Bonjour

Cet article est venu plus vite que prévu, étant donné que les limites de la licence de mon Firewall UTM Sophos ont été atteinte début avril.

Après plusieurs tests, de différentes solutions c’est la solution OPNsense qui a été retenue, pour remplacer la solution actuelle au cœur de mon réseau.

Cette migration est dans les cartons, mais lors d’un week-end avec un peu de monde à la maison et donc des équipements en wifi en plus sur le réseau, j’ai reçu une alerte de mon firewall Sophos me disant que j’avais atteinte 48 IPs gérés sur 50 maximum. Après validation du support Sophos, il n’y a pas de moyen de réinitialiser la liste des IPs sous licence avec le baux de 7 jours glissants.

Ce point a fait accélérer le remplacement, car je ne pouvais plus garder cette épée de Damoclès sur mon réseau.

La migration a été réalisée sur un week-end en utilisant la même machine (lien ici et ici) que le serveur Sophos en remplaçant juste le disque dur par un nouveau permettant un retour arrière simple rapide et complet en cas de migration partielle en fin du week-end.

Je ne vais pas détailler l’installation en elle-même j’ai tout simplement suivi la documentation officielle disponible sur le site officiel du projet OPNsense.

Par contre je vais essayer de lister les différentes fonctionnalités utilisées sur cette nouvelle solution après un mois de migration, mais avant tout voici un petit rappel sur les connectivités de ce firewall :

  • Une zone LAN, hébergeant les périphérique filaires de mon réseau (ordinateurs, imprimantes, tv etc)
  • Une zone DMZ hébergeant les services accessible aussi bien depuis la zone LAN mais surtout depuis l’extérieur (NAS / Proxmox, etc…)
  • Une zone WLAN, donnant accès à tous les périphérique wifi via une solution de point d’accès Ubiquiti diffusant deux SSID différents dont un tagué Guest.
  • Une zone WAN1 reliée au réseau K-Net Fibre
  • Une zone WAN2 reliée au réseaux Orange en ASDL

Ces deux dernières zones gèrent le multi wan en actif / backup.

Quelles sont les différentes fonctions que j’utilise et que j’ai reprise lors de la re configuration de ce nouvelle machine :

  • La gestion du multi WAN (Fibre & ADSL pour ma part)
  • Le routage
  • Les règles de filtrage entre les différentes zones
  • Le NAT très peu au final car tout passe par le réseau OpenVPN pour l’accès aux données internes depuis l’extérieur. Au final le nat ne sert que d’accès de secours en cas de soucis.
  • Les serveurs DHCP
    • Un pour la zone LAN
    • Un pour la zone WLAN Guest, pour la zone WLAN traditionnelle c’est par filtrage MAC que l’attribution des IPs se fait
  • Le service de DNS Dynamique via OVH DynHOST
  • Les services comme SNMP / Smart / NTP / WOL sont bien sûr activés et utilisés
  • La sauvegarde automatique vers Google Drive (un peu compliqué à mettre en place mais on n’y touche plus après et pour moi une sauvegarde automatique externe est indispensable, le tout bien évidemment chiffré)

De plus par rapport à mon ancien Firewalll UTM Sophos, j’utilise la fonctionnalité de client OpenVPN pour connecter mon réseau domestique à mes hébergeurs externes comme OVH et Aruba Cloud.

Cette fonctionnalité était remplie jusqu’à présent par un machine virtuelle en zone DMZ en attendant mieux, celle ci est devenu inutile à ce jour.

De plus j’ai aussi activé la fonction de Netflow interne pour avoir une vision plus fine des flux transitant par ce firewall.

Après un mois d’utilisation et configuration, je confirme l’efficacité du produit OPNsense, en tout cas il comble à ce jour tous les points de mon cahier de charge.

Il reste encore quelques paramétrages et affinages à faire, mais je suis satisfait du changement et de mon choix.

Bonne lecture

Bonjour à tous

Ce petit article pour faire un point sur mes hyperviseur Proxmox depuis le déménagement d’octobre 2017.

Depuis 2013, je virtualise uniquement via Proxmox chez moi, sur un cluster de deux serveurs HP NL54 Microserver avec chacun 6 go de ram, ce qui me suffisait pour mes besoins et me permettait de pouvoir répartir mes VM en fonction de la charge sur l’un ou l’autre serveur.

Durant mon activité professionnel, j’ai pu récupérer deux nouveaux serveurs pour remplacer mes deux petits cubes qui auront fait leur temps en tant qu’hyperviseur, il est certain qu’ils auront une autre utilité dans les mois à venir (potentiellement un serveur NVR Ubiquiti)

Les nouveaux serveurs sont deux serveurs IBM x3650 M3 rackable et ne prenant qu’un seul U chacun dans la baie informatique, niveau configuration on est aussi largement mieux qu’avant :

  • CPU : 2 x  Intel(R) Xeon(R) CPU L5630 @ 2.13GHz
  • RAM : 80 Go
  • Disque
    • Un premier raid 1 avec deux disque de 68 Go en 10000 tours pour le système
    • Un second raid 5 avec 6 disques de 146 Go soit 680 Go en 10000 tours pour les machines virtuelles
  • Alimentation : 2 alimentations sur deux PDU connecté à deux groupes différents sur l’onduleur
  • Réseau : 4 interfaces gigabits

Les deux serveurs sont rackés mais uniquement le premier est allumé et héberge les machines virtuelles, le second est en backup (mais celui-ci est allumé automatique et mis à jour régulièrement pour qu’en cas de besoin il soit tout de suite opérationnel)

A ce niveau j’ai décidé de ne pas les mettre en cluster car la fonction principale de HA inter nodes est compensé par le fait que les snapshots des machines virtuelles sont disponible sur le QNAP pour les deux serveurs au besoin et que la restauration est rapide.

La migration en elle-même fût super rapide :

  • Sauvegardes des machines virtuelles des deux serveurs HP sur le QNAP
  • Arrêt des deux anciens serveurs (lors du déménagement)
  • Installation du nouveau serveur
    • Proxmox
    • Supervision
    • Automatisation via Ansible
    • Configuration du QNAP en NFS sur ce nouveau serveur pour disposer d’un espace de stockage supplémentaire ainsi que de sauvegarde
  • Restauration des machines virtuelles et démarrage de celles-ci
  • Mise en place des sauvegardes automatiques vers le QNAP

Actuellement je fais tourner sans soucis 11 machines virtuelles Debian avec une consommation des ressources plus que raisonnable :

 

A date de ce jour cette nouvelle machine remplie toutes les fonctions nécessaires à la virtualisation des mes serveurs.

Bonne lecture à tous

Bonjour à tous

Suite à l’article précédent, j’ai reçu mes deux cartes réseaux dual lan full giga ce samedi.


Carte Dual Lan Giga

Les cartes ont été vite installées dans le nouveau serveur, suivi d’une rapide installation de Sophos.

Puis une simple restauration de la configuration de l’ancienne machine a suffit à rendre le nouveau Firewall totalement opérationnel.

Maintenant mon réseau domestique est enfin entièrement en giga.

Bonne journée à tous

 

Bonjour à tous

Mon projet de nouvelle baie réseau arrive quasi à sa fin. Il ne reste plus qu’à changer mon serveur hébergeant mon Firewall Sophos, pour une machine plus puissante et plus récente, et surtout full giga.

J’ai trouvé une machine qui fera très bien l’affaire aussi bien d’un point de vue matérielle, que taille pour rentrer dans ma baie : un Dell Optiplex 380.

Dell Optiplex 380

 

Reste à rajouter deux cartes dual lan full giga, commandé sur DX.com le 7 juillet donc un brin de patience pour pouvoir remplacer définitivement mon firewall.

Winyao WY546T2Ces cartes ont déjà été testé sous Sophos et sont reconnus sans aucun soucis.

Je vous referais un article pour la migration.

 

Bonsoir

Un petit update de mon projet de changement de baie de réseau, j’ai enfin remplacé de jour mon switch 48 ports 10/100 par un tout nouveau switch full giga 48 ports le tout bien sur comme avant administrable niveau 3.

Que du bonheur, lors des transferts intra-zone, reste encore à modifier les interfaces réseaux de mon firewall Sophos pour passer le tout en full giga.

J’ai déjà repérer les cartes dual giga que je vais mettre en place dès que j’en aurais le temps.

A très vite

 

Bonjour à tous

Hélas ce week-end mon NAS Qnap TS-439 Pro a rendu son dernier souffle après 11 ans de loyaux et bon services.

Les données sont sauvegarder automatiquement sur des simples volumes annexes, donc aucune perte de données.

Reste à lui trouver un remplacement, vu la longévité de ce NAS, me suis tourné vers les nouveau boitier Qnap tout en regardant ce qu’il se faisait côté Synology.

Ayant déjà une solution Synology en place chez moi j’ai décidé de pas confier toutes mes données à un seul constructeur.

Mon choix c’est donc fait vers un Qnap TS-453 Pro 2G remplaçant actuel de mon ancien NAS, avec différent avantages majeurs :

  • Niveau processeur : Intel® Celeron® 2.0GHz quad-core
  • RAM – Passage de 1 à 2 Go
  • Ajout de port USB 3.0
  • Ajout de deux interfaces Ethernet gigabit passant de 2 à 4 ports possibilité de faire de trunk de deux ports pour la partie LAN & DMZ
  • Modification du port VGA pour un port HDMI

D’un point de vue stockage, j’avais 4 disques de 2To de chez Seagate, vu que ces disques ne sont plus sous garantie, j’ai décider de les remplacer par 4 disques de 3To toujours de chez Seagate.

Le tout sera acheté chez MacWay ce soir en rentrant.

Reste à tout remettre d’équerre, et espérer avoir la même longévité.

Bonne journée à tous

Bonjour à tous

Ce petit post pour vous faire un rapide résumé sur mon dernier changement de Firewall.

Pendant plus de 10 ans mon infrastructure était gérée par un serveur physique hébergeant la distribution IPCOP. Cette distribution a rempli son boulot, sans aucun soucis, mais n’évoluait plus dans sa version 1.4.21. Un nouvelle version est sortie en 2.x mais nécessitait une totale réinstallation.

J’ai abandonné cette possibilité car la machine hébergeant mon IPCOP était largement obsolète et que cela faisait un bout de temps que je suivait les évolutions de la version UTM Home Edition de Sophos.

Au final la migration entre les deux technologies c’est fait sans soucis.

Description de la version UTM Home Edition

Essential Firewall Edition assure la protection illimitée des adresses IP, ainsi que les fonctions suivantes sans aucune limite dans le temps :

  • Mise en réseau : routeur Internet, établissement de liaisons, serveur et proxy DNS, relais DynDNS et DHCP, prise en charge de NTP, QoS automatique
  • Sécurité réseau : pare-feu avec inspection dynamique et traduction des adresses réseau (DNAT/SNAT/usurpation d’identité).
  • Accès à distance : prise en charge des protocoles PPTP et de L2TP over IPSec (y compris iPhone)
  • Journalisation/édition de rapports : journalisation complète sur le disque dur local, recherches, rapports en temps réel sur le matériel, l’utilisation et la sécurité du réseau, et rapports exécutifs quotidiens
  • Administration : interface utilisateur Web dans la langue locale, assistant de configuration, sauvegarde et restauration des configurations, notifications aux administrateurs, prise en charge du protocole SNMP, gestion centralisée via Sophos UTM Manager (gratuitement).

Cette version remplie toutes mes demandes, que ce soit d’un point de vue routeur, sécurité, possibilité d’accès distant sans oublier les rapports qui sont détaillées automatisables.

Mise en place

Bien tenté par une appliance mais bon il faut savoir être raisonnable, et puis j’avais une machine qui remplissez les demandes niveau matérielles, c’est à dire :

  • Intel(R) Pentium(R) 4 CPU 1.50GHz
  • Un disque dur de 40Go
  • 768 Mb – 1Go serait le top
  • 4 cartes réseaux – LANDMZWLANWAN

Effectivement je fonctionne chez moi avec 4 zones bien distinctes dans mon réseau.

Ensuite rien de plus simple, il suffit de s’inscrire sur le site et de télécharger le fichier ISO et le fichier de licence.

Et ensuite un petit boot sur l’iso et l’installation est faite en 10 min et accessible ensuite via :

  • SSH : ssh loginuser@ip_sophos
  • Web : https://ip_sophos:4444

sophos-web

L’interface web est très fluide et assez bien fini, on retrouve rapidement ce qu’on cherche dans les différentes rubriques du menu de gauche.

Utilisation au quotidien

Je l’utilise maintenant depuis un petit mois sans aucun soucis. Voici les fonctionnalités que j’utilise à ce jour :

Onglet Gestion

  • Up2Date : Mise à jour automatique
  • Sauvegarde / Restauration : Avec mise en place d’un export de la conf par mail toutes les nuits
  • Notification : Par mail via la configuration d’un serveur SMTP
  • SNMP : Configuration pour interrogation SNMP à distance

Définitions & utilisateurs

  • Gestion des réseaux : Définition des réseaux et des hôtes entre autre pour la réservation DHCP via les adresses MAC
  • Gestions de services : Définition des services pour les règles de filtrage
  • Utilisateurs & groupes : Définitions de utilisateurs locaux ou VPN

Interfaces & routage

  • Interfaces : Gestions des interfaces physiques ou virtuelles

Services réseau

  • DNS : Gestion des DNS externes et gestions des services DNS sur les différentes zones
  • DHCP : Gestion de l’attribution des adresses via DHCP pour moi dans mon LAN et WLAN
  • NTP : Gestion des serveurs de temps pour les machine des réseaux LAN et DMZ

Networking Protection

  • Pare-feu : Gestion de règles de filtrage, blocage de pays d’un point de vue IP
  • NAT : Mise en place du Masquerading et du Network Adress Translation
  • Advanced Threat Protection : Activation de la recherche de menaces sur les réseaux gérés par l’UTM Home Edition de Sophos
  • Prévention des intrusions : Activation de l’IPS sur les trois réseaux internes / Anti-DoS / Anti-Portscan…

Web Protection

Pour l’instant non utilisé mais va être utilisé pour faire du filtrage pour de contenu entre autre pour la mise en place d’un contrôle parentale.

Email Protection

Pour l’instant non utilisé.

Endpoint Protection

Pour l’instant non utilisé.

Wireless Protection

Pour l’instant non utilisé.

Webserver Protection

Pour l’instant non utilisé.

Red Protection

Pour l’instant non utilisé.

VPN site à site

Pour l’instant non utilisé.

Accès à distance

  • L2TP sur IPSec : Mise en place d’accès distant via un VPN pour certains utilisateur

Journaux et rapports

L’ensemble des catégories de ce menu est utilisé en fonction de l’information recherchée.

Un rapport journalier est envoyé par mail ainsi qu’un hebdomadaire et mensuel.

De plus toutes les nuits, l’ensemble des logs est exporté sur une NAS pour sauvegarde.

Conclusion

Actuellement cette gamme de pare-feu remplie totalement mes espérances, aussi bien par ses fonctionnalités diverses et variées que par son ergonomie et son mode de fonctionnement.

Je reviendrais vers vous pour faire un point d’ici quelques mois de fonctionnement et peut être l’activation de nouvelles fonctionnalités

 

Bonjour

Travaillant chez Orange, il est normal que je teste la solution domotique sortie le 23 octobre sous le nom d’Homelive

Présentation

Cette offre domotique comprends un box utilisant Zwave, la technologie la plus employée dans le monde de la domotique grand public.

Rien ne sert de vous refaire toute la présentation, celle ci est bien faite sur le site :

homelive-presentation

Donc en résumant pour commencer on se retrouve avec un abonnement de 9,99 € par mois sur 12 mois et un kit de départ qui ne nous coûte au final que 1 euros pour des détecteurs de la marque Fibaro.

Ces détecteurs sont bien-sur compatibles avec toute autre box domotiques utilisant du Zwave.

Dans un premier temps je vais tester la solution en utilisant la box Homelive et en fonction de mon temps et envie je passerai peut-être sur une solution maison à base de Raspberry Pi, de clé Zwave et de Domoticz mais dans un second temps.

Installation de la box

Il suffit de brancher la Homelive sur le courant et en ethernet sur sa box adsl ou son switch, celle ci récupère une ip en DHCP.

Il y a une possibilité d’activer le wifi de la box mais pour l’instant j’en ai pas trouvé l’utilité.

On y accède via l’adresse par ce lien et il suffit de renseigner deux paramètres qui sont disponibles sous la box a savoir :

  • Son numéro de série
  • Son adresse MAC

Une fois ces informations fournies le site nous redirige vers la page d’administration de notre solution domotique by Orange.

Celle ci est basée sur une version de la célèbre solution Vera à la sauce Orange mais pour l’instant assez bridée au niveau des options et du paramétrage avancé.

Une mise à jour est sensée arriver avant la fin d’année, on fera un point à ce moment là.

Configuration des trois modules inclus dans le kit “Au cas où”

Le set de départ comprends trois périphériques qu’il faut associer avec le box en suivant simplement les instructions fournies en ligne.

Un détecteur d’ouverture de porte ou de fenêtre

On se retrouve avec un très petit capteur Fibaro FCK-101, qui fonctionne très bien.

fibaro-FGK-001

On peut rajouter simplement en petit ds18b20 pour récupérer la température.

ds18b20

Un détecteur de mouvement

Ce détecteur est juste un merveille, aussi bien par sa taille, son design que par ces fonctionnalités :

  • Capteur de mouvement
  • Capteur de luminosité
  • Capteur de température

Le tout pas plus gros qu’une balle de ping-pong. Un bien beau capteur qui a pour référence chez Fibaro FGMS-001

fibaro-FGMS-001

Un capteur de fumée

Et enfin la pack comprends un détecteur de fumée connecté ayant pour référence FGSS-001. Celui ci n’est pas totalement aux normes pour la loi qui va passer d’ici mars 2015, mais Orange s’engage à en renvoyer un gratuitement avant la fin d’année.

fibaro-FGSS-001

Conclusion

Une fois tous les objets reconnus par la box on se retrouve avec un début de domotique, mais il manque encore pas mal d’objet qu’il va falloir inclure pour avoir quelque choses d’exploitable.

Pour ma part, j’ai décidé dans un premier temps d’attendre la prochaine mise à jour de la box pour voir les nouvelles fonctionnalités avant de ma lancer plus loin.

Je vous ferais un retour après plus d’utilisation.

 

Bonjour à tous

Ca fait un moment que mon cluster Proxmox est basé sur deux machines récupérées mais qui commencent à vieillir (plus de 5 ans).

Une offre intéressante sur Amazon, pour un serveur HP – 704941-421 – Proliant Micro serveur – G7 N54L NHP 250 Go , m’a attiré l’œil…

Bon au final, achat de deux serveurs avec un supplémentent de 4Go de ram pour chacun pour avoir deux nodes de mon cluster avec chacun 6Go de ram.

Ca va faire du bien à pas mal de niveau :

  • Consommation énergétique moins importante (divisé au moins par deux)
  • Matériel neuf et sous garantie
  • Plus de ram en passant de 2.5 Go et 3 Go à deux fois 6 Go
  • Gain de place
  • Évolutivité au niveau de baies disques durs

Enfin voila reste plus qu’à recréer un cluster, et récupérer les sauvegardes des machines virtuelles et une petite restauration dans la foulée.

Bonjour

Suite à la sortie de la version 0.5 d’OpenMediaVault, je viens de mettre à jour mon serveur.

Voici la procédure :

apt-get update
apt-get upgrade
omv-release-upgrade

Jusque la rien de spécial, mais en me rendant sur la page d’administration j’ai eu le message erreur suivant :

 Error #0:
exception ‘Exception’ with message ‘Failed to open file js/omv/NavigationPanel.js.’ in /usr/share/php/openmediavault/htmlpage.inc:42
Stack trace:
#0 /usr/share/php/openmediavault/htmlpage.inc(49): OMVHtmlPage->scanFiles(‘js/omv/Navigati…’, Array)
#1 /usr/share/php/openmediavault/htmlpage.inc(70): OMVHtmlPage->scanFiles(‘js/omv/module/a…’, Array)
#2 /usr/share/php/openmediavault/htmlpage.inc(186): OMVHtmlPage->scanDir(‘js/omv/module/a…’, Array, true)
#3 /usr/share/php/openmediavault/htmlpage.inc(112): OMVWebGui->getJavascriptIncludes()
#4 /var/www/openmediavault/index.php(37): OMVHtmlPage->render()
#5 {main}

Après un peu de recherche, j’ai trouvé cette page avec un petit script qui résout le problème :

wget http://filebin.ca/skiDELUVNpl -O omv-0.5-upgrade-cleaning_v0.7.6.sh
chmod +x omv-0.5-upgrade-cleaning_v0.7.6.sh
./omv-0.5-upgrade-cleaning_v0.7.6.sh

Opération réalisé par ce script :

1. Remove all external plugins. (purgin website and omv-plugins.org)
2. Rename *.js-files in $OMV_DOCUMENTROOT_DIR/js/omv/module/ and admin/
3. Move all *.deb files and local.list in /var/cache/whatever
4. Move old-omvplugins.org-lists and jhmillers.list

Et tout est rentré dans l’ordre.

Bonne journée