Reprise du message précédent :

Je ne tourne pas sous W2003 et IIS, donc non

Trop tard c'est déjà dans mes fiches, ne cherche pas à te rattraper c'est mort
 
XaT

bonsoir à tous,
 
Je m'incruste sur le topic, en plein projet de nouvel appart.
connaissez vous un modèle avec 4 ports 10gb sfp à prix intéressant malheureusement j'ai vu le LB4M ou le Quanta LB6M,
 
Le premier à 130e le deuxième aux alentours de 300 , c'est surtout l'utilisé d'avoir 24 ports sfp qui m'embête
 
Merci à vous

Ce sont les moins chers que tu vas trouver.
Sauf pour le ZyXEL-XGS4528F, qui passe parfois autour de 70/100£... Mais dont les ports 10G sont en XFP et en CX4 (et les modules coûtent la peau du cul ).
Sinon, en un peu plus cher, mais moins de ports, t'a le ES-16-XG de chez Ubiquiti. Gaffe à la compatibilité des SFP et des twinax par contre.

Chez Mikrotik/RB ?
 
XaT

Rien avec 4 SFP+. Enfin, y'a un Cloud Routeur, mais à 3k€

Ouais je viens de voir max 2 SFP+ (bon j'ai cliqué que sur switches )
 
XaT

http://geizhals.eu/?cat=switchgi&x [...] %2B#xf_top
Je crois pas qu'on peut set le nombre de SFP+, putain de site
Juste par 10GbE RJ.
Bon déjà rien qu'avec SFP+ dans la sélection y'a rien à moins de 550€
 
XaT

Merci à vous, vu que l'investissement aura lieu dans quelques mois je vais attendre sinon je prendrai la version 24 ports tant pis et j'y mettrais un autre switch Gb derriere car bon 4 ports cuivres c'est short ..enfin la fonction N3 ne n'importe peu mais on ne semble rien trouver à tarifs compétitifs

J'passe par là rapidement pour dire que l'appliance logicielle de Sophos, pour faire du firewall++ facile avec webUI (dans un usage perso, max 50 IPs, pas toutes toutes les fonctionnalités...), c'est quand même un gros cran au dessus de tout ce que j'ai pu trouver en open source
De simplement des règles de NAT/FW/Routage à du montage de vpn IPsec, proxy smtp, antispam, portail web qui encapsule du rdp/ssh/vnc/... Bref, l'UTM c'est d'la balle. Dispo en iso et en vApp vmware chez votre marchand de journaux
Par contre, ça gère pas encore l'IPv6 de chez Online, faut que j'fasse une feature request

C'est propriétaire ?

Y'a de fortes chances
 
XaT

VyOs en CLI ça passe sinon
 
XaT

Pas complètement, mais les features sympas sont proprios.
Au final, c'est vachement plus user-compliant que vyos, avec plus de fonctionnalités. Mais c'est pas libre.

je suis content de mon zeroshell sinon ^^

C'pas vraiment la même liste de fonctionnalités

La version payante sur leur matos ne le gère pas ?

En fait, c'est la possibilité de configurer un DUID qui est simplement pas dispo. Pro ou pas pro, y'a pas la feature. Après, le bouzin gère l'IPv6, mais faut faire porter le DUID par autre chose.

J'ai essayé Sophos également sans trop y croire, et j'ai halluciné devant les fonctionnalités et la simplicité de mise en oeuvre. Rien que le client OpenVPN c'est super bien foutu et même sur le tel ça se configure en deux minutes.  
Les règles de parefeu et le nat également. Je voulais me faire un cluster de VM, il parait qu'on peut, pas encore eu le temps mais je vais m'y mettre.
Beau produit en tout cas.

Et vous faites tourner ça sur une machine dédiée ? J'ai hésité à l'utiliser comme pare-feu et nat mais j'ai l'impression que ça ferait doublon avec mon ERL3. Ca fait du routage aussi ?

Ça tourne dans une vm, ça peut faire du routage (mais l'erl est mieux disposé à faire du routage), mais surtout ça fait plein d'autres choses

Perso je l'utilise sur un VM pour le moment, le but étant d'en avoir une deuxième sur l'autre ESX en HA.

J'ai qu'un serveur et vu que je bricole souvent dessus, j'ai pas un uptime délirant. Du coup me faudrait une machine dédiée et j'ai l'impression que ça ferait peut-être doublon avec l'erl.

Pour le côté doublon, ça dépend des fonctionnalités que t'utilises. Si c'est juste pour un routeur+nat+FW+dhcp, ouai, ça fait doublon.
Par contre, si tu veux le firewall applicatif, le proxy SMTP avec antispam, le tunnel ipsec/ssl/whatever site2site et client distant, la HA, le proxy web, les trucs sexy comme le portail web html5 pour faire de l'admin à distance... Là, clairement, l'ERL fait pas le poids.
Pour l'instant, je l'ai qu'en frontal sur mon dédié, mais je vais en coller un autre sur mon @home, faire un site2site entre les deux, et avoir un lan unifié propre

Oui justement c'est les features supplémentaires qui m'intéressent et je me demande si je pourrais pas remplacer complètement l'erl avec une petite machine dédiée avec 5 à 10W de conso.

C'pas gagné... 5 à 10w de conso, pas chère, 3 ports giga, ...

2 ports giga me suffiraient... Du coup, je vais peut-être faire l'essai avec une board à base de celeron N3150 ou un pentium J3710. A voir si les perfs suffisent.

Bah l'ERL c'est pas un FW HW, donc ouais il aura ses limites. Et malheureusement question VPN il pousse pas trop aussi. Mais pour le routage/proxy/truc du genre/services de bases il a fait très bien son taf. Et justement derrière on lui mettrait bien un fw hw et des vms pour faire ce que tu cites
Encore que question vpn je préferais du hw, à voir si les fw hw supportent bien ça sur du débit/pps/gropacket
 
XaT

Mhh.... Pas dit qu'un UTM passe en natif sur ce genre de hw un peu exotique. Et pas dis que t'ai assez de ram pour faire tourner correctement le bordel. Mais pourquoi pas.

Les FW hw, c'est soit pour des très, très, très gros débits, soit pour pleins, pleins, pleins de tunnels VPN que c'est utile. Sinon, bof bof. D'ailleurs, la plupart tournent sur du linux/bsd custom avec les services dans des VMs/containers Et pour que ça marche bien, faut des licences à €€€.
Franchement, pour du @home, a moins d'avoir un compte chez Stormshield/Checkpoints/F5 et une certif, mieux vaut de la vm sur un truc plus simple et accessible. Soit du Vyatta/Zeroshell, soit de l'UTM si tu oses le proprio, soit se contenter des fonctionnalités de l'ERL.
Ou tout faire à la mano sur ton linusk.

Vyatta est proprio maintenant hein
Faut voir si il y'a pas de appliances toutes faites pour ces services la
 
Pour les fw hw j'avoue que je connais pas trop, j'ai pas trop eu l'occase d'en voir passer    
Ce qui m'interesse c'est l'accélération hw. Faut que j'étudie ce qu'il se fait (et aussi dans la mode du sdn/nfv)
 
XaT

Et il y'avait un bout de conf sympa à la dernière frnog sur les équipementiers réseaux, les mecs disaient que ce sont plus des dev qu'autre chose maintenant. Ca fait réfléchir. Et j'ai oublié ce qu'ils ont dit de plus
 
XaT

Pour info, c'est quoi la commande nmap pour n'avoir dans mon scan que les machines en ligne ?
Si je fais un nmap -sn 192.168.XXX.0/24, j'ai la totalité des IP, soit 255 résultats, joie bonheur .
Je cherche juste à n'avoir en résultat que les IP actives .

man nmap

Par défaut, nmap n'affiche pas les IP qui n'ont pas répondu.

Etrange ici sur un réseau à la con j'ai toutes les IP, celle qui ne répondent pas et les autres .
Par contre chez moi, je n'ai que les IP qui répondent.
Etrange, ici on dirait que même les IP qui ne répondent pas, répondent, elles sont en "host is up" alors que non, elle ne sont pas utilisée...

perso j'utilise nmap -sS subnet et j'ai que les ip qui répondent

drap !
et en effet je pense avoir été la source de Sophos UTM pour plusieurs ici.
Il tourne en prod chez moi depuis quelques semaines, j'en suis fort content.
Interface au poil, très léger en CPU, un peu moins en RAM (2go), très bonne doc, communauté assez complète et réactive !

Après en effet c'est pas du libre, mais c'est gratuit, supporté et ça fait le job !
Il fait même endpoint protection

edit par contre leur site n'est pas toujours super clair, pour la version home de utm allez ici
https://www.sophos.com/en-us/produc [...] ition.aspx

doc par ici, choisissez Guide d'administration 9.400 (anglais)
https://www.sophos.com/fr-fr/suppor [...] -Appliance

Je détaillerai mon infra lab dans les prochains jours

j'ai hâte de lire

Tu viens drapper, mais t'es à l'origine de la hype ? Y'a que moi qui trouve ça chelou ?

+1 c'est chelou
 
J'ai installé 2Vm en cluster actif/passif sur deux Esx à la maison, ça marche bien. Le seul petit truc que je n'ai pas trouvé (pas trop cherché non plus), c'est le preempt.
 
J'aimerai bien que quand le nominal soit de nouveau en vie, il redevienne actif. Là c'est pas le cas, par contre la coupure du FW est totalement transparente.
 
(Et drap déguisé o: )