Bonjour,

Je complète ce post après avoir un peu (beaucoup) galéré.
Notez aussi que je n'ai aucun pare-feu ni filtrage sur le Synology ni sur le pfSense.

.
Sur le Synology, après avoir installé le serveur VPN...

.
Il faut ensuite exporter la configuration. On obtient un fichier ZIP qui contient la configuration (que j'ai recopié au même niveau que le zip)

.
On ouvre le fichier .ovpn (avec notepad par exemple)

On récupère la partie se trouvant entre <ca> et </ca> par un "copier"

.
Sur le pfSense, on va dans le menu "System/Certificates/Authorities" et on créé un nouveau certificat.

On "colle" ce qui a été copié précédemment dans la partie "Certificate data" et on sauvegarde.

.
Sur le pfSense toujours, on va dans dans le menu "VPN/OpenVPN/Clients" et on clique sur "Add".
On configure les options...
Bien renseigner l'IP du serveur VPN (le Synology)

.
Bien renseigner le login / mot de passe renseigné dans la configuration du serveur VPN du Synology.

.
Ensuite retourner dans le fichier de configuration .ovpn ouvert et "copier" le certificat TLS se trouvant entre <tls-auth> et </tls-auth>

.
Revenir sur l'interface pfSense et "coller" le tout dans le champ "TLS-KEY"

Notez aussi d'utiliser le certificat entré dans le pfSense précédemment (dernière liste déroulante).

.
Utiliser les mêmes paramètres de cryptage que ceux définis dans la configuration du serveur sur le Synology

.
Enfin, j'ajoute une configuration personnelle afin d'être sûr que le VPN ne tombe pas

.
Une fois la configuration validée, le tunnel doit monter tout seul...

.
C'est aussi visible côté serveur...

Je n’arrive pas à ajouter la seconde passerelle Zigbee depuis le vlan IOT sur l’application smartlife depuis mon téléphone
La passerelle est connectée en filaire au switch sur le VLAN Iot. Elle récupère bien l’IP assigné en réservation.
Le smartphone est sur le même Vlan mais depuis le SSID sur la borne aruba.

Je peux sans soucis ajouter la passerelle sur l’application depuis le réseau de la box du FAI (passerelle en filaire sur le sw avec le vlan FAI, téléphone depuis SSID de la box)

A noter que j’ai un souci similaire avec les climatisations Daikin. Je peux les ajouter et piloter depuis le réseau FAI mais pas depuis un Vlan du pfsense. J'imagine que la problématique est la même

J’ai dû louper quelque chose mais je ne trouve pas quoi…

Informations générales

Contexte : Installation personnelle à la maison. Il s'agit d'une première installation et utilisation de Pfsense. J'ai installé le pfsense derrière ma box (plus d'info sur la partie schéma)

Pfsense : Pfsense community version 2.8.0-RELEASE (amd64), installée sur un mini-pc glovary firewall n305 6 ports 2,5go (j'ai changé la version pro installée par une community, plus à jour et avec plus de plugin je trouve). Il dispose de 6 ports éthernet 2,5G et processeur : intel(R) Core(TM) i3-N305 (Current: 1803 MHz, Max: 1804 MHz /. 8 CPUs : 2 package(s) x 4 core(s) )

Besoin : j'ai installé Pfsense pour séparer et cloisonner les différents usages : utilisateurs, domotique, invité, infra, video surveillance, etc.

Historique : Initialement j’avais un Palo Alto PA-220 mais : 1) la licence n’est plus active donc beaucoup de fonctionnalités ne sont plus actives et pas de mise à jour. 2) j’ai changé de FAI, et l’actuel ne propose pas de rediriger les flux contrairement à l’ancien.

Schéma :

Ma box est relié au player du FAI et un port est relié au port Wan du pfsense.
1 LACP de 2 ports en trunk est relié au Switch (HPE 5130)
1 borne wifi Aruba est reliée au Switch en trunk (les performances du Wifi free ne donne pas satisfaction. J’ai un mesh de 2 aruba)

WAN : 1 seul port WAN sur le Pfsense, relié à la box en DHCP (réservation IP). Pas de mode bridge, pas de DMZ pour le moment. Le réseau étant utilisé en permanence, je voulais m’assurer du bon fonctionnement avant de passer sur le prochain modèle (bridge très certainement).

LAN :

• 1 port physique dédié pour l’admin en mode secours avec autorisation d’accès à l’admin, pas de DHCP
• 2 ports en LACP qui portent les différents VLAN

VLAN 80 :

• Dédié à l’infra (borne wifi, switchs, serveur, stockage, etc.)
• DHCP (plage 1 IP en auto, affectation par réservation hors plage DHCP)

VLAN 99 :

• Dédié à l’administration, accessible via Wifi, filtrage mac
• DHCP (plage 1 IP en auto, affectation par réservation hors plage DHCP)

VLAN 112 :

• Dédié aux utilisateurs (smartphone, pc, etc. )
• DHCP (plage 10 IP en auto, affectation par réservation hors plage DHCP)

VLAN 133 :

• Dédié aux IOT (lumière, passerelle zigbee, smart ir, etc. )
• DHCP (plage 10 IP en auto, affectation par réservation hors plage DHCP)

VLAN 241 :

• Dédié à la vidéo surveillance (caméra, sonnette, etc. )
• DHCP (plage 10 IP en auto, affectation par réservation hors plage DHCP)

VLAN 501 :

• Dédié aux invités
• DHCP (plage 100 IP en auto)

Matrice de flux : Matrice souhaitée à terme :

Au sein d’un même Vlan, pas de filtrage en dehors du Vlan Infra
Invité et IOT : cloisonnement stricte vers les autres Vlan
Les autres Vlan : cloisonnement par défaut et ouverture spécifique au besoin (cifs, etc.)
En sortie, à voir si filtrage spécifique pour infra (maj and co), pour les utilisateurs je suis plus en questionnement, avec deux ados à la maison, entre les jeux, discord and co, ça sera peut-être beaucoup de mal et de temps pour affiner chaque connexion pour un petit gain.

DMZ :

• Pas de DMZ
• Pas de DNS local
• Pas de NTP local

WIFI :
Via AP aruba (2 AP mesh)

• SSID Invité : Visible, DHCP du pfsense, clé WAE3
• SSID Utilisateurs, IOT, Video : Masqué, DHCP du pfsense, clé WAE3
• SSID ADM : masqué, filtrage MAC, clé WAE3

NAT :

Manual Outbound NAT :
Sur ce modèle pour tous les Vlan, sauf IOT qui n’est pas en random port

Firewall
PfBlockerNG est installé et couvre toutes les interfaces et VLAN en floating rules

WAN : Block private networks et Block bogon networks
IOT :
Voilà les règles, le any any est pour le débug et sera désactivé à terme.
Passpartout est un alias qui contient l’ip de mon smartphone en iot et la seconde passerelle Zigbee. Pour le débug

Les autres onglets sont construits sur le même principe. Si nécessaire je les fournirai

Packages ajoutés : PfBlockerNG

Autres fonctions assignées au pfSense : A venir VPN

Merci d'avance de votre temps et de toute aide :)

bon voila je vous expose mon problème.
mon pc PFsense (minipc) vient de me lacher!!

donc je me retrouve avec un disque ok mais pas de sauvegarde pour restaurer la configuration.

le nouveau PC est commandé!

y as t il un moyen de récupérer la configuration sur le disque pour la restaurer dans le nouveau PC.

je peux éventuellement cloner le disque sur le disque du nouveau pc mais j'ai un doute.
merci pour votre aide très précieuse.

J'ai actuellement déployé 3 "appliances N100" (modèles différents dépendant des chinois) sur des réseaux différent (Famille, ami, moi)

Sur chacun la structure reste plus ou moins la même :
Grossomodo
ETH0 = WAN
ETH1 = PA. WiFi diffusant SSID "LAN" (non taggé (oui je sais, c'est pas bien), SSID "IoT", ...

LAN = 192.168.101.1/24
VLAN IoT = 10.10.101.1/24

Comme dit, c'est pas fameux mais !!! Sur les 2 autres pare-feu ça fonctionne

Sur le 3ème par contre.... , il m'est impossible de d'accéder au sous-réseau "IoT" depuis le sous-réseau LAN

Alors... Quand je dis "impossible" c'est un bien grand mot
Quand je souhaite accéder à l'interface web des modules domotiques (Shelly), la page ne se charge pas et j'ai le fameux message ERR_CONNECTION_RESET
Chrome ou Firefox (bien que le message n'est pas exactement le même intitulé) (avec Reset du cache etc), et ce depuis PC ou Andro, même résultat

Dans "Journaux système" et "Etat" du FW, je vois bien ma requête port 80 du client vers le module

Le ping fonctionne niquel du PC LAN >> Module domo

Cependant !!!
Si je passe par le VPN, bingo j'accède à la GUI.....

J'ai comparé et rererecomparer les différents paramètres d'un FW à l'autre : RAS.

J'ai cru tombé sur des vieux topic de 2019 que ça pouvais venir des BIOS à mettre à jour... J'en ai eu de 12/2024...

Bref si vous avez des pistes de paramètre que j'ai mal comparé/paramétré
Restant a dispo pour plus de clarté

Vous remerciant !!!

J'explique rapidement : quand je configure mes tunnels VPN, tout dialogue bien, mais si jamais je veux ajouter une nouvelle route statique dans pfsense (route qui n'a rien a voir avec la config en cours), plus rien ne passe dans le 1er tunnel... Il faut que je retourne dans la config de ce tunnel et que je clique juste sur "save" pour récupérer le dialogue avec ma machine.

J'essaye juste de comprendre ce phénomène sans vouloir vous assommer avec la config complète, au besoin je peux vous l'expliciter.

Si quelqu'un à une idée...

La liste minimaliste de l'installation chez moi :

Contexte :

• milieu : personnel,
• niveau expertise de l'administrateur : plus dans la catégorie des « novices »,
• age de la solution firewall : config de base de 2020

Besoin : Le firewall est pleinement fonctionnel :-)

Schéma :
WAN (modem/routeur/box) : branchement en direct sur la Box
LAN : 1 seul LAN. pfSense est branché sur un switch. Après, c'est le réseau interne (uniquement quelques postes).
pfSense filtre pas adresse MAC et délivre des adresses IP.
Une zone pour les adresses IP des systèmes connus. Pour les nouveaux postes, les adresses sont différentes.

DMZ : Pas de DMZ

WIFI : Pas de WIFI géré par pfSense. Si le WIFI est allumé, c'est la box qui gère.

Autres interfaces : pfSense fait office de serveur DHCP

Règles NAT : Ne sachant pas ce que c'est, j'ai laissé tel quel. pfSense a des régles dans « Mode NAT sortant » : « Création automatique de règles NAT sortantes. (IPsec passthrough inclu)
Rien dans les autres onglets (Transfert de port, 1:1, NPt)

Règles Firewall :
Flottant(e) : Rien
WAN :
Bloquer les réseaux privés, bloquer les réseaux invalides. « Aucune règle n'est définie pour cette interface. Toute connexion entrante vers cette interface sera bloquée jusqu'à ce que des règles de passage soient ajoutées. Cliquer sur le bouton pour ajouter une nouvelle règle. »
LAN :

• « Règle anti-blocage » (pour accéder à l'interface je crois)
• « Defaut allow LAN to any rule » (j’ignore à quoi sert cette règle)
• « Defaut allow LAN IPv6 to any rule » (j’ignore à quoi sert cette règle)

Packages ajoutés : Aucun

Autres fonctions assignées au pfSense : Rien

Question :
Je n'ai pas de problème à première vue... Mais en allant dans les journaux du Pare-feu, j'ai été un surpris... :

•   		Block : 9994
  

Interfaces :

•   		WAN	: 9798
  

•   		LAN	: 196
  

Protocoles :

•   		IGMP	: 8120	
  

•   		UDP	: 1682	
  

•   		TCP	: 182	
  

•   		ICMP	: 10	
  

IPs source :

•   		192.168.1.254			: 8154	
  

•   		0.0.0.0				: 1148	
  

•   		192.168.1.185			: 493	
  

•   		fe80::fc02:c1ff:fe3e:bb36	: 185	
  

•   		192.168.2.30			: 7	
  

•   		Other				: 7
  

IPs destination :

•   		UDP/68: bootpc			: 1155	
  

•   		TCP/42: nameserver		: 24	
  

•   		TCP/34684			: 7	
  

•   		TCP/53168			: 7	
  

•   		Other				: 8801
  

Ports de destination :

•   		UDP/67: bootps			: 1155	
  

•   		UDP/1947			: 489	
  

•   		TCP/53: domain			: 146	
  

•   		UDP/53: domain			: 38	
  

•   		Other				: 8166	
  

Pour informations, 192.168.1.XXX, c'est le réseau WAN (côté box), 192.168.2.XXX le réseau interne.

L'IP source la plus importante, est en 192.168.1 est l'adresse de la box. Ça signifie que ma box essaye d'attaquer mon parefeu ? Ou juste elle pingue ?
L'IP source 192.168.2.30, c'est le poste sur lequel je me suis logué.
L'IP source 192.168.1.185 est un poste sur le réseau côté WAN, mais je ne sais plus lequel.

C'est peut-être rien du tout, mais vu que j'ai des connaissances très basses (voire inexistantes...) en sécurité des réseaux, je préfère poser des questions.

Pistes imaginées
J'avais idée de mettre un second parefeu avant pour voir si ça change quelque chose...

Recherches : Je me renseigne sur le net, mais sans vraiment trouver de réponses claires...

Logs et tests : Je travaille justement à mettre un second parefeu. Niveau recherche, je ne connais pas grand monde dans mon entourage qui pourrait potentiellement m'aider.

Tout est normal chez moi, où il y a un soucis avec pfSense ?

Je vous remercie pour votre retour.

Bonne fin de journée.

Hier j'ai activé l'usage de la ram disk pour tmp et var.
J'ai été confronté à un gros problème.
J'avais laissé les valeurs de 40 et 60 mb par défaut, car les valeurs d'usage étaient bien inférieures.
Peu de temps après, je dirais une heure, pfsense a rebooté tout seul et impossible de s'y connecter.
J'ai réussi à voir le problème en me connectant sur la console.
j'avais une erreur du type "fatal error unable to create lock file no space left on device"
Impossible de faire quoi que ce soit.
toutes les actions de la console me renvoyaient no space left on device.
J'ai dû réinstaller pfsense, mais en reprenant le config.xml
J'ai pu voir au reboot que le /var sur le ramdisk se remplissait à vue œil et dépassait largement en termes de place les 60 mb alloués alors que s'il n'est pas sur le ramdisk, il reste largement en dessous de 60 mb.
J'ai essayé de modifier l'allocation sur la ram disk à 1024 et 2048 respectivement pour tmp et var, mais pfsense n'en tient pas compte et reste à 40 et 60 mb.
J'ai donc du désactiver ram disk.

Serait-ce un bug ? Connu ?

Mais si je regarde du côté de l'écran des statuts VPN, j'ai bien l'info comme quoi je n'ai qu'une seule phase 2 qui est debout :

Est-ce qu'il s'agit d'un bug ?

Je fais de la Vowifi et ca bloque.

Par avance merci

J'ai une VM avec PFSense qui me permet de partager l'Internet avec une autre VM en Windows 11. (l'hyperviseur est Proxmox)

Lorsque je visite certains sites web, j'ai une erreur 403
Exemple: si je vais sur le site greenlinehose.com et je fais une recherche dans l'outil de recherche, je reçois l'erreur 403.

(J'ai fait le test sur un réseau et le site fonctionne)
Avez-vous idée pourquoi ?

Merci !

Qu'ai je oublié?

Merci d'avance aux experts!

Récapitulatif du problème et des actions menées
Problème initial
Dans une architecture réseau où le pare-feu pfSense gère les VLANs et le Fortigate sert de passerelle WAN, nous avons deux VLANs principaux :
• VLAN fonctionnel : 192.168.101.0/24 avec passerelle 192.168.101.1 (pfSense) → Accès Internet OK
• VLAN non fonctionnel : 192.168.250.0/24 avec passerelle 192.168.250.1 (pfSense) → Pas d’accès Internet
Les règles de pare-feu sur pfSense sont identiques pour les deux VLANs, et le DHCP fonctionne correctement sur les deux réseaux. Les PC du VLAN non fonctionnel peuvent ping leur passerelle (192.168.250.1) mais ne peuvent pas accéder à Internet.
Les tests ping et tracert montrent que :
1. Le VLAN non fonctionnel n'a aucune sortie vers Internet

Actions menées et résultats
Vérification des VLANs et IPs
• Les VLANs sont bien configurés avec les bons IDs et leurs sous-réseaux respectifs.
• Les PC du VLAN non fonctionnel reçoivent bien une adresse IP via DHCP et peuvent ping leur passerelle.
Vérification des règles de pare-feu
• Les mêmes règles de filtrage sont appliquées pour les deux VLANs.
• Aucune règle ne bloque explicitement le trafic Internet.
Diagnostic NAT et actions correctives
• Problème détecté : Le NAT automatique sur pfSense ne générait pas de règle pour le VLAN 192.168.250.0/24.
• Action corrective : Une règle NAT manuelle a été ajoutée pour permettre à ce VLAN de traduire ses requêtes vers l’IP WAN de pfSense.
Configuration DNS et tests
• Action corrective : Le DNS a été explicitement défini sur 8.8.8.8 et 1.1.1.1 dans pfSense.

Existe-t-il une liste des flux du pare-feu nécessaires à son fonctionnement?
Je pense au service de mise à jour, au gestionnaire de packages au système d'enregistrement pour le support etc.
Je souhaite filtrer explicitement ce trafic et ne souhaite pas trop de règles trop larges.

Merci d'avance.

Best Regards
Younes

Exemple:
-GROUPE_AD_PROF : Ont accès a tous les sites sauf X sites définis
-GROUPE_AD_ELEVES : N'ont pas accès aux sites de gaming ni X sites définis

Je parviens bien à faire fonctionner le proxy seul. Mais je ne sais pas comment l'intégrer a l'AD pour qu'il puisse identifier qui est connecté et est-ce qu'il a le droit d'accéder a ce site ou non.

Je remercie d'avance ceux qui pourront m'aider

je cherche de mon cote, mais peut etre que qqun a deja eu cela...

Merci de votre aide...