ouaip au final j'ai juste fais une règle dans Nat port forward et rouler jeunesse tout va bien

Merci

Bonjour,

Problème résolu.
Le problème vennait de ces adresses qui sont déjà prises sur le réseau.
Il faut rajouter dans les options de openVPN:

Coté openVPN serveur : –ifconfig 10.0.16.1 10.145.7.4;
Coté openVPN client : --ifconfig 10.145.7.4 10.0.16.1;

Cette option permet de définir les adresses IP des extrémités du tunel.

Il me reste des problèmes de filtrage, mais ça sera l'objet d'un autre post.
Merci encore ccnet

Oui je suis en train de rédiger quelque chose de plus ou moins correct .

Je crois avoir lu quelque part, mais où … que ce pb peut survenir lorsqu'on fait une réservation pour une machine ayant obtenu une adresse auparavant et dont le bail est en cours.
Il faut regarder du côté des fichiers concernant les baux.

Il para virtualise avec ESX. Donc je pense mettre les parefeu la dessus au final .

Aiiiieeee !! Non, non et non.

Avec quatre interfaces réseau en tout sur l'esx, je ne vois pas comment vous allez faire sauf à tout mélanger.

Donc un simple loadbalancing et failover entre deux distributions pfsense paravirtualiser suffirait a satisfaire notre demande ?

Parfait exemple où la virtualisation va dégrader fortement la sécurité. Si vous perdez l'esx vous perdez tout. Si vous avez deux esx, vos quatre interfaces sont probablement déjà utilisées, donc pas d'isolation suffisante. Une interface doit être dédiée au Vmkernel (administration) au moins une pour Vmotion, plus le storage (si ISCSI) qui doit être complètement séparée. Comme il n'y a pas plus d'infrmatin, je ne rentre pas dans les détails.
Il semble que vous ayez un seul ESX, donc sans redondance. Quid du stockage ? Vous perdez sur tous les tableaux : Disponibilité : perte de la machine physique tout tombe.
Intégrité  stockage corrompu : perte importe probable d'une ou plusieur vm
Confidentialité : augmentation des risques due à de multiples facteurs techniques (faille esx) et humain (erreur de configuration lié à la complexité induite par la virtualisation) .

500 Mhz/256Mo de ram

Pour moi aussi c'est très léger. Un DL360 G4 (Bi Xeon jusqu'à 3,4 Ghz, avec 2 Go de ram) serait déjà un bien meilleur choix. On en trouve plein pas cher, vous pouvez en acheter un stock pour du spare et pour le failover.

Vous êtres sur la mauvaise pente. C'est une image. Mais quand même.

Bonjour,
petite remontée de ce topic… et question sur le DHCP&free
j'utilise également DHCP & freebox V4 (avec adresse IP fixe externe).
J'ai vu dans les log pas mal de renouvellement du bail DHCP...
du style :

dhclient[1971]: bound to 62.xxx.xxx.xxx -- renewal in 60 seconds. Jun 21 16:03:16 dhclient[1971]: DHCPACK from 62.xxx.xxx.254 Jun 21 16:03:16 dhclient[1971]: SENDING DIRECT Jun 21 16:03:16 dhclient[1971]: DHCPREQUEST on rl1 to 62.xxx.xxx.254 port 67 Jun 21 16:02:16 dhclient[1971]: bound to 62.xxx.xxx.xxx -- renewal in 60 seconds. Jun 21 16:02:16 dhclient[1971]: DHCPACK from 62.xxx.xxx.254 Jun 21 16:02:16 dhclient[1971]: SENDING DIRECT Jun 21 16:02:16 dhclient[1971]: DHCPREQUEST on rl1 to 62.xxx.xxx.254 etc... etc...

Vu que j'utilise OpenDNS (sur le lan servi par pfsense en DHCP) et non les DNS de free, vaut-il mieux se mettre en ip fixe ou alors faire une règle pour ne pas logger toutes ces demandes/réponses concernant le DHCP (toutes les minutes quand même) de l'adresse IP externe auprès de Free?

Beh euh, par exemple, en commençant par wikipedia ?

Sur une bête Debian, un "apt-get install arpwatch" doit faire l'affaire.

Ensuite on regarde arp.dat et le log …

(Ce qui est amusant, c'est les serveurs Windows avec les outils Broadcom de "teaming" ...)

Bonsoir,

1 seule patte côté LAN ? donc 2 Vlans (côté LAN) de pfsense et sur le switch ? 1ère chose à vérifier …

Si c'est le cas il faut d'une part définir des gateway pour chaque interface publique (mais vous montrez des règles de filtrage). Ensuite il faut définir le NAT  : ce qui vient du pédagogique sera traduit par l'adresse ip coté ADSL et tout ce qui vient de l'administratif sera traduit par l'adresse IP côté SDSL.

Et ensuite seulement les règles de filtrage.

Le NAT est fait avant le filtrage, je pense que le NAT est mal configuré. Essayez ceci :

if WAN - Proto TCP - SRC ADDS * - SRC PORTS * - DEST ADDS WAN Address - DEST port 80HTTP - NAT IP 172.16.16.100 - NAT ports 80HTTP

J'ai eu aussi des pb avec celle de toulouse, j'utilise celle-ci : http://www.shallalist.de/Downloads/shallalist.tar.gz

Effectivement squid est en mode transparent mais je croyais que le mode transparent permettait juste de se passer de configurer le proxy dans les machines des utilisateurs. D'ailleurs le filtrage de navigation est bien actif.
Je vais tenter mais pas maintenant, pas envie de passer le week-end au bureau  ;)

Je m'interroge sur le possibilité de transférer l'intégralité des accès externe du Lan 1 vers le Lan 3, puis-je le faire sans avoir la main sur le Cisco, le fournisseur ne voulant pas y toucher…

Une autre solution est de donner à mon Lan 1 composé de moins de 10 postes une classe d'adresse ip compatible avec mon Lan 3...

Merci d'avance de m'aider à trouver la meilleur solution...

EG  ???

Autrefois (il y a 20 ans), des systèmes (tels l'IBM S38) permettaient de connaitre le mot de passe. Ce n'était pas la sécurité !

Les systèmes modernes, s'il veulent avoir un minimum de sécurité, ne doivent stocker qu'une version "post-cryptage" des mots de passe (le "hash").
Il n'est donc plus possible de connaitre un mot de passe : la seule solution est d'en affecter un nouveau, point barre !
Et c'est normal … si on y réfléchi juste un peu ou si on jette un oeil à http://fr.wikipedia.org/wiki/Mot_de_passe

Avec 2 systèmes externes, pfSense assure déjà une grande ouverture.
La base interne me semble destiné à être juste géré par l'admin de pfSense pour quelques identifiants (jusqu'à 100, peut-être 150).

Oui tu devrais ça marche vraiment bien et la bascule est automatique dans un délais de 1s. Cela peut même basculer si tu définis un seuil limite sur le temps de réponse (latence) de la ligne ADSL

Je ne comprend rien de tous ça!!!!

Il y a un moment où il y a contradiction :

base locale => peu d'utilisateurs => un tableau XL et une discipline "un compte créé = une ligne dans le tableau" base externe => pas mal d'utilisateurs => un serveur "vrai" : le meilleur choix = le DC du domaine.

Un serveur Windows 2003 de type DC peut être la base LDAP (ActiveDir = arbre LDAP customisé à la "microsoft") ou la base Radius.
Quand on répète que le DC ne doit faire que le minimum !
(Idéalement, le DC ne devrait s'occuper que de comptes, au mieux DHCP/DNS).

(Est ce si sûr qu'XP ne puisse pas fournir Radius avec un addons même si ce n'est pas adapté ?)

Oui ubuntu, fedora,  … peu importe si les packages sont présents, c'est juste un peu d'adaptation de la configuration pour correspondre aux chemins. A la base j'avais fait cette doc pour de la CentOS. Si tu fais le test je serais curieux de voir les différences.

Alex

Vous semblez jeune et ne semblez pas connaitre suffisamment les protocoles en jeu.
Du coup, ce que vous écrivez ne ressemble à rien : jamais entendu parlé de "http video" !

pfSense est un firewall, avant tout !
Son job est le filtrage de paquets (flux réseaux) entre interfaces.
En second, il y a différents services fournis : vpn (fait vraiment partie du rôle firewall), dhcp/dns (fait moins partie), …

Il y a des packages disponibles en complément et sans garantie.
Parmi ceux-ci, il y a Squid (et son complément SquidGuard) qui est un proxy http/https/ftp.

Compte tenu de la nature très différente d'un firewall et d'un proxy, je déconseille de placer le proxy (de filtrage http) sur le firewall à partir de 10 utilisateurs.
(Je ne suis pas le seul à donner ce conseil !)

Il est donc à recommander de disposer d'un proxy http dédié sur lequel on effectuera le filtrage voulu.

Il est sans doute possible de filtrer les objets dans le flux http (selon le type mime) …
Recherchez donc du côte du cache squid ...

Il faut passer le minicom en 9600 8 N 1 le brancher en serie puis remettre l'alimentation pour voir ce qui se passe mais, la le clavier ne prend pas en comtpe les paramètre

@Trisogol:

Bonjour,

J'ai eu un problème similaire, il a fallu que je fasse une petite modification sur la page HTML de l'authentification.

A la ligne

<form method="post" action="http://172.16.1.100:8000/">remplacer par

Ex. pour le HTTP:

Ex. pour le HTTPS

De mon coté ça fonctionne
</form>

Salut Trisogol,

J'avais déjà essayé ta méthode mais cela ne fonctionne pas.
Il y a aussi une chose qui m'intrigue, c'est le certificat:

J'ai fais un copier/coller du principal vers le secondaire puisque je n'ai pas la possibilité de souscrire à une autorité de certif pour le moment… Crois-tu que cela peut jouer un rôle? J'ai supprimé les certificats de mon navigateur pour voir s'il me prévenait qu'ils n'étaient pas signés et c'est le cas: normal me direz-vous..
Mais... (y'en a toujours un :-) Une fois le login et mot de passe tapé, il me redit que le cert n'est pas signé puis le navigateur m'indique que je vais être redirigé vers une page non cryptée... etc...
Et là PAF ! me revoilà sur ma page d'authentification :((((

Une autre idée ?