Reprise du message précédent :
Je regardais une video de Willie Howe sur les différences entre Unifi et Edgerouter/Edgeswitch, et je suis tombé sur un détail intéressant:
https://www.youtube.com/watch?v=mEDb1HhDiwE
 
(en rouge)
https://i.imgur.com/OpPNvMN.png  
 
C'est activé par défaut? Faut configurer explicitement?
Elle existe depuis quand cette fonction (avant elle n'y était pas c'est sûr, il y a de tas de témoignage sur leur forum àc e sujet)

Tu fais quoi de plus, concrètement aujourd'hui dans ton cas, avec ton pfsense par rapport à un edgerouter qui consomme entre 12 et 20W dans un silence absolu avec un coût d'achat assez similaire ?  
 
Pour le 10G je trouve que c'est une très bonne idée pour faire ça à moindre coût oui Pour un routeur 10G il faut payer assez cher actuellement (sauf promo, au mois de juin c'était donc dans les 300-400€ pour un UDM/UDM-Pro ) alors qu'un PC + carte PCI-E 10G ne coûte pas tant. Ça me fait penser que j'ai un i5 que je pourrais complètement réutiliser pour cet usage

On dit pas qu'un pfsense est mieux qu'un edgerouter, juste qu'un USG/UDM est moins bien

418€ avec la TVA  

Hello
 
Bon je regardais les annonces pour des Edgerouter et je suis tombé sur une d'un ER-8Pro (pas de switch interne) avec ceci en description:

(C'est en germanique , mais je pense que tout le monde comprendra )
 
J'ai pas mal de lacune en réseau, surtout pour ce qui se fait en milieu pro. Du coup je me suis posé les questions suivantes:
 
Q1: Pourquoi des réseaux séparés (interface dédiée) au lieu de VLAN???
Comme de toute façon le routeur devra faire du routage dans les 2 cas (entre réseau, ou entre VLAN), j'imagine que ce n'est pas une question de charge CPU.
C'est une histoire de maximaliser la bande passante (chaque réseau son interface 1Gbps)?
 
Q2: Pourquoi mettre Windows Server et Wifi interne sur un LAN à part du réseau du bureau, sachant que le routage nécessaire va causer pas mal de perte en bande passante?  
 
 
 
EDIT:
Question subsidiaire
On peut bien utiliser un unique switch et y brancher plusieurs réseaux différents n'est-ce pas? (sans VLAN)

Parce que le VLAN c'est foireux niveau sécurité : https://www.redscan.com/news/ten-to [...] -security/

Dans une (vrai) entreprise, on sépare les réseaux.

Moi qui pensais que les vlan c'était sans risque niveau sécurité

Non.
Les protocoles d'auto configuration de vlans, et les implémentations merdiques sont... Pas adaptés au niveau sécurité. Le vlan en tant que tel, ça ne pose pas de problème de sécu.
Et le "vrai entreprise", olol. Avant d'en arriver a faire de la ségrégation physique partout, y'a pas mal d'étapes. A commencer par avoir de vrai intercos avec les réseaux moins sensibles/extérieurs (ANSSI, guide pour les passerelles internet sécurisée), isoler les payloads virtuels sur des HV qui ne traitent qu'un seul niveau de sensibilité, mettre des sas, des bastions, des diodes et des sondes réseaux un peu partout, utiliser du soft et du hard qualifié ou certifié (et pas cspn) par l'ANSSI... Sans parler de la formation et des process.
Mais si tu veux on peux parler de vrai sécu. Faudrait un topic dédié.

Salut  

Ça dépend de l'admin réseau qui configure, ça dépend du but choisi, ça dépend du nombre d'interfaces de ton routeur, ça dépend de plein de trucs et de tas de raison techniques ou personnelles, ya pas unicité de la solution  
Si t'as plein d'interfaces, c'est plus simple de faire un service par interface (simple à configurer, simple à lire la config plus tard, simple à modifier).  
Egalement comme tu dis tu t'évites un bottleneck de débit d'interface si ton routeur a suffisamment de capacité de routage/switching et d'interfaces dispo.  
Si tu sais pas comment marchent les vlan, ou que tu veux pas te compliquer la vie à faire des sous-interfaces, ou que le switch/routeur en face n'est pas à toi et qu'il n'est pas configuré pour (ou ne supporte pas les vlans), etc. ya des situations où tu n'auras pas de vlan.  
Garder les interfaces séparées physiquement permet d'éviter dans certains cas d'impacter le trafic en cas de saturation. Pour la VoIP ça peut être une bonne idée. Ceci dit, si tu n'a qu'un lien WAN sur ton routeur et qu'il est saturé par du trafic internet, ou que ton routeur traite pas tous les paquets en hardware et que son CPU devient saturé, c'est foutu.  
 

Séparer wifi interne, LAN bureaux, LAN serveur : bêtement pour éviter que le broadcast du LAN et serveur ne se retrouve à polluer le débit du wifi ?  
Ça peut aussi être pour limiter le wifi auquel tu fais moins confiance, donc tu laisses passer le trafic des services de base mais tu restreins certains accès critiques.  
 

Oui, prends bêtement un switch basique à 10 balles qui ne supporte pas les vlan : rien ne t'empêche de brancher sur les 4 premiers ports des PC en 192.168.1.x/24 et sur les 4 ports suivants des PC en 192.168.2.x/24, ça fonctionnera, pourtant ils ne se verront pas entre eux "officiellement" tant qu'un routeur ne viendra pas les relier. C'est pas optimal comme setup, le but des vlans dans ce cas c'est aussi de limiter le domaine de broadcast, utiliser des vlans est une bonne pratique.

@ptibeur
 
Réponses limpides.
 
Merci

Bonjour, j'ai un reseau privé/professionnel qui est organisé comme suit
 
Box internet - Unify Security Gateway 4P - Access point unify
 
Je souhaite pouvoir gérer l'accès à Internet et au reseau interne (ethernet et wifi) pour chaque IP connectée et pouvoir ouvrir ou fermer les accès en fonction de l'heure et du jour
 
Quel materiel Unify dois je rajouter à ma configuration pour pouvoir gérer ces accès ? et à quel endroit le mettre  
 
Merci pour votre aide

Petite question VPN/Edgerouter.
 
J'ai lu sur le forum ubiquiti un témoignage selon quoi il y aura une fuite de mémoire quand plus d'un peer VPN était défini, ce qui causait un plantage du routeur au bout d'un temps (combien je ne sais pas).
 
Malheureusement ce témoignage date d'il y a 2 ans il me semble, et je me demande du coup si ce problème persiste toujours sur les firmware récents.

Il me semble que ça en parlait il y a quelques pages. Pas possible au final je crois bien. Remonte 3 ou 4 pages.

Merci, je viens de lire, mais j'ai besoin de piloter les liens physiques et pas uniquement le wifi ...
 
Si je comprend bien il n'y a rien de disponible chez Unify, mon précédent routeur Asus savait le faire...

Perso j'ai jamais rencontré ce genre de besoin. Mais tu dois pouvoir planifier des règles de pare-feu avec un pfSense

Sinon : https://www.google.com/search?clien [...] 8&oe=UTF-8

Oh je sais je suis super chiant avec mes tonnes des questions :S

Mais c'est la faute à UI

Dans le tuto VPN d'UI il y a ces 2 lignes de commandes:

Mais c'est quoi ces paramètres "local-address" et "dhcp-interface"???

C'est l'IP ou interface par laquelle le VPN passe, en l’occurrence l'IP ou interface internet?

Dans un précédent tuto que j'avais suivi, il y avait juste marqué qu'il fallait mettre "any" au paramètre "local-address".

C'est l'interface sur laquelle le tunnel arrive. Si ton routeur est en dhcp, tu met dhcp. Sinon tu met local adresse a priori.

Ouep
 
 
Autre question Edgerouter
 
Les script bash lancés via cron, il vaut mieux les mettre où?  
 
Dans le dossier /config/scripts sachant qu'il y a déjà un dossier (système???) "post-config.d" dedans.  
 
Ou dans /config/user_data ?
 
Dans les deux cas, il se retrouve dans le zip de backup en tout cas  
 
EDIT:
Peut-être que ceux situés dans /config/scripts sont automatiquement lancé au boot .
Vaut peut-être mieux les mettre dans user_data
 
EDIT2:
Info intéressante. Elle date d'il y a 5 ans, donc je ne sais pas si ca marche toujours.
 

Je ne sais pas, c'est juste que pfSense m'a permis d'apprendre/approfondir pas mal de trucs, et que j'avais trouvé la gamme Ubiquiti pas très lisible
Si je peux faire la même chose avec un truc rackable et qui consomme moins, je serais ravi d'essayer
 
En gros j'ai besoin de ceci :
- pas de saturation de la fibre 1000/700
- gestion des VLANs pour la TV avec une Freebox (qui est en bridge), un réseau pour les invités et un lab
- serveur DNS pour les enregistrements locaux
- serveur DHCP avec options possibles pour certains clients
- client OpenVPN pour l'accès internet des invités
- serveur VPN (OpenVPN, IPsec voire WireGuard)
- UPnP (je sais, c'est un trou de sécu ) restreint à une Xbox
- clients DynDNS, WOL, etc.
- bascule automatique vers un modem 4G, avec kill des sessions initiées quand la fibre revient
- une bonne gestion de la priorisation (pfSense de base n'est pas top, mais y'a plein de tutos pour améliorer ça) pour le jeu en ligne/la visio conf
- NAT reflection/loopback, c'est quand même hyper pratique
 
Est-ce qu'un EdgeRouter ferait l'affaire ?

Une partie oui, une partie non  
 
Pas sûr que le serveur DNS soit très configurable, le DHCP personnalisé par client c'est pas sûr non plus, la QoS ça doit rester assez basique, le NAT hairpin chez moi il marche aléatoirement suivant les reboots/config. Le reste ça doit passer, avec un peu de scripting éventuellement En effet tu as un usage assez complet des fonctions d'un firewall  
 
J'aime assez la CLI Ubiquiti quand je fais "show configuration commands". D'ailleurs c'est exactement la syntaxe des commandes tapées, quel heureux hasard  
 
L'autre mode d'affichage de la config via "show configuration" je trouve ça moins pratique Et derrière pour avoir la même syntaxe, faut modifier le fichier de config directement ? Dans ce mode il n'y aura pas non plus d'auto-completion possible je pense, vraiment pas ergonomique selon moi.

 
Oh shit    

Suite à une réinstallation de Windows, je réinstalle unifi controller sur le pc, j'adopte mon Ap-HD et depuis il est déconnecté, plus de réseau

Une idée ?

Pareil quand j'ai trouvé ça, le soulagement "ok on revient dans le domaine du classique, c'est utilisable facilement ce bidule"  
 
Pour ta question sur les scripts, c'est sympa ce que tu as trouvé ! De mon côté je les ai mis également dans /config/scripts/ et je les appelle via ce style de commande :  
set system task-scheduler task THE-SCRIPT crontab-spec '*/5 * * * *'
set system task-scheduler task THE-SCRIPT executable path /config/scripts/the-script.sh
Je suis passé du firmware 1.9.7+hotfix.1 à 1.10.9, les scripts sont bien restés dans le filesystem  
 

Essaie un factory-reset de l'AP ?

J'ai un UniFi AP-AC-Pro qui est en statut ""déconnecté" sur Unifi controler.
J'ai essayé de le débrancher/rebrancher, il fait de la lumière, mais rien ne change, il est toujours déconnecté.
 
Y'a un truc à faire? un genre de reset? ou il est HS?
(je précise qu'il fonctionnait jusque là   )

 
Yes j'ai fais ça ! J'ai perdu mes réseaux mais bon, récréé à l'identique et tout c'est reconnecté dessus ! Pour ça nickel

Ouep c'est exactement ce que j'ai fait
 
 
Bon par contre j'ai un nouveau bug apparu subitement alors que j'ai rien changé aux règles de part-feu.
Impossible de me connecter en SSH ou via WinSCP (SFTP), au routeur distant via VPN (justement pour placer le dit script sur ce deuxième routeur). Alors que le tunnel VPN fonctionne sans problème.
Alors au début on aurait pu penser à un problème de part-feu sur le WAN_LOCAL, mais non, j'ai bien accès aux GUI du routeur distant via VPN.
 
Bref, je ne comprends pas.
J'ai rajouté des règles spécifiques pour les paquets qui match le protocole ipsec. Une autre règle spécifique pour le SSH. Rien nada.
Alors que ca marchait nickel depuis 2 ans presque.
 
edit:
Remarque c'est peut-être la faut au firmware v1.10 cela dit  

@fredos3 si t'as bien acces au https via le vpn, et que le firewall est bon, c'est ptêt que le ssh n'écoute pas  sur l'ip/interface du vpn ?
(me semble par défaut qu'il écoute seulement sur l'interface lan)

Bonjour,
 
J'ai l’opportunité de remplacer mon infra Ubiquiti et bien sur je veux rester sur la même marque
Donc pas trop de pb  
pour le routeur : UDM PRO a la place de mon USG Pro 4
pour le switch : Unify 16 POE nouvelle gen en remplaçant de son ancêtre
 
Par contre les AP  en wifi 6 annoncés ne sont pas encore dispos sur le store, avez-vous une idée de la dispo ? (un peu de tout chez moi en ce moment) et quelqu'un aurait deja vu un test ?
 
Et surement quelques flex mini pour remplacer mes vieux petits cisco
 
Je mettrais l'ancienne infra en vente ensuite.

Hmm vu l’état actuel du software UDM, c’est pas plutôt un downgrade ... ?

Pareil pour le 16poe et son panier vraiment bas.

Bon le mystère d’épaissi.
 
Le SSH sur l'Edgerouter via VPN devient totalement aléatoire.
 
Alors en rebootant le modem et/ou le routeur, des fois le SSH remarche. Il remarche parfois pour des heures, des fois pour quelques minutes seulement. Alors que le VPN marche impeccablement, j'ai accès aux autres machines sur le réseau distants.
 
Bref, j'y comprends plus rien.

D'ailleurs c'est quel SoC qu'il y a dans l'UDM Pro?
Je demande à cause de son interface 10G.
 
J'en bave pour les Edgerouter ER-4/6P (SoC Cavium/Marvell) .
 

Attends les appareils en Wifi6E, sinon tu seras déçu.

En même temps pas besoin de beaucoup pour la maison

Aucun AP en Wifi 6 n'a été annoncé, c'était juste dispo en Early Access pendant un moment.
Certains produits sortent 2 mois après l'EA, d'autres ne sortent jamais. Donc aucune idée.

L'UDM à l'air d'avoir pas mal de soucis, perso j'éviterais pour le moment. Et ça dépend aussi surtout du besoin, si c'est juste pour faire du DHCP et du NAT ...

Pour ce qui est du UniFi 16 POE, ça vaut à peine la moitié de son prix de vente, mettre 300€ là dedans est une connerie

Pour le WiFi 6E, c'est pas ratifié en Europe et avant d'avoir des AP et devices compatibles vous pouvez attendre au moins 2-3 ans.

En attendant, au lieu d'attendre le 6 ou 6E, commencez déjà par arrêter d'acheter du matos AC qui ne soit pas Wave 2

T’as pas besoin de beaucoup je veux bien, mais là c’est vraiment très peu 42w. T’es vraiment limité en fait et tu dépasses vite cette limite. Surtout si les points d’accès en wifi6 consomment plus que les précédents.
Comme pour tout ça va dépendre des besoins, mais je trouve ça très bas que de passer de 150w à 42w pour la même gamme de prix.

Ratifié avant la fin de l'année à ce qu'il paraît
Et puis les puces seront les mêmes que pour la version US, à la différence près que la plage de fréquence autorisée sera plus petite (beaucoup plus petite même, malheureusement).

 
Si absolument tout se passe bien on aura un AP UBNT "WFi 6E ready" d'ici 2 ans donc

Possible.
Ah mon avis on ne voit pas sortir de Wifi6 en masse chez UBNT, c'est probablement justement parce qu'ils attendent le Wifi6E. Cette version va apporter un bon en performance monumentale, surtout en version US.

Je suis content de mon UDM
Après je fais rien de fou mais j’aime bien le VPN et l’IPS

Pareil content de l'UDM. Tout n'est pas parfait (pas de notifications sur l'Application Android, redémarrage du WIFI à chaque changement de paramètres dont l'ajout d'adresses MAC, les statistiques DPS de transfert de données complètement fantaisistes ...) Mais pour le reste le WiFi est top, l'interface bien pensée, les performances en Gigabit ethernet et WiFi parfaite pour saturer la fibre 1Gb/s

Bref pour le prix j'en suis très content

 
Je l'ai mis directement sur le switch POE, avec un câble neuf, pour limiter les sources de problème, je lui ai fait un reset et maintenant dans Unifi network il reste en mode "adoption en cours"
Y'a un truc a faire que j'ai loupé, ou il est décédé?
 
EDIT: le bouton "adopter" est grisé.
 
EDIT 2: il fallait le supprimer de l'interface avant toute chose!
il a l'air de remarcher, je vais le remettre a sa place, on verra bien.
 
LAST EDIT: c'était un câble rj45 défectueux qui était à la source du problème!