C'est de la perfection. Merci beaucoup.

Jcdc.

Merci

Le 1er lien n'étant plus valide, je me permets :
http://drtic.educagri.fr/remos_downloads/reseau/Guide-MenOeuvre-PfSenseV2.pdf

Merci pour ce partage.

C'est bien clair et vous avez raison de vous en inquiéter. Sur le relai, si c'est un postfix, on peut, comme indiqué, déjà limiter le bavardage. Je suis presque certain qu'il est possible sur le serveur Exchange (bien que je fréquente très peu ce serveur de mails) de le paramétrer de telle sorte que les entêtes soit les plus sobres possibles. Sur Postfix, comme indiqué, c'est possible, sur Domino aussi. Pour Exchange je pense qu'il faut fouiller un peut dans la doc. Je n'ai pas la réponse. Quoiqu'il en soit ce n'est pas un problème de firewall puisque nous sommes dans une couche applicative alors que Pfsense ne travaille que jusqu'à la couche 4.

salut
j'ai refait le même travail sur un autre serveur , et ça marche très bien…
est ce que c'un problème HARDWARE ?

Bonjour,

Désolé pour le retard de ma réponse.

J'ai fais se que jdh m'a dit de faire, mais le problème est toujours là. Toujours sur firefox, la redirection vers la page d'authentification  ne se fait pas.
Étant donné que ça va être installer dans des espaces publiques, il est impossible de dire au personne de ne pas utiliser firefox si c'est leur navigateur habituel.

J'ai une autre question. la liste noire fonctionne en http mais pas en https. Est-ce normale ? Est-ce qu'il existe une configuration pour régler cela ?

Merci d'avance.

Problème réglé !

Depuis la mise à jour 2.0.2, une nouvelle option existe :
Disable Negate rule on policy routing rules
With Multi-WAN you generally want to ensure traffic reaches directly connected networks and VPN networks when using policy routing. You can disable this for special purposes but it requires manually creating rules for these networks

Donc j'ai testé, coché cette option. Résultats :

quand aucune gateway n'est configurée dans ma règle de surf (80-443), je peux accéder à ma machine en DMZ uniquement sur ces 2 ports, normal (ils tournent sur cette machine, en plus du SSH). quand une gateway est configurée dans ma règle de surf (connexion aDSL), plus rien ne va faire ma DMZ ou mes réseaux distants. Ce qui pour moi est un comportement normal. Ca oblige de rajouter plus de règles.

Ce que je ne comprends absolument pas, c'est cette notion de "negate" ajoutée automatiquement (décrit dans mon sujet anglais, dont le lien est dans mon post au dessus).
Pourquoi, dans une règle qui n'autorise que le 80-443, tout devient permis sur les WANs/DMZ de la société quand une passerelle est ajoutée dans cette règle ?!

???

Surtout vérifier que le service est bien demarré, sinon le lancer. Pas besoin de ligne de commande pour cela. L'interface d'administration comporte ce qu 'il faut pour cela.

merci pour la réponse, en fait la machine virtuelle Xp possède le même plage d'adressage que l'interface pfsense ce qui parait logique que je peux pinger entre les deux machines.

j'ai trouver une autre solution qui consiste à éliminer la machine virtuelle XP et de tester pfsense via la machine réelle hôte, et ça marche bien :)

i.e j'utilise Vmware v7

@jdh:

Le contournement (auquel je pensais) a été bien indiqué. Mais il ne faut pas oublier d'ajouter la route vers le le réseau accédé !

J'ai pas saisi ? :-\

@jdh:

Un autre problème est celui de la sortie SMTP (et cela n'a guère de rapport avec le problème VPN, une fois désactivé la passerelle).
Je suis très sceptique sur le fait que SMTP-AUTH (sur port 587) ne fonctionne pas sur un réseau SFR.
En tout état de cause, cela a fonctionné pour moi.
Je pense qu'il faut, indépendamment de tous VPN, vérifier cela. Et cela peut être fait simplement avec un telnet sur le port 587 !

J'ai fait le test sans rien modifier sur le post avec ma clé Bouygues et cela fonctionne parfaitement avec et sans VPN, avec SFR ça ne marche pas avec et sans VPN.
Je ferais un test, je n'ai plus le PC & la clé sous la main pour le moment.

C'est bien sur comme cela qu'il faut raisonner. Limiter arbitrairement de débit d'un utilisateur, d'une appli n'est pas le plus efficace. On cherche surtout à garantir un débit minimal disponible à certains utilisateurs ou applications.

Bonjour et merci pour votre intérêt !

Le DHCP de la "societe" devrait me donner toujours la meme IP en fonction de la Mac sur ma 1ere carte réseau, donc a priori, ce sera toujours là même.

Après mes (nombreux) essais, le problème se situe d'apres moi au niveau de Squid et de la blacklist, quel log voulez vous voir ?

Cordialement,

Je confirme la résolution du cas ;).

Peut-être faire un "restart webconfigurator" en console?

Sinon, vous y accédez en HTTP? HTTPS? Sur l'interface lan? wan? Bref, un peu plus d'info…

Générer des certificats est possible avec EasyRSA, XCA. Tous sont gratuits. Ce sera des certificats auto signés qui sont acceptables pour un portail captif non sensible.

Une démarche simple et saine serait de connecter l'interface eth2:1 en 5.x.x.x du routeur FAI sur l'interface wan de pfsense.

Je le conçois mais il me faut l'autorisation du "boss". A voir la semaine pro…

En l'état des informations disponibles le routeur R1 ne sert à rien.

Pour l'instant les PCs du LAN ont comme passerelle le routeur R1 est non pas PFSENSE.

Et puis ces deux liens entre les deux routeurs … quelle utilité ? A part générer des problèmes.

C'est simple R1 est dans nos locaux et l'autre c'est pas nous qui le gérons.

Ce que je comprend :
192.10.x.x/24 a pour gateway eth3 sur Pfsense.
La machine 10.x.x.2 devrait avoir pour gateway 10.x.x.1 (interface Pfsense) mais quid réellement ?

1.Non l'interface du routeur R1 pour l'instant (sinon je casse toute la prod …)
2.Oui c'est le cas ! mais 10.x.x.1 n'a quand à lui pas de gateway.

Juste une chose comment faite vous vos tests pour le vpn  ?

Pour testé le VPN j'utilise un pc du LAN en wifi qui est sous un sous réseau différents. ( il récupère comme IP pub une IP différente de 5.X).
Il m'indique connexion refused, mais trouve bien l'ip.

Avec toute les réserves que je réitère pour l'installation de Pfsense sur un ESX ..

C'est un casse tête c'est vrai, mais ca me permet d'apprendre pas mal de chose.

@psylo:

[…]

Mais paradoxalement, c'est la meilleure professionellement parlant: comme le "client" ne comprend pas, il reviendra.

[…]

Petite remarque qui a son importance, je me suis mal exprimé: par professionellement, je voulais dire pécunièrement dans un cadre professionnel…

@ccnet:

me donner un lien en plus à lire ne m'avancera pas.

Erreur gravissime.
A l'évidence vous avez trop de manques dans les connaissances de bases. Sans elles vous perdrez beaucoup de temps pour des résultats aléatoires et mal maitrisés. Entre le moment où j'ai donnée la source d'information permettant de comprendre et vos messages suivant, il s'écoule environ 15 mn. Il bien clair que vous n'avez fourni aucun travail. Vos connaissances ip et réseau sont fragiles et votre compréhension du dns inexistante. Il faut plusieurs heures de travail pour assimiler les informations du site de Ch Caleca. De même vous n'avez pas lu la doc de base de Pfsense pour comprendre et paramétrer un transfert de port (nat, translation d'adresse), concept qui vous est probablement inconnu. Vous êtes venu ici chercher des recettes, des cases à cocher des adresses ip à mettre dans les champs sans vouloir comprendre. Dès que vous changerez de produit vous repartirez à zéro. Tant pis pour vous.

Voilà ce que j'essayais d'expliquer…

Est-ce que cela vous semble bon?

A défaut de l'être c'est parfaitement obscure et brouillon.
On ne sait pas de quel type de vpn il s'agit, où est la machine pfsense, modem vpn qu'est ce que cela signifie exactement.
Un schéma et un plan d'adressage de l'ensemble serait un bon début. Pour les règles indiquées, on ne sait pas sur quel dispositif, quelle interface. Un problème bien posé est à moitié résolu. Commençons pas là.

Il est bien regrettable de lire les mêmes pauvres réflexions !

"Je sais tout, j'ai ma vision, et celle des autres n'a aucun intérêt !"

Cela fait près de 10 ans que les fai ont verrouillé leur box en limitant le smtp sortant vers leur seul(s) serveur(s) smtp La raison en était simple : la génération illimitée de spam ! Depuis près de 9 ans et 11 mois, l'usage de "smtp-auth" (ou smtp-submission) a permis de passer outre ce blocage. La plupart des hébergeurs de boites mails proposent un accès via "smtp-auth" mais les utilisateurs le savent-ils ?

Merci à ccnet qui vous a appris qu'il existe d'autre chose que smtp.
En plus cela va vous évitez de faire un grand "n'importe quoi" en ajoutant une fonction inutile et alourdissante.

Bien souvent une vue à plus longue portée permet de mieux voir la route à emprunter …