@chris4916:

@ccnet:

C'est quoi un parc énorme ? 30 postes, 50, 100, 200, 500, … ?

Tu fais bien de poser la question. Chez un de mes clients un parc énorme c'est >100 000 collaborateurs. Et pourtant il déploie une autorité de certification interne. Et il ne fait pas d'interception SSL.
Si parc énorme il y a, en général les moyens et les compétences sont disponibles en interne. Paradoxal tout cela …

"énorme" est proportionnel à la taille et aux compétences de l'équipe qui gère le parc.

Dans une entreprise qui n'a pas encore muri sa réflexion sur l’organisation de son service informatique, mais qui, parce que c'est facile de le faire sans vraies compétences, a déployé quelques serveurs et deux ou trois centaines de postes, les problématiques autours de l'administration de ces postes clients deviennent rapidement importantes. On a aussi les moyens de faire appel à des compétences externes sur les points difficiles.

Avec quelques centaines de postes il y a en général "quelques" ressources internes. Ou alors, ce qui est  toujours possible, des managers qui n'ont pas pris la mesure du problème.

Deux choses rapidement car j'ai peu de temps et peu d'expérience du trafic shaper.
Merci d'avoir pris le temps d'exposer votre besoin de façon détailler et claire.

tout les employés ouvrent 2/3 onglets sur les services de streaming (Youtube/dailymotion, spotify, etc…), les transfert ne sont pas optimaux car cela bouffe de la bande passante

Cela correspond bien à une besoin métiers et est un usage légitime dans l'entreprise ?

Est-il possible actuellement avec pfSense et la dernière version 2.4.2-RELEASE-p1 (amd64) de limiter la bande passante ?

Je ne sais pas sur quelle version vous êtes actuellement. Je me souviens que le trafic shaper a été totalement refondu il y a quelques versions de cela.  Vérifiez aussi si cela vous concerne ou non.

Ah le problème du déchiffrement des connexions sécurisées (HTTPS, TLS/SSL) …

Ccnet est un expert, donc vous pouvez lui faire confiance ... comme je lui fais confiance.

La loi du 23 janvier 2006 dite "loi anti-terroriste". 3 liens utiles :

https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000000454124 (le texte de la loi) https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000000637071&categorieLien=id (le décret d'application) http://www.frameip.com/log-fai-isp-operateur/ (un bon résumé su un site de référence)
Les entreprises sont assimilés aux FAI et doivent enregistrer et conserver des traces des communications (de type HTTP).

Article 1384 alinéa 5 du Code civil : l’employeur est responsable de l’agissement de ses salariés, notamment sur les réseaux informatiques ! (Cité par l'ANSSI)

En 2018, les choses ont bien évoluées :

largement plus de 50% des sites web sont en HTTPS : exemple (janv 2017) https://www.wired.com/2017/01/half-web-now-encrypted-makes-everyone-safer/ les messageries cryptées se sont fortement développées : exemple Telegram, ...

Se pose la question du déchiffrement des sessions HTTPS.
Les bonnes recommandations (pour la France) :

CNIL : (mars 2015) https://www.cnil.fr/fr/analyse-de-flux-https-bonnes-pratiques-et-questions ANSSI : (juin 2012) https://www.ssi.gouv.fr/agence/publication/ssltls-etat-des-lieux-et-recommandations/ ANSSI : (octobre 2014) https://www.ssi.gouv.fr/guide/recommandations-de-securite-concernant-lanalyse-des-flux-https/
Dans ce dernier document, l'aspect juridique est (esquissé) à partir de la page 26 ...

La diffusion automatique du certificat de remplacement est juste impossible, si on comprend un peu ce qu'on fait.
J'ai les mêmes étonnements que ccnet sur votre maîtrise du sujet ...

L'ajout d'un revers est une excellente chose que l'on ne peut que conseiller. J'ai testé assez abondement la solution Vulture il y a un peu plus d'un an. J'ai tenté une installation, dans le cadre d'un projet client, de deux clusters. Alors que j'avais de gros espoirs sur ce produit (j'attendais quelque chose avec la fiabilité et la robustesse de Pfsense) j'ai été contraint d'abandonner par manque de fiabilité, ne serait-ce que lors des installations. Chaque nouvelle version apportait des corrections aux bugs trouvés (j'en ai remonté plus d'un au support), des nouvelles fonctionnalités mais aussi ces nouveaux bugs. Vulture partage le même socle système que Pfsense (Free BSD), hélas pas la même stabilité.
Après quelques recherches j'ai testé les produits Kemp et en particulier Kemp FreeLoadMaster qui est une version gratuite bien complète. Sa principale limitation est la bande passante. Une appliance sous forme de vm. Nous avons finalement mis en prod les deux clusters avec des versons payantes. Depuis j'ai à nouveau déployé ces produits à plusieurs reprise avec la même satisfaction. Efficacité, configuration assez simple, les templates qui permettent des déploiements, pour certains service un peu complexes, très rapide. La fiabilité, la stabilité sont au rendez-vous.

Bonjour thérry

mais pour faire court comme vous

pas assez d'info ==> dur de comprendre pas de formulaire ==> …

Cordialement.

J'ai fini par trouver. Un alias avec un faute de frappe … ca fait 1h que je cherche lol

La migration est majeure car vous avez passé de 386 à amd64 !
Vous avez conservé une sauvegarde de la version précédente (fichier .xml).

Si la restauration de la sauvegarde ne fonctionne pas, il est possible de faire des 'restaurations partielles'.

L'idée est de partir du serveur fraichement installé avec la nouvelle version, donc config à 0.
On configure le LAN correctement et on fait une sauvegarde.
Dans le fichier .xml, on incorpore la sauvegarde originale par petit bout : la section <interfaces>, puis les <aliases>, puis les <rules>On peut voir ainsi si la config se reconstruit correctement.

Il est notable, que pour les interfaces, du fait de 386/amd64 ou pas, les interfaces physiques BSD peuvent changer …</rules></aliases></interfaces>

@chris4916:

Le lien que tu montres décris exactement la même chose que ce que je te dit, à savoir un serveur VPN qui écoute sur localhost avec un forward.

Une fois que tu as compris le principe, qu'est-ce qui t'empêche de faire un forward de la VIP plutôt qu'un forward de tes WAN ?
Rien…  ;)

Effectivement je n'avais pas bien compris le principe. Je te remercie tout fonctionne parfaitement  ;D

Les tenants et les aboutissants m’échappent. Snort sur Pfsense avec deux interfaces en bridge pourquoi pas. La management sur une des ces deux interfaces c'est une ineptie. Il y a bien d'autre solutions et façons de réaliser une plateforme de détection Snort.

@Chris1496 : Puisque vous êtes si fort, pourquoi n'avez vous pas alors répondu ?
Qu'il est facile d'écrire n'importe quoi maintenant que le texte original a été effacé !
Faites donc profiter les autres de votre science ….
Je vous mets au défi de faire un tuto 'complet' pour faire un VPN avec L2TP avec ce qu'il faire, ce qu'il ne faut pas faire., install du client, paramétrage des 2 côtés, la vérification du fonctionnement, ...
(Je ne risque pas grand chose ... vous n'avez jamais fait le moindre tuto !)

Si j'ai recommandé d'essayer OpenVPN, c'est que cela fonctionne très bien et très vite, mais aussi parce que j'ai essayé et JAMAIS réussi L2TP.
Je doute fortement qu'il en ait beaucoup qui ait réussi ...
Cela n'a rien à voir avec le fond, la forme. C'était un conseil pratico-pratique, et c'est que l'on peut attendre sur un forum.

Cool  ;)

Je reviens vers vous dès que j'ai des nouvelles.

Merci

mon réseau fonctionne plus de que je suis sur mon onduleur ( moins gênant )

A Paris il fait bien froid aussi. Mais retirer les moufles pour taper au clavier peut aider !

Sinon une piste avec les baux dhcp peut être ? Un lien avec le type de smartphone ? Mon idée n'est basée sur rien d'objectif.

Vous avez fourni des infos, donc on peut interpreter et mettre en forme de façon lisible, c'est l'espérience. (Y compris de parler du patron !)
J'essaie d'être factuel et précis, je situe les problématiques, la question n'est pas d'être 'tendre' ou 'pas tendre'.

Si une config client est à reproduire, il faut observer que le fichier texte de conf du client est plus lisible que le formulaire web de conf client de pfSense !
Et en particulier les certificats sont à importer puisque la config les sélectionne avec une liste !
Et il y a une palanquée d'options qui doivent être en correspondance.

La suite est de comprendre quoi faire sur pfSense avec ce qui est fourni par le serveur, en l'occurence le 'push route' !
Encore une fois, il faut observer le client sur un PC : il reçoit une ip, une push route, où les voit-on ? et vient, comment les utiliser dans pfsense ?

Pour la règle OpenVpn, pourquoi ne pas en écrire 2 en précisant les sources et destinations (en l'occurence 2 réseaux)

Et là, vous devriez prendre conscience que si la conf client doit être identique, il y a une grande différence entre un PC client et un pfSense client !
Dès que la différence sera bien comprise, il restera à trouver l'astuce pour faire croire au Synology qu'il n'y a qu'un client (j'en ai trop dit).

WPAD est un protocole précis et reconnu par les navigateurs : IE, EDGE et Chrome l'utilise 'out of the box', pour Firefox, il faut cocher une option qui n'est pas par défaut.
Si au niveau du firewall, on n'autorise SEULEMENT le proxy à avoir accès à Internet (http, https), forcément il faudra que les navigateurs trouvent le proxy.
Néanmoins de (très) nombreux programmes ont une option de 'mise à jour' et recherche sur Internet : rares sont ceux qui savent trouver le proxy !

Ccnet ou moi vous avons expliqué les problèmes inhérents aux proxies et firewall.
A de multiples reprises sur le forum cela est écrit, réécrit, (et vous avez même un contributeur qui tient des discours variés, alternant le oui et le non).

Commencez donc par lire …

La fonctionnalité 'Routage et Accès distant' de Windows Server 2003 offre un accès VPN à ce produit.
Il est donc assez évident qu'il fallait d'abord la désactiver.

Typiquement, c'est la préparation de l'opération : quand on ne prépare pas assez, voilà ce qui arrive …

Je ne cherche pas importer mes utilisateurs AD en local

C'est pourtant très précisément ce qui est écrit dans le premier post ! (J'ai 'quoté')

RADIUS ?
Qu'est ce qui vous a mis sur cette piste ?

Réussir un projet, c'est passer du temps sur la préparation, et certainement pas se lancer de suite sur son clavier, car on se lance souvent sur les mauvaises pistes..
Le militaires disent 'entrainement difficile, guerre facile' (ça m'étonne).

Pour la génération de biclés et demandes de signature de certificats, j'utilise XCA. Pour une petite gestion interne avec sa propre autorité de certification c'est utilisable. Si on a besoin de fonctionnalités de gestion plus évoluées (distribution , renouvellement en cas de perte, etc ….) çà me semble insuffisant.

Dans un projet SSO qui n'a pas (encore) vu le jour, j'ai envisagé LemonLDAP.

Sur cette question :

Avez vous attendu le transfert d'ip publiques ?

Il y a 18 mois environ dans un contexte de déménagement (Paris 8 vers la Défense) j'ai été confronté au problème. Contrairement à ce que l'on pourrait imaginer la localisation dans ce cas n'est pas un avantage car la densité des réseaux peut poser des problèmes de disponibilité de liens physiques. Cela dit, moyennant une préparation attentive en ayant tout validé étape par étape (le FAI n'était pas le seul impliqué), le basculement a pu être effectué en quelques minutes. Déconnexion de l'ancien site, activation sur le nouveau site avec le même range d'ip. Le délai initial annoncé par la FAI était de 6 semaines. L'opération a pu être mener à bien le jour dit en quelques minutes. Entre temps les principales briques du SI avait été physiquement déplacées et reconnectées sur le nouveau site.

d'accord.

Cordialement

@difefrenthihnk:

Je ne peux pas brancher l'ONT directement sur le Google Wifi car c'est du PPPOE (qu'il supporte) mais derrière il faut un VLAN taggé dessus (requirement d'Orange) ce qu'il ne supporte pas.. mais que PFSense supporte très bien.

Probablement aurais tu pu commencer par ça dans ta description  :P
Et donc, comment as-tu configuré pfSense de ce point de vue ?
A partir de là, tu peux regarder quel VLAN doit faire l'objet du bridge  8)