Bonjour tout le monde,

  le smile de la journée 


Situation actuelle :
Je suis actuellement plutôt embêté avec la Livebox, qui ne permet pas de bridge.
Cela me force à me tourner sur les offres de serveurs dédiés OVH qui ont la particularité d'avoir une adresse IP dédiée fixée sur le serveur ESXi en plus d'une floppée de features intéressantes comme des IP Failover sur les deux machines virtuelles qui me permettent de considérer comme étant en bridged (ce dont j'ai réellement besoin).

Souhait :
Je souhaiterais faire la même chose chez moi, avec un modem / routeur / FW / AP Wifi professionnel, pour des raisons précises. (je ne vais pas m'étendre là dessus)
Effectivement je cherche des fonctionnalités utiles et nécessaires tels que l'anti-DOS, IDS/IPS, Wifi (etc.) tout en offrant le support de la fibre actuelle qui passera probablement à du 1Gbit (actuellement 500 Mbits) j'ai en moyenne 5000 à 10000 sessions en pointe grand maximum. Par ailleurs j'essaie d'éviter les abonnements pour les UTM tellement c'est coûteux.

Pour information, le débit utilisé ne dépasse quasiment jamais les 100 Megas, sauf en cas d'updates sur les clients distants, ce qui reste tout de même occasionnel !
J'utilise la TV, mais pas de téléphonie (même si c'est inclus),



Ce qui me pose un pot de colle :
Comment faire en sorte que les paquets reçus entre client / serveur aient la bonne redirection au niveau IP, sachant que le soft installé sur le serveur ne semble pas supporter le NAT (du moins avec la livebox, je re-teste très bientôt) et le semble pas non plus aimer la DMZ. Ce qui m'oblige à mettre l'adresse IP publique sur le serveur comme chez OVH et l'ip fail-over. Je précise que par VPN cela fonctionne, c'est vraiment le NATing qui semble pas supporté.

Je bloque vraiment sur ce point mine de rien ... 

Sachant tout ceci, sur quel remplaçant à la livebox se tourner ?
Pfsense est semi-pro, mais peut correspondre en appliance.

Teste avec un routeur qui gere le hairpin nat, si tu avais ete a toulouse je t'aurais prete un er-x que je teste en ce moment (paye 45€ HT)

Vu ton usage pro ca ne me semble pas un investissement si eleve pour un test meme si j'aurais tendance à  partir sur un ERL que tu pourrais garder a terme si ca te convient

Pour l'anti-ddos, tu ne pourras pas tout filtrer. Seuls les ddos applicatifs, et pas volumétriques, pourront être bloqués, avec un reverse proxy applicatif, type Naxsi, qui est un WAF. Il doit exister d'autres types de firewalls applicatifs pour d'autres serveurs, reste à voir si ça existe en libre.

Pour les ddos volumétriques, pas de solution. il faut que ça soit filtré chez l'opérateur upstream, car si les paquets arrivent sur ton lien ftth, c'est déjà trop tard.

Les opérateurs grand public n'ont pas de possibilités de filtrer le traffic pour limiter un ddos. Même le rtbh n'est pas supporté. Pour avoir des offres de traffic dites "protégées", il faut se tourner vers les opérateurs d'entreprise, mais là le prix au Mb/s est bien élevé.

Sinon, je ne suis pas sûr qu'un tel équipement existe en un seul boitier, surtout si tu veux des fonctionnalités avancées. Tu pourras trouver des bons routeurs, mais qui ne font pas de fonctionnalités de filtrage avancé, voir même des bons firewalls, mais qui se limiterons à une analyse de niveau 4, et ces équipements ne feront que rarement du wifi.

Bon courage en tout cas !