Le coup du firewall - VPN - Routeur
Par Laurent Richard le jeudi, mars 5 2009, 01:29 - Sécurité - Lien permanent
J'étais en pleine interrogation dernièrement.
Je devais installer un firewall qui ferait aussi VPN pour une PME. Carte blanche ...
J'avais essayé des distributions Linux spécialisées que je connaissais mais elles calaient toutes sur les cartes réseaux D-Link que je leur proposais (je dois encore vérifier le modèle). Cela m'a un peu refroidi avec les distributions linux orienté firewall vu que l'installation se passait bien mais je ne pouvais pas faire les mises à jour de sécurité sous le risque de voir le driver de la carte D-link concerné disparaître sans que je puisse faire un modprobe au redémarrage ...
Vu que cela n'était pas super pressé, j'ai préféré me concentrer sur autre chose en attendant.
Je me remet un peu à l'ouvrage et je suis donc face à diverses solutions :
- Le système CISCO bête et méchant (méchant prix aussi et pour les accès multi-plateforme, il y a le Cisco Systems VPN Client) de type "ASA 5505" car le "PIX 501" n'est plus censé être vendu (End-of-Sale et End-of-Life bientôt)
- Le système PC de récupération qui n'est pas cher mais prend aussi de la place et consomme pour des composants inutiles dans le cas de figure
- le système appliance genre "Linksys RV0042" moins cher mais pas plus Linux-friendly à la base car comme toujours basé pour des clients Windows donc non testé pour interopérabilité
- le système appliance monté maison style Soekris
- le système routeur "flashé" Linux de type Linksys WRT54GL
Les besoins sont assez limités :
- Accès à Internet à 5-6 personnes - Web Proxy est un atout
- VPN pour un remote accès par 1-2 personnes en même temps (OpenVPN ou autre) sous différents systèmes d'exploitation
- Firewall de type SPI
- Client de synchronisation NTP
- Client DynDNS vu que la ligne aura une IP dynamique
Personnellement, je me pencherais bien sur une appliance de type Soekris 4801 avec une distribution m0n0wall ou pfSense avant tout pour le gain de consommation électriques qu'elles pourraient apporter par rapport aux PC "traditionnels". Le coût estimé est de 190 EUR HTVA pour le Soekris, une carte mémoire Compact Flash et quelques heures pour la confirguration ...
Si vous avez d'autres idées/conseils/...
Commentaires
Fonce sur du soekris (4801 ou 5501) + pfSense, j'en ai déployé une 30aine professionellement, aucun souci.
Merci beaucoup pour ce conseil.
Le coût est compétitif par rapport aux performances ? J'ai l'impression également que le 5501 sera un peu overkill par rapport au besoin.
C'est peut etre un chouia plus ridicule mais quid d'une solu toute simple routeur + openwrt (vu le nombre de personnes?)
Le soucis que j'ai eu est que je n'ai pas encore réussi à avoir les informations complètes et utilisables avec OpenWRT.
Le "flashage" est une opération plus "limite/sale" que l'installation/personnalisation par rapport à une distribution sur une mémoire Compact Flash.
Mais je peux me tromper aussi, je suis ouvert à contre-argument, ...
quid d'un SSG5 de juniper ?
@Baptiste, le SSG5 me semble totalement hors de prix également.
J'ai commandé un Soekris 4801 hier et j'ai testé une installation de pfSense sur un PC de recyclage, cela semble bien tourner :-)
Il ne reste plus qu'à attendre le matériel et acquérir une carte Compact Flash
En ce qui concerne le routeur flashé avec OpenWRT, pourquoi ne pas en prendre un qui est fourni avec ?
http://www.openpattern.org/?p=page_...
Oh ! Mais en plus le hardware est ouvert ! :)
salut,
@twisla : un soekris + pfsense peut gérer jusqu'a combien de user en simultané ?
moi aussi je pense utiliser ce systeme pour un portail captif pour un hotspot wifi
J'aimerai avoir plus d'informations sur ce theme. Ou pourrais je en trouver s'il vous plait.
Merci pour le partage, cela va faire plaisir a bon nombre de lecteurs.