Bonsoir,

Merci pour les informations.

J'ai branché l'adaptateur USB-série (avec une rallonge série femelle-femelle).

De là, avec screen (sous archlinux), c'est nickel.
J'ai ainsi pu mette le mdp de l'interface web par défaut.

C'est cool ;-)

Bonne soirée.

PS : pour info, le port série est forcement activé. Le paramètre réglable est le débit (entre 115200 et 9600).

DH = Diffie, Hellman : connus notamment pour le protocole d'échange de clés (dans un contexte publique), cf https://en.wikipedia.org/wiki/Diffie%E2%80%93Hellman_key_exchange

RSA = Rivest, Shamir, Adleman : connus notamment pour le protocole de cryptage à clés publiques (asymétriques), cf https://en.wikipedia.org/wiki/RSA_%28cryptosystem%29

Je n'ai pas le temps de vous répondre en détail. Compte tenu de votre activité actuelle, je signalerai ce qui est à mon sens contraire aux bonnes pratiques sécurité. Je n'expliquerai pas pourquoi. Je l'ai fait un grand nombre de fois sur ce forum et je ne vais pas recommencer à chaque fois.

Je suis alternant dans le cadre du licence sécurité des réseaux

L'accumulation de package sur Pfsense est une fausse bonne idée.
Le cumul de toutes ces fonctionnalités sur une même machine (entendez sur un firewall) est aussi une mauvaise idée.
La virtualisation du firewall est une mauvaise idée.
Mettre en place un filtrage sur les flux https sortant (c'est très différent dans le sens entrant) est une problématique délicate qui soulève des problèmes juridiques et engage potentiellement la responsabilité de l’entreprise. Elle compromet totalement la sécurité de l'internaute. Il existe des situations que le justifient mais manifesement pas la votre.
La présence d'un portail captif suggère l'utilisation d'un réseau wifi. Mais on devine aussi qu'il n'y a pas que du wifi mais aussi du filaire. Or vous ne mentionnez que l'existence d'une interface lan sur Pfsense.  J'en déduis que les deux réseaux, filaire et wifi, ne sont pas séparés. C'est un problème de sécurité réel. Autant dire que sans autre mesure votre firewall ne sert pas à grand chose. Et aussi une mauvaise pratique.

Mon conseil, pour le futur, est de vous documenter, de lire, par exemple, les ouvrages de Bruce Schneier. Il y a longtemps que je n'en avais pas parlé. C'est peut être son actualité qui me fait y penser.
http://www.lemondeinformatique.fr/actualites/lire-rachat-de-resilient-le-gourou-du-chiffrement-bruce-schneier-rejoint-ibm-64068.html
Bon courage pour le futur car il vous reste du travail. Mais c'est normal vous débutez, rien d'anormal.

C'est une bonne nouvelle.
N'hésite pas à modifier le titre du premier message pour marquer le sujet comme [RESOLU]  ;)

Effectivement policy routing
mais aussi s'assurer, dans les fonctions de paramétrage avancées, que le sticky est activé pour qu'une connexion vers un serveur ne passe pas d'une gateway à l'autre sans raison.
Dans le cas de FTP, je ne suis pas certain que ça marche bien à cause justement du mode commande et data qui sont des connexions différentes mais tu as de toutes façon besoin de ce sticky pour des trucs comme HTTP si les serveurs exposent des applications qui gèrent des sessions basées sur l'IP du client.

Sur le premier serveur où j'ai testé, il n'y a pas gnome mais j'ai une debian avec gnome donc j'ai testé dessus x)

D'après mes souvenirs il me semble que tout est en MISS.

Les liens HTTP sont beaucoup plus rapides que HTTPS.

Je n'ai pas de partition spéciale pour le cache, c'est une partition pour /var/

Même sans configurer de cache ça ne marche pas ..

J'ai testé des sites légers et des sites lourds. Les sites légers répondent un peu plus vite mais le temps que ça met n'est pas normal.

Je sais pas qu'est ce que je peux faire d'autre .. Je t'ai laissé un mail chris si tu as le temps de check ;)

Il me manque que ça pour finir c'est énervant x)

Le CARP fonctionne coté PFSENSE.
il fallait en effet regarder du coté de FREEBSD …

Lorsque l'équipement MASTER disparait (perte de connexion, reboot) l'équipement SLAVE constate la bascule et reprends les adresses CARP, les équipements réseaux adaptent les tables ARP (passage à l'état inactif des interfaces sur l'équipement MASTER) et le service est toujours rendu.

Mais lorsque le MASTER revient à la vie, le SLAVE, ne perdant pas la connection réseau, le routeur continue à penser que le SLAVE est MASTER.
L'une des solution pour provoquer la mise à jour de la table ARP du routeur, a été de rebooter le SLAVE (passage des interfaces physique à DOWN) pour provoquer le flapping des interfaces réseaux. L'autre solution consiste à faire un clear de la table ARP des routeurs.

C’est en faisant des TCPDUMPs que nous avons constaté en faite que le PFSENSE ne faisait pas de gratuitous ARP lors de la bascule CARP du SLAVE au MASTER.

Pour pouvoir forcer ces annonces, nous avons

installer le package ARPING sur les PFSENSES modifier le script /etc/rc.carpmaster pour y intégrer la commande : /usr/local/sbin/arping -C 5 -i moninterface -S monadressesource monadresssdestination

au reboot, le master préviens le switch qu’il est là …. la table ARP se mets à jour, et le basculement du réseau est opérationnel.

Est-ce le comportement normal d'un cluster de PfSense ? Quelqu'un a-t-il déjà rencontré ce problème ?

@chat:

j'ai vérifié au niveau de log aucun erreur n'est affiche.

Si il n'y a pas d'erreur, alors il y a au moins la notification qu'un lease est attribué n'est-ce pas ?  ;)
(c'est soit l'un soit l'autre ou alors le problème n'est pas au niveau de DHCP)

est ce que le point d'exclamation en rouge sa veux dire qu'il y a un problème ?

Comment sont définies tes réservations ? Et ton range DHCP ?
Il y a je pense un range avec des IP dynamiques et une section "IP dynamique avec réservation basée sur l'adresse MAC" mais sin on regqrde plus en détail, y a t-il par exemple un setting pour interdire les clients "inconnus" ?

Je reviens à cet instant sur le forum.

Ah bon je serais hautain (ça s'écrit comme celà) …
C'est vous qui le voyez comme ça : ce n'est absolument pas mon sentiment !

Je suis débutante + mon formateur : vous êtes en formation, c'est réel ou non !!

Je prends très mal ce que vous écrivez parce que c'est JUSTE votre interprétation !

Pour votre information, je n'ai pas fait d'études d'informatique mais de maths avec de l'informatique. et j'ai fini cela il y a près de 30 ans.
A l'époque, il n'y avait même pas un micro dans l'école. Le seul matériel était une machine de type Unix avec des terminaux et on apprenait le Pascal, le Fortran, le Cobol, entre autres ...
En 3ième année, en info de gestion (Cobol), il fallait faire, en binome, le même sujet.
Mon prof a été sympa, j'ai rendu le devoir avec 3 jours de retard, mais il m'a mis la meilleure note (et pas n'importe laquelle).
En particulier, parce (mon binome et moi) j'ai montré une bonne maitrise de ce projet mélant les 3 langages parce que chaque langage avait son intérêt.

Face à ce devoir, rien ne vous interdit, bien au contraire, d'avancer les bonnes pratiques même si ce n'est pas la façon de voir de votre prof ! BIEN AU CONTRAIRE

Si vous êtes capable d'énoncer une bonne pratique en la justifiant, cela montre que vous avez 'dépassé' le problème.
Si, au contraire, vous ne montrez aucun esprit critique, vous serez jugé comme telle.

Ce devoir est juste un piège mais je ne vais pas réécrire ce que j'ai déjà écrit ...

Sur ce, voyant à qui j'ai affaire, je ne vous salue pas ....

@Nusa:

Ensuite, je n'ai plus qu'à créer une rule pour indiquer que le traffic vers mon alias donc les IP contenu dans mon fichier texte doit passer par mon WAN2.

J'ai bon?

J'avoue ne pas avoir cliqué sur tous tes liens  :-[

Dans pfSense, tu peux directement définir un [url=https://doc.pfsense.org/index.php/Aliases]alias à partir d'un fqdn.
L'interface s'occupe de la résolution de nom pour convertir ça en IP afin que les règle de FW, qui définitivement ne connaissent que des IP, fonctionnent.

C'est cette partie du process qui est asynchrone et qui fait que tu peux avoir un désalignement entre ton fqdn et les vraies IP correspondant.

For Host and Network type aliases, a fully qualified domain name (FQDN) may be entered instead of an IP address.
The FQDN will be resolved by DNS every 5 minutes (300 seconds) and updated internally.
This can be useful for tracking dynamic DNS entries to identify sites or users that are unable to use a static IP.

Si ce mode de fonctionnement te convient, alors tu n'as même pas besoin de gérer un fichier externe  ;)

Merci pour vos retours d'expériences.

@Baalsrv Ton retour est intéressant me donne pas mal de vue sur les capacité de cette carte thanks, ce qui me dérange dans les Alix c'est pas tellement leurs capacité mais plutôt le prix par rapport a ça capacité. Pour info ça conviendrais pil poil a mon besoin mais bon comme dis avant il y presque au même prix les APU (+20 à 50€) pour un puissance de feu bien supérieur.
Je me tournerais vers les Alix a contre cœur si jamais je trouve pas se qu'il me faut.

Je ferais un peut de filtrage, et au moins un serveur VPN dessus.

@sagem2004 Merci pour ton feedback effectivement ta carte est super pour son prix sans les frais de port, et oui car avec les frais de port on part sur du 280€, je suis une pince je sais :D.

Bref merci pour vos retour, je suis pas encore fixé sur mon achat mais je vous ferais un retour, et si non je serais fibré mais bon je pense pas qu'il y ai une board Soho en 10/100/1000. :x Vivement que je puisse mettre les pattes dedans !

Bonjour JDH et merci de votre intervention. En effet, j'ai pu voir effectivement que l'USB est très aléatoire pour la fonction 'point d'access'.
Venant du monde d'iP FIRE, je pensais PFSENSE aussi 'compatible' si je puis dire !
J'ai pu tester PFSENSE avec un vieil adaptateur LINKSYS et là, ça fonctionne. Un autre problème vient se greffer après, mais ça ne fera pas partie de ce post.
PS : J'avais pensé monter une mini-pci card ou autre, mais mon choix de carte mère et le type de boitier mini-itx ne me permet malheureusement pas d'utiliser autre chose qu'un adaptateur USB.
Bonne continuation  :)

Je crois que ce serait beaucoup plus efficace si tu faisais une copie d'écran (et pas limitée à juste les quelques lignes qui te paraissent intéressantes) pour qu'on y comprenne quelque chose.

@Mouftik:

Le débat était plus de savoir comment je pouvais mettre en oeuvre facilement une solution.
Par exemple les trames en sortie de l'ONT sont surement en broadcast…/...

Ta question est assez claire et très légitime. Je suis également en train de remplacer une Livebox par un modem en mode bridge pour disposer d'une IP publique sur le port WAN du pfSense qui est derrière cet accès. Mais je n'ai pas besoin de téléphonie  :)

Je n'ai cependant pas de Livebox moi-même et l’opération que je décris au dessus est faite en remote donc ma compréhension est assez vague mais :

si ta livebox est un modèle "ADSL", uniquement, je ne vois pas bien comment tu va pouvoir éviter de la connecter au RTC si tu as un modèle "ADSL + FTTH", le boitier (type Livebox 3) vient avec une interface WAN en RJ45, c'est plus simple.

D'après cette page (mais pas ce design n'est-ce pas), si j'intuite bien, même l'interface WAN de la Livebox a besoin d'un serveur PPPoE. Si tu actives la fonction PPPoE server de pfSense sur l'interface DZM de pfSense, le quel est par ailleurs connecté en PPPoE à ton accès internet, il te suffit  ;) de créer un VLAN 851 avec un bridge pour récupérer directement sur la Livebox les services de téléphonie sans que celle-ci soit connectée à ton LAN, et avec uniquement pfSense entre le LAN et internet.

Tout ça vu d'un peu loin mais la solution, si elle existe, doit ressembler à ça  8)

(Je crois rêver …)

Dans pfSense, pour OpenVPN,

on doit créer un serveur OpenVPN (Vpn > OpenVpn > onglet Serveur).

dans les paramétrages de ce serveur, on doit préciser 2 réseaux : ipv4 Tunnel network (réseau entre pfSense et le client), et ipv4 local network (le réseau local)

à la fin de ce paramétrage, on a les paramètres additionnel, dans lequel on rentre "push route xxxxxx xxxxx" qui correspond au local network

de plus, dans Firewall > Rules apparait un onglet OpenVPN dans lequel on doit créer des règles qui autorisent ou bloquent

il est aisé de créer 2 règles qui autorisent 'tunnel network' <-> 'local network' voire interdisent autres choses …

Bref, sauf à ne pas avoir soi-même configuré cela, sauf à mal lire les conf ...
Tout cela est très basique et intuitif. (Ceci est normalement vu à la création.)

Comme il y a 2 questions dans le post initial (LAN2 doit utiliser une WAN spécifique),
la bonne façon de répondre est 'policy routing' : sujet abordé régulièrement et il y a moins d'une semaine, c'est dire le défaut de recherche ...

@mryou:

Ok merci, le problème c'est que je ne sais pas ce que le client a mis !

Peut-être suffit-il de lui demander, à ton client  :)
En tous cas sans information précise, tu peux essayer pendant des années avant que ça tombe en marche.

@jeanevers:

j'ai pu installer pfsense pas en virtuel mais plutôt physiquement.

Ce qui serait bine maintenant que pfSense est à nouveau installé, c'est de faire un point sur les design, adressage etc… et un point sur les questions en suspend.
Quel est l'objectif ?

le problème à été résolu j'ai simplement effacé toutes les configurations que j'avais faites au départ et j'ai reconfigurer pas à pas pfsense en suivant le même tuto qui à servit pour la configuration de départ et vu que ça marche l’erreur était surement à mon niveau peut être un réglages ou paramètre que j'ai oublié de mettre . Le fameux message ne s'affiche plus .

@swan89:

Quelqu'un aurait-il une idée svp ?

Je pense que tu mélanges 2 aspects différents:

le firewall qui va s'intercaler (physiquement) entre 2 réseaux avec des règles de filtrage, routage etc… le proxy qui au niveau HTTP va faire du relais avec éventuellement du cache, contrôle d'accès, filtrage etc..