Je rejoins CCNet!

Attribue tu une IP à chaque entité ?
Contrôle tu la bande passante ou facture tu la bande passante excédé ?
Y-a-t'il des services commun ? Voip, mails, dns … ou chaqu'un est indépendant avec sont IP ?

Il faut connaitre les besoins sans quoi il est difficile de répondre à la meuilleur architecture ...

Pour mon expérience avec le contrôle de bande passante. Je distribue des IP pour mes clients (ip public). je monitor leur usage et je facture si il excède mais je ne fait pas de contrôle de trafic car ça prend beaucoup de ressources .... Peux de chose quand on dispos de gros débit ! Ntop peut te donnée des bonnes infos sur l'usage des bande passantes (95ème percentile)

Juste prévoir que tu offre X méga garantie et X méga "burstable" .. cela signifie si tu as 100Mb/s tu peux offrir 2Mb/s mais tu ne va pas le limité à 2Mb/s
Il pourrait monté à 100Mb/s mais par contre si il est toujours à 3Mb/s (usage constant) tu le constat sur les stats et tu le facture 1Mb/s de plus !

Bonne journée,
Sdnatcher

J'ai un problème similaire…
C'est liée au routage ...

http://forum.pfsense.org/index.php/topic,26019.0.html

Salut,

Effectivement le nat 1:1 est utilise conjointement avec le Proxy ARP (ip virtuel) et donc pour plusieurs IP public.
Aussi faire un NAT 1:1 ne veut pas dire laisser tout passer puisque ça passe quand même par les filtres.

Conseil simple :
-d'abord crée un alias par serveurs type iplansrvad
-ensuite crée un alias par services liée au serveur portssrvad
-ensuite crée une NAT forward (firewall > NAT > Add) et ajout ton alias server et ton alias ports et bingo.
D'ailleurs, c'est bien pratique de faire tes alias car tu te retrouve avec très peux de règles et une gestion plus facile, plus claire.

Je te conseille en attendant de taper Ntop ou logé tes NATS (au moins sur la voip) !

Dernier conseil avec du Windows, crée une règle qui empêche tes pc d'envoyer du mail en direct mais uniquement ton serveur mail !
C'est la règle bateau au tu peux te faire black listé ton ip on moins de 2h pour un bête spamware.

En espérant avoir répondu à ta question :)
Sdnatcher

cela signifie que lors de la tentative d'authentification sur un annuaire LDAP, la recherche du mot de passe utilise comme nom d'attribut "userPassword" et que le filtre de recherche de l'utilisateur (pour ensuite vérifier son mot de passe avec l'attribut précédent) est fondé sur l'atribut "uid" qui doit contenir le nom d'utilisateur (login) entré par l'utilisateur.

sur le blog (blog.pfsense.org) l'équipe de développement annonce qu'elle a des 2.0 en production.
Vérifier les bugs en cours…

Faire un clear state à l'application des règles est tout simplement "idiot" car cela reset toutes les connexions traversant le firewall !
Le problème provient de la façon dont vous voulez montrer que la règle est appliquée je pense. Si vous avez une connexion ouverte et que vous appliquez une règle pour bloquer cette connexion alors celle-ci ne sera pas coupée immédiatement en raison de la politique de mise à jour des états du filtre de paquets. Dans tous les autres cas l'application doit être instantanée.
Vous pouvez jouer sur la gestion des états en la passant en mode "agressive".

Idem (3 semaines) avec un doublé de R210 avec les ports Broadcom internes et une carte Quad ports Intel.
Pas de difficultés sous pfSense 2.0 beta.

merci ccnet pour la réponse
est ce qu'on a la possibilité de paramétrer tous ceci dans radius c'est a dire spécifier a radius que le login
correspond a cn dans le ldap et le mot de passe a l'attribut cn de ldap

Livebox mini v2 de thomson
un bug référencé
je sais qu'avec les anciennes livebox, il n'y a aucun souci, par contre avec celle-ci … pas moyen de le mettre en oeuvre.

j'attends une mise à jour (firmware)..... j'attends..... :-\

Sinon, pb résolu.

Salut ronncmoi,

Je penses comprendre ce que tu veux faire : Tu veux rediriger entièrement le trafic vers ton réseau de telle sorte que ton utilisateur ne puisse plus utiliser son internet local.

Pour cela, tu dois te rendre dans les options de ton serveur OpenVPN.
Tout en bas, dans la case "Custom options", entre la directive :

push "redirect-gateway def1";

Tu save et ça fonctionne.

A+

franchement tente l'update générale de tout ce bean's (update pfsense, update version de snort)

si tu souhaite une solution à part entière pour faire un reverse proxy, facile à administrer, je te conseille fortement Vulture, ceci t'évitera de te pallucher à la main des tonnes de lignes dans les fichier de conf apache…. mod_security.
En plus tu peux y implémenter du sso (enfin tout dépend de ce qu'il y a derrière crois moi car ça peut vite tourner à un chemin de croix  ;D ;) )

Bon, ca va faire trois jours que je suis dessus, et je comprends pas …

J'ai reussi à monter un tunnel ipsec entre deux gateway (une pfsense et un racoon), mais impossible de faire ce que je veux, c'est à dire avec un mobile...

J'ai remplacé racoon par shrew soft VPN connect et j'ai suivis ce tuto :
http://doc.pfsense.org/index.php/IPsec_Road_Warrior/Mobile_Client_How-To

Rien a faire, le tunnel ne se monte pas …
Quelqu'un peut il m'aider, je sais vraiment plus quoi faire :(

Cordialement.

Sans solution, nous avons abondonné le fait de vouloir passer par le Proxy et d'aller sur internet. Car dans notre schémas le proxy bloque les requêtes DNS, car nous avons configuré un serveur DNS mais les requêtes de résolution vers 1 des 13 serveurs sont bloquées. Donc nous avons mis en place notre propre serveur web, le portail captif marche trés bien, mais bien sur pas d'internet.  :-\

je viens de remarquer que firefox ne passe jamais par mon captive portal  :o … normal ou pas ??

edit : en fait cmme j'ai fait mon install de FF a coté de mon IE (qui avait enregistré les login et pwrd du compte admin du CP), ça connectait tt seul sans me montrer la page du CP mais une fois que j'ai activer les pop-up, j'ai découvert que SI, firefox passe bien par mon CP ^^ (si j'avais su je serais pa venu polluer le forum pour ça ^^)

Oui mais aussi pour des raisons de sécurité.

Le config de mon serveur:

writepid /var/run/openvpn_server0.pid #user nobody #group nobody daemon keepalive 10 60 ping-timer-rem persist-tun persist-key dev tun proto udp cipher BF-CBC up /etc/rc.filter_configure down /etc/rc.filter_configure ifconfig 192.168.4.1 192.168.4.2 lport 1194 route 192.168.3.0 255.255.255.0 secret /var/etc/openvpn_server0.secret persist-remote-ip float

Je poste la config de mon client dès que je la récupère.

mes log d'openvpn:

May 27 10:52:15 check_reload_status: reloading filter May 27 10:52:00 check_reload_status: reloading filter May 27 06:55:00 check_reload_status: check_reload_status is starting May 27 06:13:49 last message repeated 5 times May 27 06:13:12 dnsmasq[42999]: read /etc/hosts - 2 addresses May 27 06:13:12 dnsmasq[42999]: using nameserver 62.4.16.70#53 May 27 06:13:12 dnsmasq[42999]: using nameserver 62.4.17.69#53 May 27 06:13:12 dnsmasq[42999]: reading /etc/resolv.conf May 27 06:13:12 dnsmasq[42999]: compile time options: IPv6 GNU-getopt BSD-bridge ISC-leasefile no-DBus no-I18N TFTP May 27 06:13:12 dnsmasq[42999]: started, version 2.45 cachesize 150 May 27 06:13:10 dnsmasq[821]: exiting on receipt of SIGTERM May 27 06:03:56 check_reload_status: reloading filter May 27 06:02:25 check_reload_status: reloading filter May 27 06:02:12 check_reload_status: reloading filter May 27 06:00:01 check_reload_status: check_reload_status is starting May 27 05:53:45 sshd[38726]: Accepted keyboard-interactive/pam for root from 192.168.0.204 port 1263 ssh2 May 27 04:00:00 check_reload_status: check_reload_status is starting May 26 21:55:00 check_reload_status: check_reload_status is starting May 26 21:15:00 check_reload_status: check_reload_status is starting May 26 19:50:00 check_reload_status: check_reload_status is starting May 26 19:10:00 check_reload_status: check_reload_status is starting May 26 15:50:00 check_reload_status: check_reload_status is starting May 26 15:10:00 check_reload_status: check_reload_status is starting May 26 14:30:19 check_reload_status: reloading filter May 26 14:29:51 check_reload_status: reloading filter May 26 14:24:03 login: login on console as root May 26 14:23:54 check_reload_status: check_reload_status is starting May 26 14:23:53 php: : Resyncing configuration for all packages. May 26 14:23:47 php: : [DEBUG] Lock recursion detected. May 26 17:23:33 php: : Creating rrd update script May 26 14:23:25 dnsmasq[821]: read /etc/hosts - 2 addresses May 26 14:23:25 dnsmasq[821]: using nameserver 62.4.16.70#53 May 26 14:23:25 dnsmasq[821]: using nameserver 62.4.17.69#53 May 26 14:23:25 dnsmasq[821]: reading /etc/resolv.conf May 26 14:23:25 dnsmasq[821]: compile time options: IPv6 GNU-getopt BSD-bridge ISC-leasefile no-DBus no-I18N TFTP May 26 14:23:25 dnsmasq[821]: started, version 2.45 cachesize 150 May 26 14:23:20 pftpx[707]: listening on 127.0.0.1 port 8023 May 26 14:23:20 pftpx[707]: listening on 127.0.0.1 port 8023 May 26 14:23:20 pftpx[699]: listening on 127.0.0.1 port 8022 May 26 14:23:20 pftpx[699]: listening on 127.0.0.1 port 8022 May 26 14:23:20 pftpx[691]: listening on 127.0.0.1 port 8021 May 26 14:23:20 pftpx[691]: listening on 127.0.0.1 port 8021 May 26 14:23:08 sshd[394]: Server listening on 0.0.0.0 port 22. May 26 14:23:08 sshd[394]: Server listening on :: port 22. May 26 14:22:58 kernel: pflog0: promiscuous mode enabled May 26 14:22:58 kernel: glxsb0: <amd geode="" lx="" security="" block="" (aes-128-cbc,="" rng)=""> mem 0xa0000000-0xa0003fff irq 10 at device 1.2 on pci0 May 26 14:22:58 kernel: Trying to mount root from ufs:/dev/ufs/pfsense0 May 26 14:22:58 kernel: WARNING: Expected rawoffset 0, found 1902159 May 26 14:22:58 kernel: WARNING: Expected rawoffset 0, found 63 May 26 14:22:58 kernel: ad0: 1923MB <cf card="" ver2.21=""> at ata0-master PIO4</cf></amd>

J'ai vérifié mes règles de firewall, il ne semble pas y avoir de problème.

C'est bon tout fonctionne j'ai mis le serveur 2003 côté LAN.
Merci pour votre aide quand même !