Ok merci je vais tester

Le formulaire n'est pas respecté et les infos fournies sont 'de faible qualité' entre autres, très incomplètes ! J'ai du mal à comprendre la justification de ne pas décrire le plus complètement sa situation : c'est assez stupide de croire que les lecteurs vont deviner.

De même, une réflexion simple et logique manque :

une interface web de config ne fonctionne pas, le cas est NECESSAIREMENT prévu par les concepteurs, quels autres endroits pour la solution que la console.

Une autre réflexion simple et logique manque :

une interface web de config passe forcément par le port 80, 443 ou un autre volontairement choisi, par défaut pfSense affiche des règles dites 'anti-lockout' peut-on désactiver ces règles 'anti-lockout' ? est il si illogique de ne pas créer 'en haut en premier' une règle d'authorisation ?

@free4 said in pfsense synology radius authentification:

access-accept est Class

j'ai rien.
il faut que je creuse du coté du schéma ldap du serveur du syno.
merci

Hello @DAVID-1 ,

De ce que je comprends, tu as actuellement quelque chose comme ça, je me trompe ?
542c045c-c8dc-4163-b74c-87d075eae196-image.png

Question : que veux tu dire par "la connexion internet se coupe" ? Je pose cette question car actuellement, aucun périphérique ne passe par pfSense pour aller sur internet. En effet, dans la configuration actuelle

PfSense lui même passe par l'IP publique les équipements sur le LAN passent directement par 172.16.1.1.

Ou alors j'ai mal compris quelque chose?

@jdh En tous cas, il semble que l'on se soit compris avec f77, stanthewizard, chris 4916, killpilot...

On a exactement le même problème qui est lié au fait que l'on n'est probablement pas des super technos mais des utilisateurs qui essayent de comprendre comment utiliser pFsense en ipv6. On se débrouille en ipv4.

Peut être que si les "spécialistes" d'ipv6 faisaient des efforts alors ce protocole serait plus développé.

Plutôt que de critiquer celles et ceux qui posent des questions il faudrait réflechir à écrire un bouquin comme pfsense ipv6 pour les nuls !

@Aldy said in Gateway LAN pfsense:

quand il faut inclure ma passerelle dans la patte LAN de mon serveur afin de transporter ma connexion via un autre réseau que celui introduite dans l'application,

Je ne comprend absolument pas ce que cela veut dire. Il là aussi normal que vous n'ayez pas de réponse puisque la question n'est pas compréhensible.

Salut salut

Je rappellerais a toutes fins utiles que :

vous êtes dans une section francophone, merci de répondre dans la langue de Molière. nous ne sommes pas tous anglophiles et ou anglophones, ne pas répondre par un google translate est votre ami, il n'est pas exempt d'erreurs de traduction et génère des non sens.

Merci d'avance.

Pour ce qui est des problématiques de proxy filter, ma question est de savoir si d'autres sites soient bien filtrer ou pas.
Si c'est le cas, je ne suis pas sur que cela vienne d'un paramétrage de ce dernier mais de squid ou squidguard et je vous redirigerais donc vers le site/forum de ce dernier.

Cordialement.

Moi je ping mon/mes IP publique, car ayant plusieurs WAN, j'ai toujours eu peur que le monitoring passe par un autre WAN pour atteindre les IP des passerelles FAI (et donc, ne signale pas la panne)
(solution évidemment pas applicable en cas d'IP non fixe)

Suggestion : à part par l'adresse MAC, je ne vois pas comment Orange peut détecter la Livebox. As-tu essayé de spoofer l'adresse MAC de la LiveBox dans pFsense ?
Sur l'interface WAN, dans General Configuration, paramètre MAC Address

Ici : http://wiki.csnu.org/index.php/Fibre_orange_en_DHCP_avec_routeur_pfsense est bien indiqué que la priorité doit être à 0 pour le débit maximum.

edit : dans le lien ci dessus, ça dit que ce n'est pas du PPPoE mais du DHCP,

@Gertjan merci pour tout l’intérêt et ton éclaircissement.

par contre je me permet de compléter mon post par une petite expérience (qui n'a rien à voir avec le sujet)

je suis chez FREE avec la mini 4K.

mon but principal était de bridger la box pour n'avoir que PFsense, c'est la que les problèmes ont commencés!!

la mini 4k en firmware 4.0.5 a un bug en mode bridge connexion VDSL ( c'est ce que j'ai, sais pas pour les autres). Donc en mode bridge elle attribue sur son LAN via DHCP la copie de son WAN (don PFsense coté wan en client DHCP)sauf que quand elle perd la synchro dsl, pour mon cas cela arrive 1 fois toute les 24H, elle ne rétablie par les serveur DNS (FREE).
il faut la redémarrer manuellement pour quelle les retrouvent. et le problème est connu de chez FREE. De plus a mon niveau j'ai mis du temps a trouver la panne car les ping fonctionnent dans tout les sens.

je suis donc passé avec de la DMZ.

si mon expérience peut aider quelqu'un...

Ah ... Merci, je viens de comprendre la subtilité.
Mais tu juges trop rapidement, car j'avais cherché, mais surement très mal, et pas avec les bons mots clefs.

Très bonne journée,

Bonjour,

@chris4916 , merci pour ta réponse. Pour le traffic HTTPS, non je n'ai pas que nextcloud. J'ai ma console domotique, des questionnaire de satisfaction, un site pour connaitre l'adresse ip publique etc ...

@ccnet , J'ai jeté un oeil à kemp, mais je pense que cela sera trop surdimensionné pour moi et surtout l'utilisation.

Donc selon mon usage, je vais rester sur cette solution (HAProxy sur pfSense). Le seul point non chiffré sera du haproxy vers le serveur cible. ou alors à mettre en place une nouvelle liaison https de haproxy vers le serveur cible.

A retenir de ce topic:

HAProxy ne fait pas partie intégrante de pfSense, il vaut mieux poser la question sur une section dédiée ou un autre forum. Merci à vous pour réponses tout de même ! La liaison HTTPS s'effectue du client au HAProxy. Il est possible ensuite de communiquer de nouveau en https mais à l'initiative du reverse proxy vers le serveur cible.

Merci beaucoup pour votre aide, je me coucherais moins bête =)

Samba vs. domaine Windows, c'est avant tout une question de vocabulaire et de glossaire.
Au départ, Samba c'est un serveur de fichier SMB qui a rapidement évolué pour être CIFS compatible, c'est à dire compatible avec le serveur de fichier Microsoft.
A partir de là, comme il fallait, afin d'être vraiment compatible avec Microsoft qui détient une grosse part du marché, offrir, au delà des permissions standard sur les fichiers, des mécanismes similaires à ceux de Microsoft, Samba à évolué de la gestion d'un workgroup avec WINS etc... à l**'émulation d'un domaine** avec WindBind.
Mais pour pleinement profiter du concept de domaine, il faut s'appuyer sur Kerberos et au final, de mon point de vue, comme un domaine Windows c'est un royaume Kerberos avec un annuaire LDAP en back-end, entre Samba et un "vrai" domaine Windows, il n'y a pas beaucoup de différence. comme tu l'écris assez justement, la différence, c'est la manière dont sont supportées les GPO.
Mais tu peux sans problème mettre en oeuvre des GPO avec Samba :-)
Il suffit que ton annuaire LDAP les mette à disposition puisque c'est le client Windows qui applique les GPO.

Quelques petites précisions supplémentaires, hors sujet pfSense mais dans le prolongement de ta réponse:

oui Kerberos c'est mieux que NTLM. aucun doute la-dessus c'est plus sécurisé mais ça dépend des implémentations celle de MIT est plutôt bien coté sécurité celle de Heimdal.... et celle de Microsoft présentent des failles qui sont largement exploitées comme pass-the-hash.

Je te laisse regarder Mimikatz :-)

Enfin, Kerberos ce n'est pas exactement de la fédération, de mon point de vue, même si ça s'en approche pas mal.

Les choses sont souvent confuses autour de fédération, SSO et Kerberos.
La fédération chez Microsoft, c'est ADFS qui implémente des protocoles comme WS-F/WS-T (qui peuvent s'appuyer sur Kerberos BTW), SAML et depuis peu OAuth.

salut salut

Bien que pas ressent lisez ce tuto
https://forum.netgate.com/topic/110706/tuto-cluster
Adaptez le en plus à votre sauce, il y a la cerise sur le gateau avec du multi wan.

Cela fonctionne depuis la V2.0.0
Pour ma part je suis avec un archi physique comme cela depuis plusieurs années.
Je n'ai eu qu'un gros soucis hardware en 10 ans ou presque.

Si vous respecter les actions et paramétage cela devrait fonctionner, comme déjà évoqué si cela ne fonctionne pas cela pourrait bien venir de votre hyperviseur.
Sur esxi j'avais fait un maquettage de full HA avec du pf en front head, juste un soucis avec nic promiscuité qu'il fallait on ou off je ne sais plus cela date pour moi.

Bon courage

bonsour @chris4916 ,

Merci pour ta réponse.

Etant encore en phase d'apprentissage avec pfsense, je suis partis du principe de bloquer tous les ports, et de les ouvrir un à un lorsque j'en ai besoin. Mais cela fera sans nul doute parti d'un ou plusieurs autre topic afin d'en discuter et évoluer sur cette partie.

Merci encore :)

Bonjour,

Si ça peut aider j'ai eu le même problème sur des shuttle, il faut désactiver les ports serie (RS232) dans le BIOS.