Reprise du message précédent :

 
Je ne vois pas comment tu pourrais avoir un problème de perf si tu ne fais pas de DPI vu ta config dédiée. Ton serveur doit se tourner les pouces ou alors quelque chose m'échappe.
Par contre je ne vois pas comment on peut avoir une panne avec le couple ESXI/Sophos, ce sont deux applicatifs packagés pour une utilisation professionnelle/industrielle et tous les feedbacks que je vois au sujet de sophos mettent en avant la simplicité et stabilité.  
 
J'en profite pour demander : comment je fais pour installer ESXI sur ma machine? C'est une petite machine avec 2X sata, actuellement l'un sert pour le HDD et l'autre sert pour le SSD qui contient l'OS + les VM.
Si je bascule sur ESXI, je formate le SSD, j'installe ESXI, et ensuite je copie les VM dessus, que j'aurai préalablement copiées sur le HDD?

tu peux aussi installer esxi sur une clef usb ou un carte micro sd, et tes VM sur un SSD

Ah, ça m'intéresse ça, car j'ai un lecteur de cartes SD sur le pc en question. Reste à voir si j'arrive à démarrer dessus, sinon ce sera une clé USB.  
 
ESXI est entièrement chargé en mémoire?

je sais que sur mon gen8 avant de passer sous proxmox j'avais installé ESXI sur la micro sd et c'était pas problématique, même recommandé, mais je laisse les spécialistes le confirmer.

en effet dans nos blades HP ESX est sur des cartes microSD

Ok super, merci. Actuellement j'ai des VM vmware workstation, tu me conseilles de basculer sous esxi ou proxmox?

moi je suis sous proxmox depuis quasi un an (cluster de 3 noeuds) et j'en suis très content
après c'est différent de esx, mais si tu as le temps et l'envie d'apprendre vas-y.
en plus on sait importer (en cli) importer les vm de esx vers proxmox, c'est pas facile mais pas non plus insurmontable

par contre pas de proxmox sur clé usb ou microsd car il écrit beaucoup sur les diques (c'est une base débian)

Ok merci. On ne va pas trop dériver là dessus, pour le moment je vais rester sur l'approche ESXI puisque ça tient sur une carte SD.

Mon Gen8 tourne avec ESXi sur une SD depuis le premier jour, jamais eu aucun souci.
 
Et mon Gen7 N54L, lui est encore plus vieux, et ESXi tourne sur une clé USB, ce qui est plus ou moins la même chose qu'une carte SD en fin de compte.
 
EDIT : en entreprise, beaucoup de serveurs tournent avec ESXi sur une carte SD.
Sur le grand nombre de machines, il arrive néanmoins de temps en temps qu'une carte crashe.... il faut alors réinstaller ESXi, et reconfigurer le vSwitch si il y a des configs un peu touchy (VLAN, etc), et pas de Distributed Switch (licence.....$$$)
 
 
@dafunky : sur la clé USB / carte SD, on ne met que ESXi, qui se charge en mémoire et ne fais plus d'I/O ensuite.
En revanche, il faut toujours prévoir un datastore... idéalement un SSD (perso j'utilise des vieux SSD de récup de 128 Go de mes précédents PC quand j'ai eu besoin d'upgrader sur des SSD plus gros (Windows 10....)), mais un petit disque dur ça le fait aussi.

Actuellement j'ai un SSD qui héberge mes VM et un HDD qui sert pour le backup des VM.  
Si je passe sur esxi je reste comme ça ou il faut en plus un disque "datastore"?

ça restera identique, le SSD sera ton datastore (= banque de données en FR dans le GUI) qui héberge les VM
 
Par contre il faudra le reformater pour qu'il soit reconnu par ESXi
 
 
Faut bien voir que dans ESXi, les VM sont forcément dans des datastores (disque local, ou montage réseau NFS / iSCSI)
 
Sinon tu as aussi la possibilité de mapper des disques en RDM Raw Device Mapping, par exemple pour "donner" un disque physique à une VM exclusivement

ok merci, c'est très clair.

Je drapal ca m'intéresse également
 
tu m'as Hypé avec Sophos là !
 
Dans 2 mois je récupère un ESX et je test

Et avec une box qui ne fait pas bridge (livebox 4 au hasard) ce genre d'approche est viable ?
C'est quoi la config pour que le trafic passe par la vm sophos plutôt qu'en direct client-box ?

Perso j'ai mis ma patte WAN de pFSense en tant que DMZ de la LB4. Mais par contre, la LB4 ne gère qu'une IP pour la box TV4 via le wifi en 5GhZ dédié a cette usage (le 2.4, WPS et invité sont désactivés).

A partir de la, mon réseau est géré par pFSense et j'ai le Wifi par des AP (2.4 et 5): tout ce petit monde ne connait pas la LB et uniquement pFSense.

Pour Sophos ou tout autre solution, ca devrait marcher de la même façon il n'y a pas de raison.

Ok merci.
Donc si je comprends bien, au passage physiquement la box n'est reliée qu'à la machine pfsense et tout le trafic passe obligatoirement par pfsense ?
Un client un peu aware ne pourrait pas peut se mettre en config non dhcp et mettre l'ip de la livebox en tant que passerelle et contourner le filtrage ?

non car il n'est pas dans le même réseau

Pourquoi ne pas remplacer la LB par vos pfSense/OPNSence ?
Aucun intérêt de conserver la LB, ça fait du double NAT.

Personne ne parle de zeroshell

Http://www.Zeroshell.net

Quand tu as le xDSL, tu es obligé de conserver la Livebox pour son modem interne. Par contre, impossible de la mettre en mode bridge contrairement à la Freebox.
Donc comme tu le soulignes, on se retrouve avec du double NAT, ce qui est bien galère dès qu'on veut construire des règles de firewall strictes avec plusieurs VLANs/DMZ, ou tout simplement faire passer un tunnel iPSec.

Avec la fibre, il est possible de virer totalement la Livebox et ne conserver que l'ONT (ou acheter un tranceiver et y installer le SFP livré avec la LB4).
Mais, à cause de la méthode d'authentification DHCP non standard sur le réseau d'Orange, tous les routeurs ne peuvent pas se connecter ainsi en direct. Il faut patcher son client DHCP, etc. Il existe de nombreux tutos pour des routeurs tels que Ubiquiti, Microtik, pfSense, etc... Voir le forum lafibre.info.

Ok pour le double NAT, mais à part comme tu le soulignes pour des scénarios plus 'avancés' cela ne pose généralement pas de soucis.

Edit: et pour le moment pas de fibre, mais un jour en 2020 normalement

 
Faux, il suffit d'acheter un modem.
 
Exemple, mon setup :  
Huawei HG612, connecté en ADSL, bridge du VP/VC 8/32 vers vlan natif (on peut faire la même chose en VDSL, il faut juste bridge le VLAN 832)
Archer C2600 avec OpenWRT, connecté en DHCP, je récupère une IP semi fixe (il ne faut pas faire de DHCP release) et un /56.
 
 

Ah oui tient le modem c'est quelque chose que j'avais étudié à l'époque, mais je n'avais jamais testé.
 
Est-ce que ça fonctionne avec tous les opérateurs ?
 
Parce que Free par exemple, adapte dynamiquement la vitesse de la connexion en fonction de la qualité de la ligne.
J'avais lu que ce n'est pas le cas d'Orange, qui fixe les vitesse de connexions par palier de distance avec le DSLAM.
Comment se comporte le modem custom dans ces différents cas de figure ?

 
Le xDSL ne fonctionne pas comme ça.  
 
Le modem se synchronise avec le DSLAM en fonction de la qualité de la ligne.
Ensuite, si l'opérateur décide de te brider à un certain palier, ton "Data Rate" sera bloqué à celui défini par l'opérateur, et ton "Max Rate" sera celui atteignable au maximum.
 
Free n'impose aucun débit maximum, tout comme Orange si le DLM ne décide pas de te brider (il se désactive, dans le pire des cas).
Un modem custom se synchronisera comme le modem de l'opérateur, à la marge de bruit fixée par l'opérateur par défaut (mais selon les modems, ça se paramètre, pour gratter un peu de débit )
 
Mon cas:

 
Le max varie en fonction de la marge de bruit cible et de la marge de bruit actuelle, plus l'overhead de l'ATM (ce qui fait que le max est toujours inférieur à Bearer 0).
Ici, je synchronise avec un SNR de 1dB (ligne super stable, donc je peux me permettre).
 
C'est tout pour la partie modem, et ça fonctionne avec tous les opérateurs.
Après, la méthode pour obtenir une adresse IP varie en fonction de l'opérateur.
 
Chez Orange, tu peux utiliser le PPPoE sur le VP/VC 8/35, mais c'est déprécié, MTU de 1492, et pas d'IPv6.
Le mieux est d'utiliser DHCP (avec les options correctement configurées, je pense que tu sais comment ça marche).
 
Chez Free, en ADSL il suffit de spécifier l'IP sur le routeur (attribuée par Free), avec passerelle, etc...
C'est pas exactement pareil en VDSL, car il faut spoofer l'adresse MAC de la Freebox.
 
Aucune idée pour Bouygues/SFR, je ne suis pas chez eux.
 
Si tu as d'autres questions, n'hésite pas.

Bah perso je n'ai jamais réussi à monter un simple tunnel VPN L2TP/IPSec à travers du double NAT.
C'est peut être possible, mais je n'ai pas creusé plus que ça, et du coup si ça reste possible, ça doit compliquer singulièrement la configuration.
 
Par contre pour OpenVPN, aucun souci pour travers du double NAT, sauf qu'un Windows standard au boulot, ça intègre LT2P/IPSec, mais pas OpenVPN, car il faut installer un client supplémentaire.
 
PS : le but du jeu pour moi, étant d'avoir toujours un moyen simple, rapide, et sécurisé, de me connecter chez moi, en bypassant tous les protections des admins sécurité zelés dans les entreprises. OpenVPN sur le port 443, et Reverse Proxy sur le même port 443 avec certificats signés par Let's Encrypt, ça fonctionne à tous les coups.
Cependant, j'aime bien conserver le VPN L2TP/IPSec en secours..... car OpenVPN + HAproxy sont dans une VM de mon serveur (redondés par VRRP/Keepalived sur une autre VM de mon second serveur.... ), mais on n'est pas à l'abri d'un crash des serveurs. Tandis que L2TP/IPSec est sur le routeur lui-même (un EdgeRouter), donc toujours disponible, forcément puisque c'est lui qui est en frontal sur Internet.
Il n'y a qu'en cas de coupure de la Fibre que la connexion bascule sur le routeur 4G de secours, mais dans ce cas, plus d'accès au réseau local, puisque la 4G ne donne pas d'IP publique (elle est Natée par l'opérateur lui-même...... il faudrait avoir une SIM M2M, mais c'est hors de prix)
 
Cela m'amène à un autre sujet qui me tient à coeur : je vois que pas mal ici font tourner leur coeur de réseau (routeur/firewall) sur un serveur, voire dans une VM d'un serveur... ce que personnellement je me refuse à faire.
Le réseau, c'est l'élément le plus primordial de toute l'infrastructure informatique de la maison, hors de question qu'il dépende d'un serveur.
Un serveur, surtout s'il est virtualisé avec moult services qui tournent dessus, est infiniment moins disponible qu'un équipement dédié.
On fait facilement > 365 jours de uptime sur un routeur, c'est plus difficile avec un serveur. Sans même parler de panne matérielle, il faut penser aux mises à jour de l'hyperviseur, de l'OS de la VM qui porte le service de Routage/Firewalling, et des services eux-même.
 
/mon avis

@Andorria
Merci, super intéressant ça m’éclaircie bien les idées    
 
Cependant, j'espère que je n'aurai plus jamais besoin de me préoccuper de cela
En effet, bien content d'être passé à la fibre , et je souhaite ne jamais retourner en arrière, j'ai trop galéré avec mes 3500m de cuivre  

Effectivement le firewall virtualisé c'est un risque de problème supplémentaire. Dans mon cas, j'ai ajouté une machine dédiée avec quand même de la virtualisation pour faire tourner sophos + openvpn + pihole + ddclient. Tous les autres sevices tournent sur mon NAS.

Vu que tu sembles avoir pas mal jouer avec openvpn, comment est-ce que tu gardes les services web également accessibles sur le port 443 à travers un reverse proxy avec openvpn?

+1 pour le firewall dédié

Bon par contre le matériel dédié ça va à l'encontre du titre du topic : gratuit  
 

Oui grâce à SSLH tu peux "partager" le même port 443 à OpenVPN et un serveur Web (et aussi SSH, mais je me refuse à le laisser accessible en direct sans monter préalablement un tunnel VPN)
 
Bon en pratique, je n'ai pas de serveur Web exposé directement, c'est mon double reverse Proxy (HAProxy+Apache avec mod_security) qui filtre tout ce qui rentre avant de rediriger vers le bon service : serveur Web, NAS, domotique, etc...
 
Là on voit le cœur de mon réseau :
 

 
Pour ne pas copier/coller ce que j'avais déjà écris, et ne pas trop polluer le topic de dafunky, plus d'infos ici : https://forum.hardware.fr/hfr/elect [...] tm#t257621

Je pense que quand eeeinstein dit "firewall dédié" il veut dire "machine dédiée à une solution firewall gratuite".
Personnellement je continue de vouloir virtualiser la fonction firewall. Vu que j'ai du matos qui traîne à la maison j'ai décider de faire évoluer le serveur, je suis en train de monter un nouveau serveur sur base ryzen, ce sera donc un 6C/12T , voire un 8C/16T si j'échange mon 2600 contre un 1700. (l'avantage c'est que dans les 10 prochaines années je pourrai upgrader le CPU pour une bouchée de pain).
 
Ce choix est motivé par le fait que j'ai déjà la moitié des composants et d'autre part la bascule sur ESXI sur ma machine actuelle demanderait une interruption de ma domotique pour une durée indéterminée, ce qui ne m'emballe pas.

moi mon sophos tournait sur un barebone qotom avec un J1900 2o de ram un ssd de 32 ou 64go et 4 nics
 
bon entre temps je suis passé chez ubiquiti pour avoir le combo (usg, switch, ap chez ubiquiti) mais ça fonctionnait assez bien

ça m'intéresse, du coup suite à ton investissement chez ubiquiti tu as supprimé sophos? Tu n'as pas perdu en fonctionnalités?

oui et non... j'ai mis un container pour le vpn openvpn, et j'ai mis un pi-hole
 
la réponse est oui j'ai viré le sophos, je devenais limité avec les 50 ips

Chuis un peu perdu avec l'histoire du reverse proxy. Je lis que Sophos propose la fonctionnalité reverse proxy (nommée Webserver Protection). Actuellement j'ai traefik comme reverse proxy, sauf qu'il ne sert qu'en mode fichier, càd il fait reverse pour de vraies machines virtuelles, à la base il est surtout conçu et pratique pour faire reverse sur des containers docker, avec détection automatique des conteneurs et paramétrage facilité.
 
Si j'ai bien compris, sophos peut remplacer traefik pour cela, d'après ce que j'ai lu ici : https://community.sophos.com/kb/en-us/124574
 
Par contre quand je serai plus à l'aide avec les conteneurs, ma proportion desdits conteneurs va augmenter. Le plus possible ce sera du proxmox LXC, sinon il y aura du docker.  
 
Visiblement traefik reste le plus approprié pour gérer le reverse sur docker :  
 
https://community.sophos.com/produc [...] th-traefik
 
Et pour LXC je ne sais pas du tout comment je vais les gérer avec un reverse proxy. Je sais que traefik peut aussi les prendre en charge, mais ça devient trop pointu pour moi : https://discuss.linuxcontainers.org [...] uting/4326
 
Comment vous feriez ça?  
 
- Sophos pour reverse les applis classiques, et traefik pour les docker?  
- Sophos pour tout?
- Traefik pour tout?

Intéressant le sujet et le projet. Merci à tous pour les conseils.

Drap
 
Je cherche aussi quoi faire de mon Qotom Q555G6

ça fait un beau firewall ou un bon petit node pour un cluster proxmox

Après test, mon sophos virtualisé avec IPS, web control et application control activés fait passer mon cpu de 5% à 50% lors d'un speedtest à 60 Mbps (max de mon downlink). Sachant que ça tourne sur un i7-5500u 15W (2c/4t) avec un port réseau en passthrough et le deuxième avec driver e1000, c'est pas trop mal. Idéalement en utilisant un driver virtio pour le deuxième port réseau, la conso cpu devrait se réduire mais je n'ai jamais réussi à faire du virtio sur sophos.

Merci pour ton retour. Je testerai de mon côté, un jour. Par contre tu m'as perdu avec l'histoire des drivers ethernet. Quand j'ai créé des VM dans proxmox il m'a demandé le type de driver ethernet, j'ai mis au pif.

Alors j'y suis allé un peu cash, j'ai mis sophos en bridge et j'ai tout mon LAN derrière désormais. Le problème, c'est que j'ai traefik qui ne peut plus faire son boulot de reverse proxy, et plus rien ne répond, que ce soit en local ou de l'extérieur, quand j'utilise les noms dns de mes applis. Je fais comment?
 
- je mets tous mes serveurs sur le 3ème port ethernet (actuellement inutilisé) de sophos et je déclare une DMZ
- je crée une règle qui permet à traefik de faire son buolot
 
Dans tous les cas, je ne comprends pas exactement sur quel critère traefik est bloqué et donc de quelle manière je vais résoudre ça.