Simuler un réseau WAN en Local

WANem

J'ai été amené à rencontrer des problèmes de performances sur certains logiciels.
Ils fonctionnaient très bien sur un réseau local en Gigabit, mais avaient des performances excbrables en passant par un réseau WAN ( VPN)

Les éditeurs de logiciels ont rapidement l'habitude de vous renvoyer dans les cordes en vous disant que c'est votre connexion internet ou votre tunnel VPN qui bride leur application.

C'est pour cela, que j'ai eut besoin de "simuler" un réseau WAN dans un réseau local.
Ceci afin de tester comment réagit une application avec des bande passante et des latences plus élévées mais sans passer par un vrai réseau WAN
Ainsi l'éditeur ne peut pas se cacher derrière l'excuse internet.

J'ai cherché à droite à gauche et je suis tombé sur un outil "Open Souce" : WANem

Il s'agit d'une distribution Gnu/linux qui peut se mettre en coupure de 2 réseaux ( routage et NAT) et appliquer les caractéristiques WAN demandés

WANem lance une simple interface WEB permettant facilement de faire les réglages :
Au programme
  • Routage
  • NAT
  • Limitation Bande Passante
  • Latence
  • Gigue
Cette distribution est diponible ici :  wanem.sourceforge.net
Il suffit de télécharger l'ISO et de le lancer sur une machine physique ou virtuelle avec 2 cartes réseau.




Je suis parti sur ce type de réseau:




Pour les test je l'ai lancé dans une machine virtuelle simple avec 2 cartes réseaux:
Dès le lancement de la machine avec l'ISO
On arrive sur le paramétrage réseau



Je suis partis sur un routeur avec 2 réseaux:

  • 10.0.0.0/24
  • 192.168.0.0/24
IP LAN0 de WANem = 10.0.0.95/24
IP LAN1 de WANem = 192.168.0.254/24

Afin de ne pas avoir à créer de routes statiques sur mon lan pour joindre le 192.168.0.0/24 j'ai activé le NAT sur WanEM
La commande est simple:
 #nat add eth0



a partir de la mon pc client 192.168.0.1 devrait pouvoir accéder à mon server 10.0.0.100
Le tout étant routé et NATé par WANem

On test:





Le débit est tout de même un peu faible.. surement dut au fait du peu de ressource allouée à ma VM ( 1CPU / 256MO ram)



On accède à l'interface WEB de WANem : http://10.0.0.94/WANem



On paramètre la latence souhaité et la bande passante souhaitée.



Il existe aussi les options avancées ou tout est paramétrable !!!
simuler la gigue, la retransmission ...
Une mine d'or!








Nous avons bien limité la latence à 70ms
Nous avons bien limité le débit à 1Mbits/s

Nous avons réussi grace à une simple distribution à simuler un réseau WAN à l'intérieur de notre LAN.

Controle Parental Avec OpenDNS : Une solution alternative au Proxy

nasmaison Control Parental Avec OpenDNS : Une solution alternative

opendns logo


A la maison, les enfants commencent à toucher à tout.
Et à l'ère du numérique ils sont de plus en plus connectés.

Mon petit, a eut une tablette Android à son dernier Noel et sans le vouloir aboutit quelques fois sur des sites pas forcément recommandables.

j'y réfléchi depuis un petit moment : Comment filtrer facilement les accès internet sans pour autant se lancer dans l'usine à gaz.

Quelques solutions s'offrent à moi:

  • L'installation d'un logiciel de controle parental sur tous les équipement de la maison --> Trop lourd , pas centralisé
  • L'installation d'un Proxy filtrant type Squid + SquidGuard + DansGuardian --> Très bonne solution que j'ai déjà installé en entreprise et qui à fait ses preuves.
  • Utilisation des serveurs DNS de OpenDNS
  • La surveillance continue des actions de son enfant --> C'est indispensable mais on ne peut pas être là 24h/24
  • Pas d'internet :)
J'en oublie surement

La solution la plus sure et péreine est à mon avis le proxy.
Mais cela implique, un serveur qui tourne 24h/24 ( Même si ce n'est plus trop un problème puisque beaucoup d'entre nous on un nas qui tourne)
De plus cette solution nécessite pas mal d'installation et de configuration.

Au final pour commencer j'avais envie de tester la solution que propose OpenDNS en gratuit.

Le filtrage OpenDNS attaque le problème d'un angle différents: La résolution de nom.
C'est pas bête en effet quand on surl, une des première chose que fait notre machine est de résoudre le nom du site en adresse IP.
On pointe donc sur un serveur DNS à chaque requêtes ( hors cache)

C'est donc OpenDNS qui va se charger de filtrer !
En fonction du domaine demandé il va autoriser la requete ou pas, et rediriger vers une page de bloquage le cas échéant.

La première chose à faire est de se créer un compte OpenDNS; Même si ce n'est pas indispensable, cela va vous permettre de gérer vos catégories et de bénéficier de statistiques.
Dans les paramétrages de OpenDNS on entre son IP Publique.

opendnsconfig



Il y pas mal de paramétrages possibles; Notemment les règles de filtrages










Une fois votre compte paramétré à votre convenance, il suffit d'ajouter les serveurs DNS d'OpenDNS sur vos différentes machines.

Les adresses IP OpenDNS sont:

  • 208.67.220.220
  • 208.67.222.222
Voilà vous êtes protégés.
Un petit test sur un site bloqué:




J'ai voulu aller un peu plus loin, même si mes enfants ne sont pas encore en age de bricoler les options réseaux des équipements de la maison.
J'ai pris un peu d'avance pour essayer de vérouiller le truc.

Mes objectifs:
  • Forcer tous les équipements de la maison à utiliser OpenDNS ( sauf postes admins)
  • Ne pas être obligés de limiter les sessions utilisateurs sur les postes.
  • Eviter au maximum au système d'être contourné.

Les règles PfSense.

Pour forcer les équipements à utiliser les serveurs OpenDNS, il suffit d'ajouter ces DNS dans les paramètres DHCP de PfSense



J'ai mis des baux DHCP statiques pour les postes Admin avec les DNS de Google.




Pour éviter que l'on contourne le système, il faut bloquer les accès DNS depuis le LAN vers d'autres serveurs qu'OpenDNS

Par contre pour permettre au postes Admin de faire des reqêtes DNS sur tous les serveurs il faut leur créer une règle spécifique

J'ai utiliser la notion d'Aliases dans PfSense qui permet de définir un Objet groupant plusieures IP.



Les règles donnent ça:



L'ordre des règles a une importance

On authorise les admin en any vers l'exterieur sur le port 53
On authorise à tout le monde l'accès vers l'extérieur sur le port 53 des serveurs OpenDNS
on Bloque tous les accès vers l'extérieur sur le port 53

Voilà, en théorie on ne peut plus faire des requetes DNS vers l'extérieur sur d'autres serveurs que ceux de OpenDNS
Les admin peuvent requeter sur n'importe quels serveurs.

Ca à l'air de pas mal fonctionner.
Les équipements récupèrent en DHCP les bon dns filtrants.
Si un petit malin veut forcer les DNS en dur, les requetes sont bloqués au niveau du Firewall

Seuls les PC Admin font ce qu'ils veulent.

La seule faille est bien sur de prendre les IP Admins.
Mais j'ai encore un peu de temps devant moi pour trouver la parade.








page 1 sur 32 suivante »