Internet

[Saga Firebox] Bonus : virtualiser pfSense NanoBSD avec VMWare Fusion

0

Pour la rédaction de cette Saga Firebox, j’avais besoin de réaliser des captures d’écran de la sortie console de pfSense. N’ayant pas le temps de remettre en route une de nos Firebox inutilisées, j’ai préféré la virtualiser. Ces instructions peuvent être adaptés à d’autres logiciels VMWare, pour les utilisateurs de GNU/Linux, par exemple.

Conversion de l’image disque

VMWare Fusion ne peut pas utiliser en guise de disque dur une image disque au format .img. Il faut donc convertir l’image disque en une image disque dur au format VMWare. Pour ce faire, j’utilise l’utilitaire qemu-img (présent dans le paquet qemu sur homebrew).

qemu-img convert pfSense-2.2.1-RELEASE-1g-amd64-nanobsd.img -O vmdk pfSenseNanoBSD.vmdk

Cette commande crée un nouveau fichier pfSenseNanoBSD.vmdk que nous allons utiliser par la suite pour créer notre machine virtuelle. (suite…)

[Saga Firebox] LCD, voyants et ventilation avec pfSense sur Firebox

0

Après avoir décrit comment installer pfSense sur Firebox X Core/X Core-E et XTM 5, nous allons nous attaquer à la finalisation de l’installation en prenant en charge l’afficheur LCD en façade, la vitesse de ventilation et les voyants en façade.

Cet article fait appel aux fichiers suivants :

Ventilation et voyant en façade avec WGXepc

Il est possible de régler la ventilation et le voyant « Arm/Disarm » en façade à l’aide de l’utilitaire WGXepc.

Installation de WGXepc sous pfSense 2.2.1 (32 bits, Firebox X et X-e)

Rendez-vous dans Diagnostics>NanoBSD et passez le système de fichier en lecture/écriture.

Allez à présent dans Diagnostics>Command Prompt, et saisissez la commande suivante dans le champ « Execute Shell Command » :

fetch -o /conf http://files.labcellar.com/firebox-pfsense/drivers/WGXepc;chmod 755 /conf/WGXepc

(suite…)

[Saga Firebox] Installer pfSense sur les Firebox XTM 5

0

Encouragés par le taux de succès de notre installation de pfSense sur Firebox mais déçus par le throughput qui ne permet pas de profiter d’une connexion fibrée Gigabit, nous nous sommes tournés vers les Firebox XTM 5. Ces modèles sont plus coûteux, mais ils sont plus compacts, plus performants, plus modernes et consomment moins. Nous avons pour l’instant testé cette procédure avec succès sur nos trois (et prochainement cinq) Firebox XTM 5, qui ont été upgradées à 2 Go de RAM.

Il est intéressant de noter que les Firebox XTM 5 ont été conçues par Lanner, on peut d’ailleurs retrouver la même configuration sous la référence Lanner FW-7580. Seule l’esthétique du boitier change, l’écran passe à gauche et le boitier est noir, mais il s’agit bel et bien de la même référence de carte mère.

ATTENTION : Même si les Firebox XTM 5 ont une alimentation enfermée dans une cage métallique et donc sont plus sécurisées que les X Core, nous ne saurions que vous recommander d’intervenir sur cette machine avec toutes les précautions nécessaires pour travailler en sécurité sur un équipement relié au secteur. L’équipe LabCellar décline toute responsabilité d’un éventuel accident lié à cet article. (suite…)

[Saga Firebox] Installer pfSense sur les Firebox X Core et X Core-E

0

Après ce court article d’introduction à notre saga Firebox, nous allons attaquer dans cet article l’installation de pfSense 2.2.1 sur une Firebox X Core. Nous avons testé cette procédure sur nos Firebox x550e, x750e, et x1000.

ATTENTION : La carte d’alimentation sur les Firebox X Core et X Core-E n’est pas protégée de l’utilisateur. Compte tenu des tensions élevées présentes sur la carte, même débranché, nous ne saurions que vous recommander d’intervenir sur cette machine avec toutes les précautions nécessaires pour travailler en sécurité sur un équipement relié au secteur. L’équipe LabCellar décline toute responsabilité d’un éventuel accident lié à cet article.


Pour l’installation, nous avons utilisé le matériel suivant :

  • Une carte Compact Flash de 4 Go, notre choix s’est porté sur des modèles Transcend. [Amazon]
  • Une carte Compact Flash de 256 Mo ou moins (X Core-E uniquement), nous avons réutilisé une ancienne Compact Flash pour cette étape.
  • Un ordinateur doté d’un port RS232 et un cable null modem, ou comme nous un adaptateur USB/RS232. [Amazon]
  • Un carambar, pour se récompenser à la fin.

Nous avons aussi utilisé les fichiers suivants :

Et les logiciels suivants :

  • Rufus, ou tout autre utilitaire équivalent pour copier une image disque sur un support de stockage. Je déconseille très fortement UNetbootin.
  • PuTTY (Windows), CoolTerm (multi-plateforme), minicom ou un autre moniteur pour port série.

(suite…)

[Saga Firebox] Nos nouveaux routeurs : les Firebox

1

Il y a quelques temps, nous avions concocté nos propres routeurs maison à base de carte mères Mini-ITX. Malheureusement ces dernières ne sont plus disponibles à la vente. Évoquant avec Thomas ce jour où j’ai trouvé une Firebox II aux encombrants, il nous est venu l’idée d’ajouter à nos solutions maison des équipements réseaux conçus pour cette tâche donc pouvant être mis en rack, conçus pour tourner 24h/24 et possédant plusieurs interfaces réseau.

A l’exception des modèles SOHO, les Watchguard Firebox sont en fait des ordinateurs à processeur Intel, équipés de plusieurs interfaces Ethernet. Ces machines sont provisionnées en usine avec un système d’exploitation basé sur Linux assurant les fonctionnalités de firewall. Comme certains équipements réseaux, les fonctionnalités de la Firebox sont définies par des licences, qui pour certaines expirent dans le temps. Plutôt que de continuer à payer pour mettre à jour un équipement ancien, des entreprises préfèrent renouveler leur matériel, ce qui explique la différence de prix parfois élevée entre les modèles récents de Firebox (pour lesquelles les licences sont toujours actives), et les anciens modèles (grosso modo jusqu’aux modèles XTM 5). (suite…)

[Internet] La neutralité du net expliquée en moins de 5 minutes

0

Alors que je buvais tranquillement un café en attendant un rendez-vous hier, je suis tombé (sans me faire mal) sur une vidéo YouTube sur le blog de Korben, expliquant la neutralité du net. C’est plutôt clair et simple à comprendre alors autant partager si toutefois ces notions n’étaient pas très claires pour vous.

[pfSense] Astuce pour les DynHosts OVH, mais mieux !

0

Dans un billet où je parlais de pfSense, je vous expliquais comment mettre à jour les DynHosts OVH depuis pfSense mais c’était crade et ça tombait à chaque mise à jour. C’est sans compter sur l’aide de Chris dans les commentaires du billet.

Hello,

je vous file une configuration que j’ai trouvé pour éviter d’avoir à éditer des fichiers à la main.

Supposons que vous veuillez mettre à jour le domaine ‘mydom.com’

utiliser un dyndns de type « Custom »
– interface WAN
– username: l’identifiant du dynhost OVH
– password: le password du dynhost OVH
– update URL: « http://www.ovh.com/nic/update?system=dyndns&hostname=mydom.com&myip=%IP% »
– result match: « good %IP% »

URL et Result match à rentrer sans les guillemets bien entendu.

J’ai trouvé ces options en faisant un petit tcpdump sur le traffic TCP généré lors d’une mise à jour ddclient qui marchait :

tcpdump -vv -XX -n host http://www.ovh.com

et hop, un ddclient lancé depuis une autre console.

A++
Chris

Testé et approuvé !

Il suffit de se connecter à l’interface de gestion, d’aller dans Services puis Dynamic DNS, et suivre les instructions de Chris.

pfSense DynHost OVH

 

Merci à notre lecteur adoré car ceci va en aider plus d’un !

[pfSense] Astuce en attendant une mise à jour pour les DynHosts OVH

3

Bonjour !

Aujourd’hui une petite astuce toute sympatoche pour faire marcher les Dynhosts OVH. Comme vous le savez sans doute, si vous avez une adresse IP dynamique fournie par votre opérateur, il existe des services qui peuvent tout de même vous fournir un nom de domaine.

Il suffit en général d’avoir un routeur ou un ordinateur qui contient un logiciel client qui va se charger de découvrir quelle est votre adresse IP publique, et de l’envoyer au serveur pour que le service mette à jour les DNS. Ainsi vous pouvez bénéficier de la résolution de votre nom de domaine même lorsque vous changez d’IP régulièrement. Cela est très utile lorsque vous voulez héberger des services chez vous, ou simplement si vous voulez qu’une machine reste joignable via un nom.

pfSense dispose d’un client que vous pouvez gérer directement dans son interface de configuration. Cependant, il n’est pour le moment pas possible de mettre à jour un Dynhost de chez OVH. Cela peut être problématique lorsque vous avez tous vos domaines chez OVH et pas d’IP fixe. En attendant la mise à jour qui apportera cette fonctionnalité, on peut biaiser.

1. Modification pour que ça marche

Pour cela, on va se connecter à la page de configuration et se rendre dans le menu Diagnostics, puis Edit File. Une fois sur cette page, vous devez entrer le nom du fichier, celui qui contient les paramètres de DNS dynamiques, « /etc/inc/dyndns.class » puis cliquez sur Load pour charger le fichier. Évidemment, vous pouvez y aller directement en SSH avec nano si vous êtes à l’aise avec.

Une fois le fichier chargé, faites une recherche avec la fonction adéquate de votre navigateur et recherchez la ligne suivante :

$server = "https://members.dyndns.org/nic/update";

Et remplacez la par la ligne suivante :

$server = "https://www.ovh.com/nic/update";

En gros, on va expliquer en faisant cela que les services de DynDNS ne mettront plus à jour DynDNS mais OVH. C’est sûr, cela vous privera de DynDNS, mais c’est juste une bricole sale et temporaire puisqu’une mise à jour système supprimera vos modifications.

Une fois que c’est fait, pensez à cliquer sur Save.

2. Paramétrage de pfSense

Allez dans le menu Services, puis Dynamic DNS. Cliquez sur + et sélectionnez DynDNS custom. Remplissez les champs Hostname avec le nom d’hôte de votre Dynhost, comme dynhost.domaine.tld, le champ Username avec le nom d’utilisateur que vous avez créé lors de la création de votre Dynhost, et dans Password, le mot de passe.

3. Vérification que tout va bien

Si vous voulez vérifier, ne sauvegardez pas. Gardez la fenêtre sous la main, et allez sur votre manager OVH. Allez dans les réglage de la zone DNS de votre domaine et regardez l’IP en regard de votre Dynhost. L’IP devrait être bidon puisque vous n’avez pas encore mis à jour.

Reprenez la fenêtre de la configuration pfSense et sauvegardez. Une fois fait, Actualisez votre page du manager OVH pour voir si l’IP affichée se remplace par votre IP actuelle. Si besoin, dans pfSense, éditez votre Dynhost et en bas de la page cliquez sur Save & force update.

Voilà ce à quoi ressemble votre page pfSense pour les Dynhosts :

Voilà c’est terminé. Éventuellement, vous pouvez jouer sur le TTL de votre domaine chez OVH histoire que vous ne soyez pas bloqué par la propagation sur certains DNS…

[pfSense] Avec la fibre Orange, votre Livebox ne sert à rien

0

Si comme moi vous utilisez votre connexion comme un professionnel et non comme un particulier, alors cet article va vous intéresser.

En effet, j’ai opté pour une connexion fibre grand public car le ticket d’entrée chez Orange en professionnel est assez élevé, mais mon usage de cette connexion est un peu particulier. J’ai des serveurs, des équipements réseau, des postes, des téléphones en VoIP… En gros, je suis pas mal équipé pour un particulier dans un si petit appartement.
Vous le savez sans doute, j’ai été abonné à Numéricable jusqu’à il y a peu et je disposais d’une connexion 100/5. J’ai eu ensuite des petits routeurs Cisco RV180 que j’ai remplacé ensuite par un routeur pfSense à base de PC avec deux interfaces Gigabit Ethernet. Mon modem câble était en mode bridge, ce qui signifie que la machine que l’on branche dessus récupère directement l’adresse externe, et comme la machine en question était un routeur, c’était parfait car je pouvais configurer finement mon réseau.

Lors de mon passage en fibre optique Orange, j’ai été confronté à quelques soucis :

  • La Livebox n’a pas de mode bridge (et c’est une vraie daube).
  • Même si elle en avait un, la connexion nécessite un deuxième boîtier, l’ONT.
  • Je n’utilise ni la télévision, ni la téléphonie, mais ce n’est pas vraiment un soucis.

Pour y pallier, une solution : virer cette Livebox et brancher l’ONT directement sur le routeur. Oui, c’est possible :

Prise optique <—> ONT <—> Routeur pfSense <—> Switch <—> Stations

Cependant pour que ça marche il faut en quelque sorte que le routeur « fasse croire » au réseau qu’il est une Livebox. Pour cela, il faut le lui indiquer. En admettant que vous avez correctement configuré votre routeur pour tout ce qui est de votre réseau local. En gros on va partir de l’idée que vous venez de passer d’un opérateur dont vous aviez utilisé le modem en mode bridge sur votre routeur, à Orange en fibre. Vous avez donc un réseau fonctionnel, il est temps de faire le swap. On part d’une installation toute neuve de pfSense.

Attention : Il est compliqué de récupérer la téléphonie et la télévision. Cet article ne traite que la connexion internet. Si comme moi c’est tout ce dont vous avez besoin, alors c’est parfait.

Commencez par vous connecter à l’interface d’administration de votre routeur pfSense. Ensuite, dans le menu Interfaces, sélectionnez Assign.

pfSense Interfaces menu

Menu Interfaces, puis (assign)

Puis allez dans VLANs et cliquez sur le bouton +.

pfSense VLAN Edit

Création du VLAN 835 sur le WAN

Dans la page qui s’affiche, sélectionnez dans le menu déroulant l’interface réseau qui correspond au WAN, entrez 835 dans VLAN Tag, et ajoutez une éventuelle description. Sauvegardez, et retournez sur le menu Interfaces, puis faites Assign.

Sélectionnez pour le WAN le VLAN que vous venez de créer avec le menu déroulant.

Retournez dans le menu Interfaces et sélectionnez votre interface WAN. On va procéder à la configuration.

Configuration du WAN pour se connecter à Orange

Configuration du WAN pour se connecter à Orange

Pas grand chose à faire. Cochez la case Enable Interface, entrez une description. Ensuite on va choisir « la méthode de connexion » pour l’IPv4, à savoir PPPoE. Vous pouvez laisser les autres champs vides, sauf pour PPPoE Configuration. Vous devez entrer vos identifiants et mots de passe de connexion Orange qui sont précisés sur le courrier de bienvenue.

Sauvegardez et retournez sur la page d’accueil pour voir, et normalement, dans le tableau Interfaces, vous devriez voir une adresse externe apparaître dans la case WAN.

Page d'accueil. On voit l'IP externe dans le WAN

Page d’accueil. On voit l’IP externe dans le WAN

A partir de là vous devriez pouvoir obtenir une connexion. C’est terminé.

Bien sûr, si comme pour moi votre abonnement vous propose des débits excédant le 100 Mb/s, il faut que votre routeur supporte le Gigabit.

La fibre, du rêve à la réalité…

0

Bonjour tout le monde !

Mais quel plaisir que de vous retrouver après une longue absence. Faut dire aussi que j’avais pas mal de boulot et de choses à chercher un peu partout sur le net.

J’ai vendu mon ProLiant Microserver, j’ai décidé, pour économiser un peu d’électricité de m’en passer et de remplacer 8 de mes 16 disques HP 146 Go SAS par des disques Western Digital RED 1 To 2,5″. Ils sont ainsi directement dans le serveur sur leur contrôleur dédié. Pour la petite histoire, les gens qui me contactaient le trouvaient très cher à 800 ou 900 euros et m’expliquaient que même avec les disques ça valait pas plus de 500 ou 600 euros. Sauf qu’ils ne comprenaient pas un mot de ma réponse quand je leur disais qu’il était monté sur un contrôleur RAID HP Smart Array P410 avec batterie de back-up et 256 Mo de cache, que je fournissais la carte de management HP et une carte Gigabit Intel en plus, etc.

Openstreetmap FranceC’est alors que j’ai reçu un mail de Christian Quest, d’OpenStreetMap car quelqu’un de chez eux était très intéressé. Et ça m’a fait bien plaisir d’avoir affaire à des gens éminemment plus calés, compétents, intéressants que ceux que j’ai l’habitude de voir, car malheureusement je n’ai pas cette chance dans mon travail et cela me freine plus qu’autre chose… Et j’ai beau être paresseux, quand ça ne m’apprend rien, tôt ou tard, ça m’ennuie.

J’ai eu également une violente panne d’onduleur avec gonflement des batteries, à la limite de fondre, histoire de bien mon gonfler, et je dois mettre en place une solution serveur sur trois sites avec du VPN, du profil itinérant sur PC et Mac, et on n’a pas l’ombre d’un début d’idée pour faire ça bien, proprement et qui tourne au poil. Si des âmes charitables veulent y contribuer c’est avec plaisir.

J’en reviens donc à mon sujet de départ, la fibre optique, tout ça n’était là que pour situer un peu ce qui se passe pour nous.Orange Logo

On est un peu tous dans le même cas. On entend parler de fibre, on en parle, on nous informe qu’elle passe sous le trottoir mais elle est pratiquement jamais accessible. Depuis longtemps j’utilisais Numéricable pour avoir des débits intéressants de l’ordre de 100 Mb/s descendants et surtout 5 pauvres Mb/s montants. Et vas-y que tel immeuble est fibré, et vas-y que tel pote est chez Free en FTTH, et vas-y que tel autre vient de passer à 200 Mb/s d’upload… Et moi je me trainais toujours mon FTTLA et mon coaxial, et son upload bridé, alors que mes parents venaient de passer en VDSL au fin fond de leur cambrousse et obtenaient plus du double (ils ont 45 descendants et 9 à 11 montants).

C’est alors que mon propriétaire m’envoie un SMS aux alentours d’octobre 2013 pour m’informer que l’assemblée générale des copropriétaires à voté pour le déploiement vertical de la fibre par Orange. Et effectivement, le 13 ou 14 décembre me semble-t-il, la société Eiffage, pour le compte de France Télécom, fait des travaux dans l’immeuble dans le cadre de l’installation verticale de la fibre.

Ils passent deux tuyaux dans les goulottes du huitième étage jusqu’au sous sol, des boîtiers de raccordement à chaque étage et un point de mutualisation au sous sol. Ce boîtier là est raccordé à la fibre d’Orange par un autre tuyau (tout fin et dans une goulotte verte) qui rejoint les fourreaux sous le trottoir.

Quelques jours plus tard apparaissent des documents dans les parties communes expliquant que maintenant que c’est posé, on doit attendre le premier mars pour souscrire, ceci correspondant au délais réglementaire imposé par l’ARCEP pour que d’autres opérateurs puissent venir se raccorder avec le lancement commercial. Donc j’attends…

J’espère que Free pourra raccorder l’immeuble, alors je les appelle mais ils m’expliquent que même si j’ai un NRO fonctionnel dans ma ville, leur fibre de passe pas dans ma zone car trop éloignée. Cela peut se comprendre aisément. En effet, Free utilise le raccordement P2P. La fibre entre le NRO et l’abonné est dédiée. Cela implique beaucoup plus de fibres en sortie du NRO et des tuyaux bien plus gros, sauf que les fourreaux n’étant pas franchement extensibles, cela limite fortement le nombre de raccordements possibles. Orange, tout comme SFR et Bouygues en FTTH, utilisent tous le GPON. Les fibres sont mutualisées et prennent de facto moins de place.

Le premier mars donc, je m’abonne à Orange avec l’offre de base intitulée Livebox Zen. Il s’agit d’une connexion 100/50. Je voulais d’abord tester deux ou trois bricoles avant de voir à prendre plus gros, et surtout, je voulais prendre SFR pour avoir les 200 Mb/s d’upload. Donc j’attends encore, et finalement, SFR apporte sa fibre ! Sauf qu’avant même qu’elle soit fonctionnelle, Orange à lancé le 500/200 avec l’offre Livebox Jet vers laquelle j’ai récemment migré.

En terme de débit, ça se pose là. Même quand c’est saturé et qu’on obtient « que » 400 Mb/s descendants, c’est déjà miraculeux ! J’ai remarqué lorsque j’étais en 100/50 que tenter un upload et téléchargement à fond en simultané provoquait une chute de débit. Ça ressemblait à un problème de latence dans le multiplexage. Volontaire? En panne? Je ne sais pas, mais ce phénomène a disparu lors du passage en 500/200. Le ping est épouvantablement faible ce qui est génial.

Je pense sincèrement que, pour ce qui est de la connexion, la Livebox est un frein. Mais heureusement il y a des alternatives !

Comment ça s’est déroulé?

J’avais rendez-vous le matin, à 8h. Je suis descendu chercher quelque chose rapidement vers 7h30 et le technicien était devant mon immeuble en train de préparer ses bons d’intervention dans sa voiture, cela explique qu’à 8h pétantes, ça a sonné.

Il s’est présenté, il avait avec lui une partie de son matériel et il m’a expliqué comment ça allait se passer. Courtois, agréable, nickel. J’avais une appréhension car j’ai eu des techniciens ADSL et câble par le passé et ils étaient loin d’être aussi sympa et aussi compréhensible.

La première étape c’est de déterminer où la prise doit être placée. Moi je le savais déjà. Je la voulais derrière mon meuble télé, qui me sert également de baie de brassage. Il va ensuite regarder dans les parties communes comment il peut percer et où. Coup de bol, comme j’avais déjà le câble, il a fait le trou juste à coté, très proprement. Ensuite il a pris quelques mesures et a sorti un carton qui contient 30 mètres de fibre, et une prise optique murale pré-raccordée. Il n’y a plus qu’à dérouler.

Il passe la fibre par le trou, et en déroule une grande partie à l’extérieur de l’appartement, en prenant soin de ne surtout pas la plier. De retour dans l’appartement, il pose le support de la prise. Un socle en plastique vissé dans le mur, rien de plus basique. La prise viendra par la suite se clipser dessus. Pendant ce temps il avait branché son pistolet à colle pour le charger. Puis il est retourné dans le couloir avec les mesures prises et a coupé la fibre.

Il l’a ensuite « dénudée », et de cette gaine apparaît une protection et quatre fibre optiques colorées correspondant aux quatre couleurs de la prise murale, le point de terminaison optique.

Les quatre fibres, soudées et protégées.

Quelques coups de soudeuse plus tard, la fibre nouvellement installée est raccordée à celle déjà présente dans l’immeuble. Le pistolet à colle est chaud, et on peut passer à la fixation. Une fois ceci terminé, le technicien retourne dans le local technique sur le pallier pour lover la fibre (enfin, les quatre fibres) dans une cassette fixée au mur.

La cassette, avec des mains de technicien dedans. Aucun technicien n’a été blessé ou maltraité pendant la prise de vue.

On voit clairement le côté rangé, propre et soigné de l’installation comparé au câble coaxial…

Le local technique, sur le pallier, le foutoir technique, devrais-je dire…

Il est maintenant temps de raccorder cette fibre au point de mutualisation. C’est le bloc situé au sous sol. Il est d’un côté raccordé aux étages, et de l’autre à Orange, qui a déjà procédé à l’adduction de sa fibre lors de l’installation verticale. Le technicien place une lampe sur ma prise optique. Elle éclaire en rouge. Il peut voir d’un seul coup d’oeil que la liaison n’est pas rompue entre la prise et la soudure, puis au point de mutualisation.

Il reste ensuite à raccorder la fibre Orange à la mienne, et c’est terminé.

On remonte dans l’appartement pour vérifier et tester l’affaiblissement. Il branche donc l’ONT (Optical Network Termination). Un petit boitier de chez Huawei, qui comporte une prise optique et une prise RJ-45. Il se connecte dessus avec son ordinateur portable pour le configurer. Une fois fait, il y branche la Livebox et la configure avec les identifiants de connexion d’Orange.

Chez moi, la box, l’ONT…

Et à la fin, la Livebox se connecte et on a du 100/50. La migration en 500/200 s’est réalisée après un simple coup de fil pour demander un changement d’offre. Ils m’ont expliqué qu’il fallait que je change de Livebox pour profiter de mon super débit, mais j’ai refusé, et ce sera l’objet d’un autre article…

Go to Top