Merci pour ta rapide réponse.

J'ai 3 connexions, dont 2 sDSL, chez 3 providers différents au siège.
2 connexions dont une sDSL dédiée au VPN sur les 2 sites distants.

Les flux sont déjà répartis sur ces 3 liens.

Le VPN sera sur une 8Mbits, et doit accueillir ls flux décrits plus haut). Je ne peux commander une sDSL de plus dédiée à la ToIP.
Nous testerons la ToIP pour les appels internes, et si ça marche, nous l'utiliserons.

Ma question est toujours valable, est-il possible prioriser des flux dans un VPN IPsec site2site ?

up

Franchement j ai essayé de choisir MTN pour continuer ma configuration mais hélas sa coince!!!!! Un coup de main SVP!!!!!!!!!!!!!!!! ???

Bon, bah, ok.
:D

Merci bcp !

Ouaip, j'avais configuré un 2e serveur OpenVPN, avec un autre port.
Puis j'ai vu que le serveur OpenVPN peut écouter sur ANY (donc, toutes les interfaces). Mais comme expliqué un peu plus haut, ça foire…

Merci pour l'info côté client, je n'ai pas encore eu le temps de me pencher dessus !

C'est plus ou moins ce que je recherche avant de me lancer dans le projet savoir comment fonctionne PFSense pour l'utilisé au mieux et donc pouvoir par la suite reussir a mettre en place tous ce que l'on desqir sur ce projet !!!
Je comprend tout a fait qu'il faille etre methodique (en meme temps dans l'informatique c'est primordiale)
Je peux paraitre completement novice surtout sur PFSense mais pour le reste j'ai mes bases meme si elle demande a etre approfondie mais je suis la pour apprendre !
A savoir que j'ai commencer a decouvrir PFSense ce lundi donc c'est encore tres frais, la je ne cherche pas absolument a mettre en place tout cela d'ici la semaine prochaine loin de la je cherche juste de bonne doc a etudier pour bien comprendre PFSense et ensuite une fois tout cela poser et bien intégrer je pourrais me mettre a l'oeuvre7
Voila en somme ma demarche

Merci pour toutes ses reponses cela me permet de clarifié les choses et de mettre en ordre tous cela

@majorxtrem:

hum je pense avoir trouvé :)

http://doc.pfsense.org/index.php/Why_can't_I_query_SNMP,_use_syslog,_NTP,_or_other_services_initiated_by_the_firewall_itself_over_IPsec_VPN%3F

en gros

il faut créer une gateway sur l'interface LAN avec comme ip elle même

en suite il faut ajouter une route static pour le subnet distant via cette GW

++

zut, marche pas chez moi.
J'ai désactivé les Phases2 IPsec, j'ai ajouté la nouvelle GW, la route, et ça ne passe pas, le VPN ne monte pas pour se connecter à l'autre site.

@ccnet:

@mgrisel:

Mais par exemple, effectivement je me pose encore la question de faire passer le personnel administratif par le proxy ou pas.

Au regard de la législation la question ne se pose pas.

Oui effectivement c'est vrai.

Je dois faire un schéma, mais je suis beaucoup en déplacement en ce moment. Et au vu de la remarque précédente, je vais réfléchir à une nouvelle architecture.

Merci

Merci a tous pour votre intérêt - j'avais pourtant coché 'me prévenir en cas de réponse …' mais peut être un antispam ...

OUI -> ma plage interne est ... comme elle est. J'hérite et n'ai pas choisi. J'espere pouvoir faire une manip d'envergure (vu le nombre de materiel actif que je trimbale) et passer en classe C un jour.

J'ai bien pris la mesure de vos remarque concernant le melange des genres ... PROXY+SQUIDGUARD(blacklist toulouse)+FIREWALL est pour ce type de réseau a proscrire. Je vais donc acter en votre sens et mettre deux machines.

J'ai cette solution qui fonctionne pour une centaine de users sur un vieux DELL SC600 gavé de mémoire. J'avoue que je n'ai constater suite à sa mise en place que des accélérations. PFSENSE est un EXCELLENT travail !

Ici c'est pour une centaine de users aussi.

Oui CCNET -> les DNS causent !
Avez vous une approche ou une solution pour les deux passerelles sur la même plage d'adresse ? Oui CCNET j'ai bien utiliser ce principe, mais il prend toujours la passerelle par défaut du LAN considéré, meme si je ne la met plus par defaut (SYSTEME-ROUTING ...)

Grand merci pour votre intérêt.

Sur des machines d'entreprises la solution s'appelle Netword Access Control (802.1x).
Sur des machines non maitrisée vous n'avez aucune autre solution, partielle, que de les isoler dans un réseau spécifique. Et plus qu'à segmenter votre réseau et affiner votre filtrage.

Attention avec le WPAD, firefox et Windows 7 si vous réalisez un contrôle logique en fonction de l'IP du poste client (par exemple tel subnet utilise tel proxy).
Cet imbecile de firefox remonte systématiquement l'IP v6 et non v4.

De même sir vos DNS internes sont de type Windows 2008 ou supérieur, par défaut wpad est un nom de machine interdit (query blocklist). Il faut suivre cette méthode pour corriger la situation:
http://technet.microsoft.com/en-us/library/cc441517.aspx

Merci pour vos réponses !
Je vais essayer ca !

Q/ Quelle est la différence entre la théorie et la pratique ?

R/ En théorie, il n'y a pas de différence. En pratique, si !

Bon c'est le week-end …

Je vais écrire, pour la N+1 fois, pourquoi il faut éviter de mettre le proxy sur le firewall !

les packages sont des addons qui n'ont AUCUNE garantie de bon fonctionnement : à vos risques et périls ! ce n'est pas parce qu'un package existe qu'il faut l'utiliser ! le job de 'proxy' nécessite d'autres ressources que le job de 'firewall' ! un proxy exige beaucoup de mémoire, un disque rapide et ne présente pas d'obligation de réponse immédiate ! un firewall exige un temps de réponse stricte donc une dispo processeur immédiate ! un firewall exige de la mémoire pour suivre les sessions (conntrack) ! un firewall n'a pas besoin de disque pour traiter les sessions qui le traverse ! (et ne pourrait pas stocker quoi que ce soit). les logs de firewall sont petits : refus/accord de session, … les logs de proxy sont énaauurmes rapidement un proxy (Squid) doit être complété de SquidGuard pour les blacklists (encore un besoin mémoire) un proxy doit être complété d'un outil de visu des logs (encore un besoin mémoire)

Je pense qu'utiliser pfSense uniquement pour le package proxy est un dénaturation totale !
Autant installer directement sur la machine une Debian + Squid + autres outils !

Si votre inexpérience est patente, utilisez les fichiers de conf du pfSense/package Squid pour initialiser ceux de votre proxy dédié.
(Je constate que vous avez une certaine expertise, aussi, je ne pense pas très difficile pour vous de créer votre propre proxy dédié !)

Au besoin, vous pouvez même virtualiser le proxy (ce qui est à DECONSEILLER fortement pour le firewall en dehors d'un test).

Merci beaucoup

Salut.

ccnet et jdh ont tout bon.
C'est à dire:

C'est une passerelle différente qu'il faut utiliser … ce qui amène à Un LAN par "réseau" à gérer (utilisateurs std & étudiants)... donc 2

Au total, 2 WAN et 2 LAN

Ca va simplifier la gestion: règles firewall, proxy, log ...

Bref, que du bonheur après  ;)

Ensuite, si le courage et l'envie vous dit:
1. Associer les 2 WAN pour un load balancing et redondance de connexion
2. Limiter la bande passante sur les 2 LAN pour garantir un surf correct des 2 parties
(Je dis ça mais je ne me suis pas encore attaqué à cette option ... j'ai pas 2 WAN ... zut  :'()

Voilà, bonne continuation

PS: petite précision pour le 1:1
C'est bien plus qu'un simple "port foward". En fait, c'est comme si l'ordinateur destinataire du NAT 1:1 était lui même connecté à Internet.
Autrement dit, TOUT le flux Internet lui arrive dessus (et par tous les ports). Donc, à utiliser avec des pincettes et surtout, savoir ce que l'on fait…

Il y a eu un fil récent qui cherchait à installer soit un ldap soit un mysql sur pfsense !
C'est en stage que l'on apprend à respecter les documentations, à utiliser un produit sans le "torturer" !

Quand on veut faire plusieurs choses à la fois, il faut n'en faire qu'une en même temps !

Un proxy dédié, avec identification des utilisateurs, blocage de blacklist, un bel outil de visualisation des logs, …
Voilà un bel objectif, bien borné, ...

NB : attention les packages ne sont pas tous à utiliser, et surtout pas à multiplier ...