J'ai enfin solutionné mon probleme. Mon netmask etait mal configuré (255.255.255.255) (/etc/network/interfaces).
En le changeant en (255.255.255.0) et reboot du noeud, plus de soucis ni d'erreur(s) dans le firewall de pfsense.

C'est ce topic qui m'a mis sur la voie ;), merci à eux :) https://forum.pfsense.org/index.php?topic=89685.0

Merci Gertjan de fournir le lien (si difficile à trouver !) et le texte relatif à 'Network interfaces'.

Sur les 2 photos (du milieu et de droite) où on voit la face arrière, on voit nettement un bloc de 4 prises et 2 prises séparées.
Il n'y a pas besoin d'être très intelligent pour comprendre que le bloc de 4 prises est un switch, ce qui se retrouve sur nombre de routeurs Wifi/Adsl ou box.
C'est d'ailleurs écrit dans le texte "four-port 1 gbps […] switch".
Et au cas où on aurait rien compris : "to the third port on the SoC" = le processeur dispose de 3 interfaces réseaux distinctes
(2 interfaces avec 1 seul port RJ chacune et la 3ième sous forme de switch à 4 ports RJ)

Bref, il y avait largement de quoi éviter d'ouvrir un fil …

Il y a une autre façon de raisonner …

Le portail captif est juste un 'interrupteur' : passage ou non au travers du firewall.
L'ouverture de l'interupteur, c'est à dire la traversée du firewall est déclanché par une identification (externe au firewall grâce à Radius).

Mais un proxy, tel Squid, est tout-à fait capable (lui-même) d'authentifier un utilisateur, notamment via l'identifant de la session Windows du poste qui correspond à l'utilisateur de l'AD.
Dès qu'un utilisateur

ouvre une session, avec son identiifant AD, il peut ouvrir un navigateur, qui va trouver le proxy automatiquement par WPAD, lequel proxy reviendra récupérer son identifiant (de session = AD) et indiquera dans son log l'utilisateur en question.

Cette façon de faire est basé sur l'utilisation seule du proxy, ce qui est plus simple puisqu'un élément de moins !
Il est bon de savoir que l'identification du portail captif n'est pas l'identification au travers du proxy.
On peut juste parcourir les logs :

dans le portail captif, on peut associer une identification avec une adresse ip, dans le proxy (sans authentification), on trouve juste l'ip,
Si les 2 machines sont bien synchronisées, on peut faire le joint et annoncer ce trafic (de cette ip) correspond à l'identification !

Dans le cas du proxy réalisant lui-même l'authentification, il n'y a pas besoin de portail captif !

Ok c'est compris.

Dernière question : Comme il faut avoir plusieurs serveurs si l'infrastructure commencent à être importante peut-on tout mettre sur un hyperviseur (genre hyperV ou proxmox) et faire une VM pour pfsense une VM pour le proxy une VM pour le deuxième pfsense pour cloisonner la DMZ et une VM par serveur applicatif ?

Est ce daugeureux d'avoir les pfsense sur la même machine physique ?

En terme de budget de place je préférerais tout avoir dans un seul serveur…

Merci

Ce que je fais avec Proxmox :

chaque carte physique est associée à un bridge VMBRx (ce qui n'est pas votre cas).

De plus, votre config n'est pas cohérente avec vos souhaits :
Internet <-> box <> (WAN) pfsense (LAN) <-> réseau interne

La carte physique connectée avec la box doit correspondre à un bridge VMBRx fournie à la seule VM pfSense comme WAN.
L'hôte Proxmox aura son adresse sur l'autre VMBRy.
Toutes les autres VM doivent avoir leur interface depuis l'autre VMBRy.
Et bien sûr tout ce qui est sur VMBRy ne doit pas être dans le même réseau que la box !

Exemple :

la box est 192.168.1.1 -> réseau WAN 192.168.1.x/24, pfsense (WAN) sera en 192.168.1.2 p.e. le réseau interne sera en 192.168.33.x/24 (pour les bordelais) pfsense (LAN) sera en 192.168.33.1 l'hôte Proxmos sera en 192.168.33.10 les VM et PC seront 192.168.33.x, avec DHCP fourni par pfSense VMBR0 sera associé à une carte physique reliée à la box, et n'aura pas d'adresse, et sera fournie comme 1ère interface à la VM pfSense VMBR1 sera associé à une carte physique relié à un switch, et aura l'adresse 192.168.33.10, et sera fournie comme 2ième interface à pfSense et sera fournie aux autres VM.

Vous avez du boulot de changement d'ip et d'ajustement de votre proxmox … (prenez le temps de bien le faire)

@kvienbeach:

J'ai autoriser les règles sur le WAN et le LAN pour:
TCP/UDP 53, HTTP 80, HTTPS 443

Cela ne sert à rien sur wan.

A présent je ne comprends pas comment paramétrer le NAT de pfsense.

Pour quoi faire ?

@Jeannoel:

Mon problème est ds le titre et les printscreen pour les info.
Noop.
Ce 10 MiB en plus ne pose pas de problèmes.
C'est ceci :
@Jeannoel:

pkg-static: https://pkg.pfsense.org/ …... =>  Operation timed out
Failed

Ceci pourrait être temporaire.

Hello,

voici la solution qui va bien :

Changing Net.ReversePathFwdCheckPromisc

Login VMware vSphere Client

For each VMWare host

Click on host to configure and select Configuration Tab
    Click Software Advanced Settings in left pane
    Click on Net and scroll down to Net.ReversePathFwdCheckPromisc and set to 1

Avec cette modif c'est une adresse mac virtuelle qui est propagée au lieu de l'adresse réelle.

Merci encore.

Merci chris4916.

C'est ce que j'ai fini par faire j'ai configurer les navigateurs client pour qu'il ne passe pas par le proxy pour mes adresses LAN.

salut salut

déjà avoir une sauvegarde de chaque fois ou vous avec eu une monté de version que cela soit de l os ou des addons
s'il y eu existé une sauvegarde complète des addons avec un suivi de versification de ces dernier

après entre les sauvegardes il y a de mémoire une manière de sauvegarder les info os et les info addons.
comme je en rajoute pas d'addons sur mes pf sauf du openbgb quand le site client l'impose et meme en cas de crash je repars d'une sauvegarde dans addon, cela prend plus de temps mais si l'on tiens un carnet de procédure a jour on ne perd pas énormément de temps.

J'ai trouvé d'où venait mes pbs :

allowed hostnames : www.diplomatie.gouv.fr, et non pas diplomatie.gouv.fr. Valable pour tous les sites.

allowed IP addresses : je devais autoriser des plages d'adresses, et non pas des adresses IP seules.

Des erreurs de débutant…

Bonne journée à tous!

J'étudierai la configuration d'un syslog distant à la fin de mon projet, je manque pas mal de temps.

Merci bcp pour vos réponses!

C est utile dans deux cas de figure:
-1 : on veut equilibrer la charge sur deux liens car un seul ne suffit pas.
-2 : on veut être resilient à la perte d une carte ou d’un switch. Dans le cas du switch il faut que ce soit une stack ou un cluster pour pouvoir avoir un aggregat lacp qui recouvre plusieurs équipements.

@thierry66:

Je ne comprrends pas comment il arrive dans ma machine :(

et je ne sais pas tout bloquer :(

Pour mettre en place un tunnel sortant, il faut bien au départ entrer !

C'est vous qui le faites entrer avec par exemple un lien malveillant, dans un mail, ou sur un site compromis. A votre insu vous téléchargez le malware ou le code qui ensuite s'en chargera. C'est notamment dans ce but que les vulnérabilités d'un serveur, web comme cross site scripting (XSS), sont mises à contribution. Un pdf, une macro peuvent aussi faire le travail. Dans le cas du XSS la vulnérabilité du serveur web sert à cibler le navigateur et la machine de l'utilisateur.
Raison pour laquelle, comme Juve le rappelait il y a peu, que l'interdiction de sortir pour les serveurs est critique.

La première chose à faire est de vérifier la HCL (Hardware Compatibility List) de FreeBSD avec votre hardware.

Merci pour ta réponse,

En revanche, j'ai bien la route sur le firewall qui dit 192.168.2.0  mask 255.255.255.0 gateway 192.168.1.3
J'ai mis la même route sur le poste client.

Tu parles de routes retour, comment les configurer? et que mettre surtout?

Mar 14 10:47:17    charon      15[ENC] <con1|4>parsed IKE_AUTH response 1 [ N(AUTH_FAILED) ]
Mar 14 10:47:17    charon      15[IKE] <con1|4>received AUTHENTICATION_FAILED notify error
Mar 14 10:47:17    charon      15[CHD] <con1|4>CHILD_SA con1{5} state change: CREATED => DESTROYING
Mar 14 10:47:17    charon      15[IKE] <con1|4>IKE_SA con1[4] state change: CONNECTING => DESTROYING

La phase 1 est en erreur.</con1|4></con1|4></con1|4></con1|4>

Il y a un principe en 2 étapes simples, toujours valable, :

identifier le matériel, rechercher dans la liste des matériels supportés.

Les vendeurs qui affirment … Ceux qui n'appliquent pas cette méthode simple et infaillible ...

Pour que ce fil serve à quelque chose :

pfsense 2.4 tourne sous FreeBsd 11.1, il faut donc aller sur https://www.freebsd.org/releases/11.1R/hardware.html

@Juve
Merci beaucoup pour votre réponse