Bonjour,
 
PME de 50 personnes, nous avons actuellement un firewall "custom" via un prestataire qui fait VPN (50 comptes) et donc pare-feu (très basique, 2 règles pour le VPN et une règle pour autoriser à contacter un serveur FTP). Ce firewall fait partie d'un package de prestations que nous allons sûrement arrêter.
 
Je me demandais donc par quoi le remplacer.
Le but , c'est d'avoir une interface avec un service VPN, un service DHCP et de pouvoir router ip_publique:port vers ip_privé:port et une deuxième interface réseau pour un réseau "invité".
 
Est-ce que les services intégrés à la Livebox Pro suffiraient (dans ce cas tant mieux)?
Ou faut-il partir sur un boîtier dédié? Et là, je n'y connais rien.
 
La connexion Internet est une fibre 1 Gbps.
 
Merci,  

je pense que tu vas vite galérer avec la livebox, je serais toi je partirais plutôt sur du fortinet. Prends le modèle dont tu as besoin en fonction de ton débit et go.

des concomitances en interne ? c'est pour faire du filtrage web ?

+1 Fortinet
 
Prix raisonnable, pas besoin de licence VPN client (sauf si tu veux du MFA), facile à prendre en main, je verrais bien un petit Fortigate 60F pour ça

un stormshield
https://www.stormshield.com/fr/prod [...] ormshield/

Merci pour vos réponses
 

 
Je viens de voir les options dans l'admin de la Livebox, c'est plutôt basique effectivement (mais a l'air d'être suffisant   )
 

 
Qu'est qu'une concomitance en interne (dans ce contexte   ).
Pas de filtrage web de prévu.
 

 
J'étais pas totalement à la rue lors de mes recherches   , j'étais tombé sur du matos de cette gamme.
 

 
SN210 ou 310 du coup je suppose.
 
Bon, du coup, j'ai d'autres questions qui me viennent en tête:

• Il y a des abonnements associés, à quoi servent-ils?
• Quelle est la durée de vie/validité d'un tel matériel?

Si je prend la datasheet du Fortigate 60F: https://www.fortinet.com/content/da [...] series.pdf
Quel débit regarder pour mon usage? Le plus restrictif? Ca va de 10 Gbps (Firewall Throughput 1518 byte UDP packets) à 630 Mbps (SSL Inspection Throughput (IPS, avg. HTTPS)). D'après ce que j'ai compris, c'est selon les options de protection activées.

oui absolument, au plus tu agis sur tes flux(SSL inspection, IDS/IPS, vpn ..) au plus tu diminues ton throughput. et au plus tu prends des fonctionnalités au plus tu paies

Tu peux aussi partir sur des distributions Linux spécialisées type IPfire pour du simple à du OPNsense en plus complexe mais plus complet.
Tu auras seul l'achat du matos pour le faire tourner et là tu pourras déjà choisir la puissance utile. Car tu pourras faire du VPN, de l'IDS, du filtrage de flux, y compris du SSL Inspection, etc.

concomitances  --> competances  
partir sur un systéme sans support pour du professionnel. c'est assez risqué.
Si tu es absent pour differentes raison et que cet equipement est critique !
il faut y penser a ce genre de situation

@skoizer, si la remarque sur le support concerne mon post sur les distrib linux, les deux solutions proposées vendent du support et des appliances.
 
A noter que OPNsense propose de la haute dispo. Tout en gratuit comme le reste des fonctions. On peut donc s'équiper de deux matos en failover.

Stormshield, forti, Palo alto... C'est kifkif

il faut partir du besoin, du budget, de la criticité et voir ensuite les produits
on a tous tendance a partir directement sur la technique.
ton métier te permet combien de temps de coupure ?
tu veux faire du VPN pour 50 user et 3 régles de firewall : ok c'est simple
pourquoi veux tu arreter ton prestataire, car tu trouves que l'herbe du voisin et plus verte ?
 
sinon coté technique
ayant gerer quelques forti et plusieurs dizaines de stormshield
stormshield est plus facile a prendre en main. Mais ce n'est pas un bon proxy.  
le support est en français + interface en français
les ips sont assez simple a gerer et a mettre en place.  
Pour le Policy by routing et partage de charge, je le conseille.
 
Je trouve que le forti est mal foutu niveau interface + query log mais bon niveau proxy
 
Palo alto, cela ne semble pas être le même prix. mais je ne connais pas.
 
sur les modéles stormshield, suivant les règles et le decryptage de flux et vpn ipsec, tu as des limitations de débit.
licence vpn gratuite, peux être lié a l'AD
Pour 50 user, je te conseille 2 sn310 (en haut disponibilité) + carte SD + support 3ans : quelques milliers d'euros.
un firewall, sa durée de vie c'est 5 - 7ans.
 
 
Dans ce genre de produit le métériel ne coute rien, le plus cher c'est le support.
 
sinon, tu prend un vieux PC avec 2 cartes réseau et tu met une PFS. et si il y a des problémes de toute façon pole emploie est là pour ça.

Nous on a des Sophos XG  pas besoin non plus avec d'acheter des licences pour le VPN pour chaque utilisateur, se connecte à l'AD pour récupérer les utilisateurs qui sont autorisés à accéder au VPN

 
Le besoin a été exprimé dans le premier post.
On veut arrêter le presta parce que les services Firewall et VPN sont compris dans une offre avec une sauvegarde à distance dont on a plus besoin.
Pour préciser, on a actuellement 50 comptes VPN mais on va passer à 5 comptes environ (administration serveur et réseau).
 
On passe en fait à Microsoft 365 (Azure AD pur) donc plus besoin du serveur de fichier on-prem (passage à Sharepoint) mais on garde des NAS pour des archives/sauvegardes et ponctuellement des PC de calcul, pouvant être utilisés à distance. Comme pas mal de boîtes, on accélère le télétravail.
 
Avec ça, je pense avoir les billes pour décider entre les différentes solutions proposée par les prestataires que je consulterai (après avoir testé un OPN/PFSense quand même, pour voir comment ça marche de mon côté   )
 
Merci beaucoup