bonjour
après plusieurs recherches sur internet j'ai trouve afin de mettre du 10 giga en local et voir peut etre virer ma box apres mais bon déjà en local
voila ma config :
version de pfsense :
Version 2.4.5-RELEASE (amd64)
built on Tue Mar 24 15:25:50 EDT 2020
FreeBSD 11.3-STABLE

Materiel de la machine
CPU Type Intel(R) Xeon(R) CPU E31230 @ 3.20GHz
Current: 3200 MHz, Max: 3201 MHz
8 CPUs: 1 package(s) x 4 core(s) x 2 hardware threads
AES-NI CPU Crypto: No
Memoire State table size
0% (206/3269000) Show states

RÉSEAU
Carte réseau :
Pour le Lan :intel 82599EN Single port 10 G SFP+ PCie 2.0 x8 avec des module cisco fibre de chaque coté
Pour le wan carte interne chipset intel
Switch :
Netgear xs508m
1 x SFP+10 Gigabit/1G et cuivre (combo)
7 Ports cuivre 100M/1G/2,5G/5G/10 Gigabit RJ-45
Tout cela fonctionne
merci a vous pour réponses
Si vous avez besoin de conseils n’hésitez pas
Bonne journée

bonjour
après plusieurs recherches sur internet j'ai trouve afin de mettre du 10 giga en local et voir peut etre virer ma box apres mais bon deja en local
voila ma config :
version de pfsense :
Version 2.4.5-RELEASE (amd64)
built on Tue Mar 24 15:25:50 EDT 2020
FreeBSD 11.3-STABLE

Materiel de la machine
CPU Type Intel(R) Xeon(R) CPU E31230 @ 3.20GHz
Current: 3200 MHz, Max: 3201 MHz
8 CPUs: 1 package(s) x 4 core(s) x 2 hardware threads
AES-NI CPU Crypto: No
Memoire State table size
0% (206/3269000) Show states

RÉSEAU
Carte réseau :
Pour le Lan :intel 82599EN Single port 10 G SFP+ PCie 2.0 x8 avec des module cisco fibre de chaque coté
Pour le wan carte interne chipset intel
Switch :
Netgear xs508m
1 x SFP+10 Gigabit/1G et cuivre (combo)
7 Ports cuivre 100M/1G/2,5G/5G/10 Gigabit RJ-45
Tout cela fonctionne
merci a vous pour réponses
Si vous avez besoin de conseils n’hésitez pas
Bonne journée

Quelques remarques :

vous ne connaissez pas les alias, c'est (très) dommage car c'est très utile vous parlez de 2 sites, mais pour schéma et règles, vous n'en décrivez qu'1 ! le problème est ipsec et je ne vois que FIREWALL > Rules > onglet Ipsec d'un seul côté (de plus mal configuré), pas d'info sur le tunnel Ipsec : est-il monté ? que disent les logs ? le règles NAT et WAN n'ont pas beaucoup d'utilité pour un problème d'Ipsec, non ?

Il manque d'informations.
Utilisez des alias et mettez une description à chaque règle
Soyez précis dans les règles : si dans une phase 2, il y a 2 réseaux reliés, il doit y avoir une règle avec les réseaux comme source et destination
Parlez vous à vous : ce qui de conçoit bien, s'énonce clairement et les mots pour le dire viennent aisément (Nicolas BOILEAU)
Une règle = un ou 2 tests qui correspondent,
Etape par étape : si une étape ne fonctionne pas, pas la peine de passer à la suivante ...

merci j'ai finalement trouver le probleme , Vmware à supprimer mon bridge pour aucune raison

Super !
C'est exactement ce qu'il me faut.
Merci,

Effectivement je n'ai pas précisé, je croyais.

Oui je suis 100% d'accord, je suis habitué à utilisé des machines sous Linux en DMZ.

J'ai, cependant résolu mon problème. Il s'agissait des ports dynamiques qui ne passait pas mon firewall (Netlogon, RPC et FRS). Je les ais fixés sur mon DC et ajouter à la liste de mon firewall et tout est ok !

Je compte pas au final l'utiliser dans ma DMZ mais seulement sur mes postes de LAN production.

(Je n'avais pas vu que 'herbi' n'est pas l'intiateur du fil, et voilà un 3ième pseudo ...)

Pour 600 utilisateurs (et le trafic qui va avec), on créé un serveur proxy dédié (voire 2). Par exemple, avec une Debian à jour, 4 vcpu, de la mémoire (8G doit le faire) et du disque (pas trop ~60G devrait suffire : l'efficacité du cache diminue avec la taille).

Et puis on y va : install Squid et SquidGuard, config Squid et SquidGuard, plus la blacklist de Toulouse et un script qui automatise la maj, on choisit un visualiseur de log, la rotation des mêmes logs, ...

On teste, on reteste, on continue à tester.
Puis on ajoute WPAD et ça s'applique à tous ...
Et enfin on règle le firewall pour n'autoriser que le proxy

C'est plus facile quand on maitrise bien les mécanismes en jeu ...

On ne voit absolument pas le rapport à pfSense !!

L'enregistrement dns 'oshun-beauty.com' renvoie à l'ip (v4) 217.160.0.235. Cette ip est dans une range attribuée à 1&1, donc probablement un serveur mutualisé ou dédié chez 1&1.

Typiquement une entreprise fait développer un site web par une agence qui réserve le domaine (alors que l'informatique de l'entreprise est aussi compétente pour la gestion dns). Mais les agences web sont-elles qualifiées pour définir l'infra d'un site web ? Pas toujours ... (car leurs compétences sont plutôt sur le web, très complexe pour un expert de l'infra).

Au niveau de l'infra d'un site web (via un serveur dédié ou propre), on verra classiquement un firewall (simple), un reverse-proxy (avec les réglages adaptés au site), un serveur web avec le site lui-même. Rares sont les compétences maitrisant tant le dns, le firewall, le reverse-proxy filtrant, le serveur web, les ressources et framework d'un site web (ici WordPress + Yoast) ... sans oublier le référencement ...

Généralement, on se trompe en pensant que la web agency sait tout faire, en particulier sur la sécurité ... (exemple les outils type WordPress, Joomla, et autres DOIVENT être mis à jour très régulièrement et cela n'est guère/pas compris par le donneur d'ordre ni annoncé par l'agence !)

Notez que les éléments que j'indique (1&1, Apache, Php, WordPress, Yoast plugin v14.1) ne prennent que moins de 5' à trouver : autant de recherches d'exploits à chercher par la suite pour hacker le site...
(Je complète la liste des technos utilisées : Apache Php, WordPress, JQuery, Google Api, Facebook pixel, WooCommerce, ... des sites d'analyse 'SEO' donnent cela en minutes ... : exemple d'infos : le nom dns expire dans 20 jours +25/5/2020 : attention)

Voila (quelques) infos ...

On voit qu'il y a 2 machines qui doivent faire du NAT :

le Microtik, situé ente 2 réseaux distincts, le pfsense , situé entre 2 réseaux distincts.

Donc double NAT à réaliser, ou plutôt, 2 machines avec chacune son réglage de NAT (Port forward).

Certains préfèrent un simple 'modem' (ou bridge) devant pfSense, ainsi pfSense a l'ip publique et il n'y a qu'un réglage de NAT à réaliser.

Certaines Box ont une définition de 'dmz' : tout trafic internet en renvoyé (=Port forward) vers le WAN du pfSense, il ne reste que le réglage du pfSense.

Comme dit dans mon premier post c'est un exemple pour expliquer le pb que j'ai ramené a la maison dans un cas simple !! je ne donnerai pas plus d'info sur la config cible mais le mystère reste.

Merci à tous j'ai bien compris qu'il faut se limiter à ce qui marche simplement.
Bye bye à tous.

Bonjour à tous,

j'ai au cours de la semaine complété les tests, j'en suis a l'heure actuelle à ce point :

inversion de la RAM avec la RAM d'une machine n'aillant pas l'erreur -> l'erreur reste présente sur cette machine réinstallation et test avec un autre disque dur sans réimplantation de sauvegarde pour éviter tout problème lier au paramétrage ->l'erreur reste présente changement de l'alimentation -> l'erreur reste présente changement une seconde fois des câbles réseaux ->l'erreur reste présente memtest sur la RAM -> pas d'erreur Stress test CPU -> pas d'erreur test carte mère -> pas d'erreur

je ne vois plus quoi tester avez vous une idée de la cause?

merci

Jérémy

@janus006 said in Forward to specific machine based on URL/address:

Par contre, le ton plutôt condescendant

Ca c'est VOTRE seul point de vue ! (Ca me gonfle de lire cela ...)

J'ai juste écrit 'vous avez un ASSEZ GRAVE pb de compréhension parce que ...' et j'ai décrit TOUTES les étapes (que vous ignoriez d'où le raisonnement erroné). C'est mon côté pédagogique : et c'est très nécessaire vu le grand nombre de personnes qui méconnaissent ces étapes (vous êtes loin d'être seul).

Merci de cessez d'attribuer des pensées qui ne sont que les vôtres aux autres, et posez vous la question : quel est votre problème quand on vous explique quelque chose, et pourquoi vous réagissez comme ça ? (Ca devait pas être facile pour vos professeurs ...)

J'aurai souhaité (Il eut été souhaitable de) plutôt lire : merci de ces explications que j'ignorai.

Quand à 'Par contre, si l’occasion se présente que vous ayez à nouveau la réponse à l'une de mes interrogations, votre abstention serait fort appréciée et ce, même si vous avez la solution miracle à me fournir.', c'est éloquent (sur votre problème : j'ai une question mais untel ne doit pas répondre !)

Trop d'information tue l'information ...
néanmoins j'ai respecté les posts

https://forum.netgate.com/topic/71599/a-lire-en-premier-charte-à-respecter-pour-la-demande-d-aide
https://forum.netgate.com/topic/63434/a-tous-les-débutants
https://forum.netgate.com/topic/9157/règles-section-française

sachant que pour demander du support je comprends tout à fait qu'il faille présenter le contexte.
Bref, une journée pour faire mon message avec des allers et retours .... et progrès aussi car au début pas de connexion VPN, plus d'Internet LAN / WIFI ☺
et sans compter le fait que pour poster ma demande de support (avec images logs et tout ce qui va bien) j'ai pleuré 5 réputations (Merci encore à Rico).

Le problème
OpenVPN Client connexion ok avec erreurs dans les logs
Je route mon traffic WIFI sur le VPN, et je n'ai pas de retour INTERNET : IN (qu'on voit d'ailleurs dans le graphique)
Par contre .... vu le graphique toutes mes données partent dans le Tunnel alors que j'ai très peu voir pas d'activité sur le WIFI

Brefs, les tutoriels n'ont rien donnés pour moi, ils sont au début identiques et c'est vers la fin où je me plante.

Sinon, SNORT : détection d'intrusion, est à mon sens une couche supplémentaire sur le Firewall (du coup je viens de jeter un oeil rapide sur les logs : RAS).

D'avance merci.