On ferme ce post incompréhensible ?

Merci !!!!

pfSense est un firewall !
Wikipedia a une page pour décrire pfSense (ou ce qu'on peut faire avec) : https://fr.wikipedia.org/wiki/Pfsense

Ce qui peut concerner pfSense :

4 sites dont 1 qui est un peu central. Chaque site dispose de sa connexion internet (via une box). Pouvoir sécuriser chaque site, limiter les protocoles, débit MAIS pas 'en fonction des profils' connexion vpn inter site

Ce qui n'a rien à voir avec pfSense :

ordinateurs portables amenées à se déplacer sur différents sites partage de répertoire sur un même site mais pas inter site donc transfert par mail quand il y a besoin d'un fichier Un utilisateur doit pouvoir se connecter sur n'importe quel poste et accéder à ses fichiers Pouvoir partager des répertoires de données en fonction des droits mais intersite profils itinérants et synchronisation des comptes, profils, data (vraiment rien à voir !) il faut pouvoir se connecter à son poste et travailler avec les données présente dans le répertoire personnel

En fait, il n'y a qu'une phrase qui peut faire un fil (et qu'il faudrait réussir avant d'aller plus loin) :

La réflexion serait donc d'équiper chaque site d'un pfsense et de mettre en place un vpn pour faire un réseau maillé.

Pour le reste, documentez vous sur la notion de 'domaine Windows' (par opposition à 'workgroup') :
p.e. http://windows.microsoft.com/fr-fr/windows7/what-is-the-difference-between-a-domain-a-workgroup-and-a-homegroup
(attention chaque ligne a un sens bien précis, ne pas hésitez à lire plusieurs fois …)

La création d'un vpn inter-site en mode maillé (avec un pfsense sur chaque site) est un préalable à ce vous voulez faire (enfin, ce qu'on peut imaginer d'après ce que vous écrivez).
Ensuite, il faudra se tourner vers des principes pour lesquels pfSense n'est absolument utile ...

NB : exemple de phrase totalement erronée et inadaptée : 'pfsync permet de synchroniser le param'. (pfsync permet de synchroniser 2 pfsense constituant un cluster, où l'un est actif et l'autre en esclave, prêt à se substituer)

Au lieu de contester ce que j'écris, vous devriez donner des liens.
J'en ai ras le bol d'avoir de la contestation de votre part : cessez de polluer ce que j'écris ! Et d'ailleurs elle n'est que DE votre part !
Vous compliquez toujours tout ! Et les débutants sont noyés : pitoyables propos … comme toujours !
Comme d'hab 'moi j'utilise pas' ou 'ce n'est pas le meilleure idée' mais faites donc ... alors qu'il suffirait que vous ne répondiez rien (puisque vous n'utilisez pas ou ce n'est pas une bonne idée !).
Vraiment un gros n..

Non, WPAD n'est pas difficile à mettre au point : 2h, quand on a envie, doivent suffire (Oui il faut un serveur web, mais c'est pas la mer à boire)
Non, configurer un navigateur n'est pas difficile, en tous cas pour l'auto-détection !

Un bon lien, facile à mettre en oeuvre et facile à trouver, http://findproxyforurl.com/deploying-wpad/ (c'est simple, il y a tout pour mettre en oeuvre WPAD)

Evidemment si Monsieur veut tout faire avec son pfsense : proxy, serveur web, dns, c'est moins simple.
Mais dans une entreprise civilisée, d'une certaine taille, on sait que dhcp/dns est géré par le DC Windows, on devrait avoir un proxy séparé, et un petit serveur web ça se trouve (surtout pour 3 fichiers texte à la racine ! Moi c'est sur un srv web à tout faire OCS, GLPI, ...).

Bonjour,

Pour comprendre le traffic shapper, j'essaie d'utiliser le wizard.

J'ai un soucis, mon interface LAN1 est considérée comme une interface WAN par le wizard Multiple Lan/Wan .

Comment puis je modifier cela ?

Merci

As-tu regardé dans les logs (status / system logs / firewall) si ces requêtes sont bloquées ?

Je vois que vous ne comprenez vraiment pas beaucoup !

1ère erreur :
Vos adresses 81.XXX.XX.6/25 sont stupides ! Si vous voulez ajouter des adresses virtuelles, elles seront /32, que l'on note sans le /32 par convention.

J'ai eu beau l'écrire plusieurs fois, posez plusieurs fois la question 'comment on fait', vous passez sur ces âneries sans comprendre …

2ième erreur :
J'écris que la règle NAT est correcte (et qu'elle génère automatiquement une règle liée dans l'onglet WAN).
J'écris les mot 'cible claire', et vous ne comprenez pas la suite logique

Il faut 1 règle NAT identique pour chaque ip virtuelle !
C'est quand même pas grand chose ...

Ce qui aurait été intelligent, c'est de créer des règles WAN pour accepter le ping sur les ip publiques. Mais ça, vous avez oublié en route.
Perso c'est ce que je commence par faire parce que cela permet de vérifier que les ip virtuelles sont bien 'présentes' et 'actives' au niveau du WAN.

En fait c'est souvent bien plus simple mais il faut juste faire ce qui est nécessaire.
Quand quelqu'un répète quelque chose, il faudrait comprendre que cela veut dire des choses ... Mais non ...

@Shadow:

Je ne fais pas du HA avec pfsense, et ils ne sont pas en cluster en effet, il y a juste une synchro partielle via carp.
…/...
Désolé si mon explication de base n'est pas claire.

L'essentiel étant probablement que ça fonctionne  ;)

Il s'agit d'un problème de vocabulaire.
CARP (qui est l'acronyme de Common Address Redundancy Protocol), vise à gérer des IP virtuelles flottantes. Ce n'est pas de la synchro  ;)
Si tu fais de la synchro de certains paramètres mais que tu n'implémentes pas de cluster, tu n’utilises pas CARP.
Comme ton message initial faisait référence à cette solution, je pensais qu'il y avait de IP flottantes mais… non.
C'est juste 2 FW sur le même LAN  :-\

Est il possible de le faire directement depuis Pfsense?

Pfsense est un firewall (il semble que même en le disant çà ne rentre pas dans les esprits). Il ne fait ni le café, ni radio réveil.
Plus sérieusement vous mélangez effectivement différents aspects. Ce que vous cherchez à faire est un travail de proxy. Il reste à bien éclaircir ce que vous souhaitez gérer: la durée ou la plage horaire, ou une combinaison des deux.

Suite à ton message, et par curiosité, j'ai également fait des tests hier avec ma Freebox mini4k mais sans succès pour le moment.
En bridgeant le VLAN100 (j'ai fait la même chose que toi  ;D), je récupère mon IP publique sur le player mais lors des quelques tests effectués, je ne suis pas allé plus loin que la la recherche d'obtention des mises à jour.

Du coup, en y réfléchissant un peu plus (mais je ne peux pas faire de tests pour le moment et c'est compliqué car j'ai 2 players), je me demande si tu es obligé de faire un bridge.

A la limite pour le VLAN100 et encore. Ne peux-tu pas le router ? (ce qui signifie configurer un serveur DHCP pour le VLAN 100 coté LAN)

Je refais des tests dès que possible dans cette direction.

Par ailleurs, (ça ne fais pas très longtemps que je joue avec le player de Free), ce device est assez capricieux: il faut parfois relancer plusieurs reboot (dans un mode de connexion "normal", les players connectés directement derrière la Freebox) pour que la conf soit chargée correctement et opérationnelle. En revenant aux branchement d'origine suite à mes essais, le player ne fonctionnait plus et il m'a fallu repasser par les réglages d'usine pour retrouver un player fonctionnel.

En effet c'est soit l'un soit l'autre mais tous les deux ne peuvent s'accaparer le port 53.
DNS Forwareder est basé sur DNSMasq alors que Resolver est basé sur Unbound, avec des modes de fonctionnement un peu différent entre le mode séquentiel pour l'un et parallèle pour l'autre.

Je crois que Resolver est celui activé par défaut depuis quelques versions de pfSense.

PS: si ton problème est résolu, tu devrais modifier le titre de ton premier message pour le marquer comme [RESOLU]  ;)

Bonjour,
après une réinitialisation complète ce matin de la Livebox, tout semble fonctionner comme prévu.
Après trois heures de test, il semble que la solution soit stable, mais je ne saurais pas d'ou venais le problème (à priori de la LB).

Merci à vous.

Salut salut

1- Avez vous bien lu les tuto sur le multi wan qui foisonnent sur le web dont le site du modo chef ?
2- Pourriez vous nous en dire plus en regardant et appliquant ==> https://forum.pfsense.org/index.php?topic=79600.0  !!!!!!!!
3- Sommes nous tous extralucide pour répondre au mieux à votre question?

J'ai bien des réponses pour le 1 et 2 et des certitude pour le 3.
En fonction de vos réponses vous aurez un retour approprié à celle ci.

Cordialement. (pour l'instant)

Que donnez vous comme infos ? peu, très peu
Respectez vous le formulaire de présentation ? non

Et vous voudriez qu'on cherche à votre place ?

Outils possibles :
Firewall : Pfsense
Proxy : Squid avec des solutions de filtrage de contenu : dansgardian, squidguard. Voir aussi Artica.
Relai smtp : Postfix voir solutions packagées avec ClearOS par exemple. Artica aussi.
FTP : ce n'est pas ce qui manque. Plutôt a proscrire de nos jours. FTP est peu sûr, difficile à sécuriser. Selon besoin on peut envisager OwnCloud. Si il s’agit de mettre à disposition des fichiers. Bien d'autres choses possibles avec cet outil remarquable.
Serveur web : IIS (bof) Apache2, Nginx.
D'une façon générale éviter les solutions où un serveur MS est en dmz avec une réplique de votre AD. Inutile d'exposer celui-ci.
VPN : on le fait souvent sur le firewall. On peut le faire autrement, avec Pfsense aussi mais qui ne remplira pas le rôle de firewall (J'ai testé et plusieurs fois mis en œuvre).

@tupiware:

Bonjour dans User MANAGER j'ai exactement ça au niveau des containers:

OU=ACTIVE,OU=UTILISATEURS,OU=SOCIETE,DC=domain,DC=local;OU=GROUPES,OU=SOCIETE,DC=domain,DC=local;OU=SOCIETE,DC=domain,DC=local

Ma compréhension des "labels" sur cette page est que ce champ "containers" est utilisé pour le ldapsearch de l’authentification. Du coup, comme le scope est à "sub" (full tree), si tu mets à la fois :

ou=active,ou=utilisateurs,ou=socité,dc=domain,dc=local

et

ou=socité,dc=domain,dc=local

le deuxième étant plus large que le premier (et donc le premier totalement inclu dans le deuxième), ça ne sert à rien (c'est redondant)

Je crains que cette analyse des causes du dysfonctionnement initial (notamment l'ouverture des port ttcp et udp) soit erroné. Mais comme "ça tombe en marche" …

Grand merci a chris4916. Grâce à son expertise, a sa disponibilité et sa patience, j'ai reçu a mettre en place le filtrage voulu c'est à dire "bloquer" les sites en https via squid3 sur pfsense.
merci !!!!

C'est lui qui va faire le lien entre les requêtes web entre le lan et vers internet donc pour plus de sécurité je préfère le placer en DMZ
Après je vais travaillé sur le wifi un pour mon lan et un visiteurs quand j'ai du monde qui vient ^^