Sur un autre forum (sur un objet proche), j'ai trouvé le magnifique lien vers ce document :

http://www.gnurou.org/writing/smartquestionsfr ou Comment poser des questions intelligentes ?
(Comment poser intelligemment des questions intelligentes ?)

Ce document est limpide avec ses chapitres

Avant de demander, Quand vous posez une question,
et 2 chapitres, spécialement intéressants, Comment interpréter les réponses, Comment ne pas réagir comme un loser …

Eh bien il faut relire ce que j'ai écrit, car chaque mot compte !

Time-out ? Oui mais en faisant quoi ?

En faisant, dans un navigateur, http://www.trucmuche.com.
Or il faut décomposer !

résolution du nom -> doit avoir une valeur locale ! accès au serveur, ….

J'ai refais la configuration de mon modem toujours en pppoe depuis sa fonctionne.

J'avais bien activé le tunable net.link.bridge.pfil_bridge sous Menu System → Advanced → System tunables pour mettre la valeur à 1. Mais je viens de l'enlever et sa fonctionne toujours. Donc sa doit être la reconfiguration du modem qui a résolu le problème.

Bizarre. ???

Ok,
j'oubliais qu'il y avait par défaut cette règle ultra permissive…

Pouvez vous faire une capture coté pfsense pour voir si votre client tente bien une connexion.

tcpdump -i em0 -ttt -n proto UDP and port 123 and host 10.1.1.1

ensuite redémarrez ntpd sur votre client.

remplacer em0 par votre interface lan.
Pour info, il faut attendre un certain temps avant que le serveur NTP de pfsense réponde favorablement à une demande de synchronisation. En effet lorsqu'il démarre il va attendre un certain nombre de synchronisations avec ses serveurs de référence afin de connaitre précisément son jitter. Généralement, au bout de 15 minutes il répond convenablement.

J'ajoute qu'il y a effectivement eut des pb en 2.0 mais en RC3 tout devrait bien fonctionner pour ntp.

Oui mais dans votre histoire je suis obligé de faire pointer mes utilisateurs vers l'adresse pfsense pour les dns ?

1. Ce n'est pas notre histoire mais c'est de la gestion dns.
2. Vous sans doute pouvez le faire avec vos dns AD.

C'est comme cela que ca se gère et pas avec un aller retour par l'extérieur. Ce qui pose des problèmes de sécurité.
Enfin le serveur web devrait être dans une dmz.

Bonjour,

je pensais avoir répondu… mais non.

Merci pour le lien, je pense que mon problème correspond à ce cas:

If you have multiple/parallel IPsec tunnels and you have packet loss to one or more of the tunnels, it may be due to duplicate identifiers. Check your tunnel definitions, and be sure that for each tunnel you have defined between two given routers, there is a unique identifier.

Example:

Tunnel 1: Site A:10.0.0.0/24 <-> Site B:192.168.0.0/24
        Identifier: User FQDN, site-a1.example.com
    Tunnel 2: Site A:10.0.0.0/24 <-> Site B:192.168.10.0/24
        Identifier: User FQDN, site-a2.example.com

Without unique identifiers for each tunnel between two given routers, the ipsec daemon cannot distinguish between the traffic for each tunnel, and will likely drop/lose packets.

Mais je n'ai pas su le résoudre. de l'autre coté de mon tunnel j'ai un ipcop (avec un seul réseau en 192.168.1.0/24), je suppose que lorsque je l'aurais changé par un pfsense et bien configuré (avec mes deux réseaux LAN et VOIX), ce problème sera résolu. je viens à peine de recevoir une nouvelle machine pour ça.

Encore merci

Un ti tuto J'ai jété un oeil apres dans other y a un tas d'option avec high et low priority ?

Merci

Toujours personne?

Merci pour les infos je vais plus creuser par là :)

Ce que je voulais pas dire, mais après tout :) je suis dans la fonction publique et on s'occupe d'hébergement avec le wifi. Certains ont réussi à téléchargé via utorrent et bim, hadopi.
Je mettrais bien des mots de passes, mais beaucoup d'usagés de passage et qui va donner les informations quand je suis pas là ? :) Ne jamais rajouter de travaille a un fonctionnaire, ca le tuerait.
Donc obligé de faire en ouvert.

En tout cas, je vais plonger dans Squid :) Merki

Désolé, mais cela n'est pas possible.
Comme l'a dit précédemment JDH, se sujet a été abordé très récement

Un paquet IP entre un PC avec un navigateur (FF ou autre) et un serveur web est JUSTE un paquet IP : une ip source et une ip destination.

Or dans les data du paquet, et dans le cas spécifique de HTTP, il y a EXPLICITEMENT le nom de domaine.

Donc un serveur web, et plus précisément un proxy, sait analyser le flux et réagir en fonction.

Il FAUT donc un proxy pour y arriver puisque c'est une analyse de flux (couche 3 ou 4 comme l'écrit ccnet).

Tout cela est mieux expliqué chez Christian CALECA … qu'il faudrait que vous regardiez ...

Pas de souci.
Départ en vacances pour 3 semaines donc on voit tout ça plus tard :)

J'aurais aimé une explication très simple :

je gère un pfSense avec une interface WAN et 3 interfaces "LAN" correspondantes à 3 sociétés distinctes. il ne faut donc qu'il n'y ait aucun accès direct entre chacun des "LAN", mais cela ne doit pas empêcher chacune d'accéder au serveur web public de l'autre …

D'une, chaque zone LAN doit avoir une règle d'interdiction vers chaque autre zone.
De deux, chaque zone LAN doit utiliser une ip publique distincte via un NAT Outbound non automatique.
De trois, cela empêche-t-il d'accéder à l'ip publique destinée à un serveur public de l'autre ?

Il existe pourtant de la doc :

http://doc.pfsense.org/index.php/Multi-WAN_Version_1.2.x http://forum.pfsense.org/index.php/board,21.0.html
et http://forum.pfsense.org/index.php/topic,16923.0.html

Très bien merci pour votre retour.

ah ben j'ai trouvé, si vous pouvez me confirmer que c'est la bonne méthode :

Dans le menu du portail captif, à l'onglet "allowed IP addresses", j'ai autorisé le traffic sur la plage d'adresse correspondant à mon serveur TFTP (dans les 2 sens)…

Merci !

Je suis impardonnable, je sors d'un chantier de virtualisation ! ! !
Le DNS semble hors de cause, à moins que ça ne vienne du DNS forwader mais je n'y crois pas trop.
Je suis certain que le problème vient du proxy. Il ne filtre plus la navigation (alors que les services sont lancées), dans mes sites distants avec le proxy j'accède à internet mais pas aux url internes et si je désactive l'utilisation du proxy dans les web-browsers je n'accède plus à internet mais à mes url internes et quand je dis url internes ce sont des adresses IP.
Je me demande si je n'ai pas une erreur dans mes blacklists.