * / Gateway * / Queue none / Schedule vide

6-Ce qu'il reste à faire
6.1-Viabilisé le serveur par un essayage grandeur nature
6.2-Configurer les équipements qui doivent être déclarer et fixé en adresse IP + nom. Exemple mon samba s'appelle lithium est il doit être associer à 10.0.1.252. C'est à dire que lorsque on saisie https://lithium:631/, il sera en mesure d'aller chercher 10.0.1.252:631. Idem pour les imprimentes.
6.3-Configurer la DMZ
6.4-Régler les autorisation entre réseau, pour certaines machines uniquement
6.5-Sécurisé le wifi
6.6-Monter le vpn (ce week-ends ?)

7-Boire un coup et se félicité d'avir franchi toutes ces étapes.

En espérant avoir fait le récapitulatif que demandais Totofe. Merci de m'avoir lue

[jibe]

Salut,

Je viens d'essayer de lire en diagonale tous les posts que je n'avais pas encore lus faute de temps... Quelques petites remarques à ce propos, à nuancer par le fait que je n'ai lu qu'en diagonale et que, forcément, j'ai dû louper pas mal de choses. Mais avec un post si long, même ceux qui le suivent de près s'y perdent un peu, on en a eu la preuve

Le résumé était indispensable et je pense (je l'ai à peine survolé ) qu'il refait un point à peu près précis et est donc utile. Peut-être serait-il bien de le signaler avec un lien dans le premier post pour ceux qui ne voudraient pas perdre trop de temps à tout relire pour tenter de comprendre ?

Mais je pense qu'il y a une chose à laquelle il faudrait faire attention : essayer de garder de la méthode tant dans la démarche de tests que dans leur exposé. J'ai survolé sans approfondir surtout parce que j'ai perdu le fil après avoir lu quelques posts. Beaucoup de questions sont soulevées, et on n'en trouve pas la réponse, ou alors c'est X posts plus loin, noyé dans un tas d'autres questions et résultats de tests !

Je prends un bête exemple : un des tous premiers posts que j'ai lus faisait allusion à la veille déclenchée par le BIOS. J'ai lu les quelques posts qui ont suivi, et n'ai rien trouvé qui confirme ou infirme cela... Alors que, dès le post qui suit, il y aurait dû y avoir l'explication et le résultat du test concernant cette piste, et la conclusion qui en découle : c'est une fausse piste qu'on abandonne, ou ça a corrigé tel problème, mais pas tel autre dont on va s'occuper maintenant...

Là, en tant que lecteur, je reste sur ma faim ! Et en tant que conseilleur, je ne peux que dire que sans plus de méthode, on n'aboutira à rien et pire : on sait de moins en moins où on va !

[Geeks]

Jibe, effectivement, beaucoup de questions sans réponses. Pas mal de test et de résultats aussi.

Bios -> oui, j'y ai pensé et là, je me rends compte que je tiens 12h uptime sans problèmes.
Matériel -> J'ai tester sur une autre machine qui m'a montré qu'elle n'étais pas totalement compatible à cause du BIOS aussi... Là on s'y prends !

Donc on retiendra simplement que j'ai une machine qui fonctionne d'ont une des cartes réseau, pour une raison que j'ignore, faisait tomber en drapeau le réseau au travers d'un switch. Maintenant que cette même interface communique directement avec le modem, je n'ai pas relevé la moindre problématique avec PFsense et les Switchs. On peut alors éliminé cette cause. Mais je serais quand même curieux de détrammé WAN.

Donc, pour moi, le PF rempli parfaitement son rôle, mes switchs aussi, il me reste plus qu'à travaillé de façon fiable et viable sur la sécurité, les addons, le vpn. Bref, c'est que du bonheur après ces menues échecs.

Maintenant, si tu sent que je dois reprendre tout les posts et les tests, autant que je ferme ce sujet, et que j'en ou un tout propre. Avant de le fermé / délesté, je tiens à en faire une petite copie pour mémoire. Il va faloir de toute façon séparer les ennuis hardware, dont bios et logicielle, configuration. Qu'en pense-tu ?

[jibe]

Non, je pense que ton résumé et ton dernier post feront l'affaire. Pense (pas regardé, tu l'as peut-être déjà fait) à mettre un lien sur ton résumé dans le premier post.

Mes remarques n'avaient pour but que d'éviter certains travers à l'avenir

En tous cas, merci d'accepter avec tant de bonne grâce les remarques, pas toujours formulées diplomatiquement par manque de temps : ça change de ce qu'on a connu avec certains sur l'ancien Ixus

[Geeks]

En tous cas, merci d'accepter avec tant de bonne grâce les remarques, pas toujours formulées diplomatiquement par manque de temps : ça change de ce qu'on a connu avec certains sur l'ancien Ixus

Pas de soucis, quand on débute, on apprécie de se sentir épaulé même si ma fougue me fais poster plusieurs pistes l'une en dessous l'autres. J'ai la chance de possédé mon propre forum et de connaitre la modération. Mon forum est bien moins avancé que votre mais il permet aussi de parler de d'autres sujets tel que le dessin et le traitement numérique. Bref, j'ai l'habitude d'accepté mes erreurs. Je n'ai que peu connu l'ancien forum. J'apprécie d'autant plus d'être acteur sur celui-ci.

Dans tous les cas de figure, je remercie grandement la modération de me rattrapé quand c'est nécessaire, d'autant plus qu'il y a toujours une explication à une action de modération.

[Franck78]

Je reprends un peu le sujet.

NON
Sept pages pour un problème suffisent.
Ouvre un nouveau sujet si tu as un nouveau problème.
Utilise le bouton "EDITER" pour éviter la multiplication des posts et éliminer tous les états intermédiares que tu aurais publiés.

J'ai pas encore trouvé de tutoriel pour placer mes ip fixe avec le DHCP pour le LAN.

cela s'appelle une réservation dhcp et je doute qu'il y ait jamais un tutoriel la dessus!

Merci,
Franck

J'ai divisé le sujet en reportant tous les posts concernant DHCP dans ce nouveau fil. jibe.

[Geeks]

Plop frank.

Pour commencé, s'énerver, c'est bien beau mais ça n'avance à rien !
Je crois comprendre ce que tu me dit et en temps normal j'aurais abondé dans ton sens.

J'ai fait le choix, pour le moment de laisser tout sur un seul post évitant la multiplication de faux départ car c'est bien toujours le même sujet, le même pare-feu et la même configuration réseau.

Depuis quelques posts et maintenant que j'ai fini la problématique du début, j'ai poursuivie. A quoi rimerais le forum si nous avions:
- Mise en place d'un réseau à plusieurs ifaces installation.
- Mise en place d'un réseau à plusieurs ifaces configuration.
- Mise en place d'un réseau à plusieurs ifaces CHP.

Comme tu voie, on ne s'y retrouverais plus non plus.

En revanche, là ou je n'ai rien contre, s'il faut je le ferais, c'est de reprendre chaque points abordé et les séparer dans un document mis en post-it. Après-tout, on dit bien souvent dans les forum de faire un effort de recherche. C'est une occasion pour le faire aussi

Editer. Mais bien sûr, je n'ai pas usité de la manip ?
A tu bien lue mon sujet ? A tu bien vue combien de fois je m'excusais de faire des doubles posts ?

Sérieusement, tu devais surement avoir besoin d'un bon caché d'aspirine pour écrire cela.

Bon aller, sans rancunes, j'ouvrirais un autre post pour la suite, s'il y en a une

[jibe]

Salut,

Pour commencé, s'énerver, c'est bien beau mais ça n'avance à rien !

Ne t'inquiète pas : Franck a une manière très directe et abrupte de dire les choses, ça surprend et ça indispose quand on ne le connaît pas, mais ce n'est pas méchant. J'avais vu son post hier soir et j'avais hésité à intervenir, j'aurais probablement mieux fait, mais ce genre de situation est toujours un peu délicate et je n'ai pas pensé que tu le connaissais trop peu pour avoir l'habitude de ses interventions.

D'ailleurs, il n'a pas tort sur le fond et je vois que tu le comprends. J'ai eu tort de ne pas scinder le sujet quand tu as abordé la question du DHCP : j'ai hésité à le faire, j'aurais dû suivre ma première intuition.

Je comprends que tu estimes que tout ça est un peu le même sujet, et d'ailleurs ça se regroupe bien sous ton titre. Mais pour ceux qui arrivent sans te connaître et cherchent simplement à trouver des informations sur la mise en place d'un réseau, il vaut mieux que tout soit bien séparé. Cela te surprend, mais avec des titres qui font ressortir le rapport et des liens croisés, ça permet de prendre les choses petit bout par petit bout et ça évite de se perdre dans des allées et venues entre configuration DHCP et problèmes de RAM (ce n'est qu'un exemple !).

En règle générale, il vaut mieux garder la règle : un problème élémentaire <=> un fil de discussion.

Puisque tu sembles dire qu'il n'y aura pas forcément d'autres posts, je laisse les choses en l'état. Mais si tu voulais poursuivre ce sujet, préviens un modo (tu peux poster avant, mais signale-le pour qu'on ne risque pas de passer à côté) pour qu'il sépare le sujet à partir de ce post pour séparer cette partie parlant de l'adressage et de DHCP.

@Franck : Je sais que c'est ta nature et que tu as du mal à mieux présenter les choses, mais essaie de faire un effort dans la formulation de tes remarques, même lorsqu'elles sont justifiées : le résultat sera aussi bon voire meilleur, et l'ambiance bien plus agréable

[Geeks]

Jibe,

Je pense que tu commence à me connaître. Pour moi, aucun souci à scindé en deux ou plus mon sujet avec un titre approprié.
Par contre, c'est vrai que la méthode forte fonctionne assez mal avec moi

Tien, pour le petite histoire, je vais ouvrir un post sur la partie DHCP qui me fait des siennes...
On verra ça demain matin à la fraiche

Merci une fois de plus à l'équipe de se montrée abordable. C'est si peu récompensé quand on voie le travail qu'il faut faire derrière un forum.

[jibe]

J'ai divisé le sujet en reportant tous les posts concernant DHCP dans ce nouveau fil. jibe.