@jdh Oui vous supposez bien. J'ai ajouté à la VM pfSense 4 interfaces Ethernet virtuelles.

1 LAN qui est associée à une première carte physique du serveur hôte qui est reliée à mon LAN.

3 WAN qui sont associées à une seconde carte réseau physique du serveur hôte

Les 3 interfaces Ethernet virtuelles WAN ont chacune un espace d'adressage différent (192.168.0.0/24, 192.168.1.0/24 et 192.168.3.0/24).

La seconde carte physique du serveur hôte est reliée à un petit switche sur lequel sont aussi connectées 2 box ADSL et une box 4G. J'ai donc maintenant 3 connexions Internet que j'ai mises en load balancing et c'est ça qui fonctionne bien.

Bonjour.

J'ai trouvé en allant dans client export j'ai modifié l'option Client Connection Behavior.
En mettant host name resolution sur other et en précisant l'adresse ip public.
Le fichier de config est correct ensuite.

Bonjour,

Tu as cochée "Hardware Checksum offload" c'est bien ; fait un test en cochant également les 2 lignes en dessous :
-> "Disable hardware TCP segmentation offload"
-> "Disable hardware large receive offload"

J'ai At Home un Pf sous proxmox qui fonctionne parfaitement avec ces réglages, mes versions PVE et PF sont plus ancienne.

Cdt

Salut,

Je n'approuve pas démarche de passer outre des restrictions ... mais la solution est simple pour peu qu'il n'y ai qu'une restriction de port ...

1/ tu configure ton client Ovpn pour sortir sur UDP / 443
2/ ton serveur Ovpn sur pf écoute classiquement sur UDP / 1194
3/ tu garde le nat activer sur pf et tu crée 2 règles de nat : TCP/443 vers ton serveur web et UDP/443 vers ovpn avec destination port 1194

Soit tu vois des requêtes dans le log du serveur DHCP soit il n'y a rien. c'est la première étape. Et s'il n'y a pas de trace dans le log DHCP, peut-être y en a t-il dans le log du FW ?
Dans le cas contraire, ça ressemble fort à un problème de configuration de l'hyperviseur plutôt que de pfSense.

la société qui te l'a vendu n'assure pas de maintenance ?

La doc explique que la haute dispo multi-wan se fait en configurant un groupe de gateway et en décrivant ce groupe comme gateway cible dans les règle du pare-feu. C'est aussi simple que ça (à condition de lire la doc^^).
Comment tester ? Simplement en débranchant ton deuxième accès internet (car pour faire de la haute dispo WAN, il faut 2 accès internet, bien sûr)
Donc ce n'est pas LA box que tu as configuré en bridge mais LES box.

Quand le tunnel monte l'interface au niveau de BSD se créé : si pas d'interface, alors pas de tunnel monté !

Juste 1 point : Ipsec, c'est la parfaite correspondance entre les paramètres de chaque côté. Relire chaque réglage plutôt 3 fois qu'une !

Je ne vais pas pouvoir vous aider plus ...

J'ai trouvé 2 liens :

https://docs.aws.amazon.com/fr_fr/vpn/latest/s2svpn/VPC_VPN.html https://www.1strategy.com/blog/2017/08/29/tutorial-using-pfsense-as-a-vpn-to-your-vpc/ (date de 2017)

Il me semble avoir lu IKE v2 (alors que vous indiquez IKE v1) ...
Je ne pense pas que le routage doit être dynamique, mais je me trompe peut-être ...

(Mea culpa : le DH fait partie de la phase 1 bien sûr)

@jdh Quelle patience ... perso, je ne l'ai plus ...

Bonne soirée all

Dans le monde opensource, pour le NAC, il n'y a guère mieux que Packet Fense., et la doc me parait un bon point de départ. Je ne suis pas sûr que d'autres produits ont une doc bien adaptée à un débutant, car c'est une problématique complexe ....

La doc https://packetfence.org/support.html#/documentation avec Installation Guide, Upgrade Guide.
On trouve aussi https://packetfence.org/doc/PacketFence_Administration_Guide mais il semble qu'il s'agit d'une version antérieure.

Il y a des produits commerciaux (dont ceux de Microsoft) mais quand on se pose ce genre de questions, on a rarement un parc 'monolithique', il est donc souvent préférable de choisir un produit assez 'universel' (=moins marqué).

NB Packet Fense commence par bien indiquer les matériels compatibles : à regarder d'abord.

C'est une démarche longue et il faut de la ténacité pour arriver au bout ...

@Dough29 said in [Résolu] Accéder à un VLAN de l'interface WAN depuis le LAN:

Je viens de tomber sur cette documentation qui solutionne mon cas : https://docs.netgate.com/pfsense/en/latest/ google street view interfaces/accessing-modem-from-inside-firewall.html

C'est compliqué de tomber dessus quand on n'utilise pas forcément les bons mots clés 😓

J'avais donc évoqué à raison la piste des "outbounds" et j'ai pu du coup creuser le sujet et mieux comprendre le fonctionnement de NAT à ce niveau 😎

Merci pour ces réponses :)

Merci je vais augmenter les logs afin de voir à quel niveau le rekey ne se fait pas bien .

Bonjour,

Alors moi aussi je suis en train de faire ce setup avec comme but de garder Livebox , TV et phone de coté.
Donc je regarde cette doc :
https://wiki.csnu.org/index.php/Fibre_orange_en_DHCP_avec_routeur_pfsense
J'ai acheté un switch microtik 260gs, parce que je suis un geek et que c'est bien foutu ces switch pour pas chère :)

Bref en attendant d'avancer sur ce setup j'ai ma solution intermédiaire pour la partie TV
Sur un switch qui supporte les vlan je créé un vlan spécial ou je branche et j'isole du reste de mon réseau la livebox et la box tv. Bien entendu j'ai du tirer un câble de mes serveurs vers ma tv mais je suis bien content du résultat.
Après je n'ai rien inventé j'ai suivi l'idée de la doc ci dessus :
"Enfin, dans le cas ou vous ne pourriez pas brancher directement le port LAN de la livebox à votre décodeur, il est possible (à condition que le switch gérant votre lan soit manageable et supporte les VLANs) de brancher le port LAN de la livebox directement à votre switch de LAN et d'y taguer les paquets sur un VLAN (666 dans cet exemple). Cela impose d'avoir un second switch sur votre lan, qui sera, lui, directement connecté au décodeur et qui doit être lui aussi manageable afin de détaguer du VLAN 666 les paquets pour le décodeur. "

Tous ça pour dire que je pense que virtualiser pfsense dans proxmox peut ajouter plus de complication que de solution. Mais c'est intéressant de monter ce setup

Quand j’aurais le temps d’avancer sur ce setup j'ajouterais des infos.

@+

Merci pour ta réponse.
J'ai réussit à créer se matin ma nouvelle base d'authentification.
La raison venait de l'accès LDAP, j'ai changer les paramètres pour les requêtes LDAP, et cela à fonctionner.
J'avais donc fais une erreur de saisie.
Merci pour ton aide. ☺

Même en ouvrant une nouvelle session depuis ton browser ?
C'est le message d'erreur qui dit que ton token de session a expiré

Bonjour kiokoman,

OK, merci pour l'info.

Bonne soirée.

Merci mais j'avais compris et déjà récupéré le fichier en question qui est le config.xml.