Quelqu'un ici avec pfSense, OPNSense?

J’ai quelques petites installations à venir chez des clients qui remplacent leur équipement désuet et j’en suis à considérer l’achat d’équipement certifié / préinstallé avec ces distributions (on va appeler ça comme ça). J’essaie d’éviter d’assembler quelque chose moi-même même si en principe c’est faisable.

Quelqu’un ici utilise déjà pfSense ou OPNSense en entreprise ? Votre matériel ou du matériel acheté préinstallé (ex: NetGate 2100 avec pfSense ou DEC675 / FW4C avec OPNsense) ? J’aimerais pouvoir accomoder les fournisseurs Internet offrant >=1GB/s , du multi-wan failover et DNS/DHCP simple en local mais aussi prevoir d’aller un peu plus loin (VLANs, etc.).

Je trouve intéressant que pfSense offre son matériel de formation gratuitement et ça permette un accès abordable à une certification de base, par contre ce n’est plus tout à fait libre et leurs agissements lors du fork … bof. J’ai d’autres collègues qui l’utilisent et ça semble très populaire, un peu comme Microtik.

OPNsense à l’avantage d’être vraiment libre (Simplified BSD / FreeBSD License) en plus d’autres avantages techniques comme la transparence et fréquence des mises-à-jour.

Sans aller dans les détails j’aime bien la structure de support commercial et tarifs des deux projets. Microtik offre des formations via un réseau bien établi dont un formateur en français (!) au Québec, quoique c’est payant et demande un peu plus de temps - je pense ici à une formation potentielle pour des techniciens qui travaillent avec moi, p. être que je finirais par la faire moi-même.

Ces deux choix sont plus chers que Microtik bien sûr quoique pour une entreprise qui tient compte des licences et valeurs véhiculées par chaque projet/entreprise et l’accès aux ressources locales, je suis à l’aise d’argumente en faveur (ou contre) selon le cas.

Vos avis ?

Pas un choix facile, je dirais. microtik ont la grosse part du lion pas mal, mais c’est pas du logiciel libre alors de mon point de vue, c’est pas à considérer pour rendre service aux gens.

J’ai débarqué du train « FreeBSD » depuis très longtemps, mais j’ai utilisé pfSense à une certaine époque, avant le grand fork… Je pense que j’éviterais, considérant la façon dont tout ça s’est déroulé. OPNSense semble intéressant, mais j’ajouterais le bémol que c’est quand même des systèmes radicalement différents d’un « Linux » plus traditionnel (e.g. OpenWRT etc), en ce sens que le parefeu, les VLANs, la redondance, tout ça est différent de Linux. Alors ça peut être parfois plus difficile de trouver du support technique pour ça, du moins en théorie.

En pratique, s’il existe des conseillers ou un réseau de support pour ces produits, j’irais avec ça.

Je ne fais pas de déploiement de gros routeurs ces temps-ci. Les derniers que j’ai monté qui s’approchent de ta spécification, c’était à koumbit.org, et c’était deux routeurs FreeBSD basés sur des serveurs 1U ordinaires. J’avais à l’époque expérimenté avec des routeurs Soekris, mais je ne suis pas certains qu’ils soient encore en affaire. L’équivalent actuel serait probablement les APUs de https://www.pcengines.ch… c’est un peu DIY comme approche par contre. Koumbit, depuis, sont en train de basculer vers une architecture Linux pour les pare-feu, exactement parce que c’est difficile de former beaucoup de monde sur deux OS si différents…

Pour mes besoins personnels, je suis avec OpenWRT présentement. Ça marche, j’ai pas à me casser la tête… J’ai un routeur Turris Omnia à la maison, et j’en suis très satisfait. Ils ont leur propre OS (Turris OS) basé sur OpenWRT et qui fait les mises à jour automatiquement (contrairement à OpenWRT lui-même, qui demande un sysupgrade manuel relativement régulièrement).

Par contre, pas de support technique (à ce que je sache) offert avec OpenWRT… en fait, à y penser, c’est surprenant qu’il n’y ai pas une branche « commerciale » de OpenWRT offrant exactement ça, du support/installation pour des services et routeurs OpenWRT… une opportunité manquée, à mon avis!

Finalement, pour compléter, j’ai aussi pas mal joué avec des machines Ubiquiti… ils ont un OS propriétaire, mais il est basé sur OpenWRT, donc on reste dans un domaine familier. Ils ont toute une gamme de produits et du support commercial, mais je sais pas à quel point il est local. Si j’abandonnais l’approche DIY/libre, j’irais probablement avec eux, vu que ça intègre hardware/software…

oh, et feedback rapide sur les produits que tu prends en exemple… pas sûr que j’irais avec Netgate… j’ai entendu des bonnes choses de tplink pour les switches, pas sûr pour les routeurs. Le DEC675 de OPNSense semble vachement intéressant! (Oh, et TIL: Netgate est propriétaire de pfSense! Ah et j’avais aussi oublié que pfSense est derrière l’introduction complètement bâclée de Wireguard dans FreeBSD, donc je me tiendrais loin de pfSense en général…)

Pour le Protectli… meh, beaucoup de vendeurs du genre, voir aussi Brix, Qotom… Je gardais un oeil sur le crowdfunding de Ten64 pendant un bout, je sais pas trop où ils en sont non plus. Mais ça reste dans le DIY, tout ça.

Voilà, j’espère que ça aide dans tes réflexions et je serais curieux de voir où tu arrives, bonne chance!

Wow, merci pour ce retour si détaillé, @anarcat .

On arrive à peu près aux mêmes conclusions, quoique je tienne moins compte des différences d’OS pour mon utilisation. Je ne crois pas que je vais souvent quitter l’interface web dans mes installations.

J’ai aussi un Turris OMNIA pour mon usage pro/personnel mais je trouve dommage que le matériel demeure assez dispendieux et je ne prévois pas utiliser de WiFi dans mes installations (en tout cas pas intégré au router). Il est déjà arrivé que lors de mises-à-jour tout plante et je doive réinstaller de zéro en flashant par recovery (!), quoique pas depuis ~2 ans.

Je suis du même avis que toi concernant pfSense d’un point de vue éthique et technique aussi. Je trouvais les appareils proposés avec OPNsense préinstallé intéressants, mais tous vraiment chers (le double ou le triple dans certains cas) que du matériel semblable ou plus puissant. J’ai quand même demandé des prix à 3 entreprise différentes.

J’ai plusieurs collègues (libristes aussi) qui ont une bonne expérience de DIY avec des PC ou « mini-router » PC mais avec pfSense, donc je vais tenter l’expérience DIY OPNSense. J’ai commandé un Qotom 759G4 Wifi pour apprendre et tester. Un critère important était d’avoir des interfaces 2.5 GB et une facilité de commande. On trouve ces appareils ici rapidement (mais pas encore les modèles 2.5GB), sur Amazon aussi - quoique je préfère éviter. C’est pour un usage commercial et je prévois 3 installations prochainement si c’est concluant.

Je ferais un retour ici dans 1-2 mois Merci encore!

fantastique! je suis curieux d’avoir des nouvelles du Quotom en particulier!

J’ai un Protectli Vault avec OPNSense. Le modèle que j’ai a été remplacé par le FW2B. Ça fait presque 3 ans que je l’ai et il n’a jamais niaisé. Pour avoir plus de ports j’ai juste ajouté une switch Netgear 8 ports à 30$ à coté.

Bon ben j’ai reçu le petit Qotom, bel appareil et fonctionne très bien.
OPNsense installé et mis à jour via l’interface web, semble très solide. Pour l’instant quelques plugins comme Wireshark et Dynamic DNS, APC UPS installés, je vais configurer et tester plus ces prochains jours.

QOTOM Firewall Micro Appliance Fanless Mini PC Q730G5 Q750G5 Celeron J4105 J4125 5 x I225-V
5 X 2.5G LAN Gateway Firewall
8G RAM 128G SSD, Q750G4 WIFI

CAD $348.87 livré

Vraiment moins cher et plus puissant que les autres modèles préinstallés/certifiés mais bon, il faut le bricoler soi-même. J’ai trois installations à faire prochainement alors je compte bien apprivoiser OPNsense en même temps.

Modèles 1GB et avec moins de SSD OK et moins chers mais je voulais qq chose pour expérimenter sans restrictions.

Bonjour a tous,
je répond un peu en retard mais je vais vous donner mon retour d’experience pour le materiel Netgate et pfsense +.

Nous avons deux Netgate 7100 1u en HA, ce cluster Netgate avec 6 ports fibre 10Gb.
Le firewall gere environs 45 Vlan’s, 8 sorties Wan et fait le routage entre ces reseaux.
On a environs 500 regles de parfeu, et quelques 200 alias.
On a deux serveurs OpenVpn et un trunk site a site Openvpn, une dizaine de lien Ipsec.
On utilise aussi les package freeradius pour le 802.1x , Haproxy, pfblocker-ng .

On a commencé a utiliser pfsense depuis 2009 sur des serveurs Dell et c’est seulement depuis 2 ans que nous avont opté pour du materiel Netgate. On a aussi pris le TAC proffessionel.

Bonne journée

Bon, eh bien… un an plus tard, et c’est intéressant comment les choses ont changé:

• pcengines.ch a plus ou moins fermé boutique, presque immédiatement après avoir livré ma commande… ils continuent le support technique, mais ne font plus de nouveaux produits, citant les limites des CPUs upstream, ce que tout le monde trouve douteux, surtout avec la performance d’AMD dans le mobile…
• ten64 semble encore en vie, mais à peine… ils semblent shipper, mais back-order, promis en janvier 2024… et c’est cher! 699$… ouf!
• le turris omnia ont fait une nouvelle version « wifi 6 » qui est pas mal comme l’ancienne, mais … avec du wifi 6… bref, rien de flamboyant. mais pire, j’arrive pas à en acheter un nouveau! ça aurait été mon goto à ce moment-ci, mais: Turris Omnia availability? - Omnia HW help - Turris forum voilà, introvable…
• j’ai acheté un AP ubiquiti à la maison, un Ubiquiti Access Point U6 Lite, pas cher, une machine simple qu’on peut flasher avec OpenWRT, si je trouve pas d’équivalent au Omnia, c’est dans ma liste

Pour le reste, je suis pas sûr de vouloir embarquer dans un truc plus complexe comme les Qotom et compagnie: c’est juste un bridge, après tout… le moins de mises à jour possible, le mieux que je serai… Mais je serais curieux d’entendre @MagicFab un an plus tard, ce qui se passe de ton côté!

Le Qotom que j’avais acheté en Nov. 2022 a baissé de prix environ 15% (!), je l’ai encore mais je ne l’utilise pas encore comme routeur principal. J’ai encore un Turris Omnia avec le kit NAS et je dois le « vider » avant (sera disponible après). Moi aussi j’en aurais acheté d’autres pour moi et pour des clients mais leur disponibilité a toujours été un problème. Je peux confirmer qu’Amazon.com livre au Canada, oui, c’est d’un absurde … parfois utile

Le plus grand changement, c’est probablement que Protectli a maintenant un bureau au Canada, ce qui rend la livraison plus rapide, évite les douanes, etc.

J’ai acheté des FW4C pour des clients, avec le fil série - option intéressante pour le dépannage. C’est des appreils plus dispendieux mais c’est le prix à payer compte tenu des mises-à-jour (très fréquentes), la transparence et les possibilités via les plugins (surtout le VPN). Concernant le prix, je n’ai pas à la justifier très longtemps, l’aspect sécurité est très bien couvert dans les media.

On est d’accord que des MAJ hebdo… c’est pas le fun, surtout sur l’appareil qui sert à accéder à distance au réseau et qui doit redémarrer après…

ps. Au moment d’écrire le texte ci-haut j’ai rebranché mon système Qotom et fait les mises-à-jour OPNsense. Ensuite j’ai migré les lease DHCP de mon Turris Omnia au OPNsense et j’ai pu remplacer (enfin) le Turris définitivement. J’ai utilisé ce script pour exporter/importer les lease DHCP.

ouin, tu me fais réfléchir! peut-être que je pourrais simplement segmenter le wifi du routage, Qotom viennent de sortir un truc avec du SFP (oui, je considère de la fibre ici, voir le projet) qui pourrait être intéressant:

Update: finalement, j’ai besoin d’une switch aussi, alors je vais peut-etre me prendre un tout petit protectli comme core router, avec une switch Zyxel pour brancher un SFP remote… Détails dans core router replacement…

Très cool ce Qotom avec SFP! Utile aussi pour enlever le « modem » de ton fournisseur s’il se branche par fibre. J’avais déjà configuré mon Turris Omnia comme ça avec Bell, jadis. Dommage que Protetcli n’a pas cette option dans son matériel.

Concernant :

Tu veux dire ne pas utiliser le Wifi du routeur ? Pour OPNsense dans le projet ils suggèrent en effet de ne pas utiliser le même appareil pour le wifi. J’ai aussi déduit par les échanges sur les forums que les autres ports ne sont pas prévus pour utilisation « LAN » comme on ferait sur un routeur domestique, mais plutôt d’utiliser une switch. Makes sense, mais rendu là c’est pas exactement comparable ou destiné à une clientèle « maison »… le prix monte vite.

Ça fait réaliser que les routeurs domestiques all-in-one font pas mal de trucs pour leur prix

Oui, exactement. Dans mon nouveau design (pas encore implémenté!), j’ai, dans l’ordre:

1. internet (modem cable et toute cette cochonnerie)
2. routeur (protectli)
3. switch (zyxel GS1900, openwrt la supporte!!)
4. APs (ubiquiti, turris)

c’est assez simple, comme ca, et chaque chose à sa place. Mon seul ennui avec ça est que ça rajoute des SPOF mais d’un autre côté, si une switch pète, elle pète et on en trouve une autre quoi. Mais ça fait plus de spares à garder, c’est sûr.

Ça fait réaliser que les routeurs domestiques all-in-one font pas mal de trucs pour leur prix

Vraiment! J’arrive à genre 600$ avec la switch et tout. Mais ça me donne une switch PoE 24 ports, pas une gogosse à 4 ports pleins comme le Omnia… ça vaut la peine, je crois.

Mmhh… pourquoi OpenWRT sur une switch ?

pourquoi pas! linux partout!

plus sérieusement, ça me donne une interface connue pour gérer la switch, sortir des stats par port, contrôler les ports, faire des VLANs, au lieu d’un OS custom de crotte que je connais pas.

après, OpenWRT c’est en fait pas le meilleur outil pour la job: il y a pas, à ce que je sache, un seul fichier texte que tu peux dumper pour sortir la config puis la restaurer, mais bon, c’est un peu le mieux qu’on a pour l’instant quoi.

Pour extraire et restore des infos dans ddwrt/openwrt + autres regarde la méthode utilisée ici:

L’outil restore dans Opnsense permet le restore sélectif .

Ah oui, intéressant!

Mais c’est assez spécifique au DHCP… Je parle plutôt de la configuration genre « port 12 est sur le VLAN 41 ». Dans une switch « standard », c’est le genre de chose que tu configures avec une « oneliner » et ça se retrouve tout dans un fichier texte unique qui peut être dump/restore, assez pratique.

Pour être équitable, il y a quand même un backup/restore dans OpenWRT, mais pas dans TurrisOS, ils fonctionnent plutôt avec un système de snapshots basé sur btrfs, avec un outil appelé schnapps, mais du coup ça fait que la config est pas super portable… Dans OpenWRT, ça te génère une archive du genre:

anarcat@angela:Downloads$ tar fzt backup-svetlana-2023-11-17.tar.gz 
etc/config/dhcp
etc/config/dropbear
etc/config/firewall
etc/config/luci
etc/config/network
etc/config/rpcd
etc/config/system
etc/config/ucitrack
etc/config/uhttpd
etc/config/wireless
etc/dropbear/authorized_keys
etc/dropbear/dropbear_ed25519_host_key
etc/dropbear/dropbear_rsa_host_key
etc/group
etc/hosts
etc/inittab
etc/luci-uploads/.placeholder
etc/nftables.d/10-custom-filter-chains.nft
etc/nftables.d/README
etc/opkg/keys/4d017e6f1ed5d616
etc/passwd
etc/profile
etc/rc.local
etc/shadow
etc/shells
etc/shinit
etc/sysctl.conf
etc/uhttpd.crt
etc/uhttpd.key
etc/uhttpd.key
etc/uhttpd.crt

alors qu’une config de switch HP ProCurve, ça ressemble à ça:

hostname "sw0.example.net" 
snmp-server contact "support@example.org" 
snmp-server location "Montreal, QC, Canada" 
mac-age-time 60 
time timezone -300 
time daylight-time-rule Continental-US-and-Canada 
no web-management 
no telnet-server 
interface 1 
   speed-duplex 100-full 
exit
ip default-gateway 10.0.0.1
sntp server 132.246.11.228 
timesync sntp 
sntp unicast 
snmp-server community "REDACTED" Operator 
vlan 1 
   name "default" 
   untagged 13-24,41 
   no ip address 
   tagged 4-5 
   no untagged 1-3,6-12,25-40,42-48 
   exit 
vlan 2 
   name "vlanA" 
   untagged 4-11 
   ip address 10.0.0.5 255.255.255.224 
   exit 
vlan 11 
   name "vlanB" 
   untagged 3 
   tagged 4-5 
   exit 
vlan 12 
   name "vlanC" 
   untagged 1-2,12 
   tagged 4-5 
   exit 
vlan 60 
   name "vlanD" 
   untagged 37-40,42-48 
   tagged 4-5 
   exit 
vlan 20 
   name "vlanE" 
   untagged 25-36 
   tagged 4-5 
   exit 
interface 1
   mdix-mode mdi
   exit
ip ssh
;password manager <removed>
;password operator <removed>
;

Et pouf, c’est tout! Juste besoin de reloader ça après avoir remplacé la switch et t’es en voiture. on note que ça backup pas les secrets aussi, ce qui est un choix intéressant…

Le plus bête avec tout ça, c’est que la config luci se prête en fait assez bien à être sauvegardée dans un seul fichier. C’est séparé en plusieurs un peu par convention, mais en fait on pourrait tout rassembler dans un tapon et ça marcherait quand même, par exemple:

anarcat@angela:Downloads$ tar -x -O -f backup-svetlana-2023-11-17.tar.gz etc/config/ | wc -l 
450
anarcat@angela:Downloads$ tar -x -O -f backup-svetlana-2023-11-17.tar.gz etc/config | grep ^config
config dnsmasq
config dhcp 'lan'
config dhcp 'wan'
config odhcpd 'odhcpd'
config dropbear
config defaults
config zone
config zone
config forwarding
config rule
config rule
config rule
config rule
config rule
config rule
config rule
config rule
config rule
config core 'main'
config extern 'flash_keep'
config internal 'languages'
config internal 'sauth'
config internal 'ccache'
config internal 'themes'
config internal 'apply'
config internal 'diag'
config interface 'loopback'
config globals 'globals'
config device
config interface 'lan'
config rpcd
config login
config system
config timeserver 'ntp'
config network
config wireless
config firewall
config olsr
config dhcp
config odhcpd
config dropbear
config httpd
config fstab
config qos
config system
config luci_splash
config upnpd
config ntpclient
config samba
config tinyproxy
config uhttpd 'main'
config cert 'defaults'
config wifi-device 'radio0'
config wifi-iface 'default_radio0'
config wifi-device 'radio1'
config wifi-iface 'default_radio1'
anarcat@angela:Downloads$ tar -x -O -f backup-svetlana-2023-11-17.tar.gz etc/config/ | head

config dnsmasq
	option domainneeded '1'
	option boguspriv '1'
	option filterwin2k '0'
	option localise_queries '1'
	option rebind_protection '1'
	option rebind_localhost '1'
	option local '/lan/'
	option domain 'lan'

dans le fond, ça prendrait juste de quoi qui lit ça et le sépare en petits fichiers… ça serait pas si compliqué à faire en fait.

Le problème avec OpenWRT, c’est qu’il a un peu un problème d’identité. D’un côté c’est une distro linux complète, mais de l’autre c’est un truc embedded que tu click-click pour tout faire. Dans le premier cas, cool, je peux modifier /etc/rc.local à bras pour injecter des trucs, mais de l’autre, « oops, c’est quoi rc.local et pourquoi il est pas dans mon backup simple »?

Mais bon, je m’écarte un peu ici, probablement mieux de sortir ça dans un nouveau thread.

Ça fait une éternité que j’ai pas bossé avec pfsense, mais si je me souviens bien, je pense qu’il y avait des problèmes similaires au niveau de la gestion de configuration, étant basé sur FreeBSD… mais je crois qu’il y avait moyen de faire un backup dans un seul fichier XML…

pfff… suis-je bête: enfin, ça existe déjà, le truc import/export dans OpenWRT, c’est juste pas luci (admin web) mais dans uci (admin CLI):

root@svetlana:~# uci export | grep -e ^package -e ^config | head
package dhcp
config dnsmasq
config dhcp 'lan'
config dhcp 'wan'
config odhcpd 'odhcpd'
package dropbear
config dropbear
package firewall
config defaults
config zone

du coup c’est un simple export et import ici, et ça marche aussi dans TurrisOS, dans une certaine mesure…

Au moins ça va me permettre d’extraire ma config « core router » du Turris Omnia et la mettre dans un routeur OpenWRT régulier… et encore là, je suis même pas certain que je veux mettre OpenWRT sur un protectli, rendu là je suis peut-être mieux avec un debian standard…

Voilà, c’était la.piste à suivre. Turris=OpenWRT pour des fins de config. J’aurais dû partager ceci a la place (pas testé):

C’est pile dans le sujet, si config portables = choix plus facile.

Ça fait pas ce que tu veux bien sûr mais dans le code tu peux comprendre comment OPNsense garde ses config… Pas sorcier mais q même important de ne pas rater.

Ça soulève l’enjeu de portabilité de données, même entre projets libres. Quand tu dois refaire une grosse config c’est certain que t’as pas le goût de changer de plateforme.

En privateur c’est assez portable en restant dans la même plateforme et surtout automatisable (je connais plus hp/microtik) et tu as plus souvent du support technique commercial disponible - et pour OPNsense aussi