PhenIXUS

[papals]

Bonjour à tous,

je constate que sur ce forum la distribution ZeroShell est peu abordée. Depuis 5 mois maintenant j'ai eu l'occasion de la manipuler, en environnement de test tout d'abord puis en production pour nous même (SSII) et puis pour nos clients.
Cette distribution est relativement complète (je ne vais pas lister toutes les possibilités offertes, pour cela rendez-vous sur http://www.zeroshell.net).

Nous avons eu l'occasion de travailler tout d'abord avec de l'IPCOP : très stable et performant sur ce qu'il propose, mais relativement limité,
puis du PfSense : beaucoup plus complet et complexe. Quelques loupés sur des connexions VPN sites à sites nous ont amené à chercher une alternative, d'où l'arrivée de ZeroShell.

Actuellement nous l'utilisons principalement pour ses fonctionnalités de routage, VPN et QoS.

Ce post à pour but de recueillir d'éventuels témoignages positifs ou négatifs sur cette distribution afin qu'elle ait sa chance pour vivre sur ce forum. La finalité étant également de créer un point d'entrée sur des échanges futurs de problématiques ou partage de configurations.

Je le jette tel une bouteille à la mer, à qui la trouvera de répondre si l'envi lui dit...

[jdh]

La liste des fonctionnalités est intéressante.
Mais il me manque les VPN OpenVPN, et je ne vois pas ce que viendrait faire un serveur IMAP et SMTP (prévu dans des versions prochaines).

Néanmoins, il y a déjà 3 fils sur le nouveau forum ...

[papals]

Ravi de voir que ma bouteille à trouver preneur...

Pour OpenVPN je ne comprends pas ta remarque : ZeroShell gère magnifiquement bien le VPN roadwarrior ainsi que site à site le tout basé sur OpenVPN. Il permet en outre l'authentification via certificats, login/mot de passe (combiné ou non)...bref je le trouve complet à ce niveau !

Pour les prochaines fonctionnalités, le SMTP peut être intéressant pour faire un serveur frontale qui filtre (anti-spam / antivirus) les mails avant de les remettre à un serveur mail. De plus à priori il permettra également la mise à jour des MX pour les IP publiques non fixe, ce qui peut être intéressant sur des petites structures (PME, TPE...)

[jdh]

J'aurais mal lu ? (Je ne parle que peu l'italien à part "avanti subito".)
En effet, OpenVPN est supporté (en tant que serveur) depuis 1.0-beta7 si je lis bien http://www.zeroshell.net/eng/openvpn-server/
Le filtrage dans le tunnel est important (dispo aussi dans pfSense, pas sûr dans Ipcop).
La gestion de la PKI dans le firewall semble pratique. (en seconde analyse, c'est peut-être dangereux. dispo aussi dans pfSense.)

Concernant SMTP, IMAP et le filtrage HTTP incluant ClamAV (HAVP forcément), je considère qu'à partir d'une certaine dimension (>5 users), il faut passer par des machines dédiées !
Cela n'est surement pas une key-feature.


Je ne me rends pas compte de la taille de la communauté ZeroShell. (Forums : Our users have posted a total of 9625 articles / We have 3875 registered users)
Parce que cela compte aussi dans un choix ... (versus pfSense 41445 Topics by 29629 Members)

En quoi ZeroShell a résolu des problèmes mal réalisés par pfSense ?

[papals]

Effectivement la communauté est certainement moindre...Ce que je peux dire c'est que lorsque je me suis mis à cette distrib, j'ai cherché de la doc et ait pu trouver à peu près tout ce dont j'avais besoin.
J'espère vraiment justement que cette communauté s'agrandisse afin que le support ZeroShell soit efficace...

Je pense que PfSense est également une très bonne distri (peut être légèrement plus compliqué de prime abord en comparaison à ZeroShell). La problématique à laquelle nous avons été confronté au niveau des VPN sites à sites et que sans justification aucun, les VPN pouvaient tomber d'un moment à l'autre et impossible de les réamorcer...seule possibilité étant le reboot de l'un ou l'autre des boitiers ...Ce problème est survenu sur une configuration avec un site central et deux sites distants. Est-ce que le multi-VPN sur un seul PFS n'est pas stable ?
Toujours est-il que depuis que nous avons passé les boitiers de PFS vers ZeroShell plus aucun souci! et quand tes sites sont éloignés de plusieurs centaines de bornes...ouf...quand ca tourne t'es content !

[jdh]

Une config pfSense qui tourne depuis 3 ans :
- 2 sites avec 2 pfSense (en cluster) : lien ipsec (puisque ip publique sur WAN),
- 1 site avec un pfSense : lien OpenVPN (puisque derrière une box).
- des clients raodwarrior avec pki externe (pfSense 1.2.3)
Pas de problèmes particuliers, très stable ...

[jibe]

Salut,

Je réponds la même chose que pour d'autres distribs qu'on nous a demandées : on verra à l'usage en fonction des sujets ouverts. Le forum pfsense a été ouvert assez récemment, parce qu'environ 900 posts mentionnaient cette distrib.

Nous ne souhaitons pas, en effet, donner trop d'importance aux distributions spécialisées. Elles ne sont ici que parce qu'on ne peut pas les ignorer sur un site dédié à la sécurité, mais elles n'en constituent qu'un petit aspect et nous aimerions surtout mettre l'accent sur les autres aspects. Cela d'autant plus que phénIXUS ne veut pas devenir un site d'assistance et que c'est une tendance que nous avons du mal à empêcher sur les forums des distributions spécialisées !

Donc on peut tout à fait parler de ZeroShell, mais dans "autres distributions". S'il s'avère un jour que cette distrib a assez d'adeptes pour en faire un forum à part, on le fera, mais pas avant.