Reprise du message précédent :
Y'en a ici qui font du policy-based routing ?

J'ai mon ERL qui est configuré en client OpenVPN vers un serveur dédié. Le routage est ok, ça ping dans tous les sens depuis le LAN vers le VPN etc. Jusqu'ici tout va bien.
Là où ça se gâte c'est au moment de mettre en place le PBR pour rediriger le trafic d'une machine specifique du LAN au travers du VPN. J'ai l'impression que la règle n'est jamais matchée quand il s'agit d'utiliser la route par défaut... Elle est pourtant matchée quand je cherche à accéder au réseau de mon vpn en lui-même (10.8.0.0/24) car cela ne marchait pas tant que je n'avais pas ajouté la interface-route spécifique en plus de la route par défaut dans la table 1.  Une fois ajoutée le trafic pour la machine concernée à destination de machines sur le réseau du VPN marchait bien, mais le trafic à destination du net passait toujours par le WAN (pppoe0)
J'ai configuré une règle modify dans le firewall :

J'ai créé une table de routage spécifique correspondante :

J'ai bien appliqué la police modify à mon interface eth1 (LAN) :

Any clues ?

Drap. J'hésite entre le edge lite 3 + AP ubiquiti ou un apu2c4 avec carte wifi/adaptater/antenne.
Niveau prix, la seconde solution est plus cher même si un gentil forumer peut me faire descendre l'addition avec livraison en suisse ce qui ferait que c'est kifkif. Je me renseigne donc

@iryn go forum ubnt
 
XaT

Je partirais plutôt sur un APU2C4 où tu peux mettre un vrai OS libre (edit: l' EdgeRouter Lite 3 tourne sous un OS de base Debian) pour gérer routeur, pare-feu et autres services réseaux.
 
Sans rentrer dans les détails : c'est du neuf ? Tu arrive à le toucher aux environs de combien ? (J'en cherche également)

 
L'ubiquiti, c'est un debian like non ? optimisé pour la bête et à priori, tu peux y greffer des repository additionnels donc tu devrais pas être limité à aucun niveau, me trompes-je ?
Sinon, oui, l'apu2c4, ca serait du neuf. Au prix indiqué sur le site de pc engine (transformé en €) (soit bien moins cher que les revendeurs fr)

 
L'ubiquiti, c'est un debian like non ? optimisé pour la bête et à priori, tu peux y greffer des repository additionnels donc tu devrais pas être limité à aucun niveau, me trompes-je ?
Sinon, oui, l'apu2c4, ca serait du neuf. Au prix indiqué sur le site de pc engine (transformé en €) (soit bien moins cher que les revendeurs fr)

Autant pour moi, je n'avais clairement pas creusé le EdgeOS : si c'est une base Debian c'est good.

En effet : autour de 130€ l'APU2C4 (avec boîtier, alim et SD ou SSD) + la carte WiFi et l'antenne.... ça vaut le coup !
D'autant plus qu'il a plus de RAM et de CPU que l'EdgeRouter Lite 3 (bon ça ne signifie pas qu'il est plus rapide...).

Mais peux-tu installer EdgeOS sur un APU2 ?

J'ai une petite question noobesque

J'aimerais faire des manip avec la config VPN entre deux Edgerouter.
Or je ne veux pas le faire avec mon ER-X distant, la conf fonctionne bien, mais si la config VPN plante je perdrais tout accès et c'est la kata.

Bref du coup je pensais m'acheter un routeur additionnel.
Mais du coup comment tester une config VPN entre 2 routeurs en local (-> 1 connexion internet)???
Il me faudra un troisième routeur en local pour le faire n'est-ce pas?

Tu peux pas faire une redirection de port sur le modem en amont pour garder l'accès http sur le routeur ?

Dites, un petit Switch Networks US-8-60W POE pour mettre au cul d'une Freebox et y brancher mon UAP-AC-LR (entre autre), ça vous parait bien ?

Oh purée que je suis bête   ^3
Oui c'est juste
 
 
Tiens d'ailleurs, est-ce qu'il est d'usage de laisser un accès SSH au matos via internet, ou est-ce que c'est à éviter?  
 
Du coup questions annexes
1. Si tel est le cas, est-ce que l’authentification se fait plus couramment via mot de passe (bien complexe bien sûr), ou via certificat RSA?
 
2. Si c'est par mot de passe, y-a-t-il moyen de limiter le nombre de tentative de login (afin d'éviter une attaque via brute-force)???
 
Il me semble que EdgeOS était pas mal à la traîne niveau mis à jour du noyau linux (v3.10, 3-4 années quoi), je me demande si c'est au top niveau sécurité.

L'auth par clef publique/privée est meilleure si tu peux utiliser ça  
De mon côté j'ai mis une règle ip tables qui drop à partir de 5 nouvelles connexions (TCP NEW) par période de 300 secondes :  

Ah cool. Merci pour les instructions

Je quote le topic car je pense acheter du matos Ubiquiti prochainement.
On va déménager dans une vieille maison sur 3 étages (plus un sous sol), et j'imagine que je vais avoir besoin d'installer un AP Lite par étage, afin d'avoir une bonne couverture wifi.
On a passé des câbles ethernet aux différents niveaux, il me reste à installer l'armoire au sous sol, dans laquelle j'aurais une livebox play avec un abo fibre.
La solution Unifi me semble être une des plus efficace, pour un prix "raisonnable".
Par contre, je n'ai pas bien compris dans quelle mesure on avait besoin d'un serveur qui tourne, à priori, principalement pour la configuration.
J'ai un NAS Synology DS716, y a-t-il moyen de l'installer dessus ?
Dans un second temps, je mettrai peut-être un ERL entre la livebox et le switch, pour profiter d'une plus grande souplesse de configuration (je ne sais pas si niveau performance, il peut y avoir une différence notable vu mon usage domestique standard).
Je n'ai pas bien compris ce que faisait l'USG par rapport au ERL. L'un est un simple routeur, quand l'autre intègre des fonctions type vpn... ?

 
 
Par contre, je n'ai pas bien compris dans quelle mesure on avait besoin d'un serveur qui tourne, à priori, principalement pour la configuration.-> tu parles de quoi, de la config des AP ? Si oui, tu peux très bien l'installer sur l'erl (je vois pas ce qui l'en empecherai) Tu peux aussi l'installer sur le NAS, mais ca me semble moins adapté.
Dans un second temps, je mettrai peut-être un ERL entre la livebox et le switch, pour profiter d'une plus grande souplesse de configuration -> le mieux reste de virer la livebox et de connecter directement la fibre à l'ubi. Ca demande un peu de config a priori mais les avis sont plutôt très bon. Niveau perf, ca va allé, des tests ont été fait et même en jet fibre, tu gardes un très très bon débit. (tu peux googler si tu es intéressé)

Je pense qu'il parle de l'Unifi Controller, qui tourne sur une cloud key si t'as pas envie de t'embêter, ou sur ton PC/NAS/RPi/docker si tu veux économiser des sous  
 
Pour répondre à sa question :  
- Pas besoin d'avoir l'unifi controller allumé en permanence, sauf si tu utilises le système de hotspot intégré. Une fois ton AP configuré, il tourne tout seul sans controller  
- Tu peux faire tourner le controller sur ton NAS si tu trouves le package/container approprié supporté par ton NAS, google est plein d'infos là-dessus, par exemple : https://community.ubnt.com/t5/UniFi [...] d-p/394010

Je ne connais pas bien les produits Ubiquiti, et je ne suis pas expert réseau non plus, même si je sais qu'il y a pas mal de tuto et les forums, j'aimerais éviter l'usine à gaz, ce serait juste pour chez moi, aucun réel besoin de créer des vlan (à la rigueur pour le mode invité) ou de faire des choses compliquées.

Pour les AP, j'ai cru voir qu'il fallait soit installer le soft (mini serveur) sur un PC, soit sur un rpi, ou avoir une cloud key, que c'était nécessaire pour la configuration, pas nécessairement ensuite, mais ça apportait un certain nombre de fonctions.
Je me demandais si ce que ça apportait concrètement et l'importance de l'avoir qui tourne en permanence.

Pour l'ERL à la place d'une livebox, ça semble assez compliqué à mettre en place, on perd le téléphone il me semble, et je ne vois pas trop quel est le gain réel (à part virer la box opérateur).
En version simple, j'aurais imaginé la box, qui gère téléphone et éventuellement la TV, puis derrière un routeur pour le reste, parce que le routeur de la livebox est pas terrible.

Edit: je n'avais pas vu ta réponse ptibeur. Si le serveur n'est pas nécessaire en permanence, je pourrais au moins démarrer avec un ou plusieurs AP pour déjà avoir un wifi unifié efficace sur toute la maison, et voir ensuite pour les raffinements que propose le serveur, voir ajouter un routeur.

Hello les gens,
 
Je souhaiterai optimiser un réseau unifi dans un établissement scolaire.  
Pour vous, il est souhaitable d'avoir un wireless network par bâtiment ? et donc un vlan associé ?
 
Merci

sachant que sur la gamme unifi si tu pars sur celle-ci tu est limité a 4 Vlans, tu va etre vite limité avec 1vlan par batiment si l'etablissement est assez grand.
Et ça empeche toute possibilité de roaming inter-batiment.
tu ne pourrais pas faire 4 reseaux Wifi (avec leur Vlan) separé pr couvrir tous tes besoins ?

Je crois qu'on est passé à 8 SSID sur les produits Gen3 depuis peu

ah, peut etre, j'ai pas suivi les maj a vrai dire.
 
c'est peut etre meme via une simple maj de firmware.
On a des UAP-AC Pro et dernierement on en a certains qui se connectent entre-elles en wireless, alors qu'on avait jamais constaté ça avant (ceci dit avant, le lan etait fonctionnelle donc pas besoin de se connecter en wireless maintenant que j'y pense).

Le wireless uplink est implémenté depuis déjà pas mal de temps sur les AP 5Ghz mais ce n'est pas exactement comme le mesh des AC-M et AC-M-PRO
 
En effet je crois que le passage à 8 SSID est dans le prochains firmware UAP 3.9 ou contrôleur 5.6

Je te dirais plutôt de faire un WLAN par "service": profs, administratif, élèves,  et d'avoir le même SSID pour chacun dans les bâtiments.

voila c'est ce qu'on a fait nous par exemple.
le 4eme etant un wifi-invités balançant vers le portail captif du controller unifi (du coup, il tourne en h24 pr le coup).

 
Le problème c'est que les élèves + étudiants + enseignants utilisent le même accès internet à la base.
Dissocier des WLANS en utilisant le même accès net va-t'il soulager le trafic général car sur plusieurs vlans ?

bah ya pas vraiment de magie la dessus....
un jour ou l'autre il va falloir investir dans une connexion internet plus costaude si c'est pas deja le cas, ou une seconde connexion.
 
ceci etant dit, sur chaque WiFi que tu créés ensuite tu peux appliquer des limitation de bande passante.
a adapter a ton besoin...

Ouai fin mettre la limite sur l’Ap, si je m’abuse ça limite le débit wifi et donc au réseau local aussi...

Je vais pas tarder à être confronter à ça avec l’entrée de pc « visiteur » dont j’ai pas le contrôle (MaJ, YouTube, Ddl) avec que 8mega sortant  

Avec un rougeur USG Pro, ça ne serait pas mieux retable les limite de débit?

Si voilà, il faut faire des vlans différents déjà pour isoler du réseau « entreprise » et faire de la QoS/limite de bp sur ce vlan en sortant. Mais je n’ai pas le matos pour et moyennement les compétences.

Je pensais davantage à limiter la bande passante de certains port / protocole via dpi

 
Nous avons une fibre pro symétrique 100M. C'est plus le nombre de users qui est problématique.
Créer des vlans peut aider peut être à soulager le réseau si il y a des limitations appliquées ?

d'ou l'interet du wifi invité avec la limite de BP dessus (il a pas d'interet a acceder au lan donc la bp peut etre appliquée directement sur le SSID associés dans le controller).

tu utilises forcement le Guest Policy ? ou 802.11 RATE AND BEACON CONTROLS ?

Parceque ya un truc que je comprends pas, si tu utilises le Guest Policy avec le portail d'accès, que tu mets le truc en "Simple Password" par exemple, que devient le Mdp de ton Wlan ? La où tu choisis de type de clef etc...
 
Car une fois dans le paramétrage du portail, tu ne peux pas choisir ça.

Ou alors tu utilises le user group ? /spam

Installation de mon unifi ac pro en 2 minutes avec l’application iOS. ( suffit de le relier au switch > on scanne le code barre sur la borne et hop )
 
C’est super friendly maintenant ubiquiti

Auto-réponse.
Après un "show ip route table 1", le résultat était le suivant :
default via 10.8.0.1 dev pppoe0

Au lieu de sortir par le VPN, celui-ci sortait toujours par la passerelle par défaut, malgré l'indication de passer par l'interface vtun0 pour tout ce qui était à destination du réseau 10.8.0.0/24.

Problème résolu en modifiant la table 1 comme ceci :

Dans tous les posts que j'avais vus, c'était un "route" et "next-hop" qui étaient utilisés mais je pense que le fait que j'utilise une connexion en pppoe doit le mongoliser. Du coup il faut utiliser un interface-route à la place.

Bon maintenant je me rends compte que le débit est à chier (8Mb sym), merci l'absence d'offloading OpenVPN sur l'ERL3 du coup je vais passer par un VPN L2TP/IPSec

C'est coté Apple de la chose

 
D'un autre côté, avant c'était pas plus compliqué.
Il suffisait simplement d'adopter la borne sur le soft UNIFI.

Tiens l'autre j'ai évoqué la gamme mFi qui a été abandonné.
Du coup, vous mettez quoi à la place? Quel autre marque fait ce genre d'équipement ?