@jibe : tout à fait d'accord avec toi : un vrai firewall et le prestataire "il peut rien dire" ! (qui a dit un pfSense ?)
Néanmoins, si tu as 2h devant toi, une petit install en test, cela te donnera un bon point de vue sur Zentyal ...
Pour donner un exemple pratique, j'avais à remplacer une Debian "custom" avec Samba (domaine) + Cups.
Au moment de la mise en oeuvre de Cups, j'observe que Cups n'est pas intégré : il faut manager avec http://serveur:631 puis revenir dans Zentyal revoir les droits d'utilisation de l'imprimante créée.
Mon bug était d'oublier que, pour Cups, il vaut mieux faire httpS de suite au lieu de http.
Du coup, j'ai modifié le template pour accéder en httpS et d'avoir de base "tout le monde à droit d'utiliser l'imprimante.
Mais j'ai compris qu'on pouvait voir les choses autrement, même si je trouve un peu lourd d'avoir à définir des droits d'utilisation d'imprimantes.
Cela montre que Zentyal a choisi un niveau élevé, même si, du coup, cela devient lourd voire complexe ...
Enfin c'est ma vision ... (limité à ce petit point : je n'ai pas testé l'hébergement, ...)
[RESOLU] Firewall / VOIP (SIP)
41 message(s)
• Page 4 sur 5 • 1, 2, 3, 4, 5
Re: Firewall / VOIP (SIP)
par jdh » 08 Nov 2011 01:15
L'intelligence artificielle n'est rien à côté de la stupidité naturelle.
- jdh
- Message(s) : 731
- Inscription : 02 Nov 2011 00:36
- Localisation : Nantes - Angers
Re: Firewall / VOIP (SIP)
par jibe » 08 Nov 2011 01:26
jdh a écrit :(qui a dit un pfSense ?)
Tu l'as pensé si fort... !jdh a écrit :Néanmoins, si tu as 2h devant toi, une petit install en test, cela te donnera un bon point de vue sur Zentyal ...
C'est prévu, c'est prévu ! Le problème, c'est que j'habite à la montagne, et qu'en altitude les journées n'ont que 24h... En plus, ce sont des heures de seulement 60 secondes.
A Nantes, au moins, il fait jour presque une heure plus tard qu'ici !
jibe. En vert ou en rouge-orangé : je modère - En noir ou autre couleur : je parle à titre personnel.
L'idée que quand on n'a pas quelque chose, on puisse se bouger pour l'avoir, c'est une démarche qui parait absolument normale pour les gens du Logiciel Libre et totalement surnaturelle pour tout le reste de la population. (Benjamin Bayart)
L'idée que quand on n'a pas quelque chose, on puisse se bouger pour l'avoir, c'est une démarche qui parait absolument normale pour les gens du Logiciel Libre et totalement surnaturelle pour tout le reste de la population. (Benjamin Bayart)
- jibe
- Message(s) : 943
- Inscription : 09 Sep 2011 23:19
- Localisation : Haute Savoie
Re: Firewall / VOIP (SIP)
par Cool34000 » 08 Nov 2011 01:33
Re...
C'est actif ce soir ici !!!
J'ai testé Zentyal par curiosité dans une VM cet aprème...
Je n'ai pas mis les mains dans le cambouis, je me suis juste un peu amusé avec l'interface web pour voir ce qu'elle avait à offrir.
Mon 1er constat est que c'est une véritable usine à gaz mais que globalement tout est assez bien fait et cohérent !
L'interface est beaucoup plus complète que celle de SME mais du coup plus compliquée et touffue...
Je trouve bizarre ta réaction jibe car justement un des gros plus de Zentyal par rapport à SME c'est de pouvoir paramétrer le firewall... Ca fait quand même tout de suite plus sérieux !
A noter qu'une interface graphique est disponible, j'ai été un peu surpris puisque l'administration se fait par interface web.
A choisir entre SME et Zentyal, je prendrai Zentyal... La communauté est plus grande, le matériel pris en charge plus récent (Kernel 2.6.32) et les logiciels à jour (quel utilisateur d'une version stable de SME n'a jamais rêvé d'installer une appli php5 sans devoir bricoller son système et devenir hors la loi aux yeux de la sainte Dev Team ?)
Mais je n'aime vraiment pas les distribs "All in One" ne serait-ce que parce que je n'ai pas besoin de 90% des choses pré-installées de base ou pas systématiquement !
Je pars donc avec le minimum (Debian 6.0 en version Business Card) et j'installes uniquement ce dont j'ai besoin...
L'interface graphique n'est jamais de mise, je pousse même le vice à rediriger l'affichage de la console sur le port COM (quand on a pas d'écran dédié ou de KVM, c'est très utile !)
L'administration se fait par SSH et SCP, et les fichiers de configs modifiés à la mano par bibi... C'est comme ça qu'on apprend le mieux, et au moins on sait ce qu'on fait puisqu'on galère à le monter !
C'est actif ce soir ici !!!
J'ai testé Zentyal par curiosité dans une VM cet aprème...
Je n'ai pas mis les mains dans le cambouis, je me suis juste un peu amusé avec l'interface web pour voir ce qu'elle avait à offrir.
Mon 1er constat est que c'est une véritable usine à gaz mais que globalement tout est assez bien fait et cohérent !
L'interface est beaucoup plus complète que celle de SME mais du coup plus compliquée et touffue...
Je trouve bizarre ta réaction jibe car justement un des gros plus de Zentyal par rapport à SME c'est de pouvoir paramétrer le firewall... Ca fait quand même tout de suite plus sérieux !
A noter qu'une interface graphique est disponible, j'ai été un peu surpris puisque l'administration se fait par interface web.
A choisir entre SME et Zentyal, je prendrai Zentyal... La communauté est plus grande, le matériel pris en charge plus récent (Kernel 2.6.32) et les logiciels à jour (quel utilisateur d'une version stable de SME n'a jamais rêvé d'installer une appli php5 sans devoir bricoller son système et devenir hors la loi aux yeux de la sainte Dev Team ?)
Mais je n'aime vraiment pas les distribs "All in One" ne serait-ce que parce que je n'ai pas besoin de 90% des choses pré-installées de base ou pas systématiquement !
Je pars donc avec le minimum (Debian 6.0 en version Business Card) et j'installes uniquement ce dont j'ai besoin...
L'interface graphique n'est jamais de mise, je pousse même le vice à rediriger l'affichage de la console sur le port COM (quand on a pas d'écran dédié ou de KVM, c'est très utile !)
L'administration se fait par SSH et SCP, et les fichiers de configs modifiés à la mano par bibi... C'est comme ça qu'on apprend le mieux, et au moins on sait ce qu'on fait puisqu'on galère à le monter !
In a world without walls and fences, who needs windows and gates?
- Cool34000
- Message(s) : 199
- Inscription : 12 Sep 2011 19:02
- Localisation : Nimes, France
Re: Firewall / VOIP (SIP)
par jibe » 08 Nov 2011 08:58
Salut,
C'est justement ce qui m'inquiète beaucoup ! Bon, il faut replacer les choses dans leur contexte : celui dans lequel j'utilise SME. Comme toi, je ne suis pas partisan des distribs "tout en un", mais il faut avouer que dans une TPE, c'est l'idéal à presque tous points de vue !
Quant à la possibilité d'adaptation du firewall, dans une distrib "tout en un", je trouve qu'il y a au moins potentiellement un risque énorme. Autant je suis favorable à ipcop ou pfsense et j'apprécie justement de pouvoir adapter le firewall à mes besoins, autant je trouve que l'impossibilité de le faire et l'auto-adaptabilité de celui de SME est tout à fait ce qu'il faut pour cette distrib. J'aurais tendance à dire : pareil pour Zentyal, mais c'est vrai que je parle sûrement beaucoup trop de ce que je ne connais pas...
D'ailleurs, je ne suis pas certain que lembal aurait eu tous ces problèmes s'il avait utilisé Ipcop ou pfsense : ce n'est pas tant une histoire de compétences en matière d'IPtables et de firewalling, c'est que sur une distrib "tout en un", les risques d'effets de bord de toute modification sont grands, et qu'on n'y prête rarement assez attention, ce qui n'est d'ailleurs possible généralement qu'à celui qui connait parfaitement le fonctionnement de la distrib dans ses moindres détails...
Comme je l'ai toujours dit, et comme le répète encore jdh ici, une distrib "tout en un" est parfaite quand elle est utilisée à ce pourquoi elle est prévue, comme cela a été prévu. La possibilité d'adaptation du firewall sur une telle distrib me parait une hérésie, ou au moins très dangereuse si elle n'est pas réalisée par quelqu'un qui en connait bien tous les risques.
J'ai soutenu, sur FCF, l'étude et la réalisation d'un firewall paramétrable sur SME. Je crois que j'avais bien précisé que cela devait être réservé aux experts, et en tous cas je n'ai jamais été favorable à une interface trop facile, permettant à n'importe qui de le faire.
Cool34000 a écrit :Je trouve bizarre ta réaction jibe car justement un des gros plus de Zentyal par rapport à SME c'est de pouvoir paramétrer le firewall... Ca fait quand même tout de suite plus sérieux !
C'est justement ce qui m'inquiète beaucoup ! Bon, il faut replacer les choses dans leur contexte : celui dans lequel j'utilise SME. Comme toi, je ne suis pas partisan des distribs "tout en un", mais il faut avouer que dans une TPE, c'est l'idéal à presque tous points de vue !
Quant à la possibilité d'adaptation du firewall, dans une distrib "tout en un", je trouve qu'il y a au moins potentiellement un risque énorme. Autant je suis favorable à ipcop ou pfsense et j'apprécie justement de pouvoir adapter le firewall à mes besoins, autant je trouve que l'impossibilité de le faire et l'auto-adaptabilité de celui de SME est tout à fait ce qu'il faut pour cette distrib. J'aurais tendance à dire : pareil pour Zentyal, mais c'est vrai que je parle sûrement beaucoup trop de ce que je ne connais pas...
D'ailleurs, je ne suis pas certain que lembal aurait eu tous ces problèmes s'il avait utilisé Ipcop ou pfsense : ce n'est pas tant une histoire de compétences en matière d'IPtables et de firewalling, c'est que sur une distrib "tout en un", les risques d'effets de bord de toute modification sont grands, et qu'on n'y prête rarement assez attention, ce qui n'est d'ailleurs possible généralement qu'à celui qui connait parfaitement le fonctionnement de la distrib dans ses moindres détails...
Comme je l'ai toujours dit, et comme le répète encore jdh ici, une distrib "tout en un" est parfaite quand elle est utilisée à ce pourquoi elle est prévue, comme cela a été prévu. La possibilité d'adaptation du firewall sur une telle distrib me parait une hérésie, ou au moins très dangereuse si elle n'est pas réalisée par quelqu'un qui en connait bien tous les risques.
J'ai soutenu, sur FCF, l'étude et la réalisation d'un firewall paramétrable sur SME. Je crois que j'avais bien précisé que cela devait être réservé aux experts, et en tous cas je n'ai jamais été favorable à une interface trop facile, permettant à n'importe qui de le faire.
jibe. En vert ou en rouge-orangé : je modère - En noir ou autre couleur : je parle à titre personnel.
L'idée que quand on n'a pas quelque chose, on puisse se bouger pour l'avoir, c'est une démarche qui parait absolument normale pour les gens du Logiciel Libre et totalement surnaturelle pour tout le reste de la population. (Benjamin Bayart)
L'idée que quand on n'a pas quelque chose, on puisse se bouger pour l'avoir, c'est une démarche qui parait absolument normale pour les gens du Logiciel Libre et totalement surnaturelle pour tout le reste de la population. (Benjamin Bayart)
- jibe
- Message(s) : 943
- Inscription : 09 Sep 2011 23:19
- Localisation : Haute Savoie
Re: Firewall / VOIP (SIP)
par Muzo » 08 Nov 2011 11:07
[Voix de la modération]Vous aidez notre ami lembal, où vous prenez un café ensembles? Merci de rester dans le cadre du sujet.[/Voix de la modération]
/Muzo
/Muzo
Si j'écris en vert
c'est que je modère
c'est que je modère
- Muzo
- Message(s) : 140
- Inscription : 25 Oct 2011 21:21
Re: Firewall / VOIP (SIP)
par mfncbm » 08 Nov 2011 11:35
Merci pour vos retours !
Bon comme tout semble fonctionner jusque là avec mes dernières modifications, je vais rester sur Zentyal.
Le choix de Zentyal s'est fait un peu à l'arrache : j'interviens en tant que sous-traitant pour un partenaire dont le client possédait déjà un firewall linux installé par un ancien admin. réseau en interne. Il a donc demandé à son prestataire habituel (de refaire le firewall) qui s'est tourné vers moi, me sachant certifié linux (une LPIC-1, wow...). Je n'ai pas refusé le chantier, pensez-vous ! Mais il me fallait en moins de 4 jours trouver le matos + la distrib qui correspondait aux besoins et que celle-ci soit assez simple à utiliser pour je puisse transmettre la compétence à mes confrères... pas du tout compétents ni dans linux, ni dans les routeurs/firewall, ni dans le VPN...etc.
C'était pas gagné !
Je suis parti sur Zentyal pour sa simplicité bien qu'à la base j'avais choisi EFW, que je connais mieux pour faire du firewalling que Zentyal que je n'avais jusque là utilisé que pour des services de bases : fichiers, dns, dhcp, ftp, mail...etc.
Je pense tout de même que c'est parce que j'ai fait du lissage de trafic sur le SMTP que ça fonctionne mieux, vu que j'ai toujours autant de paquets droppés sur le port TCP/25 (???). Est-il nécessaire lorsqu'on fait du lissage de trafic sur un port ou un ensemble de port (la VoIP dans mon cas), de prendre en compte également les autres protocoles dans le lissage de trafic ?? J'avais simplement mis une règle pour mettre la priorité maximum à la VoIP sans limite de début et j'ai pas touché le reste... Qu'en pensez-vous ? C'est mon premier cas de QOS donc je suis un peu Newb sur les bords
Bon comme tout semble fonctionner jusque là avec mes dernières modifications, je vais rester sur Zentyal.
Le choix de Zentyal s'est fait un peu à l'arrache : j'interviens en tant que sous-traitant pour un partenaire dont le client possédait déjà un firewall linux installé par un ancien admin. réseau en interne. Il a donc demandé à son prestataire habituel (de refaire le firewall) qui s'est tourné vers moi, me sachant certifié linux (une LPIC-1, wow...). Je n'ai pas refusé le chantier, pensez-vous ! Mais il me fallait en moins de 4 jours trouver le matos + la distrib qui correspondait aux besoins et que celle-ci soit assez simple à utiliser pour je puisse transmettre la compétence à mes confrères... pas du tout compétents ni dans linux, ni dans les routeurs/firewall, ni dans le VPN...etc.
C'était pas gagné !
Je suis parti sur Zentyal pour sa simplicité bien qu'à la base j'avais choisi EFW, que je connais mieux pour faire du firewalling que Zentyal que je n'avais jusque là utilisé que pour des services de bases : fichiers, dns, dhcp, ftp, mail...etc.
Je pense tout de même que c'est parce que j'ai fait du lissage de trafic sur le SMTP que ça fonctionne mieux, vu que j'ai toujours autant de paquets droppés sur le port TCP/25 (???). Est-il nécessaire lorsqu'on fait du lissage de trafic sur un port ou un ensemble de port (la VoIP dans mon cas), de prendre en compte également les autres protocoles dans le lissage de trafic ?? J'avais simplement mis une règle pour mettre la priorité maximum à la VoIP sans limite de début et j'ai pas touché le reste... Qu'en pensez-vous ? C'est mon premier cas de QOS donc je suis un peu Newb sur les bords
- mfncbm
Re: Firewall / VOIP (SIP)
par Cool34000 » 08 Nov 2011 12:35
Salut,
Il vaut mieux ne pas avoir de Traffic Shaping que de l'avoir mal paramétré...
Tu as constaté par toi même en tout cas que les règles sont efficaces !
Impossible de deviner ce que tu as configuré pour obtenir un upload de 3Ko/sec pour les mails... Je suppose un paramétrage trop généreux envers la VoIP !
A moins que tu n'aies un fournisseur SIP externe, le Traffic Shaping ne t'apportera scrictement rien en interne !!!
Rappel : le Traffic Shaping lisse le traffic allant d'une interface à une autre (dans ton cas WAN <==> LAN)
Il vaut mieux ne pas avoir de Traffic Shaping que de l'avoir mal paramétré...
Tu as constaté par toi même en tout cas que les règles sont efficaces !
Impossible de deviner ce que tu as configuré pour obtenir un upload de 3Ko/sec pour les mails... Je suppose un paramétrage trop généreux envers la VoIP !
A moins que tu n'aies un fournisseur SIP externe, le Traffic Shaping ne t'apportera scrictement rien en interne !!!
Rappel : le Traffic Shaping lisse le traffic allant d'une interface à une autre (dans ton cas WAN <==> LAN)
In a world without walls and fences, who needs windows and gates?
- Cool34000
- Message(s) : 199
- Inscription : 12 Sep 2011 19:02
- Localisation : Nimes, France
Re: Firewall / VOIP (SIP)
par jibe » 08 Nov 2011 12:41
Muzo a écrit :[Voix de la modération]Vous aidez notre ami lembal, où vous prenez un café ensembles? Merci de rester dans le cadre du sujet.[/Voix de la modération]
/Muzo
C'est vrai que c'était un peu limite, rappel justifié
Mais par ailleurs, comme lembal se demandait s'il gardait Zentyal ou mettait une distrib plus orientée firewall, on peut aussi considérer que le débat n'était pas vraiment hors sujet...
De toutes manières, puisqu'il a tranché, on ira troller ailleurs sur les tout-en-un
jibe. En vert ou en rouge-orangé : je modère - En noir ou autre couleur : je parle à titre personnel.
L'idée que quand on n'a pas quelque chose, on puisse se bouger pour l'avoir, c'est une démarche qui parait absolument normale pour les gens du Logiciel Libre et totalement surnaturelle pour tout le reste de la population. (Benjamin Bayart)
L'idée que quand on n'a pas quelque chose, on puisse se bouger pour l'avoir, c'est une démarche qui parait absolument normale pour les gens du Logiciel Libre et totalement surnaturelle pour tout le reste de la population. (Benjamin Bayart)
- jibe
- Message(s) : 943
- Inscription : 09 Sep 2011 23:19
- Localisation : Haute Savoie
Re: Firewall / VOIP (SIP)
par jdh » 08 Nov 2011 12:53
Lao-Tseu l'a dit et ... très bien dit ! Formidable !Cool34000 a écrit :Il vaut mieux ne pas avoir de Traffic Shaping que de l'avoir mal paramétré...
@lembal : je comprends bien ton intervention mais pourquoi choisir Zentyal comme firewall ?
Zentyal est une distribution "tout-en-un" dont l'aspect firewall n'est qu'un aspect.
Dans l'optique "le bon outil" (marteau-pointe ...), j'aurais plutôt choisi une vraie distribution firewall genre Ipcop, pfSense ?
En dehors de ces propos café du commerce, quels sont les avancées :
- Zentyal (=firewall) toujours gateway indiquée par le DHCP ?
- fonctionnement identique pour un téléphone en réseau 1 ou réseau 2 ?
- fonctionnement correct pour un téléphone hors du réseau dédié téléphone (192.168.16.x) ?
(Question par curiosité : le routeur SIP c'est quoi ?)
L'intelligence artificielle n'est rien à côté de la stupidité naturelle.
- jdh
- Message(s) : 731
- Inscription : 02 Nov 2011 00:36
- Localisation : Nantes - Angers
Re: Firewall / VOIP (SIP)
par mfncbm » 09 Nov 2011 16:43
Bon bah finalement toutes les charges portées sur notre client (Zentyal) ont été levées !!
Le presta. tél. a confirmé que le pb de téléphonie IP venait du lien Interlan.
Et pour les envois en SMTP, le pb venait des redirecteurs dans les serveurs DNS internes...
Finalement Zentyal remplit très bien son rôle.
J'ai retiré les règles de lissage de trafic : rien de notable n'a bougé. Donc ce n'était pas le pb.
J'ai affiné les réglage de firewalling entre zones et vers le WAN et tout répond comme demandé.
Finalement c'est du nougat à configurer et je me sens un peu con d'avoir douté du bon fonctionnement de la distribution qui commence quand même à se faire un nom...
Le routeur du presta. tél. est un Zyxel.
Zentyal est toujours la passerelle par défaut avec routage statique vers le routeur Zyxel quand requête sur le réseau 192.168.16.X/24
Toujours des pb de VoIP mais ce n'est plus mon soucis ; c'est trèèèèès loin derrière maintenant ^^
Pourquoi Zentyal : pour la facilité du transfert de compétences ! J'avais à former deux techniciens novices dans le domaine du firewalling sous linux et du firewalling tout court. J'avais donc besoin d'une distribution simple à mettre en œuvre et qui ne fait pas peur (comme PFsense par exemple ^^), d'où mon choix de Zentyal. Mais pour moi c'est clair que je serai parti sur EFW !
Merci à vous pour vos retours, mon problème est résolu (oui, oui, je change le titre du fil !!)
A+
lembal
Le presta. tél. a confirmé que le pb de téléphonie IP venait du lien Interlan.
Et pour les envois en SMTP, le pb venait des redirecteurs dans les serveurs DNS internes...
Finalement Zentyal remplit très bien son rôle.
J'ai retiré les règles de lissage de trafic : rien de notable n'a bougé. Donc ce n'était pas le pb.
J'ai affiné les réglage de firewalling entre zones et vers le WAN et tout répond comme demandé.
Finalement c'est du nougat à configurer et je me sens un peu con d'avoir douté du bon fonctionnement de la distribution qui commence quand même à se faire un nom...
Le routeur du presta. tél. est un Zyxel.
Zentyal est toujours la passerelle par défaut avec routage statique vers le routeur Zyxel quand requête sur le réseau 192.168.16.X/24
Toujours des pb de VoIP mais ce n'est plus mon soucis ; c'est trèèèèès loin derrière maintenant ^^
Pourquoi Zentyal : pour la facilité du transfert de compétences ! J'avais à former deux techniciens novices dans le domaine du firewalling sous linux et du firewalling tout court. J'avais donc besoin d'une distribution simple à mettre en œuvre et qui ne fait pas peur (comme PFsense par exemple ^^), d'où mon choix de Zentyal. Mais pour moi c'est clair que je serai parti sur EFW !
Merci à vous pour vos retours, mon problème est résolu (oui, oui, je change le titre du fil !!)
A+
lembal
- mfncbm
41 message(s)
• Page 4 sur 5 • 1, 2, 3, 4, 5
Qui est en ligne ?
Utilisateur(s) parcourant ce forum : Aucun utilisateur inscrit et 1 invité