Et après le discours, on a l'ouverture de port à la demande facturée 100,00 € HT. A moins qu'ils aient changé le tarif.

L'usage perso pour sa messagerie est discutable en entreprise.
Il n'y a donc pas besoin que l'utilisateur configure sur son micro professionnel un accès à sa messagerie perso.
Donc pas de pop3/imap/smtp-auth sortant (il serait très idiot d'utiliser smtp !).

Seul le serveur de mail interne a besoin de smtp/smtp-auth pour envoyer et recevoir des mails (sauf avec fetchmail où pop3 est nécessaire).

De plus, compte tenu de l'obligation légale, on devrait toujours utiliser un proxy pour les flux http/https.

J'ai finalement utilisé freeradisu + MySQL et j'ai créé une application + une page web pour la création de compte par les collaborateurs de l'entreprise.

Merci à vous.

salut,

Non, il s'agit d'une distribution logiciel avec systeme d'exploitation intégré (FreeBSD).

Merci pour ces précieuses informations ;)

Ce n'est pas faute d'avoir écrit …

Sur 12 lignes, il y a juste 1/2 ligne sur le "besoin" :

attribuer à ses employer une bonne connexion, VOIP et internet, pour chaqu’un de nos pôles

A partir du besoin, il faut travailler :

comment identifier les pôles ? comment attribuer une bonne connexion ?

Vous avez déjà choisi : multi LAN mais virtuel, et pas des VLAN.
On pourrait poser les 3 questions traditionnelles : quels sont les avantages ? quels sont les inconvénients ? quelles raisons de choix ?

Mais déjà 3 personnes affutées ne comprennent même pas cette "expression" !
En particulier, je propose un test simple qui, si vous aviez essayé, et ça prend 2', vous auriez compris que pfSense ne vois pas mieux !
Ce test répond exactement à la question

Avec pfsense avons-nous la possibilité d’utiliser des interfaces virtuelles.

et la réponse devrait vous faire réfléchir sur "votre" notion.

Hello!

@jdh désolé, j'abrège quelques fois les mots sans m'en rendre compte mais je ne le referai pas ;)

J'ai trouvé ce qui n'allait pas.
Il s'agissait juste de l'accès au réseau de server 2008 qui était resté en "Accès par pont" au cours de mes nombreuses manipulations au lieu de " réseau interne".
Merci pour tout!!!
Vous êtes géniaux..

Bonjour,

Traduction :

@divsys:

From a quick look at your log file, we'll probably need more information about what you're trying to do.

=> Après un rapide coup d’œil de votre fichier de log, nous aurons probablement besoin de plus d'informations sur ce que vous essayez de faire

@divsys:

At least post your client config.

=> Au moins donnez-nous votre configuration client

Vous avez omis la lecture d'un fil ''capital'' : https://forum.pfsense.org/index.php?topic=9708.0

cordialement

Merci.
J'ai finalement enlevé l'authentification SSL. Ce n'est plus sécurisé mais c'est plus "user friendly"…

(J'ai longtemps fait du Shorewall, et c'était bien ! Mais pfSense n'a rien à voir, c'est juste autre chose : c'est un firewall complet : avec interface web, avec plusieurs types de VPN, avec des courbes, des outils, … !)

@ JDH : bonne idée la règle de block totale du https :) domage que l'on ne soit pas sur site pour voir la tête des utilisateurs une fois appliquer  ;D

@ cayre_n : à lire et a relire => https://forum.pfsense.org/index.php?topic=69908.0

+1

Je connais et comprend le principe du wakeonlan, c'est un packet envoyé à tout le monde (broadcast) avec les infos qui vont bien pour que l'intéressé se réveil.

NON méconnaissance et incompréhension ! Le paquet est envoyé à la seule machine cible désignée par son adresse MAC (à la limite l'adresse ip importe peu) !

Le lien (très classique) que je donne indique

Il est possible de lancer un Wake-on-LAN à travers Internet, vers une machine située derrière un routeur NAT, mais ceci sous certaines conditions : le paquet magique doit être un paquet UDP, dont le port utilisé est redirigé vers l'adresse IP de la machine qui doit être réveillée. L'ordinateur étant éteint, il faut alors configurer de manière permanente l'association Adresse MAC/Adresse IP dans la table ARP du routeur (dans le cas contraire, cette association expire dans le routeur au bout de 5 minutes environ, et le paquet magique ne sera pas dirigé vers la machine). Certains routeurs permettent de réveiller une machine du réseau local à travers leur interface web ou via telnet.

Je ne vois pas indiqué ici une adresse de broadcast !

Il est évident que la machine cible étant arrêté, elle ne risque pas d'avoir une adresse ip ni de répondre à un broadcast ip.
Le protocole définit que la machine cible répond à un paquet udp : en entête de paquet udp, il y a à la fois une adresse ip mais surtout une adresse mac.
Il est clairement dit qu'il faut une association arp statique.

…

Il y a un mécanisme simple qui peut résoudre aisément (et en sécurité) : un accès VPN sur le réseau LAN, accès à l'interface web de pfSense puis Wake-on-LAN de la machine.
J'ai du mal à comprendre qu'on ouvre un port pour seulement réveiller une machine ... sans aucune identification !

NB : j'ai lu la doc de Teamviewer à http://www.teamviewer.com/fr/res/pdf/TeamViewer-Manual-Wake-on-LAN-fr.pdf et je suis stupéfait des paragraphes 7.1.1 et 7.1.2 (que vous reprenez) : je suis très sceptique !

Le schéma c'est très bien. Sans les légendes c'est illisible. Cela n'a rien d'un schéma réseau habituel. Je ne comprend pas votre architecture ou du moins son implémentation réelle. A quoi correspondent les flèches de couleurs, les traits, les numéros, les machines ??
Cela dit : https://forum.pfsense.org/index.php/topic,40552.0.html

Merci beaucoup pour ces réponses rapides. Je vais me lancer dans openvpn ! J'avais créé plusieurs vpn avec ipsec et des routeurs netgear ou autres.
J'ai créé un client openvpn pour la freebox (qui a installé un openvpn depuis quelques jours).
Je suis sur pfsense depuis 2 mois, avec une connexion fibre orange. J'ai créé un vpn entre deux sites (d'un côté pfsense, de l'autre netgear fvs338 qui fonctionne très bien).
Pour les clients mobile. J'ai configuré la page "mobiles clients" et un tunnel avec l'authentification mutual psk + xauth. Pour la phase 2, j'ai configuré 2 phases 2, l'une pour accéder au réseau entier (pour moi), l'autre pour accéder à un seul serveur sur le réseau. Quand je connecte l'un ou l'autre des utilisateurs, la connexion a lieu mais je ne peux accéder au réseau. Je voudrais (pour la gloire !), comprendre ce qui se passe car je vais configurer openvpn. Merci encore

Bonjour,

Encore un post sans la moindre info ^^
=> ce qui explique sûrement l’absence de réponse sur votre fil ^^

Donc :

Même FAI ?
Quid des ip de monitoring des gateway ?
Quid des dns utiliser par Wan 1 et Wan 2 ?
Quid des règles de FW ? (donc des gateway utiliser)
…

Cordialement

P.S : boule cristal en panne ^^

Merci. Bonne soirée.

Séparer des matériels =
soit, séparation physique
soit, séparation logique.

La séparation physique est, de loin, la plus sure.
Cela consiste à relier une prise physique à un switch donné : l'utilisateur, n'ayant pas accès à la baie de brassage, utilise une prise physique relié à un switch désigné, et il n'y a pas d'ambigüité.
On peut aussi utiliser du wifi : 1 signal = 1 réseau.

La séparation logique est le VLAN.
Il faut configurer au niveau du switch et en fonction de la prise du switch sur laquelle est reliée la prise physique, vers quel vlan on envoie le flux.
Cela suppose de disposer des switchs supportant les vlan, et il faut, au final, parfaitement identifier tout.
Certains switchs poussent la config en raisonnant à l'adresse MAC et en y associant le vlan quelque soit la prise du switch utilisé !
C'est donc assez technique et fortement dépendant des possibilités des switchs (HP, Cisco …).

Dans les 2 cas, cela exige de parfaitement identifier prises, câblage entre bandeaux et switchs, config vlan du switch ...
Cela reste un exercice de bon niveau ... et qui exige une grande ténacité.

Si j'ai écrit que cela ne pouvait fonctionner, pour la config routeur, c'est qu'il y a une anomalie tout à fait évidente !

A partir du moment où vous avez un routeur, il est forcément nécessaire de configurer celui-ci pour tous trafics entrants (et d'indiquer la cible).