Le routeur, à condition, si tu en as besoin, de savoir gérer la partie PPPoE, te permet de faire du NAT et donc de disposer sur pfSense des 3 IP que ne te donne pas ton ISP.
le niveau de redondance est celui, dans tous les cas, de ta ligne FTTH, donc pas vraiment pénalisant.

(réponse 2)

Dans une entreprise, multi-sites, en 1996, alors que les pc les plus modernes étaient sous Windows 95, que les serveurs étaient des NOVELL Netware 3.11 avec son protocole IPX, que très rares étaient les micros avec un modem 14400 (même pas 56k) pour accéder à Internet, j'avais décidé l'adressage 200.1.x.x pour le site 1, 200.2.x.x pour le site 2, et ainsi de suite ...

J'aurais bien aimé que le technicien de Transfix m'explique que je devais lire la RFC1918, c'est à dire revoir mon adressage interne !!!
Pourtant, il a configuré les routeurs avec ces adressages locaux !

Quand on choisit les réseaux 192.168.17.0/24 et 192.168.18.0/24, on peut les 'doubler' chacun avec /23 mais pas les 'quadrupler' avec /22 !
NB : 192.168.17.0/24 devient 192.168.16.0/23 avec les adresses entre 192.168.16.1 et 192.168.17.254.
et 192.168.18.0/24 devient 192.168.18.0/23 avec les adresses entre 192.168.18.1 et 192.168.19.254.

Quel est l'intérêt d'un masque /21 ? d'avoir 2046 matériels dans le même réseau, sans aucun filtrage entre chacun de ces matériels ?

@chris4916

Je ne parlais pas d'OpenVPN pour le flux à 200Mbit mais simplement le lien fibre. J'ai des anciens pfsenses avec des Atom (et pas d'AES) et en firewall simple ils ne dépassent pas plus de 200 - 300 Mbit, si je monte un IPSEC dessus c'est max 10 Mbit.

Là avec du core i5 et du pfsense 2.4 en VM j'arrive maintenant à avoir du Gigabit par IPSEC (Lien fibre 1 Gbit symétrique vers serveur dédié) voir tout simplement du 500 Mbit entre des lignes fibre Orange Pro ce qui est top :)

OpenVPN c'est un autre débat, on arrive pas réellement à passer les 200 Mbits mais c'est un probleme natif d'OpenVPN (quand c'est pas le pfsense qui rame c'est de toute facon le PC connecté à distance...).

Si on veut du road warrior il a plus de 200Mbit il faut se passer d'OpenVPN.

Merci, mais je recherchais un prestataire local.
Ca n'a pas été facile à trouver, la plupart des prestataires ne connaissent pas ou ne souhaitent pas travailler avec Pfsense.
Je n'en ai trouvé qu'un seul qui maitrise le produit. C'est lui qui va me gérer mon installation.

dev tun
persist-tun
persist-key
cipher AES-256-CBC
ncp-ciphers AES-128-GCM
auth SHA1
tls-client
client
resolv-retry infinite
remote 192.168.1.30 1194 udp
remote-cert-tls server

<ca>
-----BEGIN CERTIFICATE-----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ce qui ne vas pas, c'est que tu as essayé d'installer openbgp sur le serveur "a la main", alors que le but est d'utiliser le GUI

https://docs.netgate.com/pfsense/en/latest/packages/openbgpd-package.html

va dans System->packages, installe key package openbgpd
de nouveaux menus seront disponibles Dans le GUI

bonjour

aucun agents d'installer .

oui via SSH surement ( je diffuse le portail captif via OVA aux différents sites pour le déploiements )

Bon, j'ai refais des test avant de partir. Je suis reparti d'une fresh install et j'ai restauré les sections une à une. Pas de soucis particulier.

En revanche, si je fais une full restore, c'est à ce moment là que j'ai des problèmes.

J'ai trouvé une conf de début janvier qui elle fonctionne sans soucis. Je suis reparti de cette conf.

En faisant un diff avec celle qui ne fonctionne pas, la seule différence majeure que j'ai concerne le package pfblockerng. Le block de conf est présent dans la version qui fonctionne et pas dans l'autre.

Mais dans les 2 cas, le package n'est pas installé. Je l'avais testé puis supprimé bien avant d'avoir des soucis.

Je ne sais pas si je suis très clair. Mais en attendant, mon problème est résolu.

Merci pour votre aide.

super!! ça marche!
merci

Au boulot, hier même, j'ai configuré un 'unbound' sur ... un proxy dédié pour filtrer certains noms dns (genre windows-update). J'ai trouvé les paramètres qui vont bien, à savoir 'local-zone' et 'local-data' dans le fichier de conf. (Et j'ai bien atteint mon but.).

S'il y a besoin de quelques définitions (jqa 10 p.e.), dnsmasq ou unbound peuvent faire l'affaire. Mais si vous avez une vraie zone, c'est quand même plus logique d'avoir un petit serveur pour ça. Au pire, si vous êtes une bille en config Bind, webmin peut aider.

Mais, moi, JAMAIS, je ne mettrais un Bind sur un firewall ! Cela n'a aucun sens.

Au boulot, je n'ai plus de pfSense, je n'ai que des Stormshield maintenant, et je ne les utilise pas comme 'cache-dns' car, pour ça, ils sont très lents !

NB : SI j'ai écris 'manque de recherche', c'est parce que, il y a nativement dnsmasq et unbound sur pfSense, et que, donc, il est largement possible de commencer par cela !

La désinstallation du package Squid s'impose évidement, suive d'un redémarrage du firewall tout aussi évidement.

@filipefidalgo Si vous essayez de vous connecter avec un autre client (pas Windows)?? Par exemple, Mac VPN client, Android Strongswan . Va se passer la même chose ?

IKE_SA rekeying
The Windows 7 client supports IKE_SA rekeying, but can't handle unsupported Diffie Hellman groups. If a strongSwan gateway initiates IKE_SA rekeying, it must use modp1024 as the DH group in the first attempt, otherwise rekeying fails. You can achieve this by setting modp1024 as the first (or only) DH group in the gateways ike proposal.

CHILD_SA rekeying
Rekeying CHILD_SAs is also supported by the Windows 7 client. For some reason, a client behind NAT does not accept a rekeying attempt and rejects it with a Microsoft specific notify 12345, containing an error code ERROR_IPSEC_IKE_INVALID_SITUATION.

To work around the issue, let the client initiate the rekeying (set rekey=no on the server). It will do so about every 58 minutes and 46 seconds, so set the gateway rekey time a little higher. There is no way known to change the rekey time (the netsh.ras.ikev2saexpiry options affect the Windows Server implementation only).

Another option is to set no rekey time, but only a hard lifetime to delete the CHILD_SA. The client will renegotiate the SA when required.

0_1547822051580_dd85ba97-51d8-4aec-99ae-8572653e8fb4-image.png

Par défaut , strongswan (phase 2) est configuré pour échanger des clés après 1 heure, essayez d'augmenter cet intervalle
Ou faire en sorte que le client lui-même initie l'échange de clés, comme il est écrit ci-dessus en anglais

@kalistyan said in VPN IPSec et règle par défaut:

Bonjour
Par défaut , Pfsense crée 2 règles cachées pour l'interface IPSEC .
1 . block in inet all tracker 1000000103 label "Default deny rule IPv4"
Cette règle bloque par défaut tout le nouveau trafic entrant (sur toutes les interfaces) du pare-feu (y compris sur l'interface IPSEC B->A)
2 . pass out on $IPsec all tracker 1000008311 keep state label "IPsec internal host to host"
Cette règle autorise tout le trafic sortant de A->B
Vous voyez cette règle dans l'image ( seulement numéro de règle est différent , mais ce n'est pas important)
Cela signifie que,par défaut, vous pouvez ping hôte 192.168.116.254 (a - >B) à travers le tunnel
Et vous ne pouvez pas ping hôte 192.168.100.8 (B->A) à travers le tunnel
Ces règles ne peuvent pas être désactivées

Règles sur les interfaces (WAN, Lan, IPSEC,...) ne fonctionnent QUE pour le trafic entrant

Pour filtrer le trafic sortant pour l'interface ipsec (A->B), il suffit d'organiser le filtrage sur l'interface Lan.
Pour filtrer le trafic entrant pour l'interface ipsec (B->A), il suffit d'organiser le filtrage sur l'interface IPSEC.
https://www.netgate.com/docs/pfsense/book/firewall/index.html

Tu ne le précises pas mais je suppose que ton proxy fonctionne en mode "transparent", ce qui effectivement, dans ce cas, ne permet pas de filtrer HTTPS sauf à activer SSL Bump (man in the middle), lequel n'est pas forcément la meilleure idée, même si il n'y a parfois pas d'autre choix.

Avec un proxy explicite, le filtrage des domaines pour les sites en HTTPS en s'appuyant sur une blacklist fonctionne sans souci.
Ce qui ne fonctionne pas, c'est juste le filtrage de contenu.

Si, pour une quelconque raison tu ne peux pas passer en proxy explicite:

as-tu vérifié la validité de ton certificat ? est-ce que celui-ci est bien trusté par le client ?

Bon...

@ccnet : il fallait comprendre un pare-feu PFSENSE avec un fonctionnement standard.... Bref..

Le problème n'est pas de savoir si c'est un client nomade à réseau, ou réseau à réseau, mais de comprendre les pertes de datagrammes UDP 4500.

En fait, ces paquets sont fragmentés, du coup pfsense, avec l'option de scrub qui est par défaut, va réassembler ces paquets avant de les transmettre au destinataire, mais packetfilter les drop car ils les considère comme ambigus.

Du coup, en cochent la case "Disables the PF scrubbing option which can sometimes interfere with NFS traffic." dans "system -> advanced -> Firewall & NAT", les paquets ne sont plus réassemblés, packetfilter laisse donc passer ces paquets cette fois considérés légitimes, et le tunnel IPSEC fonctionne !

Voilà voilà.

Bonjour,

Merci à vous deux, j'ai résolu mon problème en ajoutant une surcharge d'hôte dans le DNS Resolver.

@karibou
Voici ce que je vois
Pour une raison inconnue, 192.168.0.8 réinitialise la connexion
Êtes-vous sûr que 192.168.0.8 utilise le port 12345 ?

0_1547589194883_e81a7dac-4dc0-4e71-bbea-59f892e6bcbe-image.png

Pourquoi TCP RST envoyé immédiatement après SYN?
La raison peut être aussi un peu. Cela signifie généralement que le port sur lequel vous essayez d'ouvrir la connexion n'est pas disponible. Le serveur est désactivé, le serveur est occupé ou ce port est fermé. Par conséquent, SYN est réinitialisé et c'est tout.

J'ai lu des choses sur des failles qui consistent à intercepter les requêtes DNS (man-in-the-middle)

Aucune "faille". Le trafic dns est en clair. N'impote quel équipement réseau (ou presuqe) le permet.

A priori on peut aujourd'hui sécuriser cela, avec DNSSEC je crois (je n'en sais pas plus pour le moment).

Il faudrait commencer par comprendre sur quoi porte la sécurisation fournie par DNSSEC.

il est donc intéressant d'avoir son propre serveur DNS

Vous êtes vous demandé d'où vont provenir les information que votre dns va vous fournir ? Regardez de plus près le fonctionnement de dns, cela devrait calmer vos ardeurs. C'est certe interessant maos pas pour ce que vous croyez probablement.

Sinon, le serveur DNS est la première source de censure utilisée,

Source de censure ? Si tel était le cas on pourrait parler de méthode. Pour les pays où l'internet est censuré, c'est "légèrement" plus compliqué.

les DNS de ces sociétés ne sont pas fiables et je n'y fais aucune confiance.

Vous êtes un brin conspirationniste. Ils sont tout à fait fiables si ce n'est qu'ils font usage des requêtes dns. On peut dire qu'il ne garantisse pas la confidentialité des recherches.
Dans ce registre je vous invite à réfléchir sur l'OS que vous utilisez, le navigateur que vous utilisez et sa configuration, votre messagerie et vos inscriptions éventuelles sur les réseaux sociaux, ou même simplement les pages comportant le bouton like de Facebook par exemple, ou encore un simple programme de fidélité auquel vous seriez inscrit. Et votre smartphone bien sûr.

c'est aussi simple que ça:
https://www.google.com/search?client=firefox-b&q=squidguard+toulouse+blacklist

@chris4916
Merci pour les infos, j'ai entrevu ce genre de possibilités dans différents articles sur pfsense ces derniers jours, il me semble effectivement qu'il y a du potentiel.