Reprise du message précédent :

 
Double NAT : Quand on met le routeur OPNSense en DMZ de la livebox, la livebox doit natter tout ce qui arrive pour le transférer vers OPNSense, ça la fait déjà pas mal bosser de ce que j'ai cru comprendre (je n'ai pas [encore] de fibre) et que ça peut introduire un ralentissement éventuel des débits (mais de quel ordre, aucune idée). Ensuite si je veux qu'OPNSense reroute ce qui arrive sur le port 443 vers une VM nextcloud, c'est le second NAT, d'où le "double NAT". Enfin c'est comme ça que j'ai compris le truc.
 
LibreArbitre : c'est à peu près ce que je fais, mais ça n'explique pas comment gérer le conteneur nextcloud.  
De ce que j'imagine, on ne peut rien mettre du côté de la patte WAN, ça ne me semble pas logique.
Ce que je pense est plus cohérent, c'est de créer une nouvelle interface bridge dans proxmox (vmbr), avec un adresse ip différent, et de faire une seconde patte LAN juste pour ce lien OPNSense-conteneur NC.
 
Je ne suis pas bon en schéma mais ça donnerait par exemple

Ben dans tous les cas peu importe que tu fasses une "DMZ" ou du port forwarding, les connexions entrantes sont redirigées, pour la box c'est le même boulot... Y'a juste les tentatives de connexions illégitimes sur des ports non utilisés qui sont forwardées pour rien dans le cas d'une DMZ mais qui seraient droppés directement par la box en cas de port forwarding unitaire, mais je doute que ça change grand chose.

Oui c'est le plus logique. Installer un firewall pour mettre ensuite la moitié du réseau à côté, c'est pas très logique.

Bon je viens de faire ça (mon schéma), j'ai un LAN2 opérationnel (DHCP et résolution de DNS ok, ...), j'y ai associé mon conteneur nextcloud... et je galère un peu sur la config firewall pour le LAN2
 
par défaut tout est bloqué, ok.
 
J'ai créé (pour tester) 2 règles IN et OUT * de partout (comme pour le LAN) et ça marche.
Forcément je peux pinger et accéder à tout LAN depuis l'hôte nextcloud.
 
L'idée serait de n'autoriser que le trafic allant vers le firewall puis l'extérieur, mais là dès que je touche au moindre truc ça pète tout.
 
Exemple de règle :
Autoriser
IN (donc en pratique "du serveur nextcloud vers l'extérieur" )
source : * (donc tout le lan2, tous les ports...)
destination : ce pare-feu
--> tout ce que je peux faire c'est pinger la patte LAN2 d'OPNSense (et étrangement celle du LAN1 aussi, mais j'imagine qu'il doit y avoir une logique) en tout cas impossible de sortir
 
Si en destination je mets "WAN net", je peux pinger ma livebox mais c'est tout. Pas de ping sur l'ip de google.com par exemple.
 
J'ai du mal à tout capter là !

bah si tu autorises que le pare feu en destination, tes machines peuvent pinguer le pare feu oui, c'est ce que tu as demandé
 
ça donne quoi niveau NAT sur le pare feu, qu'est-ce qui est configuré en source NAT notamment ?

 
T'es sur quelle version ? Si t'es en 6.x on en reparle bientôt Si t'es en 7.x, je connais pas la date d'EOL mais ça va bien arriver à un moment

En sortant j'ai les règles automatiques, et visiblement elles ont bien été mises à jour pour prendre en compte LAN2.
 
Là pour réussir à faire fonctionner j'ai fait l'inverse :
tout autoriser en IN (donc en sortie)
et ajouter au dessus une règle pour bloquer le trafic vers LAN
 
J'aime moyennement faire les règles dans ce sens mais au moins ça marche

ben après tout dépend de ton but, arriver à faire transiter des paquets ou comprendre ce que tu fais.
Je connais pas OPNsense mais j'avais utilisé pfsense il y a longtemps et je pense que c'est similaire, j'ai bossé sur pas mal de marques de firewalls et de mémoire l'interface ou la logique de fonctionnement de pfsense étaient assez logiques. Si tu as l'impression de devoir faire un truc à l'envers pour que ça fonctionne c'est que tu as sûrement raté quelque chose.

OPNSense ou pfsense, fondamentalement c'est kif-kif.
Là c'est moi qui ait du mal à créer 1 règle qui dirait : "LAN2 tu as le droit d'accéder au net et c'est tout (en passant par le firewall bien sûr, mais sans pouvoir aller voir LAN)."

Confondez pas NAT et PAT hein

Bon sinon adguard (en tant que plugin opnsense) opérationnel, rien à signaler, c'est quand même vachement plus simple pour mettre en place une résolution via https vers un fournisseur tiers genre quad9 (c'est même par défaut) par rapport à pihole.
 
Sinon ça semble très kif kif.
 
J'avais un vague souvenir d'avoir lu quelque part un jour il y a très longtemps qu'on pouvait installer une extension pour désactiver/réactiver le filtrage directement depuis un navigateur. C'est bien ça ? Ca existe toujours ? J'ai l'impression que les extensions firefox adguard c'est pour un logiciel adguard qui tourne en local sur l'ordi et non pas distant/serveur.

Suis en 6.x et c'est déjà EOL si je dis pas de connerie    
 
Le problème c'est que sur mon HPE microserver gen8, hormis sur ESXI la gestion du ventilateur c'est nawak.

 
Oui c'est pour ça que je le disais Gen8 ça date un peu aussi, j'imagine que part le BIOS ta pas moyen de forcer ton ventilo au min par ex ?

aux amateurs de pfsense/opnsense, vous avez mis en place un "forçage" de passage par vos DNS (pihole/adguard) ?
J'imagine que le principe c'est de rediriger ce qui voudrait aller vers l'extérieur sur le port 53... mais c'est pas un peu obsolète en 2023 ?
 
Côté positif :
- ça peut permettre de filtrer des iot un peu bavards qui auraient des dns codés en dur
- si junior veut contourner un contrôle parental, il met des dns https dans la config de son smartphone/ordi portable (perso j'ai pas encore de junior concerné, mais je me renseigne) et il contourne tout filtrage
 
Après junior peut aussi installer un vpn gratuit et passer au travers de tout, donc je me prends probablement la tête pour rien, mais je me renseigne...

C'est la base : toute requête sur le port 53 => goto serveur localhost, là où on a le contrôle
https://openwrt.org/docs/guide-user [...] ercept_dns
 
Il y a une doc openwrt pour le contrôle parental  
https://openwrt.org/docs/guide-user [...] t_controls
 
Pour le VPN, je ne suis pas expert mais ça semble compliqué à bloquer, surtout si ça discute en SSL.

OK, je viens de tester :
 
ça marche bien sur un ordi si jamais on veut juste passer en ip fixe et mettre 9.9.9.9 en DNS en dur plutôt que de passer par le DNS du routeur.
 
Il y a peut-être moyen de bloquer le DNS over TLS (port 853), soit en en activant un chez soi + reroutant comme pour le port 53, soit en le bloquant purement et simplement.
 
Par contre ça ne résiste pas (logique) aux DNS via https, ce qui est logique mais devient désormais courant, à commencer sous android, dès qu'on force un DNS en dur, on spécifie son nom de domaine, et par exemple si on met "dns.adguard.com" comme serveur DNS, hormis la 1e requête pour savoir quelle est l'ip de ce serveur, le reste passe en https et donc n'est pas filtré.
Dans les navigateurs web sur ordi c'est aussi possible, bref à mon avis le contrôle parental ça devient contournable en 1 clic pour tout ado pas totalement n00b.
 
Ca peut donner des discussions sympa au petit dej : "Mon poussin, est-ce que tu pourrais m'expliquer comment entre 22h et minuit tu as consommé 2.73Go de données https sans la moindre requêtes DNS s'il te plait ? Tu n'es pas obligé de me répondre, mais ce soir je mets en place un système de DPI donc il va falloir que tu montes d'un cran ton obfuscation de surf sur pronsite.com renseigne-toi sur l'encrypted SNI et ECH entre 2 cours"
 
Je (re)précise que je ne suis pas actuellement concerné, et que j'espère pouvoir privilégier l'information et la formation au contrôle et au flicage, mais j'aime bien savoir un peu où on en est en terme de capacités techniques...

Seul remède : le deep packet inspection type snort/suricata

Proxy ssl avec déchiffrement et trafic sortant direct bloqué.

tout ça pour du @home et du porn d'ado
 
Vous auriez été bien embêtés à l'époque si vous aviez eu tout ça à leur age (pour ma part il n'y avait que le minitel et les 56k )

Fou une caméra dans sa chambre

Et un tel à clapet des années 2000, ça revient à la mode

 
J'en ai un pour mon fils, c'est super. Ça vaut pas cher à l'acquisition.
0 maintenance car pas d'OS avec xxx paramètres, pas d'applis, pas de ralentissements, etc.
Ca fait téléphone et SMS, juste l'utile. Pas d'Internet, de pub, de pervers à l'autre bout.
La batterie tient une semaine minimum sans charge. Ça n’intéresse personne de le voler.

Auto-quote car évidemment le changement de page m'a baysay

 
Dites, vous pensez quoi de ce petit serveur pour uniquement du Pfsense @home ?  
https://www.amazon.fr/dp/B01MSW5RXS [...] _lig_dp_it
 
Faut lui rajouter un SSD et de la RAM, je pense 64GB SSD et 4GB RAM seraient suffisant non?
M'intéresse car petit, peu énergivore, je pourrai le mettre derrière mon routeur, le remplaçant donc pour toute la partie FW et routage.  
€138 + €40 de FDP, je réfléchis quand même mais ça me permettrait de jouer et me former à PFsense, ça serait un plus pour ma formation.
Je sais, un petit PC ferait plus, mais je cherche vraiment du petit, inaudible, et qui consomme peu.
 
Merci de vos retours posés

J’ai eu quasi le même mini PC, en Celeron J1900.
 
Ça gère très bien une fibre gigabit, par contre comme c’est fanless ça chauffe énormément…

Pour à peine plus cher je partirais sur un Celeron N5105 bien plus pêchu dans le même type que ceux-là :
https://fr.aliexpress.com/item/1005003430566461.html
https://fr.aliexpress.com/item/1005004880536701.html
 
https://www.cpubenchmark.net/compar [...] eron-J1900

J1900 pas de aes-ni c'est pas un peu rédhibitoire en 2023 ?
+1 pour le n5105

Si tu fais du chiffrement oui, sinon... quel intérêt ?
 
Après il date de 2013 aussi...

https://www.amazon.fr/gp/product/B0B2K2PVYY
 
6 ports 2,5 pour ceux qui ont besoin ^^
 
Par contre, faudra être frontalier, car lors de la commande, ils refusent de valider si vous êtes en France, car +150€ venant hors EU

Mmmh je n'arrive pas à ouvrir tes deux liens sur Ali. Mais les deux configurations ne sont pas à base de nic Realtek ?

Non, Intel 225

Dites, actuellement sur mon OPNsense j'utilise Unbound combiné à AdGuard Home par contre dans les stats le seul client c'est OPNsense (forcément vu qu'il forward les queries DNS). Y aurait-il un moyen de récupérer les clients ?

Quand tu dis "énormément" c'est très chaud même avec "juste" du pfsense ? Il faut le mettre en "plein air" ? Bon, SI je l'utilisais, il ne serait pas dans un tiroir bien sûr? Mais il faudrait que je le mette loin de mon routeur par exemple ? Ou de la prise électrique ?

Il chauffe  

 
J'ai eu le même souci. Le moyen le plus simple c'est de ne pas faire du forward via unbound (donc désactiver unbound) et de mettre adguard direct sur le port 53.

Dans un tout autre registre, j'ai une question "clés ssh".
 
C'est quoi votre approche en terme de clés ? 1 clé = 1 être humain ou alors plutôt 1 clé = 1 compte sur 1 serveur ?
 
Genre vous administrez 2 serveurs, avec 5 vm, vous mettez la même clé publique dans "authorized_keys" et c'est "votre clé" ou alors vous créez une clé séparée pour chaque accès ?

il a dit "énormément"

1 clé 1 humain sinon c'est ingérable

Sinon https://goteleport.com/

Merci, je viens de faire ça
 
Tu penses qu'il y a un inconvénient en dehors de devoir s'appuyer sur des serveurs DNS externes plutôt que du caching local avec Unbound ?

Adguard doit faire cache aussi, enfin j'espère

Ca fait 5 ans que je suis en DNS forwarder plutôt que resolver, 0 souci. C'est d'ailleurs comme ça que sont configurées les box internet par défaut. Les browsers ont leur propre cache. Windows aussi.